LAPS CSP

Importante

Esse CSP contém algumas configurações que estão em desenvolvimento e só se aplicam Windows Insider Preview builds. Essas configurações estão sujeitas a alterações e podem ter dependências de outros recursos ou serviços em versão prévia.

O CSP (provedor de serviços de configuração) da Solução de Senha do Administrador Local (CSP) é usado pela empresa para gerenciar o backup de senhas da conta de administrador local. O Windows dá suporte a um objeto laps Política de Grupo que é totalmente separado do CSP laps. Muitas das várias configurações são comuns entre o GPO do LAPS e o CSP (GPO não dá suporte a nenhuma das configurações relacionadas à ação). Desde que pelo menos uma configuração de LAPS seja configurada por meio do CSP, todas as configurações configuradas por GPO serão ignoradas. Consulte Também Configurar configurações de política para o Windows LAPS.

Observação

Para obter mais informações sobre atualizações específicas do sistema operacional necessárias para usar o CSP do Windows LAPS e os recursos associados, além do status atual do cenário Microsoft Entra laps, consulte disponibilidade do Windows LAPS e Microsoft Entra status de visualização pública da LAPS.

Dica

Este artigo aborda os detalhes técnicos específicos do CSP laps. Para obter mais informações sobre os cenários em que o CSP laps seria usado, consulte solução de senha do administrador local do Windows.

A lista a seguir mostra os nós do provedor de serviços de configuração do LAPS:

• ./Device/Vendor/MSFT/LAPS
  • Ações
    • Resetpassword
    • ResetPasswordStatus
  • Políticas
    • ADEncryptedPasswordHistorySize
    • AdministratorAccountName
    • ADPasswordEncryptionEnabled
    • ADPasswordEncryptionPrincipal
    • AutomaticAccountManagementEnableAccount
    • AutomaticAccountManagementEnabled
    • AutomaticAccountManagementNameOrPrefix
    • AutomaticAccountManagementRandomizeName
    • AutomaticAccountManagementTarget
    • Backupdirectory
    • PassphraseLength
    • PasswordAgeDays
    • PasswordComplexity
    • PasswordExpirationProtectionEnabled
    • PasswordLength
    • PostAuthenticationActions
    • PostAuthenticationResetDelay

Ações

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Actions

Define o nó interno pai para todas as configurações relacionadas à ação no CSP do LAPS.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	node
Tipo de acesso	Obter

Actions/ResetPassword

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Actions/ResetPassword

Use essa configuração para dizer ao CSP para gerar e armazenar imediatamente uma nova senha para a conta de administrador local gerenciada.

Essa ação invoca uma redefinição imediata da senha da conta de administrador local, ignorando as restrições normais, como PasswordLengthDays, etc.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	null
Tipo de acesso	Exec

Actions/ResetPasswordStatus

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus

Use essa configuração para consultar o status da última ação de execução resetPassword enviada.

O valor retornado é um código HRESULT:

• S_OK (0x0): a última ação ResetPassword enviada foi bem-sucedida.
• E_PENDING (0x8000000): a última ação ResetPassword enviada ainda está sendo executada.
• Outra: a última ação ResetPassword enviada encontrou o erro retornado.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Obter
Valor Padrão	0

Políticas

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies

Nó raiz para políticas de LAPS.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	node
Tipo de acesso	Obter
Atomic Required	True

Policies/ADEncryptedPasswordHistorySize

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize

Use essa configuração para configurar quantas senhas criptografadas anteriores serão lembradas no Active Directory.

Se não for especificada, essa configuração será padrão para 0 senhas (desabilitadas).

Essa configuração tem um valor mínimo permitido de 0 senhas.

Essa configuração tem um valor máximo permitido de 12 senhas.

