LAPS CSP
Importante
Esse CSP contém algumas configurações que estão em desenvolvimento e só se aplicam Windows Insider Preview builds. Essas configurações estão sujeitas a alterações e podem ter dependências de outros recursos ou serviços em versão prévia.
O CSP (provedor de serviços de configuração) da Solução de Senha do Administrador Local (CSP) é usado pela empresa para gerenciar o backup de senhas da conta de administrador local. O Windows dá suporte a um objeto laps Política de Grupo que é totalmente separado do CSP laps. Muitas das várias configurações são comuns entre o GPO do LAPS e o CSP (GPO não dá suporte a nenhuma das configurações relacionadas à ação). Desde que pelo menos uma configuração de LAPS seja configurada por meio do CSP, todas as configurações configuradas por GPO serão ignoradas. Consulte Também Configurar configurações de política para o Windows LAPS.
Observação
Para obter mais informações sobre atualizações específicas do sistema operacional necessárias para usar o CSP do Windows LAPS e os recursos associados, além do status atual do cenário Microsoft Entra laps, consulte disponibilidade do Windows LAPS e Microsoft Entra status de visualização pública da LAPS.
Dica
Este artigo aborda os detalhes técnicos específicos do CSP laps. Para obter mais informações sobre os cenários em que o CSP laps seria usado, consulte solução de senha do administrador local do Windows.
A lista a seguir mostra os nós do provedor de serviços de configuração do LAPS:
- ./Device/Vendor/MSFT/LAPS
- Ações
- Políticas
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- Backupdirectory
- PassphraseLength
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
Ações
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Actions
Define o nó interno pai para todas as configurações relacionadas à ação no CSP do LAPS.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | node |
Tipo de acesso | Obter |
Actions/ResetPassword
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
Use essa configuração para dizer ao CSP para gerar e armazenar imediatamente uma nova senha para a conta de administrador local gerenciada.
Essa ação invoca uma redefinição imediata da senha da conta de administrador local, ignorando as restrições normais, como PasswordLengthDays, etc.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | null |
Tipo de acesso | Exec |
Actions/ResetPasswordStatus
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
Use essa configuração para consultar o status da última ação de execução resetPassword enviada.
O valor retornado é um código HRESULT:
- S_OK (0x0): a última ação ResetPassword enviada foi bem-sucedida.
- E_PENDING (0x8000000): a última ação ResetPassword enviada ainda está sendo executada.
- Outra: a última ação ResetPassword enviada encontrou o erro retornado.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Obter |
Valor Padrão | 0 |
Políticas
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies
Nó raiz para políticas de LAPS.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | node |
Tipo de acesso | Obter |
Atomic Required | True |
Policies/ADEncryptedPasswordHistorySize
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
Use essa configuração para configurar quantas senhas criptografadas anteriores serão lembradas no Active Directory.
Se não for especificada, essa configuração será padrão para 0 senhas (desabilitadas).
Essa configuração tem um valor mínimo permitido de 0 senhas.
Essa configuração tem um valor máximo permitido de 12 senhas.
Importante
Essa configuração é ignorada a menos que a ADPasswordEncryptionEnabled seja configurada como True e todos os outros pré-requisitos sejam atendidos.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valores Permitidos | Gama: [0-12] |
Valor Padrão | 0 |
Dependência [BackupDirectory] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: 2 Tipo de valor permitido de dependência: ENUM |
Policies/AdministratorAccountName
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
Use essa configuração para configurar o nome da conta de administrador local gerenciada.
Se não for especificado, a conta de administrador local interna padrão será localizada pelo conhecido SID (mesmo que renomeado).
Se especificada, a senha da conta especificada será gerenciada.
Observe que se um nome de conta de administrador local gerenciado personalizado for especificado nessa configuração, essa conta deve ser criada por meio de outros meios. Especificar um nome nessa configuração não fará com que a conta seja criada.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Policies/ADPasswordEncryptionEnabled
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
Use essa configuração para configurar se a senha é criptografada antes de ser armazenada no Active Directory.
