Compartir a través de


LAPS CSP

La empresa usa el proveedor de servicios de configuración de solución de contraseñas de administrador local (LAPS) para administrar la copia de seguridad de contraseñas de cuenta de administrador local. Windows admite un objeto de directiva de grupo LAPS totalmente independiente del CSP de LAPS. Muchas de las distintas configuraciones son comunes tanto en el GPO de LAPS como en el CSP (GPO no admite ninguna de las configuraciones relacionadas con la acción). Siempre que se configure al menos una configuración de LAPS a través de CSP, se omitirá cualquier configuración configurada por GPO. Consulte también Configuración de las opciones de directiva para Windows LAPS.

Nota

Para obtener más información sobre las actualizaciones específicas del sistema operativo necesarias para usar el CSP de LAPS de Windows y las características asociadas, además del estado actual del escenario Microsoft Entra LAPS, consulta Disponibilidad de LAPS de Windows y Microsoft Entra estado de versión preliminar pública de LAPS.

Sugerencia

En este artículo se tratan los detalles técnicos específicos del CSP de LAPS. Para obtener más información sobre los escenarios en los que se usaría el CSP de LAPS, consulte Solución de contraseñas de administrador local de Windows.

En la lista siguiente se muestran los nodos del proveedor de servicios de configuración de LAPS:

Acciones

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Actions

Define el nodo interior primario para toda la configuración relacionada con la acción en el CSP de LAPS.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Obtener

Actions/ResetPassword

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword

Use esta configuración para indicar al CSP que genere y almacene inmediatamente una nueva contraseña para la cuenta de administrador local administrada.

Esta acción invoca un restablecimiento inmediato de la contraseña de la cuenta de administrador local, omitiendo las restricciones normales, como PasswordLengthDays, etc.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato null
Tipo de acceso Exec

Actions/ResetPasswordStatus

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus

Use esta configuración para consultar el estado de la última acción de ejecución ResetPassword enviada.

El valor devuelto es un código HRESULT:

  • S_OK (0x0): la última acción ResetPassword enviada se realizó correctamente.
  • E_PENDING (0x8000000): la última acción ResetPassword enviada sigue ejecutándose.
  • Otro: La última acción ResetPassword enviada encontró el error devuelto.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Obtener
Valor predeterminado 0

Directivas

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies

Nodo raíz para directivas LAPS.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato node
Tipo de acceso Obtener
Atomic Required Verdadero

Policies/ADEncryptedPasswordHistorySize

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize

Use esta opción para configurar cuántas contraseñas cifradas anteriores se recordarán en Active Directory.

Si no se especifica, esta configuración tendrá como valor predeterminado 0 contraseñas (deshabilitadas).

Esta configuración tiene un valor mínimo permitido de 0 contraseñas.

Esta configuración tiene un valor máximo permitido de 12 contraseñas.

Importante

Esta configuración se omite a menos que ADPasswordEncryptionEnabled esté configurado como True y se cumplan todos los demás requisitos previos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-12]
Valor predeterminado 0
Dependencia [BackupDirectory] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory
Valor permitido de dependencia: 2
Tipo de valor permitido de dependencia: ENUM

Policies/AdministratorAccountName

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName

Use esta opción para configurar el nombre de la cuenta de administrador local administrada.

Si no se especifica, la cuenta de administrador local integrada predeterminada se ubicará mediante un SID conocido (incluso si se cambia el nombre).

Si se especifica, se administrará la contraseña de la cuenta especificada.

Tenga en cuenta que si se especifica un nombre de cuenta de administrador local administrado personalizado en esta configuración, esa cuenta debe crearse a través de otros medios. La especificación de un nombre en esta configuración no hará que se cree la cuenta.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar

Policies/ADPasswordEncryptionEnabled

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled

Use esta opción para configurar si la contraseña está cifrada antes de almacenarse en Active Directory.

Esta configuración se omite si la contraseña se está almacenando actualmente en Microsoft Entra ID.

