Solução de senha de administrador local do Windows no Microsoft Entra ID

Cada dispositivo Windows vem com uma conta de administrador local integrada que você deve proteger para mitigar quaisquer ataques Pass-the-Hash (PtH) e de travessia lateral. Muitos clientes têm usado nosso produto LAPS (Local Administrator Password Solution) autônomo e local para o gerenciamento de senhas de administrador local de suas máquinas Windows ingressadas no domínio. Com o suporte do Microsoft Entra para Windows LAPS, estamos fornecendo uma experiência consistente para dispositivos Microsoft Entra ingressados e Microsoft Entra híbridos.

O suporte do Microsoft Entra para LAPS inclui os seguintes recursos:

  • Habilitando o Windows LAPS com o Microsoft Entra ID - Habilite uma política para todo o locatário e uma política do lado do cliente para fazer backup da senha de administrador local para o Microsoft Entra ID.
  • Gerenciamento de senhas de administrador local - Configure políticas do lado do cliente para definir nome da conta, idade da senha, comprimento, complexidade, redefinição manual de senha e assim por diante.
  • Recuperando senha de administrador local - Use experiências de API/Portal para recuperação de senha de administrador local.
  • Enumerando todos os dispositivos habilitados para Windows LAPS - Use experiências de API/Portal para enumerar todos os dispositivos Windows no Microsoft Entra ID habilitado com o Windows LAPS.
  • Autorização de recuperação de senha de administrador local - Use políticas de controle de acesso baseado em função (RBAC) com funções personalizadas e unidades administrativas.
  • Auditando a atualização e recuperação de senha de administrador local - Use logs de auditoria de experiências de API/Portal para monitorar eventos de atualização e recuperação de senha.
  • Políticas de Acesso Condicional para recuperação de senha de administrador local - Configure políticas de Acesso Condicional em funções de diretório que tenham a autorização de recuperação de senha.

Nota

O Windows LAPS com ID do Microsoft Entra não é suportado para dispositivos Windows registados no Microsoft Entra.

A Solução de Senha de Administrador Local não é suportada em plataformas que não sejam Windows.

Para saber mais sobre o Windows LAPS com mais detalhes, comece com os seguintes artigos na documentação do Windows:

Requisitos

Regiões do Azure e distribuições do Windows suportadas

Esse recurso agora está disponível nas seguintes nuvens do Azure:

  • Azure Global
  • Azure Government
  • Microsoft Azure operado pela 21Vianet

Atualizações ao sistema operativo

Esse recurso agora está disponível nas seguintes plataformas de sistema operacional Windows com a atualização especificada ou instalada posteriormente:

Tipos de junção

O LAPS é suportado apenas em dispositivos associados ao Microsoft Entra ou híbridos do Microsoft Entra. Os dispositivos registados do Microsoft Entra não são suportados.

Requisitos de licença

O LAPS está disponível para todos os clientes com licenças Microsoft Entra ID Free ou superiores. Outros recursos relacionados, como unidades administrativas, funções personalizadas, Acesso Condicional e Intune, têm outros requisitos de licenciamento.

Funções ou permissões necessárias

Além das funções internas do Microsoft Entra, como Cloud Device Administrator e Intune Administrator , que recebem o dispositivo. LocalCredentials.Read.All, você pode usar funções personalizadas ou unidades administrativas do Microsoft Entra para autorizar a recuperação de senha de administrador local. Por exemplo:

  • As funções personalizadas devem receber a permissão microsoft.directory/deviceLocalCredentials/password/read para autorizar a recuperação de senha de administrador local. Você pode criar uma função personalizada e conceder permissões usando o centro de administração do Microsoft Entra, a API do Microsoft Graph ou o PowerShell. Depois de criar uma função personalizada, você pode atribuí-la aos usuários.

  • Você também pode criar uma unidade administrativa do Microsoft Entra ID, adicionar dispositivos e atribuir a função de Administrador de Dispositivos na Nuvem com escopo à unidade administrativa para autorizar a recuperação de senha de administrador local.

Ativando o Windows LAPS com o Microsoft Entra ID

Para habilitar o Windows LAPS com o Microsoft Entra ID, você deve executar ações no Microsoft Entra ID e nos dispositivos que deseja gerenciar. Recomendamos que as organizações gerenciem o Windows LAPS usando o Microsoft Intune. Se os seus dispositivos estiverem associados ao Microsoft Entra, mas não estiverem a utilizar ou não suportarem o Microsoft Intune, pode implementar manualmente o Windows LAPS para Microsoft Entra ID. Para obter mais informações, consulte o artigo Configurar configurações de diretiva do Windows LAPS.

  1. Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Dispositivo na Nuvem.

  2. Navegue até Visão geral dos dispositivos>de identidade>Configurações>do dispositivo

  3. Selecione Sim para a configuração Ativar solução de senha de administrador local (LAPS) e, em seguida, selecione Salvar. Você também pode usar o dispositivo de atualização da API do Microsoft GraphRegistrationPolicy para concluir essa tarefa.

