Solução de senha de administrador local do Windows no Microsoft Entra ID
Cada dispositivo Windows vem com uma conta de administrador local integrada que você deve proteger para mitigar quaisquer ataques Pass-the-Hash (PtH) e de travessia lateral. Muitos clientes têm usado o nosso produto independente Local Administrator Password Solution (LAPS) para o gerenciamento de senhas de administrador local das suas máquinas Windows ligadas ao domínio. Com o suporte do Microsoft Entra para o Windows LAPS, estamos a proporcionar uma experiência consistente para dispositivos ligados ao Microsoft Entra e dispositivos ligados ao Microsoft Entra de forma híbrida.
O suporte do Microsoft Entra para LAPS inclui os seguintes recursos:
- Habilitando o Windows LAPS com o Microsoft Entra ID - Habilite uma política para todo o inquilino e uma política do lado do cliente para efetuar cópia de segurança da senha de administrador local no Microsoft Entra ID.
- Gerenciamento de senhas de administrador local - Configure políticas do lado do cliente para definir nome da conta, idade da senha, comprimento, complexidade, redefinição manual de senha e assim por diante.
- Recuperando senha de administrador local - Use experiências de API/Portal para recuperação de senha de administrador local.
- Enumerando todos os dispositivos Windows habilitados com o Windows LAPS - Use recursos de API/Portal para enumerar todos os dispositivos Windows no Microsoft Entra ID que estejam habilitados com o Windows LAPS.
- Autorização de recuperação de senha de administrador local - Use políticas de controle de acesso baseado em função (RBAC) com funções personalizadas e unidades administrativas.
- Auditando a atualização e recuperação de senha de administrador local - Utilize os logs de auditoria da API/Portal para monitorizar eventos de atualização e recuperação de senha.
- Políticas de Acesso Condicional para recuperação de senha de administrador local - Configure políticas de Acesso Condicional em funções de diretório que tenham a autorização de recuperação de senha.
Nota
O Windows LAPS com ID do Microsoft Entra não é suportado para dispositivos Windows que estão registados com o Microsoft Entra.
A Solução de Senha de Administrador Local não é suportada em plataformas que não sejam Windows.
Para saber mais sobre o Windows LAPS com mais detalhes, comece com os seguintes artigos na documentação do Windows:
- O que é o Windows LAPS? – Introdução ao Windows LAPS e ao conjunto de documentação do Windows LAPS.
- Windows LAPS CSP – Veja todos os detalhes das configurações e opções do LAPS. A política do Intune para LAPS usa essas configurações para configurar o CSP do LAPS em dispositivos.
- Suporte do Microsoft Intune para Windows LAPS
- Arquitetura LAPS do Windows
Requisitos
Regiões do Azure e distribuições do Windows suportadas
Esse recurso agora está disponível nas seguintes nuvens do Azure:
- Azure Global
- Azure Government
- Microsoft Azure operado pela 21Vianet
Atualizações ao sistema operativo
Esse recurso agora está disponível nas seguintes plataformas de sistema operacional Windows com a atualização especificada ou instalada posteriormente:
- Windows 11 22H2 - Atualização de 11 de abril de 2023
- Windows 11 21H2 - Atualização de 11 de abril de 2023
- Windows 10 20H2, 21H2 e 22H2 - Atualização de 11 de abril de 2023
- Windows Server 2022 - Atualização de 11 de abril de 2023
- Windows Server 2019 - 11 2023 11, 2023 11 2023 Atualização
Tipo de junção
O LAPS é suportado apenas em dispositivos associados ao Microsoft Entra ou ao Microsoft Entra híbrido. Os dispositivos registados do Microsoft Entra não são suportados.
Requisitos de licença
O LAPS está disponível para todos os clientes com licenças Microsoft Entra ID Free ou superiores. Outros recursos relacionados, como unidades administrativas, funções personalizadas, Acesso Condicional e Intune, têm outros requisitos de licenciamento.
Funções ou permissões necessárias
Além das funções internas do Microsoft Entra, como Cloud Device Administrator e Intune Administrator, que são concedidos com device.LocalCredentials.Read.All, pode-se usar funções personalizadas do Microsoft Entra ou unidades administrativas para autorizar a recuperação da senha de administrador local. Por exemplo:
As funções personalizadas devem receber a permissão microsoft.directory/deviceLocalCredentials/password/read para autorizar a recuperação da palavra-passe do administrador local. Você
pode criar uma função personalizada e conceder permissões usando o centro de administração Microsoft Entra, a API do Microsoft Graph ou o PowerShell. Depois de criar uma função personalizada, você pode atribuí-la aos usuários. Você também pode criar uma unidade administrativa do Microsoft Entra ID, adicionar dispositivos e atribuir a função de Administrador de Dispositivos de Nuvem à unidade administrativa para autorizar a recuperação da palavra-passe do administrador local.
Ativando o Windows LAPS com o Microsoft Entra ID
Para habilitar o Windows LAPS com o Microsoft Entra ID, você deve executar ações no Microsoft Entra ID e nos dispositivos que deseja gerenciar. Recomendamos que as organizações gerenciem o Windows LAPS usando o Microsoft Intune. Se os seus dispositivos estiverem associados ao Microsoft Entra, mas não estiverem a utilizar ou não suportarem o Microsoft Intune, pode implementar manualmente o Windows LAPS para Microsoft Entra ID. Para obter mais informações, consulte o artigo Configurar definições de política do Windows LAPS.
