Solução de senha do administrador local do Windows no Microsoft Entra ID
Cada dispositivo Windows vem com uma conta de administrador local interna que você deve proteger para atenuar ataques Pass-the-Hash (PtH) e de passagem lateral. Muitos clientes têm usado nosso produto local e autônomo LAPS (Solução de Senha de Administrador Local) para o gerenciamento de senhas de administrador local de seus computadores Windows ingressados no domínio. Com o suporte do Microsoft Entra para o Windows LAPS, estamos fornecendo uma experiência consistente para dispositivos ingressados no Microsoft Entra e Microsoft Entra híbridos.
O suporte do Microsoft Entra para LAPS inclui os seguintes recursos:
- Habilitação da LAPS do Windows com o Microsoft Entra ID – Habilite uma política de todos os locatários e uma política do lado do cliente para fazer backup da senha do administrador local para o Microsoft Entra ID.
- Gerenciamento de senhas do administrador local – Configure políticas do lado do cliente para definir o nome da conta, a idade da senha, o comprimento, a complexidade, a redefinição manual de senha e assim por diante.
- Recuperação da senha do administrador local – Use experiências de API/Portal para recuperação de senha do administrador local.
- Enumeração de todos os dispositivos habilitados para LAPS do Windows – Use experiências de API/Portal para enumerar todos os dispositivos Windows no Microsoft Entra ID habilitados com a LAPS do Windows.
- Autorização da recuperação de senha do administrador local – Use políticas de RBAC (controle de acesso baseado em função) com funções personalizadas e unidades administrativas.
- Auditoria de atualização e recuperação de senha do administrador local – Use experiências de API/Portal de logs de auditoria para monitorar eventos de recuperação e atualização de senha.
- Políticas de Acesso Condicional para recuperação de senha do administrador local – Configure as políticas de Acesso Condicional em funções do diretório que tenham a autorização de recuperação de senha.
Observação
Não há suporte para o Windows LAPS com Microsoft Entra ID para dispositivos Windows Microsoft Entra registrados.
Não há suporte para a Solução de Senha de Administrador Local em plataformas não Windows.
Para saber mais detalhes sobre a LAPS do Windows, comece com os seguintes artigos na documentação do Windows:
- O que é o Windows LAPS? – Introdução à LAPS do Windows e ao conjunto de documentação da LAPS do Windows.
- CSP da LAPS do Windows – Veja todos os detalhes das configurações e opções da LAPS. A política do Intune para LAPS usa essas configurações para definir o CSP da LAPS em dispositivos.
- Suporte do Microsoft Intune para LAPS do Windows
- Arquitetura da LAPS do Windows
Requisitos
Regiões do Azure e distribuições do Windows com suporte
Esse recurso já está disponível nas seguintes nuvens do Azure:
- Azure Global
- Azure Government
- Microsoft Azure operado pela 21Vianet
Atualizações do sistema operacional
Esse recurso agora está disponível nas seguintes plataformas do sistema operacional Windows com a atualização especificada ou instalada posteriormente:
- Windows 11 22H2 – Atualização de 11 de abril de 2023
- Windows 11 21H2 – Atualização de 11 de abril de 2023
- Windows 10 20H2, 21H2 e 22H2 – Atualização de 11 de abril de 2023
- Windows Server 2022 – Atualização de 11 de abril de 2023
- Windows Server 2019 – Atualização de 11 de abril de 2023
Tipos de junção
O LAPS tem suporte apenas em dispositivos ingressados em Microsoft Entra ou Microsoft Entra híbridos. Microsoft Entra dispositivos registrados não têm suporte.
Requisitos de licença
A LAPS está disponível para todos os clientes com licenças do Microsoft Entra ID Gratuito ou superior. Outros recursos relacionados, como unidades administrativas, funções personalizadas, Acesso Condicional e Intune têm outros requisitos de licenciamento.
Funções ou permissões necessárias
Além das funções internas Administrador de Dispositivo de Nuvem, Administrador do Intune e Administrador Global do Microsoft Entra que recebem device.LocalCredentials.Read.All, você pode usar as funções personalizadas do Microsoft Entra ou unidades administrativas para autorizar a recuperação de senha do administrador local. Por exemplo,
As funções personalizadas devem receber a permissão microsoft.directory/deviceLocalCredentials/password/read para autorizar a recuperação de senha do administrador local. Você pode criar uma função personalizada e conceder permissões usando o centro de administração do Microsoft Entra, a API do Microsoft Graph ou o PowerShell. Depois de criar a função personalizada, você pode atribuí-la aos usuários.
Você também pode criar uma unidade administrativa do Microsoft Entra ID, adicionar dispositivos e atribuir a função Administrador de Dispositivo de Nuvem com escopo à unidade administrativa para autorizar a recuperação de senha do administrador local.
Habilitar o Windows LAPS com Microsoft Entra ID
Para habilitar a LAPS do Windows com o Microsoft Entra ID, você deve executar ações no Microsoft Entra ID e nos dispositivos que deseja gerenciar. Recomendamos que as organizações gerenciem a LAPS do Windows usando o Microsoft Intune. Se os seus dispositivos ingressarem no Microsoft Entra, mas você não estiver usando o Microsoft Intune, ainda pode implantar o Windows LAPS para Microsoft Entra ID manualmente. Para obter mais informações, consulte o artigo Definir as configurações de política da LAPS do Windows.
Entre no centro de administração do Microsoft Entra como no mínimo Administrador de Dispositivos de Nuvem.
