Solución de contraseña de administrador local de Windows en Microsoft Entra ID
Cada dispositivo Windows incluye una cuenta de administrador local integrada que debe asegurar y proteger para mitigar los ataques Pass-the-Hash (PtH) y laterales traversales. Muchos clientes han estado usando nuestro producto de Solución de contraseña de administrador local (LAPS) independiente y local para la administración de contraseñas de administrador local de sus máquinas Windows unidas a un dominio. Con la compatibilidad de Microsoft Entra con LAPS de Windows, se ofrece una experiencia coherente tanto para los dispositivos Microsoft Entra unidos como para los dispositivos Microsoft Entra unidos híbridos.
La compatibilidad de Microsoft Entra con LAPS incluye las siguientes funcionalidades:
- Habilitación de LAPS de Windows con Microsoft Entra ID: habilite una directiva para todo el inquilino y una directiva del lado cliente para hacer una copia de seguridad de la contraseña de administrador local en Microsoft Entra ID.
- Administración de contraseña de administrador local: configure directivas del lado cliente para establecer el nombre de cuenta, la antigüedad de la contraseña, la longitud, la complejidad, el restablecimiento manual de contraseñas, etc.
- Recuperación de contraseñas de administrador local: use experiencias de API/Portal para la recuperación de contraseñas de administrador local.
- Enumeración de todos los dispositivos habilitados para LAPS de Windows: use experiencias de API/Portal para enumerar todos los dispositivos Windows en Microsoft Entra ID habilitados con LAPS de Windows.
- Autorización de la recuperación de contraseñas de administrador local: use directivas de control de acceso basado en rol (RBAC) con roles personalizados y unidades administrativas.
- Auditoría de la actualización y recuperación de contraseñas de administrador local: use experiencias de API/Portal de registros de auditoría para supervisar los eventos de recuperación y actualización de contraseñas.
- Directivas de acceso condicional para la recuperación de contraseñas de administrador local: configure directivas de acceso condicional en roles de directorio que tengan la autorización de recuperación de contraseñas.
Nota:
LAPS de Windows con Microsoft Entra ID no es compatible con dispositivos Windows registrados en Microsoft Entra.
La Solución de contraseña de administrador local no se admite en plataformas que no son de Windows.
Para obtener información sobre LAPS de Windows con más detalle, comience con los siguientes artículos en la documentación de Windows:
- ¿Qué es Windows LAPS? – Introducción a LAPS de Windows y el conjunto de documentación de LAPS de Windows.
- CSP de LAPS de Windows: vea los detalles completos de la configuración y las opciones de LAPS. Las directivas de Intune para LAPS usan estas opciones para configurar el CSP de LAPS en los dispositivos.
- Compatibilidad de Microsoft Intune con LAPS de Windows
- Arquitectura de Windows LAPS
Requisitos
Regiones de Azure compatibles y distribuciones de Windows
Esta característica ahora está disponible en las siguientes nubes de Azure:
- Azure Global
- Azure Government
- Microsoft Azure operado por 21Vianet
Actualizaciones del sistema operativo
Esta característica ahora está disponible en las siguientes plataformas de sistema operativo de Windows con la actualización especificada o una versión posterior instalada:
- Windows 11 22H2: actualización del 11 de abril de 2023
- Windows 11 21H2: actualización del 11 de abril de 2023
- Windows 10 20H2, 21H2 y 22H2: actualización del 11 de abril de 2023
- Windows Server 2022: actualización del 11 de abril de 2023
- Windows Server 2019: actualización 11 2023 11, 2023 11 2023
Tipos de combinación
Solo se admite LAPS en dispositivos Microsoft Entra unidos o Microsoft Entra unidos híbridos. No se admiten dispositivos registrados en Microsoft Entra.
Requisitos de licencia
LAPS está disponible para todos los clientes con licencias de Microsoft Entra ID Free o superior. Otras características relacionadas, como unidades administrativas, roles personalizados, acceso condicional e Intune, tienen otros requisitos de licencia.
Roles o permisos necesarios
Además de los roles integrados en Microsoft Entra como Administrador de dispositivos en la nube y Administrador de Intune a los que se les concede el permiso device.LocalCredentials.Read.All, puede usar roles personalizados de Microsoft Entra o unidades administrativas para autorizar la recuperación de contraseñas de administrador local. Por ejemplo:
A los roles personalizados se les debe asignar el permiso microsoft.directory/deviceLocalCredentials/password/read para autorizar la recuperación de contraseñas de administrador local. Puede crear un rol personalizado y conceder permisos mediante el Centro de administración de Microsoft Entra, Microsoft Graph API o PowerShell. Una vez creado el rol personalizado, puede asignarlo a los usuarios.
También puede crear una unidad administrativa de Microsoft Entra ID, agregar dispositivos y asignar el rol Administrador de dispositivos en la nube con ámbito en la unidad administrativa para autorizar la recuperación de contraseñas del administrador local.
Habilitar LAPS de Windows con Microsoft Entra ID
Para habilitar LAPS de Windows con Microsoft Entra ID, debe realizar acciones en Microsoft Entra ID y los dispositivos que desea administrar. Se recomienda que las organizaciones administren LAPS de Windows mediante Microsoft Intune. Si los dispositivos están unidos a Microsoft Entra, pero no usa o no se admite Microsoft Intune, todavía puedes implementar Windows LAPS para el identificador de Microsoft Entra ID manualmente. Para obtener más información, consulte el artículo Configuración de directivas de Windows LAPS.
Inicie sesión en el Centro de administración de Microsoft Entra al menos como Administrador de dispositivos en la nube.
