Compartilhar via


Gerir a política de LAPS do Windows com Microsoft Intune

Quando estiver pronto para gerir a Solução de Palavra-passe de Administrador Local do Windows (Windows LAPS) em dispositivos Windows que gere com Microsoft Intune, as informações neste artigo podem ajudá-lo a utilizar o centro de administração do Intune para:

  • Crie e atribua Intune política laps aos dispositivos.
  • Veja os detalhes da conta de administrador local de um dispositivo.
  • Rode manualmente a palavra-passe da conta gerida.
  • Utilize relatórios sobre a política laps.

Antes de criar políticas, familiarize-se com as informações no Microsoft Intune suporte para o Windows LAPS, que inclui:

  • Uma descrição geral das capacidades e políticas do Windows LAPS do Intune.
  • Os pré-requisitos para utilizar políticas de Intune para LAPS.
  • As permissões de controlo de administração baseado em funções (RBAC) que a sua conta precisa de ter para gerir a política laps.
  • Perguntas mais frequentes que podem fornecer informações sobre como configurar e utilizar Intune política laps.

Aplicável a:

  • Windows 10
  • Windows 11

Sobre Intune política laps

Intune fornece suporte para configurar a LAPS do Windows em dispositivos através do perfil solução de palavra-passe de administrador local (Windows LAPS), disponível através de políticas de segurança de ponto final para proteção de conta.

Intune políticas gerem a LAPS através do fornecedor de serviços de configuração (CSP) da LAPS do Windows. As configurações do CSP da LAPS do Windows têm precedência e substituem todas as configurações existentes de outras origens laps, como GPOs ou a ferramenta Legacy Microsoft LAPS .

O Windows LAPS permite a gestão de uma única conta de administrador local por dispositivo. Intune política pode especificar a conta de administrador local a que se aplica através da definição de política Nome da Conta de Administrador. Se o nome da conta especificado na política não estiver presente no dispositivo, nenhuma conta é gerida. No entanto, quando o Nome da Conta de Administrador é deixado em branco, a política é predefinida para a conta de administrador local incorporada dos dispositivos que é identificada pelo respetivo identificador relativo (RID) conhecido.

Observação

Certifique-se de que os pré-requisitos para Intune para suportar o Windows LAPS no seu inquilino são cumpridos antes de criar políticas.

as políticas laps do Intune não criam novas contas ou palavras-passe. Em vez disso, gerem uma conta que já se encontra no dispositivo.

Configure e atribua políticas laps cuidadosamente. O CSP da LAPS do Windows suporta uma única configuração para cada definição de LAPS num dispositivo. Os dispositivos que recebem várias políticas de Intune que incluem definições em conflito podem não conseguir processar a política. Os conflitos também podem impedir a cópia de segurança da conta de administrador local gerida e a palavra-passe para o Diretório de inquilinos.

Para ajudar a reduzir potenciais conflitos, recomendamos que atribua uma única política laps a cada dispositivo através de grupos de dispositivos e não através de grupos de utilizadores. Embora a política laps suporte atribuições de grupos de utilizadores, podem resultar num ciclo de alteração das configurações de LAPS sempre que um utilizador diferente inicia sessão num dispositivo. A alteração frequente das políticas pode introduzir conflitos, falta de conformidade do dispositivo com os requisitos e criar confusão em torno da conta de administrador local a partir de um dispositivo que está a ser gerida atualmente.

Criar uma política laps

Importante

Certifique-se de que ativou a LAPS no Microsoft Entra, conforme abrangido na documentação Enabling Windows LAPS with Microsoft Entra ID (Ativar a LAPS do Windows com Microsoft Entra ID).

Para criar ou gerir a política laps, a sua conta tem de ter direitos aplicáveis na categoria de linha de base Segurança . Por predefinição, estas permissões estão incluídas na função incorporada Endpoint Security Manager. Para utilizar funções personalizadas, certifique-se de que a função personalizada inclui os direitos da categoria Linhas de base de segurança. Veja Controlos de acesso baseados em funções para LAPS.

Antes de criar uma política, pode rever os detalhes sobre as definições disponíveis na documentação do CSP do Windows LAPS .

  1. Inicie sessão no centro de administração do Microsoft Intune, aceda a Endpoint security>Account protection e, em seguida, selecione Criar Política.

    Captura de ecrã que mostra onde, no centro de administração, cria uma política laps.

    Defina a Plataforma para Windows 10 e posterior, Perfil como Solução de palavra-passe de administrador local (LAPS do Windows) e, em seguida, selecione Criar.

  2. Em Noções básicas, introduza as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Atribua um nome aos perfis para que possa identificá-los facilmente mais tarde.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  3. Em Definições de configuração, configure uma opção para o Diretório de Cópia de Segurança para definir o tipo de Diretório a utilizar para criar uma cópia de segurança da conta de administrador local. Também pode optar por não criar uma cópia de segurança de uma conta e palavra-passe. O tipo de Diretório também determina que definições adicionais estão disponíveis nesta política.

    Captura de ecrã que mostra as opções para a definição Diretório de Cópia de Segurança.

