Microsoft Intune suporte para o Windows LAPS

Todos os computadores Windows têm uma conta de administrador local incorporada que não pode ser eliminada e que tem todas as permissões para o dispositivo. Proteger esta conta é um passo importante para proteger a sua organização. Os dispositivos Windows incluem a Solução de Palavra-passe de Administrador Local (LAPS) do Windows, uma solução incorporada para ajudar a gerir contas de administrador local.

Pode utilizar Microsoft Intune políticas de segurança de ponto final para a proteção de contas para gerir a LAPS em dispositivos que tenham sido inscritos com Intune. Intune políticas podem:

• Impor requisitos de palavra-passe para contas de administrador local
• Fazer uma cópia de segurança de uma conta de administrador local a partir de dispositivos para o Active Directory (AD) ou Microsoft Entra
• Agende a rotação dessas palavras-passe de conta para ajudar a mantê-las seguras.

Também pode ver detalhes sobre as contas de administrador local geridas no centro de Intune Administração e rodar manualmente as respetivas palavras-passe de conta fora de uma rotação agendada.

A utilização de políticas Intune LAPS ajuda-o a proteger os dispositivos Windows contra ataques que visam explorar contas de utilizador locais, como ataques pass-the-hash ou de percurso lateral. A gestão de LAPS com Intune também pode ajudar a melhorar a segurança para cenários de suporte técnico remoto e recuperar dispositivos inacessíveis.

Intune política laps gere as definições disponíveis a partir do CSP do Windows LAPS. Intune utilização do CSP substitui a utilização do Legacy Microsoft LAPS ou de outras soluções de gestão laps, com o CSP baseado em ter precedência sobre outras origens de gestão laps.

Intune suporte para o Windows LAPS inclui as seguintes capacidades:

• Definir requisitos de palavra-passe – defina os requisitos de palavra-passe, incluindo a complexidade e o comprimento da conta de administrador local num dispositivo.
• Rodar palavras-passe – com a política, pode fazer com que os dispositivos rodem automaticamente as palavras-passe da conta de administrador local com base numa agenda. Também pode utilizar o centro de administração do Intune para rodar manualmente a palavra-passe de um dispositivo como uma ação do dispositivo.
• Contas de cópia de segurança e palavras-passe – pode optar por fazer com que os dispositivos criem uma cópia de segurança da respetiva conta e palavra-passe em Microsoft Entra ID na nuvem ou na sua Active Directory local. As palavras-passe são armazenadas com encriptação forte.
• Configurar ações de autenticação pós-autenticação – defina as ações que um dispositivo executa quando a palavra-passe da conta de administrador local expira. As ações vão desde a reposição da conta gerida até à utilização de uma nova palavra-passe segura, ao registo da conta ou à execução de ambos e, em seguida, à ativação do dispositivo. Também pode gerir quanto tempo o dispositivo aguarda após a expiração da palavra-passe antes de efetuar estas ações.
• Ver detalhes da conta – Intune administradores com permissões de controlo administrativo baseado em funções (RBAC) suficientes podem ver informações sobre uma conta de administrador local de dispositivos e a palavra-passe atual. Também pode ver quando a palavra-passe foi rodada pela última vez (reposição) e quando está agendada a rotação seguinte.
• Ver relatórios – Intune fornece relatórios sobre a rotação de palavras-passe, incluindo detalhes sobre a rotação de palavras-passe manuais e agendadas anteriores.

Para saber mais detalhadamente sobre o Windows LAPS, comece com os seguintes artigos na documentação do Windows:

• O que é a LAPS do Windows? – Introdução à LAPS do Windows e ao conjunto de documentação do Windows LAPS.
• CSP do Windows LAPS – veja todos os detalhes das definições e opções de LAPS. Intune política para LAPS utiliza estas definições para configurar o CSP laps em dispositivos.

Aplicável a:

• Windows 10
• Windows 11

Pré-requisitos

Seguem-se os requisitos para Intune para suportar o Windows LAPS no seu inquilino:

Requisitos de licenciamento

• Intune subscrição - Microsoft Intune (plano 1), que é a subscrição de Intune básica. Também pode utilizar o Windows LAPS com uma subscrição de avaliação gratuita para Intune.

• Microsoft Entra ID – Microsoft Entra ID Gratuito, que é a versão gratuita do Microsoft Entra ID incluída quando subscreve Intune. Com Microsoft Entra ID Gratuito, pode utilizar todas as funcionalidades da LAPS.