Essa configuração será ignorada se a senha estiver sendo armazenada no Azure no momento.
Essa configuração só é honrada quando o domínio do Active Directory está em Windows Server 2016 Nível Funcional de Domínio ou superior.
Se essa configuração estiver habilitada e o domínio do Active Directory atender ao pré-requisito da DFL, a senha será criptografada antes de ser armazenada no Active Directory.
Se essa configuração estiver desabilitada ou o domínio do Active Directory não atender ao pré-requisito da DFL, a senha será armazenada como texto claro no Active Directory.
Se não for especificado, essa configuração será padrão para True.
Importante
Essa configuração é ignorada, a menos que o BackupDirectory esteja configurado para fazer backup da senha para o Active Directory, e o domínio do Active Directory esteja em Windows Server 2016 Nível Funcional do Domínio ou superior.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | bool |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | True |
Dependência [BackupDirectory] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: 2 Tipo de valor permitido de dependência: ENUM |
Valores Permitidos:
Valor | Descrição |
---|---|
false | Armazene a senha no formulário de texto limpo no Active Directory. |
true (Padrão) | Armazene a senha no formulário criptografado no Active Directory. |
Policies/ADPasswordEncryptionPrincipal
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
Use essa configuração para configurar o nome ou o SID de um usuário ou grupo que pode descriptografar a senha armazenada no Active Directory.
Essa configuração será ignorada se a senha estiver sendo armazenada no Azure no momento.
Se não for especificada, a senha será descriptografável pelo grupo administradores de domínio no domínio do dispositivo.
Se especificado, o usuário ou grupo especificado poderá descriptografar a senha armazenada no Active Directory.
Se a conta de usuário ou grupo especificada for inválida, o dispositivo retornará ao uso do grupo administradores de domínio no domínio do dispositivo.
Importante
Essa configuração é ignorada a menos que a ADPasswordEncryptionEnabled seja configurada como True e todos os outros pré-requisitos sejam atendidos. A cadeia de caracteres armazenada nessa configuração deve ser um SID no formulário de cadeia de caracteres ou o nome totalmente qualificado de um usuário ou grupo. Exemplos válidos incluem:
S-1-5-21-2127521184-1604012920-1887927527-35197
contoso\LAPSAdmins
lapsadmins@contoso.com
A entidade de segurança identificada (por SID ou nome de usuário\grupo) deve existir e ser resolvida pelo dispositivo.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dependência [BackupDirectory] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: 2 Tipo de valor permitido de dependência: ENUM |
Policies/AutomaticAccountManagementEnableAccount
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview [99.9.9999] |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
Use essa configuração para configurar se a conta gerenciada automaticamente está habilitada ou desabilitada.
Se essa configuração estiver habilitada, a conta de destino será habilitada.
Se essa configuração estiver desabilitada, a conta de destino será desabilitada.
Se não for especificado, essa configuração será padrão para False.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | bool |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | False |
Dependência [AutomaticAccountManagementEnabled] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependência: true Tipo de valor permitido de dependência: ENUM |
Valores Permitidos:
Valor | Descrição |
---|---|
False (Padrão) | A conta de destino será desabilitada. |
True | A conta de destino será habilitada. |
Policies/AutomaticAccountManagementEnabled
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview [99.9.9999] |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Use essa configuração para especificar se o gerenciamento automático da conta está habilitado.
Se essa configuração estiver habilitada, a conta de destino será gerenciada automaticamente.
Se essa configuração estiver desabilitada, a conta de destino não será gerenciada automaticamente.
Se não for especificado, essa configuração será padrão para False.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | bool |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | False |
Valores Permitidos:
Valor | Descrição |
---|---|
false (Padrão) | A conta de destino não será gerenciada automaticamente. |
true | A conta de destino será gerenciada automaticamente. |
Policies/AutomaticAccountManagementNameOrPrefix
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview [99.9.9999] |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
Use essa configuração para configurar o nome ou o prefixo da conta de administrador local gerenciada.
