Gerenciar a política do Windows LAPS com Microsoft Intune

  • Artigo

Quando você estiver pronto para gerenciar a Solução de Senha do Administrador Local do Windows (Windows LAPS) em dispositivos Windows que você gerencia com Microsoft Intune, as informações neste artigo podem ajudá-lo a usar o centro de administração do Intune para:

  • Crie e atribua a política laps do Intune a dispositivos.
  • Exiba os detalhes da conta de administrador local de um dispositivo.
  • Gire manualmente a senha da conta gerenciada.
  • Use relatórios sobre a política do LAPS.

Antes de criar políticas, familiarize-se com as informações em Microsoft Intune suporte para o Windows LAPS, que inclui:

  • Uma visão geral da política e funcionalidades do Windows LAPS do Intune.
  • Os pré-requisitos para o uso de políticas do Intune para LAPS.
  • As permissões RBAC (controle de administrador baseado em função) que sua conta precisa ter para gerenciar a política do LAPS.
  • Perguntas frequentes que podem fornecer insights para configurar e usar a política de LAPS do Intune.

Aplicável a:

  • Windows 10
  • Windows 11

Sobre a política do Intune LAPS

O Intune oferece suporte para configurar o Windows LAPS em dispositivos por meio do perfil de laps (solução de senha de administrador local), disponível por meio de políticas de segurança do ponto de extremidade para proteção de conta.

As políticas do Intune gerenciam o LAPS usando o CSP (provedor de serviços de configuração do Windows LAPS). As configurações do CSP do Windows LAPS têm precedência e substituem todas as configurações existentes de outras fontes do LAPS, como GPOs ou a ferramenta Herdada da Microsoft LAPS .

O Windows LAPS permite o gerenciamento de uma única conta de administrador local por dispositivo. A política do Intune pode especificar a qual conta de administrador local ela se aplica usando a configuração de política Nome da Conta do Administrador. Se o nome da conta especificado na política não estiver presente no dispositivo, nenhuma conta será gerenciada. No entanto, quando o Nome da Conta do Administrador é deixado em branco, a política é padrão para a conta de administrador local interna dos dispositivos que é identificada por seu identificador relativo conhecido (RID).

Observação

Verifique se os pré-requisitos para o Intune dar suporte ao Windows LAPS em seu locatário são atendidos antes de criar políticas.

As políticas de LAPS do Intune não criam novas contas ou senhas. Em vez disso, eles gerenciam uma conta que já está no dispositivo.

Configure e atribua políticas laps cuidadosamente. O CSP do Windows LAPS dá suporte a uma única configuração para cada configuração laps em um dispositivo. Dispositivos que recebem várias políticas do Intune que incluem configurações conflitantes podem não processar a política. Os conflitos também podem impedir o backup da conta de administrador local gerenciada e da senha para o Diretório de locatários.

Para ajudar a reduzir possíveis conflitos, recomendamos atribuir uma única política laps a cada dispositivo por meio de grupos de dispositivos e não por meio de grupos de usuários. Embora a política laps dê suporte a atribuições de grupo de usuários, elas podem resultar em um ciclo de alteração das configurações da LAPS sempre que um usuário diferente entrar em um dispositivo. As políticas de alteração frequente podem introduzir conflitos, falta de conformidade do dispositivo com os requisitos e criar confusão em torno de qual conta de administrador local de um dispositivo está sendo gerenciada no momento.

Criar uma política laps

Importante

Verifique se você habilitou o LAPS no Microsoft Entra, conforme abordado no Windows LAPS habilitando com Microsoft Entra documentação de ID.

Para criar ou gerenciar a política laps, sua conta deve ter direitos aplicáveis da categoria de linha de base de segurança . Por padrão, essas permissões são incluídas na função interna Endpoint Security Manager. Para usar funções personalizadas, verifique se a função personalizada inclui os direitos da categoria Linhas de base de segurança . Consulte Controles de acesso baseados em função para LAPS.

Antes de criar uma política, você pode examinar detalhes sobre as configurações disponíveis na documentação CSP do Windows LAPS .

  1. Entre no centro de administração Microsoft Intune e vá para aproteção da conta de segurança> do ponto de extremidade e selecione Criar Política.

    Captura de tela que mostra onde no centro de administração você cria uma política de LAPS.

    Defina a Plataforma como Windows 10 e posterior, Perfil para solução de senha de administrador local (Windows LAPS) e selecione Criar.

  2. No Básico, insira as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Perfis de nome para que você possa identificá-los facilmente mais tarde.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.

  3. Nas configurações, configure uma opção para o Backup Directory para definir o tipo de Diretório a ser usado para fazer backup da conta de administrador local. Você também pode optar por não fazer backup de uma conta e senha. O tipo de Diretório também determina quais configurações adicionais estão disponíveis nesta política.