Esta configuración solo se respeta cuando el dominio de Active Directory está en Windows Server 2016 nivel funcional de dominio o superior.

  • Si esta configuración está habilitada y el dominio de Active Directory cumple el requisito previo de DFL, la contraseña se cifrará antes de almacenarse en Active Directory.

  • Si esta configuración está deshabilitada o el dominio de Active Directory no cumple el requisito previo de DFL, la contraseña se almacenará como texto no cifrado en Active Directory.

Si no se especifica, este valor predeterminado es True.

Importante

Esta configuración se omite a menos que BackupDirectory esté configurado para realizar una copia de seguridad de la contraseña en Active Directory y el dominio de Active Directory esté en Windows Server 2016 nivel funcional de dominio o superior.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Verdadero
Dependencia [BackupDirectory] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory
Valor permitido de dependencia: 2
Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor Descripción
false Almacene la contraseña en forma de texto no cifrado en Active Directory.
true (valor predeterminado) Almacene la contraseña en forma cifrada en Active Directory.

Policies/ADPasswordEncryptionPrincipal

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal

Use esta configuración para configurar el nombre o el SID de un usuario o grupo que puede descifrar la contraseña almacenada en Active Directory.

Esta configuración se omite si la contraseña se está almacenando actualmente en Microsoft Entra ID.

Si no se especifica, el grupo Administradores de dominio del dominio del dispositivo podrá descifrar la contraseña.

Si se especifica, el usuario o grupo especificado podrá descifrar la contraseña almacenada en Active Directory.

Si la cuenta de usuario o grupo especificada no es válida, el dispositivo se reservará para usar el grupo Administradores de dominio en el dominio del dispositivo.

Importante

Esta configuración se omite a menos que ADPasswordEncryptionEnabled esté configurado como True y se cumplan todos los demás requisitos previos. La cadena almacenada en esta configuración debe ser un SID en forma de cadena o el nombre completo de un usuario o grupo. Entre los ejemplos válidos se incluyen:

  • S-1-5-21-2127521184-1604012920-1887927527-35197
  • contoso\LAPSAdmins
  • lapsadmins@contoso.com

La entidad de seguridad identificada (ya sea por SID o nombre de usuario o grupo) debe existir y el dispositivo puede resolverla.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Dependencia [BackupDirectory] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory
Valor permitido de dependencia: 2
Tipo de valor permitido de dependencia: ENUM

Policies/AutomaticAccountManagementEnableAccount

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

Use esta opción para configurar si la cuenta administrada automáticamente está habilitada o deshabilitada.

  • Si esta configuración está habilitada, se habilitará la cuenta de destino.

  • Si esta configuración está deshabilitada, se deshabilitará la cuenta de destino.

Si no se especifica, este valor predeterminado es False.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso
Dependencia [AutomaticAccountManagementEnabled] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Valor permitido de dependencia: true
Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor Descripción
False (valor predeterminado) La cuenta de destino se deshabilitará.
Verdadero Se habilitará la cuenta de destino.

Policies/AutomaticAccountManagementEnabled

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

Use esta configuración para especificar si la administración automática de cuentas está habilitada.

  • Si esta configuración está habilitada, la cuenta de destino se administrará automáticamente.

  • Si esta configuración está deshabilitada, la cuenta de destino no se administrará automáticamente.

Si no se especifica, este valor predeterminado es False.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso

Valores permitidos:

Valor Descripción
false (valor predeterminado) La cuenta de destino no se administrará automáticamente.
true La cuenta de destino se administrará automáticamente.

Policies/AutomaticAccountManagementNameOrPrefix

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

Use esta opción para configurar el nombre o el prefijo de la cuenta de administrador local administrada.

Si se especifica, el valor se usará como nombre o prefijo de nombre de la cuenta administrada.

Si no se especifica, esta configuración tendrá como valor predeterminado "WLapsAdmin".