Suporte do Active Directory

Intune política para o Windows LAPS pode configurar um dispositivo para fazer uma cópia de segurança de uma conta de administrador local e palavra-passe para um dos seguintes tipos de Diretório:

Observação

Os dispositivos associados à área de trabalho (WPJ) não são suportados por Intune para LAPS.

• Cloud – A cloud suporta a cópia de segurança para o seu Microsoft Entra ID para os seguintes cenários:

  • Ingresso Microsoft Entra hibrído

  • Ingresso Microsoft Entra

    O suporte para Microsoft Entra associação requer que ative a LAPS no seu Microsoft Entra ID. Os passos seguintes podem ajudá-lo a concluir esta configuração. Para obter um contexto maior, veja estes passos na documentação do Microsoft Entra em Enabling Windows LAPS with Microsoft Entra ID (Ativar a LAPS do Windows com Microsoft Entra ID). Microsoft Entra associação híbrida não requer que a LAPS seja ativada no Microsoft Entra.

    Ative a LAPS no Microsoft Entra:

    1. Inicie sessão no centro de administração do Microsoft Entra como Administrador de Dispositivos na Cloud.
    2. Navegue para Definições deDispositivos> de Identidade>Descrição Geral>do Dispositivo.
    3. Selecione Sim para a definição Ativar Solução de Palavra-passe de Administrador Local (LAPS) e selecione Guardar. Também pode utilizar o dispositivo Microsoft API do Graph UpdateRegistrationPolicy.

    Para obter mais informações, consulte Solução de Palavra-passe de Administrador Local do Windows no Microsoft Entra ID na documentação do Microsoft Entra.

• No local – o local suporta a cópia de segurança para Windows Server Active Directory (Active Directory local).

  Importante

  A LAPS em dispositivos Windows pode ser configurada para utilizar um tipo de diretório ou outro, mas não ambos. Considere também que o diretório de cópia de segurança tem de ser suportado pelo tipo de associação de dispositivos – se definir o diretório para um Active Directory local e o dispositivo não estiver associado a um domínio, aceitará as definições de política de Intune, mas a LAPS não poderá utilizar essa configuração com êxito.

Device Edition e Plataforma

Os dispositivos podem ter qualquer edição do Windows que Intune suporta, mas têm de executar uma das seguintes versões para suportar o CSP do Windows LAPS:

• Windows 10, versão 22H2 (19045.2846 ou posterior) com KB5025221
• Windows 10, versão 21H2 (19044.2846 ou posterior) com KB5025221
• Windows 10, versão 20H2 (19042.2846 ou posterior) com KB5025221
• Windows 11, versão 22H2 (22621.1555 ou posterior) com KB5025239
• Windows 11, versão 21H2 (22000.1817 ou posterior) com KB5025224

Suporte GCC High

Intune política para o Windows LAPS é suportada para ambientes GCC High.

Controlos de acesso baseados em funções para LAPS

Para gerir a LAPS, uma conta tem de ter permissões de controlo de acesso baseado em funções (RBAC) suficientes para concluir uma tarefa pretendida. Seguem-se as tarefas disponíveis com as respetivas permissões necessárias:

• Criar e aceder à política laps – para trabalhar e ver políticas laps, a sua conta tem de ter permissões suficientes da categoria RBAC Intune para linhas de base de segurança. Por predefinição, estes estão incluídos na função Intune Endpoint Security Manager incorporada. Para utilizar funções personalizadas, certifique-se de que a função personalizada inclui os direitos da categoria Linhas de base de segurança.

• Rodar a palavra-passe de Administrador local – para utilizar o centro de administração do Intune para ver ou rodar uma palavra-passe de conta de administrador local de dispositivos, a sua conta tem de ter as seguintes permissões de Intune:

  • Dispositivos geridos: Leitura
  • Organização: Leitura
  • Tarefas remotas: Rodar Palavra-passe de Administração Local

• Obter a palavra-passe de Administrador local – para ver os detalhes da palavra-passe, a sua conta tem de ter uma das seguintes permissões de Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read para ler metadados e palavras-passe laps.
  • microsoft.directory/deviceLocalCredentials/standard/read para ler metadados laps excluindo palavras-passe.

  Para criar funções personalizadas que podem conceder estas permissões, veja Criar e atribuir uma função personalizada no Microsoft Entra ID na documentação do Microsoft Entra.