Importante

Essa configuração é ignorada a menos que a ADPasswordEncryptionEnabled seja configurada como True e todos os outros pré-requisitos sejam atendidos.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Gama: [0-12]
Valor Padrão	0
Dependência [BackupDirectory]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: 2 Tipo de valor permitido de dependência: ENUM

Policies/AdministratorAccountName

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName

Use essa configuração para configurar o nome da conta de administrador local gerenciada.

Se não for especificado, a conta de administrador local interna padrão será localizada pelo conhecido SID (mesmo que renomeado).

Se especificada, a senha da conta especificada será gerenciada.

Observe que se um nome de conta de administrador local gerenciado personalizado for especificado nessa configuração, essa conta deve ser criada por meio de outros meios. Especificar um nome nessa configuração não fará com que a conta seja criada.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	chr (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir

Policies/ADPasswordEncryptionEnabled

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled

Use essa configuração para configurar se a senha é criptografada antes de ser armazenada no Active Directory.

Essa configuração será ignorada se a senha estiver sendo armazenada no Azure no momento.

Essa configuração só é honrada quando o domínio do Active Directory está em Windows Server 2016 Nível Funcional de Domínio ou superior.

• Se essa configuração estiver habilitada e o domínio do Active Directory atender ao pré-requisito da DFL, a senha será criptografada antes de ser armazenada no Active Directory.

• Se essa configuração estiver desabilitada ou o domínio do Active Directory não atender ao pré-requisito da DFL, a senha será armazenada como texto claro no Active Directory.

Se não for especificado, essa configuração será padrão para True.

Importante

Essa configuração é ignorada, a menos que o BackupDirectory esteja configurado para fazer backup da senha para o Active Directory, e o domínio do Active Directory esteja em Windows Server 2016 Nível Funcional do Domínio ou superior.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	True
Dependência [BackupDirectory]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: 2 Tipo de valor permitido de dependência: ENUM

Valores Permitidos:

Valor	Descrição
false	Armazene a senha no formulário de texto limpo no Active Directory.
true (Padrão)	Armazene a senha no formulário criptografado no Active Directory.

Policies/ADPasswordEncryptionPrincipal

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal

Use essa configuração para configurar o nome ou o SID de um usuário ou grupo que pode descriptografar a senha armazenada no Active Directory.

Essa configuração será ignorada se a senha estiver sendo armazenada no Azure no momento.

Se não for especificada, a senha será descriptografável pelo grupo administradores de domínio no domínio do dispositivo.

Se especificado, o usuário ou grupo especificado poderá descriptografar a senha armazenada no Active Directory.

Se a conta de usuário ou grupo especificada for inválida, o dispositivo retornará ao uso do grupo administradores de domínio no domínio do dispositivo.

Importante

Essa configuração é ignorada a menos que a ADPasswordEncryptionEnabled seja configurada como True e todos os outros pré-requisitos sejam atendidos. A cadeia de caracteres armazenada nessa configuração deve ser um SID no formulário de cadeia de caracteres ou o nome totalmente qualificado de um usuário ou grupo. Exemplos válidos incluem:

• S-1-5-21-2127521184-1604012920-1887927527-35197
• contoso\LAPSAdmins
• lapsadmins@contoso.com

A entidade de segurança identificada (por SID ou nome de usuário\grupo) deve existir e ser resolvida pelo dispositivo.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	chr (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Dependência [BackupDirectory]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: 2 Tipo de valor permitido de dependência: ENUM

Policies/AutomaticAccountManagementEnableAccount

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

Use essa configuração para configurar se a conta gerenciada automaticamente está habilitada ou desabilitada.

• Se essa configuração estiver habilitada, a conta de destino será habilitada.

• Se essa configuração estiver desabilitada, a conta de destino será desabilitada.

Se não for especificado, essa configuração será padrão para False.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	False
Dependência [AutomaticAccountManagementEnabled]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependência: true Tipo de valor permitido de dependência: ENUM

Valores Permitidos:

Valor	Descrição
False (Padrão)	A conta de destino será desabilitada.
True	A conta de destino será habilitada.