Entre no centro de administração do Microsoft Entra como pelo menos um Administrador de Dispositivo na Nuvem.
Navegue até Identidade>Dispositivos>Visão geral>Configurações do dispositivo
Selecione Sim para a configuração Ativar solução de senha de administrador local (LAPS) e, em seguida, selecione Salvar. Você também pode usar a API do Microsoft Graph Update deviceRegistrationPolicy para concluir essa tarefa.
Configure uma política do lado do cliente e defina o BackUpDirectory como Microsoft Entra ID.
- Se estiver a utilizar o Microsoft Intune para gerir políticas do lado do cliente, consulte Gerir o Windows LAPS com o Microsoft Intune
- Se você estiver usando GPOs (Objetos de Política de Grupo) para gerenciar diretivas do lado do cliente, consulte Diretiva de Grupo LAPS do Windows
Recuperando senha de administrador local e metadados de senha
Para exibir a senha de administrador local de um dispositivo Windows associado ao Microsoft Entra ID, você deve receber a ação microsoft.directory/deviceLocalCredentials/password/read .
Para visualizar os metadados da palavra-passe do administrador local de um dispositivo Windows associado ao Microsoft Entra ID, é necessário ter concedida a ação microsoft.directory/deviceLocalCredentials/standard/read.
As seguintes funções internas recebem essas ações por padrão:
| Função incorporada | microsoft.directory/deviceLocalCredentials/standard/read e microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Administrador de dispositivos na nuvem | Sim | Sim |
| Administrador de Serviço do Intune | Sim | Sim |
| Administrador do Helpdesk | Não | Sim |
| Administrador de Segurança | Não | Sim |
| Leitor de Segurança | Não | Sim |
Quaisquer funções não listadas não recebem nenhuma ação.
Você também pode usar a API do Microsoft Graph Get deviceLocalCredentialInfo para recuperar a senha administrativa local. Se você usar a API do Microsoft Graph, a senha retornada está no valor codificado em Base64 que você precisa decodificar antes de usá-la.
Listar todos os dispositivos habilitados para Windows LAPS
Para listar todos os dispositivos habilitados para Windows LAPS, pode navegar até Identidade>Dispositivos>Visão Geral>Recuperação de senha de administrador local ou usar a API do Microsoft Graph.
Auditando a atualização e a recuperação da senha do administrador local
Para exibir eventos de auditoria, pode navegar até Identidade>Dispositivos>Visão geral>Registos de auditoria, depois usar o filtro Atividade e procurar por Atualizar senha do administrador local do dispositivo ou Recuperar senha do administrador local do dispositivo para ver os eventos de auditoria.
Políticas de acesso condicional para recuperação de senha de administrador local
As políticas de Acesso Condicional podem ter como escopo as funções internas para proteger o acesso e recuperar senhas de administrador local. Você pode encontrar um exemplo de uma política que requer autenticação multifator no artigo, Política Comum de Acesso Condicional: Exigir AMF para Administradores.
Nota
Não há suporte para outros tipos de função, incluindo funções administrativas com escopo de unidade e funções personalizadas;
Perguntas mais frequentes
O Windows LAPS, com a configuração de gestão do Microsoft Entra, é suportado através de Objetos de Política de Grupo (GPOs)?
Sim, apenas para dispositivos associados híbridos do Microsoft Entra. Consulte a Política de Grupo do Windows LAPS.
O Windows LAPS com a configuração de gerenciamento do Microsoft Entra é suportado usando MDM?
Sim, para aderir ao Microsoft Entra ou /aderir ao Microsoft Entra híbrido (co-gerenciados) dispositivos. Os clientes podem usar o Microsoft Intune ou qualquer outro gerenciamento de dispositivos móveis (MDM) de terceiros de sua escolha.
O que acontece quando um dispositivo é excluído no Microsoft Entra ID?
Quando um dispositivo é excluído no Microsoft Entra ID, a credencial LAPS que estava vinculada a esse dispositivo é perdida e a senha armazenada no Microsoft Entra ID é perdida. A menos que você tenha um fluxo de trabalho personalizado para recuperar senhas LAPS e armazená-las externamente, não há nenhum método no Microsoft Entra ID para recuperar a senha gerenciada pelo LAPS para um dispositivo excluído.
Quais funções são necessárias para recuperar senhas LAPS?
As seguintes funções internas do Microsoft Entra têm permissão para recuperar senhas do LAPS: Administrador de Dispositivos na Nuvem e Administrador do Intune.
Que funções são necessárias para ler os metadados do LAPS?
As seguintes funções internas são suportadas para exibir metadados sobre o LAPS, incluindo o nome do dispositivo, a última rotação de senha e a próxima rotação de senha: Cloud Device Administrator, Intune Administrator, Helpdesk Administrator, Security Reader e Security Administrator.
Há suporte para funções personalizadas?
Sim. Se você tiver o Microsoft Entra ID P1 ou P2, poderá criar uma função personalizada com as seguintes permissões RBAC:
- Para ler metadados LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Para ler palavras-passe LAPS: microsoft.directory/deviceLocalCredentials/password/read
O que acontece quando a conta de administrador local especificada pela política é alterada?
Como o Windows LAPS só pode gerenciar uma conta de administrador local em um dispositivo de cada vez, a conta original não é mais gerenciada pela política LAPS. Se a política fizer backup dessa conta pelo dispositivo, será feito o backup da nova conta e os detalhes sobre a conta anterior não estarão mais disponíveis no centro de administração do Intune ou no Diretório especificado para armazenar as informações da conta.