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato chr (cadena)
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Dependencia [AutomaticAccountManagementEnabled] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Valor permitido de dependencia: true
Tipo de valor permitido de dependencia: ENUM

Policies/AutomaticAccountManagementRandomizeName

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

Use esta configuración para configurar si el nombre de la cuenta administrada automáticamente usa un sufijo numérico aleatorio cada vez que se gira la contraseña.

Si esta configuración está habilitada, el nombre de la cuenta de destino usará un sufijo numérico aleatorio.

Si se desasombre esta configuración, el nombre de la cuenta de destino no usará un sufijo numérico aleatorio.

Si no se especifica, este valor predeterminado es False.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Falso
Dependencia [AutomaticAccountManagementEnabled] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Valor permitido de dependencia: true
Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor Descripción
False (valor predeterminado) El nombre de la cuenta de destino no usará un sufijo numérico aleatorio.
Verdadero El nombre de la cuenta de destino usará un sufijo numérico aleatorio.

Policies/AutomaticAccountManagementTarget

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

Use esta opción para configurar qué cuenta se administra automáticamente.

Los valores permitidos son:

0=Se administrará la cuenta de administrador integrada.

1=Se administrará una nueva cuenta creada por Windows LAPS.

Si no se especifica, esta configuración tendrá como valor predeterminado 1.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 1
Dependencia [AutomaticAccountManagementEnabled] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Valor permitido de dependencia: true
Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor Descripción
0 Administre la cuenta de administrador integrada.
1 (valor predeterminado) Administrar una nueva cuenta de administrador personalizada.

Directivas/BackupDirectory

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory

Use esta opción para configurar el directorio en el que se realiza la copia de seguridad de la contraseña de la cuenta de administrador local.

Los valores permitidos son:

0=Deshabilitado (no se realizará una copia de seguridad de la contraseña) 1=Copia de seguridad de la contraseña en Microsoft Entra ID solo 2=Copia de seguridad de la contraseña solo en Active Directory.

Si no se especifica, esta configuración tendrá como valor predeterminado 0.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 0

Valores permitidos:

Valor Descripción
0 (Predeterminado) Deshabilitado (no se realizará una copia de seguridad de la contraseña).
1 Haga una copia de seguridad de la contraseña solo en Microsoft Entra ID.
2 Haga una copia de seguridad de la contraseña solo en Active Directory.

Directivas/frase de contraseñaLength

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅Windows 11, versión 24H2 [10.0.26100] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength

Use esta opción para configurar el número de palabras de frase de contraseña.

Si no se especifica, esta configuración tendrá como valor predeterminado 6 palabras.

Esta configuración tiene un valor mínimo permitido de 3 palabras.

Esta configuración tiene un valor máximo permitido de 10 palabras.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [3-10]
Valor predeterminado 6
Dependencia [PasswordComplexity] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/PasswordComplexity
Valor permitido de dependencia: [6-8]
Tipo de valor permitido de dependencia: Range

Directivas/PasswordAgeDays

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays

Use esta directiva para configurar la antigüedad máxima de contraseña de la cuenta de administrador local administrada.

Si no se especifica, esta configuración tendrá como valor predeterminado 30 días.

Esta configuración tiene un valor mínimo permitido de 1 día al hacer una copia de seguridad de la contraseña para Active Directory local y de 7 días al hacer una copia de seguridad de la contraseña para Microsoft Entra ID.

Esta configuración tiene un valor máximo permitido de 365 días.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [1-365]
Valor predeterminado 30
Dependencia [BackupDirectoryAADMode BackupDirectoryADMode] Tipo de dependencia: DependsOn DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory
Valor permitido de dependencia:
Tipo de valor permitido de dependencia: ENUM ENUM

Directivas/PasswordComplexity

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

Use esta opción para configurar la complejidad de la contraseña de la cuenta de administrador local administrada.

Los valores permitidos son:

1=Letras grandes 2=Letras grandes + letras pequeñas 3=Letras grandes + letras pequeñas + números 4=Letras grandes + letras pequeñas + números + caracteres especiales 5=Letras grandes + letras pequeñas + números + caracteres especiales (legibilidad mejorada) 6=Frase de contraseña (palabras largas) 7=Frase de contraseña (palabras cortas) 8=Frase de contraseña (palabras cortas con prefijos únicos)

Si no se especifica, esta configuración tendrá como valor predeterminado 4.