    Importante

    Ao configurar uma política, tenha em atenção que o tipo de diretório de cópia de segurança na política tem de ser suportado pelo tipo de associação do dispositivo ao qual a política está atribuída. Por exemplo, se definir o diretório para o Active Directory e o dispositivo não estiver associado a um domínio (mas um membro do Microsoft Entra), o dispositivo pode aplicar as definições de política de Intune sem erros, mas a LAPS no dispositivo não conseguirá utilizar essa configuração com êxito para fazer uma cópia de segurança da conta.

    Depois de configurar o Diretório de Cópia de Segurança, reveja e configure as definições disponíveis para satisfazer os requisitos da sua organização.

  4. Na página Marcas de escopo, selecione todas as marcas de escopo desejadas a aplicar e selecione Próximo.

  5. Para Atribuições, selecione os grupos a receber esta política. Recomendamos que atribua a política LAPS a grupos de dispositivos. As políticas atribuídas a grupos de utilizadores seguem um utilizador de dispositivo para dispositivo. Quando o utilizador de um dispositivo é alterado, pode aplicar-se uma nova política ao dispositivo e introduzir um comportamento inconsistente, incluindo a conta em que o dispositivo faz uma cópia de segurança ou quando a palavra-passe das contas geridas é rodada em seguida.

    Observação

    Tal como acontece com todas as políticas de Intune, quando uma nova política se aplica a um dispositivo, Intune tenta notificar esse dispositivo para marcar e processar a política.

    Até que um dispositivo faça o check-in com êxito com Intune e processe com êxito a política laps, os dados sobre a conta de administrador local gerida não estarão disponíveis para visualizar ou gerir a partir do centro de administração.

    Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

  6. Em Rever + criar, reveja as suas definições e, em seguida, selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é apresentada na lista de políticas.

Ver ações do dispositivo status

Quando a sua conta tem permissões equivalentes às permissões de Linhas de base de segurança que concedem direitos a todos os modelos de política na carga de trabalho de segurança do Ponto final, pode utilizar o centro de administração Intune para ver a status de ações do dispositivo que foram pedidas para o dispositivo.

Para obter mais informações, veja Controlos de acesso baseados em funções para LAPS.

  1. No centro de administração do Microsoft Intune, aceda a Dispositivos>Todos os dispositivos e selecione um dispositivo que tenha uma política laps que faça uma cópia de segurança de uma conta de administrador local. Intune apresenta o painel Descrição Geral dos dispositivos.

  2. No painel Descrição Geral do dispositivo, pode ver ações do dispositivo status. As ações pedidas anteriormente e as ações pendentes são apresentadas, incluindo a hora do pedido e se a ação falhou ou foi bem-sucedida. Na captura de ecrã de exemplo seguinte, um dispositivo teve a respetiva conta local Administração Palavra-passe rodada com êxito.

    Captura de ecrã das ações do dispositivo status para um dispositivo, com uma ação concluída e uma ação atual pendente.

  3. Selecionar uma ação na lista abre o painel Ação do dispositivo status, que pode apresentar detalhes adicionais sobre essa ação.

Ver detalhes da conta e da palavra-passe

Para ver os detalhes da conta e da palavra-passe, uma conta tem de ter uma das seguintes permissões de Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Utilize os seguintes métodos para conceder às contas estas permissões:

Crie e atribua uma função personalizada no Microsoft Entra ID que concede estas permissões. Veja Criar e atribuir uma função personalizada no Microsoft Entra ID na documentação do Microsoft Entra.

Para obter mais informações, veja Controlos de acesso baseados em funções para LAPS.

  1. No centro de administração do Microsoft Intune, aceda a Dispositivos>Todos os dispositivos> selecione um dispositivo Windows para abrir o painel Descrição geral.

    No painel de descrição geral, pode ver os dispositivos Ações do dispositivo status. O status apresenta ações atuais e anteriores, como a rotação de palavras-passe.

  2. No painel Descrição Geral dos dispositivos, abaixo de Monitor , selecione Palavra-passe de administrador local. Se a sua conta tiver permissões suficientes, é aberto o painel Palavra-passe de administrador local do dispositivo, que é a mesma vista disponível a partir do portal do Azure.

    Captura de ecrã que mostra o painel de palavras-passe de administrador local de um dispositivo Windows.

    As seguintes informações podem ser vistas a partir do centro de administração. No entanto, a palavra-passe de administrador local só pode ser visualizada quando a conta tiver sido criada uma cópia de segurança para Microsoft Entra. Não é possível vê-la para uma conta que tenha uma cópia de segurança de um Active Directory local (Windows Server Active Directory):

    • Nome da conta – o nome da conta de administrador local que foi criada uma cópia de segurança do dispositivo.
    • ID de Segurança – o SID conhecido para a conta que é criada uma cópia de segurança do dispositivo.
    • Palavra-passe de administrador local – ocultada por predefinição. Se a sua conta tiver permissão, pode selecionar Mostrar para revelar a palavra-passe. Em seguida, pode utilizar a opção Copiar para copiar a palavra-passe para a área de transferência. Estas informações não estão disponíveis para dispositivos que efetuem cópias de segurança para um Active Directory local.
    • Última rotação de palavras-passe – em UTC, a data e hora em que a palavra-passe foi alterada ou rodada pela última vez pela política.
    • Rotação de palavra-passe seguinte – em UTC, a próxima data e hora em que a palavra-passe será rodada por política.

