O que é o Windows LAPS?
A Solução de Senha de Administrador Local do Windows (Windows LAPS) é um recurso do Windows que gerencia e faz backup automaticamente da senha de uma conta de administrador local em seus dispositivos ingressados no Microsoft Entra ou no Ative Directory do Windows Server. Você também pode usar o Windows LAPS para gerenciar e fazer backup automaticamente da senha da conta do Modo de Restauração dos Serviços de Diretório (DSRM) em seus controladores de domínio do Ative Directory do Windows Server. Um administrador autorizado pode recuperar a senha do DSRM e usá-la.
Plataformas suportadas pelo Windows LAPS
O Windows LAPS está disponível nas seguintes plataformas de SO:
- Windows 11 23H2 (e versões posteriores do Windows Client)
- Windows Server 23H2 (e versões posteriores do Windows Server)
- Windows 11 22H2 - Atualização de 11 de abril de 2023 (e posterior)
- Windows 11 21H2 - Atualização de 11 de abril de 2023 (e posterior)
- Windows 10 - Atualização de 11 de abril de 2023 (e posterior)
- Windows Server 2022 - Atualização de 11 de abril de 2023 (e posterior)
- Windows Server 2019 - Atualização de 11 de abril de 2023 (e posterior)
Todas as edições suportadas das plataformas acima foram atualizadas com o Windows LAPS, incluindo as edições LTSC. A introdução do recurso Windows LAPS não modifica de forma alguma as políticas padrão de ciclo de vida do produto Microsoft.
Windows LAPS e Microsoft Entra ID
O Windows LAPS com Microsoft Entra ID e suporte ao Microsoft Intune está agora em Disponibilidade Geral a partir de 23 de outubro de 2023. Para obter mais informações, consulte Solução de senha de administrador local do Windows com o Microsoft Entra ID agora disponível ao público em geral!e Solução de Senha de Administrador Local do Windows no Microsoft Entra ID.
Benefícios do uso do Windows LAPS
Use o Windows LAPS para alternar e gerenciar regularmente senhas de contas de administrador local e obtenha estes benefícios:
- Proteção contra ataques pass-the-hash e movimentação lateral
- Segurança melhorada para cenários de help desk remoto
- Capacidade de iniciar sessão e recuperar dispositivos que, de outra forma, estariam inacessíveis
- Um modelo de segurança refinado (listas de controle de acesso e criptografia de senha opcional) para proteger senhas armazenadas no Ative Directory do Windows Server
- Suporte para o modelo de controle de acesso baseado em função do Entra para proteger senhas armazenadas no Microsoft Entra ID
Vídeos informativos
Os vídeos a seguir oferecem uma maneira informativa de saber mais sobre o recurso LAPS do Windows.
Apresentação do Windows Technical Takeoff em novembro de 2022:
Discussão sobre o Windows Tackling Tech (agosto de 2023):
Principais cenários de LAPS do Windows
Você pode usar o Windows LAPS para vários cenários principais:
Fazer uma cópia de segurança das palavras-passe das contas de administrador local para a ID do Microsoft Entra (para dispositivos associados ao Microsoft Entra)
Fazer backup de senhas de conta de administrador local no Ative Directory do Windows Server (para clientes e servidores ingressados no Ative Directory do Windows Server)
Fazer backup de senhas de conta DSRM no Ative Directory do Windows Server (para controladores de domínio do Ative Directory do Windows Server)
Fazer backup de senhas de conta de administrador local para o Ative Directory do Windows Server usando o Microsoft LAPS herdado
Em cada cenário, você pode aplicar configurações de diretiva diferentes.
Compreender as restrições de estado de participação do dispositivo
Se um dispositivo está associado ao Microsoft Entra ID ou ao Ative Directory do Windows Server determina como você pode usar o Windows LAPS.
Os dispositivos que estão vinculados apenas ao ID do Microsoft Entra podem fazer cópias de segurança de senhas somente no Microsoft Entra ID.
Os dispositivos que ingressaram somente no Ative Directory do Windows Server podem fazer backup de senhas somente para o Ative Directory do Windows Server.
Os dispositivos que são de associação híbrida (associados ao Microsoft Entra ID e ao Active Directory do Windows Server) podem fazer backup de suas senhas para o Microsoft Entra ID ou para o Active Directory do Windows Server. Não é possível fazer backup de senhas para o Microsoft Entra ID e o Windows Server Ative Directory.
O Windows LAPS não suporta clientes unidos ao ambiente de trabalho do Microsoft Entra.
Definir a política de LAPS do Windows
Para configurar e gerenciar a política para sua implantação do Windows LAPS, você tem várias opções:
- Provedor de serviços de configuração do Windows LAPS (CSP)
- Diretiva de Grupo do Windows LAPS
- LAPS Legacy da Microsoft
Gerenciar e monitorar o Windows LAPS
Você também tem várias opções para gerenciar e monitorar o Windows LAPS.