  4. Configure uma política do lado do cliente e defina o BackUpDirectory como Microsoft Entra ID.

Recuperando metadados de senha e senha de administrador local

Para exibir a senha de administrador local de um dispositivo Windows associado ao Microsoft Entra ID, você deve receber a ação microsoft.directory/deviceLocalCredentials/password/read .

Para exibir os metadados da senha de administrador local de um dispositivo Windows associado ao Microsoft Entra ID, você deve receber a ação microsoft.directory/deviceLocalCredentials/standard/read .

As seguintes funções internas recebem essas ações por padrão:

Função incorporada microsoft.directory/deviceLocalCredentials/standard/read e microsoft.directory/deviceLocalCredentials/password/read microsoft.directory/deviceLocalCredentials/standard/read
Administrador de dispositivos na nuvem Sim Sim
Administrador de Serviço do Intune Sim Sim
Administrador do Helpdesk Não Sim
Administrador de Segurança Não Sim
Leitor de Segurança Não Sim

Quaisquer funções não listadas não recebem nenhuma ação.

Você também pode usar a API do Microsoft Graph Get deviceLocalCredentialInfo para recuperar a senha administrativa local. Se você usar a API do Microsoft Graph, a senha retornada está no valor codificado em Base64 que você precisa decodificar antes de usá-la.

Listar todos os dispositivos habilitados para Windows LAPS

Para listar todos os dispositivos habilitados para Windows LAPS, você pode navegar até Visão geral>de dispositivos>de identidade>Recuperação de senha de administrador local ou usar a API do Microsoft Graph.

Auditando a atualização e a recuperação da senha do administrador local

Para exibir eventos de auditoria, você pode navegar até Logs de auditoria de visão geral>de dispositivos>de identidade>e, em seguida, usar o filtro de atividade e procurar Atualizar senha de administrador local do dispositivo ou Recuperar senha de administrador local do dispositivo para exibir os eventos de auditoria.

Políticas de acesso condicional para recuperação de senha de administrador local

As políticas de Acesso Condicional podem ter como escopo as funções internas para proteger o acesso e recuperar senhas de administrador local. Você pode encontrar um exemplo de uma política que requer autenticação multifator no artigo, Common Conditional Access policy: Require MFA for administrators.

Nota

Não há suporte para outros tipos de função, incluindo funções administrativas com escopo de unidade e funções personalizadas;

Perguntas mais frequentes

O Windows LAPS com a configuração de gerenciamento do Microsoft Entra é suportado usando GPOs (Objetos de Política de Grupo)?

Sim, apenas para dispositivos associados híbridos do Microsoft Entra. Consulte Política de Grupo do Windows LAPS.

O Windows LAPS com a configuração de gerenciamento do Microsoft Entra é suportado usando MDM?

Sim, para o Microsoft Entra junte-se a/dispositivos híbridos de ingresso (co-gerenciados) do Microsoft Entra. Os clientes podem usar o Microsoft Intune ou qualquer outro gerenciamento de dispositivos móveis (MDM) de terceiros de sua escolha.

O que acontece quando um dispositivo é excluído no Microsoft Entra ID?

Quando um dispositivo é excluído no Microsoft Entra ID, a credencial LAPS que estava vinculada a esse dispositivo é perdida e a senha armazenada no Microsoft Entra ID é perdida. A menos que você tenha um fluxo de trabalho personalizado para recuperar senhas LAPS e armazená-las externamente, não há nenhum método no Microsoft Entra ID para recuperar a senha gerenciada pelo LAPS para um dispositivo excluído.

Quais funções são necessárias para recuperar senhas LAPS?

As seguintes funções internas As funções internas do Microsoft Entra têm permissão para recuperar senhas do LAPS: Cloud Device Administrator e Intune Administrator.

Que funções são necessárias para ler os metadados do LAPS?

As seguintes funções internas são suportadas para exibir metadados sobre o LAPS, incluindo o nome do dispositivo, a última rotação de senha e a próxima rotação de senha: Cloud Device Administrator, Intune Administrator, Helpdesk Administrator, Security Reader e Security Administrator.

Há suporte para funções personalizadas?

Sim. Se você tiver o Microsoft Entra ID P1 ou P2, poderá criar uma função personalizada com as seguintes permissões RBAC:

  • Para ler metadados LAPS: microsoft.directory/deviceLocalCredentials/standard/read
  • Para ler senhas LAPS: microsoft.directory/deviceLocalCredentials/password/read

O que acontece quando a conta de administrador local especificada pela política é alterada?

Como o Windows LAPS só pode gerenciar uma conta de administrador local em um dispositivo de cada vez, a conta original não é mais gerenciada pela política LAPS. Se a política fizer backup dessa conta pelo dispositivo, será feito o backup da nova conta e os detalhes sobre a conta anterior não estarão mais disponíveis no centro de administração do Intune ou no Diretório especificado para armazenar as informações da conta.

Próximos passos