Seguem-se considerações sobre a visualização de uma conta de dispositivos e informações de palavra-passe:

  • A obtenção (visualização) da palavra-passe de uma conta de administrador local aciona um evento de auditoria.

  • Não pode ver os detalhes da palavra-passe para os seguintes dispositivos:

    • Os dispositivos com a respetiva conta de administrador local têm uma cópia de segurança para um Active Directory local
    • Dispositivos que estão definidos para utilizar o Active Directory para fazer uma cópia de segurança da palavra-passe da conta.

Rodar palavras-passe manualmente

A política laps inclui uma agenda para rodar automaticamente as palavras-passe da conta. Além de uma rotação agendada, pode utilizar a ação Intune dispositivo de Rodar a palavra-passe de administrador local para rodar manualmente uma palavra-passe de dispositivos, independentemente da agenda de rotação definida pela Política laps dos dispositivos.

Para utilizar esta ação do dispositivo, a sua conta tem de ter as seguintes três permissões de Intune:

  • Dispositivos geridos: Leitura
  • Organização: Leitura
  • Tarefas remotas: Rodar Palavra-passe de Administração Local

Veja Controlos de acesso baseados em funções para LAPS.

Para rodar uma palavra-passe

  1. No Microsoft Intune centro de administração, aceda a Dispositivos>Todos os dispositivos e selecione o dispositivo Windows com a conta que pretende rodar.

  2. Durante a visualização dos detalhes do dispositivo, expanda as reticências (...) no lado direito da barra de menus para revelar as opções disponíveis e, em seguida, selecione Rodar Palavra-passe de administrador local.

    Captura de ecrã das opções de menu expandidas para ações do dispositivo.

  3. Quando seleciona Rodar Palavra-passe de administrador local, Intune apresenta um aviso que requer confirmação antes de a palavra-passe ser rodada.

    Depois de confirmar a intenção de rodar a palavra-passe, Intune inicia o processo, o que pode demorar alguns minutos a concluir. Durante este período, o painel de detalhes do dispositivo apresenta uma faixa e uma status Ações do dispositivo que indicam que a ação está Pendente.

Após uma rotação bem-sucedida, a confirmação estará visível nas Ações do dispositivo status como Concluída.

Seguem-se considerações sobre a rotação manual de palavras-passe:

  • A ação Rodar palavra-passe de administrador local do dispositivo está disponível para todos os dispositivos Windows, mas qualquer dispositivo que não tenha feito uma cópia de segurança da conta e os dados da palavra-passe não conseguirão concluir um pedido rotativo.

  • Cada tentativa de rotação manual resulta num evento de auditoria. As rotações de palavras-passe agendadas também registam um evento de auditoria.

  • Quando uma palavra-passe é rodada manualmente, é reposta a hora para a próxima rotação agendada de palavras-passe. O tempo para a rotação agendada seguinte é gerido através da definição PasswordAgeDays na política LAPS.

    Eis como isto funciona: um dispositivo recebe uma política a 1 de março, que define PasswordAgeDays para 10 dias. O resultado é que o dispositivo irá rodar automaticamente a palavra-passe após 10 dias, a 11 de março. No dia 5 de março, um administrador roda manualmente a palavra-passe desse dispositivo e a ação que repõe a data de início de PasswordAgeDays para 5 de março. Como resultado, o dispositivo irá agora rodar automaticamente a palavra-passe 10 dias depois, a 15 de março.

  • Para Microsoft Entra dispositivos associados, o dispositivo tem de estar online no momento em que a rotação manual é pedida. Se o dispositivo não estiver online no momento do pedido, tal resultará numa falha.

  • A rotação de palavras-passe não é suportada como Ação em Massa. Só pode rodar um único dispositivo de cada vez.

Evitar conflitos de políticas

Os detalhes seguintes podem ajudá-lo a evitar conflitos e a compreender o comportamento esperado dos dispositivos geridos pela política laps.

Quando é atribuída uma política com êxito a um dispositivo com uma política com êxito, são atribuídas duas ou mais políticas que introduzem um conflito:

  • As definições que estavam a ser utilizadas no dispositivo permanecem no dispositivo no último valor definido. Ambas as políticas, as originais e as novas, comunicam como estando em conflito.
  • Para resolve o conflito, remova as atribuições de políticas até que a política em conflito não se aplique ou reconfigure as políticas aplicáveis para definir a mesma configuração, removendo o conflito.

Quando um dispositivo que não tem uma política laps recebe duas políticas em conflito ao mesmo tempo:

  • As definições não são enviadas para o dispositivo e ambas as políticas são comunicadas como tendo conflitos.
  • Enquanto um conflito permanece, as definições das políticas não se aplicam ao dispositivo.

Para resolve conflitos, tem de remover as atribuições de políticas do dispositivo ou reconfigurar as definições nas políticas aplicáveis até que não existam mais conflitos.

Próximas etapas