As opções para Windows incluem:
- A caixa de diálogo de propriedades de Utilizadores e Computadores do Active Directory do Windows Server
- Um canal dedicado de registo de eventos
- Um módulo do Windows PowerShell específico para o Windows LAPS
As soluções de monitoramento e relatórios baseadas no Azure estão disponíveis quando você faz backup de senhas para o Microsoft Entra ID.
Descontinuação do produto antigo Microsoft LAPS
Importante
NOTA: O de produto Microsoft LAPS herdado foi preterido a partir do Windows 11 23 H2 e posterior. A instalação do pacote Microsoft LAPS MSI herdado está bloqueada em versões mais recentes do sistema operacional e a Microsoft não considerará mais alterações de código para o produto Microsoft LAPS herdado.
Use o Windows LAPS, disponível no Windows Server 2019 e superior, e em clientes Windows 10 e Windows 11 suportados, para gerenciar senhas de contas de administrador local.
A Microsoft continuará a oferecer suporte ao produto Microsoft LAPS herdado em versões mais antigas do Windows (anteriores ao Windows 11 23 H2) nas quais ele era suportado anteriormente. Esse suporte terminará com o fim normal do suporte para esses sistemas operacionais.
Windows LAPS vs. Microsoft LAPS antigo
O LAPS do Windows herda muitos conceitos de design do legado Microsoft LAPS. Se estiver familiarizado com o Microsoft LAPS legado, muitas funcionalidades do Windows LAPS serão-lhe familiares. Uma diferença importante é que o Windows LAPS é uma implementação totalmente separada que é nativa do Windows. O Windows LAPS também adiciona muitos recursos que não estão disponíveis no Microsoft LAPS herdado. Você pode usar o Windows LAPS para fazer backup de senhas no Azure Ative Directory, criptografar senhas no Ative Directory do Windows Server e armazenar seu histórico de senhas.
Importante
O Windows LAPS não requer a instalação do LAPS herdado da Microsoft. Você pode utilizar plenamente todos os recursos do Windows LAPS sem ter de instalar ou referir-se ao Microsoft LAPS legado. Mas, para ajudar a migrar uma implementação existente do Microsoft LAPS legado, o Windows LAPS oferece modo de emulação do Microsoft LAPS legado.
Importante
O produto Microsoft LAPS herdado foi preterido em versões mais recentes do sistema operacional Microsoft - consulte Descontinuação do produto Microsoft LAPS herdado.
Declaração de apoio
A Microsoft lançou o produto Microsoft LAPS herdado no ano civil de 2016 no Centro de Download da Microsoft. O Windows LAPS foi disponibilizado como parte das atualizações do Windows lançadas em 11 de abril de 2023 para as plataformas listadas em Windows LAPS e Microsoft Entra ID.
A Microsoft e sua organização de fornecimento de suporte oferecem suporte assistido para Microsoft LAPS e Windows LAPS, incluindo interoperabilidade entre os dois produtos.
Importante
O produto Microsoft LAPS herdado foi preterido em versões mais recentes do sistema operacional Microsoft - consulte Descontinuação do produto Microsoft LAPS herdado.
A Microsoft recomenda vivamente que os clientes comecem agora a planear a migração dos seus sistemas compatíveis com Windows LAPS da utilização do Microsoft LAPS herdado para a nova funcionalidade Windows LAPS. O Windows LAPS oferece muitos recursos de segurança novos e serviços de produtos aprimorados.
Perguntas sobre limitações e\ou preocupações de interoperabilidade entre as ferramentas de gerenciamento de senhas de conta local de terceiros e o Windows LAPS devem ser direcionadas ao desenvolvedor de aplicativos de terceiros e não à Microsoft.
Requisitos de licenciamento
O recurso Windows LAPS em si está disponível gratuitamente em todas as plataformas Windows suportadas.
Você pode fazer backup de senhas para o Ative Directory local sem outros requisitos de licenciamento.
Você pode fazer backup de senhas para o Microsoft Entra ID com uma licença Microsoft Entra ID Free ou superior.
Outros recursos relacionados ao Azure ou ao Intune podem ter outros requisitos de licenciamento.
Enviar comentários
Quer enviar-nos comentários? Sinta-se à vontade para enviar perguntas específicas do documento através dos links de feedback na parte inferior destas páginas de documentos.
Você também pode enviar comentários e outras solicitações por meio da página Windows LAPS feedback Tech Community.
Se os seus comentários forem específicos da funcionalidade LAPS relacionada com o Microsoft Entra ID ou o Intune, pode enviar comentários através do fórum de feedback do Microsoft Entra .
Se você não tiver certeza para onde seu feedback deve ir, envie-o usando qualquer uma das opções acima.
Ver também
- Apresentando a Solução de Senha de Administrador Local do Windows com o Microsoft Entra ID
- Solução de Senha de Administrador Local do Windows no Microsoft Entra ID
- Solução de Senha de Administrador Local do Windows com Microsoft Entra ID já está disponível para todos!
- Solução de Senha de Administrador Local do Windows no Microsoft Entra ID.
- Suporte do Microsoft Intune para Windows LAPS
- Windows LAPS CSP
- Diretrizes de solução de problemas do Windows LAPS
- de referência do módulo PowerShell LAPS
- Microsoft LAPS herdado