    Captura de tela que mostra as opções para a configuração do Diretório de Backup.

    Importante

    Ao configurar uma política, tenha em mente que o tipo de diretório de backup na política deve ser suportado pelo tipo de junção do dispositivo ao qual a política é atribuída. Por exemplo, se você definir o diretório como Active Directory e o dispositivo não estiver ingressado no domínio (mas um membro do Microsoft Entra), o dispositivo poderá aplicar as configurações de política do Intune sem erro, mas o LAPS no dispositivo não poderá usar essa configuração com êxito para fazer backup da conta.

    Depois de configurar o Backup Directory, examine e configure as configurações disponíveis para atender aos requisitos da sua organização.

  4. Na página Marcas de escopo, selecione todas as marcas de escopo desejadas a aplicar e selecione Próximo.

  5. Para Atribuições, selecione os grupos para receber essa política. Recomendamos atribuir a política laps a grupos de dispositivos. As políticas atribuídas a grupos de usuários seguem um usuário de dispositivo para dispositivo. Quando o usuário de um dispositivo muda, uma nova política pode se aplicar ao dispositivo e introduzir um comportamento inconsistente, incluindo qual conta o dispositivo faz backup ou quando a senha das contas gerenciadas é girada em seguida.

    Observação

    Como acontece com todas as políticas do Intune, quando uma nova política se aplica a um dispositivo, o Intune tenta notificar esse dispositivo para marcar e processar a política.

    Até que um dispositivo faça check-in com êxito com o Intune e processe com êxito sua política de LAPS, os dados sobre sua conta de administrador local gerenciado não estarão disponíveis para exibição ou gerenciamento de dentro do centro de administração.

    Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

  6. Em Examinar + criar, examine suas configurações e selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é mostrada na lista de políticas.

Exibir ações do dispositivo status

Quando sua conta tiver permissões equivalentes às permissões de linhas de base de segurança que concedem direitos a todos os modelos de política na carga de trabalho de segurança do Ponto de Extremidade, você pode usar o centro de administração do Intune para exibir o status de ações de dispositivo que foram solicitadas para o dispositivo.

Para obter mais informações, consulte Controles de acesso baseados em função para LAPS.

  1. No centro de administração Microsoft Intune, acesse Dispositivos>Todos os dispositivos e selecione um dispositivo que tenha uma política laps que faça backup de uma conta de administrador local. O Intune exibe o painel Visão geral dos dispositivos.

  2. No painel Visão geral do dispositivo, você pode exibir ações do dispositivo status. Ações solicitadas anteriormente e ações pendentes são exibidas, incluindo a hora da solicitação e se a ação falhou ou foi bem-sucedida. Na captura de tela de exemplo a seguir, um dispositivo teve sua senha da conta de Administração local girada com êxito.

    Captura de tela das ações do dispositivo status para um dispositivo, com uma ação concluída e uma ação atual pendente.

  3. A seleção de uma ação na lista abre o painel Ação do dispositivo status, que pode exibir detalhes adicionais sobre essa ação.

Exibir detalhes de conta e senha

Para exibir detalhes de conta e senha, uma conta deve ter uma das seguintes permissões de Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Use os seguintes métodos para conceder às contas estas permissões:

  • Atribua uma das seguintes funções de Microsoft Entra internas:
    • Administrador Global
    • Administração do Dispositivo de Nuvem

Crie e atribua uma função personalizada no Microsoft Entra ID que concede essas permissões. Consulte Criar e atribuir uma função personalizada no Microsoft Entra ID na documentação Microsoft Entra.

Para obter mais informações, consulte Controles de acesso baseados em função para LAPS.

  1. No centro de administração Microsoft Intune, acesse Dispositivos>Todos os dispositivos> selecionem um dispositivo Windows para abrir seu painel Visão geral.

    No painel de visão geral, você pode exibir os dispositivos Ações do dispositivo status. O status exibe ações atuais e passadas, como rotação de senha.

  2. No painel Visão geral dos dispositivos, abaixo Monitorar selecioneSenha de administrador local. Se sua conta tiver permissões suficientes, o painel de senha de administrador local para o dispositivo será aberto, que é a mesma exibição disponível de dentro do portal do Azure.

    Captura de tela que mostra o painel de senha de administrador local para um dispositivo Windows.

    As informações a seguir podem ser exibidas de dentro do centro de administração. No entanto, a senha de administrador local só pode ser exibida quando a conta foi apoiada até Microsoft Entra. Ele não pode ser exibido para uma conta que faz backup de um Active Directory local (Windows Server Active Directory):

    • Nome da conta – o nome da conta de administrador local que foi backup do dispositivo.
    • ID de segurança – O SID conhecido para a conta que é backup do dispositivo.
    • Senha de administrador local – obscurecida por padrão. Se sua conta tiver permissão, você poderá selecionar Mostrar para revelar a senha. Em seguida, você pode usar a opção Copiar para copiar a senha para sua área de transferência. Essas informações não estão disponíveis para dispositivos que fazem backup de um Active Directory local.
    • Última rotação de senha – em UTC, a data e hora em que a senha foi alterada pela última vez ou girada pela política.
    • Próxima rotação de senha – em UTC, a próxima data e hora em que a senha será girada por política.