Lista de frase de contraseña tomada de "Deep Dive: New Wordlists for Random Passphrases" de Electronic Frontier Foundation, y se usa con una licencia de atribución CC-BY-3.0. Vea https://go.microsoft.com/fwlink/?linkid=2255471 para obtener más información.

Importante

Windows admite la configuración de complejidad de contraseña inferior (1, 2 y 3) solo para la compatibilidad con versiones anteriores de LAPS. Microsoft recomienda que esta configuración siempre esté configurada en 4.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 4

Valores permitidos:

Valor Descripción
1 Letras grandes.
2 Letras grandes + letras pequeñas.
3 Letras grandes + letras pequeñas + números.
4 (valor predeterminado) Letras grandes + letras pequeñas + números + caracteres especiales.
5 Letras grandes + letras pequeñas + números + caracteres especiales (legibilidad mejorada).
6 Frase de contraseña (palabras largas).
7 Frase de contraseña (palabras cortas).
8 Frase de contraseña (palabras cortas con prefijos únicos).

Policies/PasswordExpirationProtectionEnabled

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled

Use esta opción para configurar la aplicación adicional de la antigüedad máxima de contraseña para la cuenta de administrador local administrada.

Cuando esta configuración está habilitada, no se permite la expiración planeada de contraseñas que daría lugar a una antigüedad de contraseña mayor que la dictada por la directiva "PasswordAgeDays". Cuando se detecta dicha expiración, la contraseña se cambia inmediatamente y la nueva fecha de expiración de la contraseña se establece según la directiva.

Si no se especifica, este valor predeterminado es True.

Importante

Esta configuración se omite a menos que BackupDirectory esté configurado para hacer una copia de seguridad de la contraseña en Active Directory.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato bool
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado Verdadero
Dependencia [BackupDirectory] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/BackupDirectory
Valor permitido de dependencia: 2
Tipo de valor permitido de dependencia: ENUM

Valores permitidos:

Valor Descripción
false Permitir que la marca de tiempo de expiración de contraseña configurada supere la antigüedad máxima de la contraseña.
true (valor predeterminado) No permita que la marca de tiempo de expiración de contraseña configurada supere la antigüedad máxima de la contraseña.

Policies/PasswordLength

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength

Use esta opción para configurar la longitud de la contraseña de la cuenta de administrador local administrada.

Si no se especifica, esta configuración tendrá como valor predeterminado 14 caracteres.

Esta configuración tiene un valor mínimo permitido de 8 caracteres.

Esta configuración tiene un valor máximo permitido de 64 caracteres.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [8-64]
Valor predeterminado 14
Dependencia [PasswordComplexity] Tipo de dependencia: DependsOn
URI de dependencia: Vendor/MSFT/LAPS/Policies/PasswordComplexity
Valor permitido de dependencia: [1-5]
Tipo de valor permitido de dependencia: Range

Policies/PostAuthenticationActions

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions

Use esta configuración para especificar las acciones que se realizarán tras la expiración del período de gracia configurado.

Si no se especifica, esta configuración tendrá como valor predeterminado 3 (Restablecer la contraseña y cerrar la sesión de la cuenta administrada).

Importante

Las acciones posteriores a la autenticación permitidas están diseñadas para ayudar a limitar la cantidad de tiempo que se puede usar una contraseña LAPS antes de restablecerse. El cierre de sesión de la cuenta administrada o el reinicio del dispositivo son opciones que ayudan a garantizar esto. La finalización abrupta de las sesiones de inicio de sesión o el reinicio del dispositivo pueden dar lugar a la pérdida de datos.