Policies/AutomaticAccountManagementEnabled

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

Use essa configuração para especificar se o gerenciamento automático da conta está habilitado.

• Se essa configuração estiver habilitada, a conta de destino será gerenciada automaticamente.

• Se essa configuração estiver desabilitada, a conta de destino não será gerenciada automaticamente.

Se não for especificado, essa configuração será padrão para False.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	False

Valores Permitidos:

Valor	Descrição
false (Padrão)	A conta de destino não será gerenciada automaticamente.
true	A conta de destino será gerenciada automaticamente.

Policies/AutomaticAccountManagementNameOrPrefix

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

Use essa configuração para configurar o nome ou o prefixo da conta de administrador local gerenciada.

Se especificado, o valor será usado como o prefixo nome ou nome da conta gerenciada.

Se não for especificada, essa configuração será padrão para "WLapsAdmin".

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	chr (cadeia de caracteres)
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Dependência [AutomaticAccountManagementEnabled]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependência: true Tipo de valor permitido de dependência: ENUM

Policies/AutomaticAccountManagementRandomizeName

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

Use essa configuração para configurar se o nome da conta gerenciada automaticamente usa um sufixo numérico aleatório sempre que a senha for girada.

Se essa configuração estiver habilitada, o nome da conta de destino usará um sufixo numérico aleatório.

Se essa configuração for desabilitar, o nome da conta de destino não usará um sufixo numérico aleatório.

Se não for especificado, essa configuração será padrão para False.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	False
Dependência [AutomaticAccountManagementEnabled]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependência: true Tipo de valor permitido de dependência: ENUM

Valores Permitidos:

Valor	Descrição
False (Padrão)	O nome da conta de destino não usará um sufixo numérico aleatório.
True	O nome da conta de destino usará um sufixo numérico aleatório.

Policies/AutomaticAccountManagementTarget

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

Use essa configuração para configurar qual conta é gerenciada automaticamente.

As configurações permitidas são:

0=A conta de administrador interna será gerenciada.

1=Uma nova conta criada pelo Windows LAPS será gerenciada.

Se não for especificada, essa configuração será padrão para 1.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	1
Dependência [AutomaticAccountManagementEnabled]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependência: true Tipo de valor permitido de dependência: ENUM

Valores Permitidos:

Valor	Descrição
0	Gerencie a conta de administrador interna.
1 (Padrão)	Gerenciar uma nova conta de administrador personalizada.

Políticas/BackupDirectory

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory

Use essa configuração para configurar qual diretório a senha da conta de administrador local faz backup.

As configurações permitidas são:

0=Desabilitado (a senha não será backup) 1=Fazer backup da senha para Microsoft Entra ID apenas 2=Fazer backup da senha somente no Active Directory.

Se não for especificada, essa configuração será padrão para 0.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	0

Valores Permitidos:

Valor	Descrição
0 (Padrão)	Desabilitado (a senha não será backup).
1	Faça backup da senha somente para Microsoft Entra ID.
2	Faça backup da senha somente no Active Directory.

Policies/PassphraseLength

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅Windows Insider Preview [99.9.9999]

./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength

Use essa configuração para configurar o número de palavras de senha.

Se não for especificada, essa configuração será padrão para 6 palavras.

Essa configuração tem um valor mínimo permitido de 3 palavras.

Essa configuração tem um valor máximo permitido de 10 palavras.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Gama: [3-10]
Valor Padrão	6
Dependência [PasswordComplexity]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependência: [6-8] Tipo de valor permitido de dependência: Range

Policies/PasswordAgeDays

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays

Use essa política para configurar a idade máxima da senha da conta de administrador local gerenciada.

Se não for especificada, essa configuração será padrão para 30 dias.

Essa configuração tem um valor mínimo permitido de 1 dia ao fazer backup da senha para Active Directory local e 7 dias ao fazer backup da senha para Microsoft Entra ID.