Veja a seguir considerações sobre como exibir uma conta de dispositivos e informações de senha:

  • Recuperar (exibir) a senha de uma conta de administrador local dispara um evento de auditoria.

  • Você não pode exibir detalhes de senha para os seguintes dispositivos:

    • Dispositivos que têm sua conta de administrador local com backup em um Active Directory local
    • Dispositivos que estão definidos para usar o Active Directory para fazer backup da senha da conta.

Girar manualmente senhas

A política laps inclui um agendamento para girar automaticamente senhas de conta. Além de uma rotação agendada, você pode usar a ação de dispositivo do Intune de Girar senha de administrador local para girar manualmente uma senha de dispositivos independentemente do agendamento de rotação definido pela Política laps de dispositivos.

Para usar essa ação do dispositivo, sua conta deve ter as seguintes três permissões do Intune:

  • Dispositivos gerenciados: Leitura
  • Organização: Leitura
  • Tarefas remotas: girar senha de Administração local

Consulte Controles de acesso baseados em função para LAPS.

Para girar uma senha

  1. No centro de administração Microsoft Intune, acesse Dispositivos>Todos os dispositivos e selecione o dispositivo Windows com a conta que você deseja girar.

  2. Ao exibir os detalhes do dispositivo, expanda as reticências (...) no lado direito da barra de menus para revelar as opções disponíveis e selecione Girar senha de administrador local.

    Captura de tela das opções de menu expandidas para ações do dispositivo.

  3. Quando você seleciona Girar senha de administrador local, o Intune exibe um aviso que requer confirmação antes que a senha seja girada.

    Depois de confirmar a intenção de girar a senha, o Intune inicia o processo, que pode levar alguns minutos para ser concluído. Durante esse tempo, o painel de detalhes do dispositivo exibe um banner e uma status de ações do dispositivo que indicam que a ação está pendente.

Após uma rotação bem-sucedida, a confirmação ficará visível nas ações do dispositivo status como Concluídas.

Veja a seguir considerações sobre a rotação manual de senhas:

  • A ação Girar dispositivo de senha de administrador local está disponível para todos os dispositivos Windows, mas qualquer dispositivo que não tenha feito backup com êxito em sua conta e dados de senha falha ao concluir uma solicitação rotativa.

  • Cada tentativa de rotação manual resulta em um evento de auditoria. Rotações de senha agendadas também registram um evento de auditoria.

  • Quando uma senha é girada manualmente, a hora para a próxima rotação de senha agendada é redefinida. A hora da próxima rotação agendada é gerenciada por meio da configuração PasswordAgeDays na política laps.

    Funciona assim: um dispositivo recebe uma política em 1º de março, que define PasswordAgeDays como 10 dias. O resultado é que o dispositivo girará automaticamente sua senha após 10 dias, em 11 de março. Em 5 de março, um administrador gira manualmente a senha do dispositivo e a ação que redefine a data de início do PasswordAgeDays para 5 de março. Como resultado, o dispositivo agora girará automaticamente sua senha 10 dias depois, em 15 de março.

  • Para Microsoft Entra dispositivos ingressados, o dispositivo deve estar online no momento em que a rotação manual é solicitada. Se o dispositivo não estiver online no momento da solicitação, ele resultará em uma falha.

  • Não há suporte para rotação de senha como Ação em Massa. Você só pode girar um único dispositivo por vez.

Evitar conflitos políticos

Os detalhes a seguir podem ajudá-lo a evitar conflitos e entender o comportamento esperado de dispositivos gerenciados pela política laps.

Quando um dispositivo com política bem-sucedida recebe duas ou mais políticas que introduzem um conflito:

  • As configurações que estavam em uso no dispositivo permanecem no dispositivo no último conjunto de valores. Ambas as políticas, o original e o novo, relatam como estando em conflito.
  • Para resolve conflito, remova as atribuições de política até que a política conflitante não se aplique ou reconfigure as políticas aplicáveis para definir a mesma configuração, removendo o conflito.

Quando um dispositivo que não tem uma política laps recebe duas políticas conflitantes ao mesmo tempo:

  • As configurações não são enviadas para o dispositivo e ambas as políticas são relatadas como tendo conflitos.
  • Enquanto um conflito permanece, as configurações das políticas não se aplicam ao dispositivo.

Para resolve conflitos, você deve remover atribuições de política do dispositivo ou reconfigurar as configurações em políticas aplicáveis até que não haja mais conflitos.

Próximas etapas