Navegue até Identidade>Dispositivos>Visão geral>Configurações do dispositivos
Selecione Sim para a configuração Habilitar LAPS (Solução de Senha do Administrador Local) e selecione Salvar. Você também pode usar a API do Microsoft Graph Atualizar deviceRegistrationPolicy para concluir esta tarefa.
Configure uma política do lado do cliente e defina BackUpDirectory como Microsoft Entra ID.
- Se você estiver usando o Microsoft Intune para gerenciar políticas do lado do cliente, consulte Gerenciar LAPS do Windows usando o Microsoft Intune
- Se você estiver usando os GPOs (Objetos de Política de Grupo) para gerenciar políticas do lado do cliente, consulte Política de Grupo da LAPS do Windows
Recuperando metadados de senha e senha do administrador local
Para exibir a senha do administrador local de um dispositivo Windows ingressado no Microsoft Entra, você deve receber a permissão deviceLocalCredentials.Read.All.
Para exibir os metadados da senha do administrador local de um dispositivo Windows ingressado no Microsoft Entra ID, você deve receber a ação microsoft.directory/deviceLocalCredentials/standard/read.
As seguintes funções internas têm estas permissões por padrão:
| Função interna | microsoft.directory/deviceLocalCredentials/standard/read e microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Administrador de dispositivo de nuvem | Sim | Sim |
| Administrador de Serviços do Intune | Sim | Yes |
| Administrador de Assistência Técnica | Não | Sim |
| Administrador de segurança | Não | Sim |
| Leitor de segurança | Não | Sim |
As funções não listadas não recebem nenhuma permissão.
Você também pode usar a API do Microsoft Graph Obter deviceLocalCredentialInfo para recuperar a senha administrativa local. Se você usar a API do Microsoft Graph, a senha retornada estará no valor codificado em Base64 que você precisará decodificar antes de usar.
Listar todos os dispositivos habilitados para LAPS do Windows
Para listar todos os dispositivos habilitados para Windows LAPS, navegue até Identidade>Dispositivos>Visão geral>Recuperação de senha de administrador local ou use a API do Microsoft Graph.
Auditoria da atualização e recuperação de senha do administrador local
Para visualizar os eventos de auditoria, navegue até Identidade>Dispositivos>Visão geral>Logs de auditoria, use o filtro Atividade e procure Atualizar senha do administrador local do dispositivo ou Recuperar senha do administrador local do dispositivo para ver os eventos de auditoria.
Políticas de Acesso Condicional para recuperação de senha do administrador local
As políticas de Acesso Condicional podem ser definidas para as funções internas para proteger o acesso para recuperar senhas de administrador local. Você pode encontrar um exemplo de uma política que requer autenticação multifator no artigo Política de Acesso Condicional comum: exigir MFA para administradores.
Observação
Não há suporte para outros tipos de função, incluindo funções administrativas com escopo de unidade e funções personalizadas.
Perguntas frequentes
A LAPS do Windows com configuração de gerenciamento do Microsoft Entra é compatível com os GPOs (Objetos de Política de Grupo)?
Sim, para dispositivos ingressados no Microsoft Entra híbrido somente. Consulte Política de Grupo da LAPS do Windows.
Há suporte para LAPS do Windows com configuração de gerenciamento do Microsoft Entra usando MDM?
Sim, para dispositivosingressados no Microsoft Entra/ingressados no Microsoft Entra híbrido (cogerenciados). Os clientes podem usar Microsoft Intune ou qualquer outro MDM (gerenciamento de dispositivo móvel) de terceiros de sua escolha.
O que acontece quando um dispositivo é excluído no Microsoft Entra ID?
Quando um dispositivo é excluído no Microsoft Entra ID, a credencial da LAPS que estava vinculada a esse dispositivo é perdida e a senha armazenada no Microsoft Entra ID é perdida. A menos que você tenha um fluxo de trabalho personalizado para recuperar senhas da LAPS e armazená-las externamente, não há nenhum método no Microsoft Entra ID para recuperar a senha gerenciada da LAPS de um dispositivo excluído.
Quais funções são necessárias para recuperar senhas da LAPS?
As seguintes funções internas do Microsoft Entra têm permissão para recuperar senhas da LAPS: Administrador de Dispositivo de Nuvem e Administrador do Intune.
Quais funções são necessárias para ler os metadados da LAPS?
As seguintes funções internas têm suporte para exibir metadados sobre LAPS, incluindo o nome do dispositivo, a última rotação de senha e a próxima rotação de senha: Administrador de Dispositivo de Nuvem, Administrador do Intune, Administrador de Assistência Técnica, Leitor de Segurança e Administrador de Segurança.
Há suporte para funções personalizadas?
Sim. Se você tiver P1 ou P2 no Microsoft Entra ID, poderá criar uma função personalizada com as seguintes permissões RBAC:
- Para ler metadados da LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Para ler senhas da LAPS: microsoft.directory/deviceLocalCredentials/password/read
O que acontece se a conta de administrador local especificada pela política for alterada?
Como a LAPS do Windows só pode gerenciar uma conta de administrador local em um dispositivo por vez, a conta original não será mais gerenciada pela política da LAPS. Se a política tiver o dispositivo de backup dessa conta, o backup da nova conta será feito e os detalhes sobre a conta anterior não estarão mais disponíveis no centro de administração do Intune ou no Diretório especificado para armazenar as informações da conta.