• Ver Microsoft Entra eventos e registos de auditoria – para ver detalhes sobre as políticas laps e as ações recentes do dispositivo, como eventos de rotação de palavras-passe, a sua conta tem de ter permissões equivalentes à função incorporada Intune Operador Só de Leitura.

Para obter mais informações sobre as funções incorporadas e as funções personalizadas do Intune, veja Controlo de acesso baseado em funções para Microsoft Intune.

Arquitetura de LAPS

Para obter informações sobre a arquitetura da LAPS do Windows, consulte Arquitetura de LAPS do Windows na documentação do Windows.

Perguntas frequentes

Posso utilizar Intune política laps para gerir qualquer conta de administrador local num dispositivo?

Sim. Intune política laps pode ser utilizada para gerir qualquer conta de administrador local num dispositivo. No entanto, a LAPS suporta apenas uma conta por dispositivo:

• Quando uma política não especifica um nome de conta, Intune gere a conta de administrador incorporada predefinida, independentemente do nome atual no dispositivo.
• Pode alterar a conta que Intune gere para um dispositivo ao alterar a política atribuída do dispositivo ou editar a política atual para especificar uma conta diferente.
• Se forem atribuídas duas políticas separadas a um dispositivo que especifique uma conta diferente, ocorrerá um conflito que tem de ser resolvido antes de a conta do dispositivo poder ser gerida.

E se implementar a política laps com Intune num dispositivo que já tenha configurações laps de uma origem diferente?

A política baseada em CSP de Intune substitui todas as outras origens da política laps, como gpOs ou uma configuração da Microsoft LAPS Legada. Para obter mais informações, veja Raízes de Política Suportadas na documentação do Windows LAPS.

O Windows LAPS pode criar contas de administrador local com base no nome da conta de administrador que está configurado com a política laps?

Não. O Windows LAPS só pode gerir contas que já existem no dispositivo. Se uma política especificar uma conta pelo nome que não existe no dispositivo, a política aplica-se e não comunica um erro. No entanto, não é efetuada uma cópia de segurança de nenhuma conta.

O Windows LAPS roda e faz uma cópia de segurança da palavra-passe de um dispositivo desativado no Microsoft Entra?

Não. A LAPS do Windows requer que o dispositivo esteja num estado ativado antes de as operações de rotação e cópia de segurança de palavras-passe poderem ser aplicadas.

O que acontece quando um dispositivo é eliminado no Microsoft Entra?

Quando um dispositivo é eliminado no Microsoft Entra, a credencial laps associada a esse dispositivo é perdida e a palavra-passe armazenada no Microsoft Entra ID é perdida. A menos que tenha um fluxo de trabalho personalizado para obter palavras-passe laps e armazená-las externamente, não existe nenhum método no Microsoft Entra ID para recuperar a palavra-passe gerida laps para um dispositivo eliminado.

Que funções são necessárias para recuperar palavras-passe laps?

As seguintes funções de Microsoft Entra incorporadas têm permissão para recuperar palavras-passe laps: Administrador de Dispositivos na Cloud e Administrador Intune.

Que funções são necessárias para ler metadados laps?

As seguintes funções de Microsoft Entra incorporadas são suportadas para ver metadados sobre LAPS, incluindo o nome do dispositivo, a rotação da última palavra-passe e a próxima rotação de palavras-passe:

• Leitor de Segurança

Também pode utilizar as seguintes funções:

• Administrador de Dispositivos na Cloud
• Administrador do Intune
• Administrador de Suporte Técnico
• Administrador de Segurança

Por que motivo o botão Palavra-passe de administrador local está desativado e inacessível?

Atualmente, o acesso a esta área requer a permissão rodar a palavra-passe de Administrador local Intune. Veja Controlo de acesso baseado em funções para Microsoft Intune.

O que acontece quando a conta especificada pela política é alterada?

Uma vez que o Windows LAPS só pode gerir uma conta de administrador local num dispositivo de cada vez, a conta original já não é gerida pela política laps. Se a política tiver a cópia de segurança do dispositivo nessa conta, é efetuada uma cópia de segurança da nova conta e os detalhes sobre a conta anterior deixarão de estar disponíveis a partir do centro de administração do Intune ou do Diretório especificado para armazenar as informações da conta.

Próximas etapas

• Criar política para LAPS
• Ver relatórios para LAPS
• Política de proteção de conta para segurança de pontos finais no Intune