Importante

Desde una perspectiva de seguridad, un usuario malintencionado que adquiere privilegios administrativos en un dispositivo mediante una contraseña LAPS válida tiene la capacidad definitiva de evitar o eludir estos mecanismos.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, Eliminar, Obtener, Reemplazar
Valor predeterminado 3

Valores permitidos:

Valor Descripción
1 Restablecer contraseña: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada.
3 (valor predeterminado) Restablezca la contraseña y cierre la sesión de la cuenta administrada: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y se finalizarán las sesiones de inicio de sesión interactivas con la cuenta administrada.
5 Restablecer la contraseña y reiniciar: al expirar el período de gracia, se restablecerá la contraseña de la cuenta administrada y el dispositivo administrado se reiniciará inmediatamente.
11 Restablezca la contraseña, cierre la sesión de la cuenta administrada y finalice los procesos restantes: al expirar el período de gracia, se restablece la contraseña de la cuenta administrada, se cierran las sesiones de inicio de sesión interactivas con la cuenta administrada y se finalizan los procesos restantes.

Policies/PostAuthenticationResetDelay

Ámbito Ediciones Sistema operativo aplicable
Dispositivo ✅
❌ Usuario
✅ Pro
✅ Empresa
✅ Educación
✅ Windows SE
✅ IoT Enterprise/IoT Enterprise LTSC
✅ [10.0.20348.1663] y versiones posteriores
✅ [10.0.25145] y versiones posteriores
✅Windows 10, versión 1809 [10.0.17763.4244] y versiones posteriores
✅Windows 10, versión 2004 [10.0.19041.2784] y versiones posteriores
✅Windows 11, versión 21H2 [10.0.22000.1754] y versiones posteriores
✅Windows 11, versión 22H2 [10.0.22621.1480] y versiones posteriores
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay

Use esta configuración para especificar la cantidad de tiempo (en horas) para esperar después de una autenticación antes de ejecutar las acciones posteriores a la autenticación especificadas.

Si no se especifica, esta configuración tendrá un valor predeterminado de 24 horas.

Esta configuración tiene un valor mínimo permitido de 0 horas (esto deshabilita todas las acciones posteriores a la autenticación).

Esta configuración tiene un valor máximo permitido de 24 horas.

Propiedades del marco de descripción:

Nombre de la propiedad Valor de propiedad
Formato int
Tipo de acceso Agregar, eliminar, obtener y reemplazar
Valores permitidos Gama: [0-24]
Valor predeterminado 24

Aplicabilidad de la configuración

El CSP de LAPS se puede usar para administrar dispositivos que están unidos a Microsoft Entra ID o unidos a Microsoft Entra ID y Active Directory (unidos a híbridos). El CSP de LAPS administra una combinación de configuraciones de solo Microsoft Entra y solo AD. La configuración de solo AD solo se aplica a los dispositivos unidos a híbridos y, a continuación, solo cuando BackupDirectory se establece en 2.

Nombre del valor de configuración Unido a Azure Unido a híbridos
BackupDirectory
PasswordAgeDays
PasswordLength
PasswordComplexity
PasswordExpirationProtectionEnabled No
AdministratorAccountName
ADPasswordEncryptionEnabled No
ADPasswordEncryptionPrincipal No
ADEncryptedPasswordHistorySize No
PostAuthenticationResetDelay
PostAuthenticationActions
ResetPassword
ResetPasswordStatus

Ejemplos de SyncML

Los ejemplos siguientes se proporcionan para mostrar el formato correcto y no deben considerarse como una recomendación.

Contraseña de copia de seguridad de dispositivos unidos a Azure hasta Microsoft Entra ID

En este ejemplo se muestra cómo configurar un dispositivo unido a Azure para realizar una copia de seguridad de su contraseña en Microsoft Entra ID:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>7</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>32</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>8</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Contraseña de copia de seguridad de dispositivos unidos híbridos a Active Directory

En este ejemplo se muestra cómo configurar un dispositivo híbrido para realizar una copia de seguridad de su contraseña en Active Directory con el cifrado de contraseña habilitado:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>2</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>20</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>14</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>8</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>LAPSAdmins@contoso.com</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>9</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>6</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>10</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>11</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>5</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Referencia de proveedor de servicios de configuración