Vaya a Identidad>Dispositivos>Información general>Configuración del dispositivo
Seleccione Sí para la opción Habilitar Solución de contraseña de administrador local (LAPS) y seleccione Guardar. También puede usar Update deviceRegistrationPolicy de Microsoft Graph API para completar esta tarea.
Configure una directiva del lado cliente y establezca BackUpDirectory en Microsoft Entra ID.
- Si usa Microsoft Intune para administrar las directivas del lado cliente, consulte Administrar LAPS de Windows con Microsoft Intune
- Si usa objetos de directiva de grupo (GPO) para administrar directivas del lado cliente, consulte Directiva de grupo de Windows LAPS
Recuperación de metadatos de contraseña y contraseña de administrador local
Para ver la contraseña de administrador local de un dispositivo Windows unido a Microsoft Entra ID, se le debe conceder la acción microsoft.directory/deviceLocalCredentials/password/read.
Para ver los metadatos de la contraseña de administrador local de un dispositivo Windows unido a Microsoft Entra ID, se le debe conceder la acción microsoft.directory/deviceLocalCredentials/standard/read.
Los siguientes roles integrados tienen estas acciones de manera predeterminada:
| Rol integrado | microsoft.directory/deviceLocalCredentials/standard/read y microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Administrador de dispositivos en la nube | Sí | Sí |
| Administrador del servicio de Intune | Sí | Sí |
| Administrador del departamento de soporte técnico | No | Sí |
| Administrador de seguridad | No | Sí |
| Lector de seguridad | No | Sí |
Los roles que no se muestran no tienen ninguna acción.
También puede usar Microsoft Graph API Get deviceLocalCredentialInfo para recuperar la contraseña administrativa local. Si usa Microsoft Graph API, la contraseña devuelta se encuentra en el valor codificado en Base64 que debe descodificar antes de usarlo.
Enumerar todos los dispositivos habilitados para LAPS de Windows
Para obtener una lista de todos los dispositivos habilitados para Windows LAPS, puede examinar Identidad>Dispositivos>Información general>Recuperación de contraseña de administrador local o usar la Microsoft Graph API.
Auditoría de la actualización y recuperación de contraseña de administrador local
Para ver los eventos de auditoría, puede navegar aIdentidad>Dispositivo>Información general>Registros de auditoría, luego use el filtroActividad y busqueActualizar contraseña de administrador local del dispositivo o Recuperar contraseña de administrador local del dispositivo para ver los eventos de auditoría.
Directivas de acceso condicional para la recuperación de contraseñas de administrador local
Las directivas de acceso condicional se pueden limitar a los roles integrados para proteger el acceso para recuperar contraseñas de administrador local. Puede encontrar un ejemplo de una directiva que requiere la autenticación multifactor en el artículo Directiva de acceso condicional común: requerir MFA para administradores.
Nota
No se admiten otros tipos de roles, incluidos los roles con ámbito de unidad administrativa y los roles personalizados.
Preguntas más frecuentes
¿Se admite la configuración de administración de Windows LAPS con Microsoft Entra mediante objetos de directiva de grupo (GPO)?
Sí, solo para dispositivos Microsoft Entra unidos híbridos. Consulte Directiva de grupo de LAPS de Windows.
¿Se admite la configuración de administración de LAPS de Windows con Microsoft Entra MDM?
Sí, para dispositivos Microsoft Entra unidos/Microsoft Entra unidos híbridos (administrados conjuntamente). Los clientes pueden usar Microsoft Intune o cualquier otra administración de dispositivos móviles (MDM) de terceros de su elección.
¿Qué ocurre cuando se elimina un dispositivo en Microsoft Entra ID?
Cuando se elimina un dispositivo en Microsoft Entra ID, se pierde la credencial de LAPS vinculada a ese dispositivo y se pierde la contraseña almacenada en Microsoft Entra ID. A menos que tenga un flujo de trabajo personalizado para recuperar contraseñas de LAPS y almacenarlas externamente, no hay ningún método en Microsoft Entra ID para recuperar la contraseña administrada por LAPS para un dispositivo eliminado.
¿Qué roles se necesitan para recuperar contraseñas de LAPS?
Los siguientes roles integrados de Microsoft Entra tienen permiso para recuperar contraseñas de LAPS: Administrador de dispositivos en la nube y Administrador de Intune.
¿Qué roles se necesitan para leer los metadatos de LAPS?
Se admiten los siguientes roles integrados para ver metadatos sobre LAPS, incluido el nombre del dispositivo, la última rotación de contraseñas y la siguiente rotación de contraseñas: Administrador de dispositivos en la nube, Administrador de Intune, Administrador del departamento de soporte técnico, Lector de seguridad y Administrador de seguridad.
¿Se admiten roles personalizados?
Sí. Si tiene Microsoft Entra ID P1 o P2, puede crear un rol personalizado con los siguientes permisos de RBAC:
- Para leer los metadatos de LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Para leer las contraseñas de LAPS: microsoft.directory/deviceLocalCredentials/password/read
¿Qué ocurre cuando se cambia la cuenta de administrador local especificada por la directiva?
Dado que LAPS de Windows solo puede administrar una cuenta de administrador local en un dispositivo a la vez, la directiva de LAPS ya no administra la cuenta original. Si la directiva tiene la copia de seguridad del dispositivo de esa cuenta, se realiza una copia de seguridad de la nueva cuenta y los detalles de la cuenta anterior ya no están disponibles desde el centro de administración de Intune o desde el directorio especificado para almacenar la información de la cuenta.