Essa configuração tem um valor máximo permitido de 365 dias.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Gama: [1-365]
Valor Padrão	30
Dependência [BackupDirectoryAADMode BackupDirectoryADMode]	Tipo de dependência: DependsOn DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: Tipo de valor permitido de dependência: ENUM ENUM

Policies/PasswordComplexity

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

Use essa configuração para configurar a complexidade de senha da conta de administrador local gerenciada.

As configurações permitidas são:

1=Letras grandes 2=Letras grandes + letras pequenas 3=Letras grandes + letras pequenas + números 4=Letras grandes + letras pequenas + números + caracteres especiais 5=Letras grandes + letras pequenas + números + caracteres especiais (melhor legibilidade) 6=Senha (palavras longas) 7=Senha (palavras curtas) 8=Senha (palavras curtas com prefixos exclusivos)

Se não for especificada, essa configuração será padrão para 4.

A lista de frases de passe retiradas de "Deep Dive: New Wordlists for Random Passphrases" da EFF pela Electronic Frontier Foundation e é usada sob uma licença de atribuição CC-BY-3.0. Consulte https://go.microsoft.com/fwlink/?linkid=2255471 para mais informações.

Importante

O Windows dá suporte às configurações de menor complexidade de senha (1, 2 e 3) apenas para compatibilidade com versões anteriores do LAPS. A Microsoft recomenda que essa configuração sempre seja configurada como 4.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	4

Valores Permitidos:

Valor	Descrição
1	Letras grandes.
2	Letras grandes + letras pequenas.
3	Letras grandes + letras pequenas + números.
4 (Padrão)	Letras grandes + letras pequenas + números + caracteres especiais.
5	Letras grandes + letras pequenas + números + caracteres especiais (melhor legibilidade).
6	Senha (palavras longas).
7	Senha (palavras curtas).
8	Senha (palavras curtas com prefixos exclusivos).

Policies/PasswordExpirationProtectionEnabled

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled

Use essa configuração para configurar a aplicação adicional da idade máxima da senha para a conta de administrador local gerenciada.

Quando essa configuração está habilitada, a expiração de senha planejada que resultaria em uma idade de senha maior do que a ditada pela política "PasswordAgeDays" NÃO é permitida. Quando essa expiração é detectada, a senha é alterada imediatamente e a nova data de validade da senha é definida de acordo com a política.

Se não for especificado, essa configuração será padrão para True.

Importante

Essa configuração é ignorada, a menos que o BackupDirectory seja configurado para fazer backup da senha para o Active Directory.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	bool
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	True
Dependência [BackupDirectory]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: 2 Tipo de valor permitido de dependência: ENUM

Valores Permitidos:

Valor	Descrição
false	Permitir que o carimbo de data/hora de expiração de senha configurado exceda a idade máxima da senha.
true (Padrão)	Não permita que o carimbo de data/hora de expiração de senha configurado exceda a idade máxima da senha.

Policies/PasswordLength

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PasswordLength

Use essa configuração para configurar o comprimento da senha da conta de administrador local gerenciada.

Se não for especificada, essa configuração será padrão para 14 caracteres.

Essa configuração tem um valor mínimo permitido de 8 caracteres.

Essa configuração tem um valor máximo permitido de 64 caracteres.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Gama: [8-64]
Valor Padrão	14
Dependência [PasswordComplexity]	Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependência: [1-5] Tipo de valor permitido de dependência: Range

Policies/PostAuthenticationActions

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions

Use essa configuração para especificar as ações a serem executadas após a expiração do período de carência configurado.

Se não for especificada, essa configuração será padrão para 3 (Redefinir a senha e logoff da conta gerenciada).

Importante

As ações de pós-autenticação permitidas destinam-se a ajudar a limitar o tempo que uma senha laps pode ser usada antes de ser redefinida. O registro em log da conta gerenciada - ou a reinicialização do dispositivo - são opções para ajudar a garantir isso. O término abrupto das sessões de logon ou a reinicialização do dispositivo podem resultar em perda de dados.

Importante

De uma perspectiva de segurança, um usuário mal-intencionado que adquire privilégios administrativos em um dispositivo usando uma senha laps válida tem a capacidade final de impedir ou contornar esses mecanismos.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valor Padrão	3

Valores Permitidos:

Valor	Descrição
1	Redefinir senha: após o término do período de carência, a senha da conta gerenciada será redefinida.
3 (Padrão)	Redefinir a senha e logoff da conta gerenciada: após o término do período de carência, a senha da conta gerenciada será redefinida e todas as sessões de logon interativas usando a conta gerenciada serão encerradas.
5	Redefinir a senha e a reinicialização: após o término do período de carência, a senha da conta gerenciada será redefinida e o dispositivo gerenciado será imediatamente reiniciado.
11	Redefinir a senha, logoff da conta gerenciada e encerrar todos os processos restantes: após a expiração do período de carência, a senha da conta gerenciada é redefinida, todas as sessões de logon interativas usando a conta gerenciada são registradas e todos os processos restantes são encerrados.

Policies/PostAuthenticationResetDelay

Escopo	Edições	Sistema operacional aplicável
Dispositivo ✅ Usuário ❌	Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅	✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145]

./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay

Use essa configuração para especificar a quantidade de tempo (em horas) para aguardar após uma autenticação antes de executar as ações pós-autenticação especificadas.

Se não for especificada, essa configuração será padrão para 24 horas.

Essa configuração tem um valor mínimo permitido de 0 horas (isso desabilita todas as ações pós-autenticação).

Essa configuração tem um valor máximo permitido de 24 horas.

Propriedades da estrutura de descrição:

Nome da propriedade	Valor de propriedade
Formato	int
Tipo de acesso	Adicionar, Excluir, Obter, Substituir
Valores Permitidos	Gama: [0-24]
Valor Padrão	24

Aplicabilidade de configurações

O CSP laps pode ser usado para gerenciar dispositivos que são unidos ao Microsoft Entra ID ou unidos ao Microsoft Entra ID e ao Active Directory (híbrido-ingressado). O CSP laps gerencia uma combinação de configurações somente Microsoft Entra e somente AD. As configurações somente do AD são aplicáveis somente para dispositivos híbridos e, em seguida, somente quando o BackupDirectory é definido como 2.

Nome da configuração	Ingressado no Azure	Ingressado em híbrido
Backupdirectory	Sim	Sim
PasswordAgeDays	Sim	Sim
PasswordLength	Sim	Sim
PasswordComplexity	Sim	Sim
PasswordExpirationProtectionEnabled	Não	Sim
AdministratorAccountName	Sim	Sim
ADPasswordEncryptionEnabled	Não	Sim
ADPasswordEncryptionPrincipal	Não	Sim
ADEncryptedPasswordHistorySize	Não	Sim
PostAuthenticationResetDelay	Sim	Sim
PostAuthenticationActions	Sim	Sim
Resetpassword	Sim	Sim
ResetPasswordStatus	Sim	Sim

Exemplos de SyncML

Os exemplos a seguir são fornecidos para mostrar o formato correto e não devem ser considerados como uma recomendação.

Senha de backup de dispositivo ingressada no Azure até Microsoft Entra ID

Este exemplo mostra como configurar um dispositivo ingressado no Azure para fazer backup de sua senha para Microsoft Entra ID:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>7</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>32</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>8</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Senha de backup de dispositivo ingressado híbrido no Active Directory

Este exemplo mostra como configurar um dispositivo híbrido para fazer backup de sua senha para o Active Directory com criptografia de senha habilitada:

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>2</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>20</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>14</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>8</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>LAPSAdmins@contoso.com</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>9</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>6</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>10</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>11</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>5</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Artigos relacionados

Referência de provedor de serviços de configuração