Se especificado, o valor será usado como o prefixo nome ou nome da conta gerenciada.
Se não for especificada, essa configuração será padrão para "WLapsAdmin".
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | chr (cadeia de caracteres) |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Dependência [AutomaticAccountManagementEnabled] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependência: true Tipo de valor permitido de dependência: ENUM |
Policies/AutomaticAccountManagementRandomizeName
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview [99.9.9999] |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
Use essa configuração para configurar se o nome da conta gerenciada automaticamente usa um sufixo numérico aleatório sempre que a senha for girada.
Se essa configuração estiver habilitada, o nome da conta de destino usará um sufixo numérico aleatório.
Se essa configuração for desabilitar, o nome da conta de destino não usará um sufixo numérico aleatório.
Se não for especificado, essa configuração será padrão para False.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | bool |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | False |
Dependência [AutomaticAccountManagementEnabled] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependência: true Tipo de valor permitido de dependência: ENUM |
Valores Permitidos:
Valor | Descrição |
---|---|
False (Padrão) | O nome da conta de destino não usará um sufixo numérico aleatório. |
True | O nome da conta de destino usará um sufixo numérico aleatório. |
Policies/AutomaticAccountManagementTarget
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview [99.9.9999] |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
Use essa configuração para configurar qual conta é gerenciada automaticamente.
As configurações permitidas são:
0=A conta de administrador interna será gerenciada.
1=Uma nova conta criada pelo Windows LAPS será gerenciada.
Se não for especificada, essa configuração será padrão para 1.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 1 |
Dependência [AutomaticAccountManagementEnabled] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valor permitido de dependência: true Tipo de valor permitido de dependência: ENUM |
Valores Permitidos:
Valor | Descrição |
---|---|
0 | Gerencie a conta de administrador interna. |
1 (Padrão) | Gerenciar uma nova conta de administrador personalizada. |
Políticas/BackupDirectory
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
Use essa configuração para configurar qual diretório a senha da conta de administrador local faz backup.
As configurações permitidas são:
0=Desabilitado (a senha não será backup) 1=Fazer backup da senha para Microsoft Entra ID apenas 2=Fazer backup da senha somente no Active Directory.
Se não for especificada, essa configuração será padrão para 0.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 0 |
Valores Permitidos:
Valor | Descrição |
---|---|
0 (Padrão) | Desabilitado (a senha não será backup). |
1 | Faça backup da senha somente para Microsoft Entra ID. |
2 | Faça backup da senha somente no Active Directory. |
Policies/PassphraseLength
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅Windows Insider Preview [99.9.9999] |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
Use essa configuração para configurar o número de palavras de senha.
Se não for especificada, essa configuração será padrão para 6 palavras.
Essa configuração tem um valor mínimo permitido de 3 palavras.
Essa configuração tem um valor máximo permitido de 10 palavras.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valores Permitidos | Gama: [3-10] |
Valor Padrão | 6 |
Dependência [PasswordComplexity] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependência: [6-8] Tipo de valor permitido de dependência: Range |
Policies/PasswordAgeDays
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
Use essa política para configurar a idade máxima da senha da conta de administrador local gerenciada.
Se não for especificada, essa configuração será padrão para 30 dias.
Essa configuração tem um valor mínimo permitido de 1 dia ao fazer backup da senha para Active Directory local e 7 dias ao fazer backup da senha para Microsoft Entra ID.
Essa configuração tem um valor máximo permitido de 365 dias.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valores Permitidos | Gama: [1-365] |
Valor Padrão | 30 |
Dependência [BackupDirectoryAADMode BackupDirectoryADMode] | Tipo de dependência: DependsOn DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: Tipo de valor permitido de dependência: ENUM ENUM |
Policies/PasswordComplexity
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
Use essa configuração para configurar a complexidade de senha da conta de administrador local gerenciada.
As configurações permitidas são:
1=Letras grandes 2=Letras grandes + letras pequenas 3=Letras grandes + letras pequenas + números 4=Letras grandes + letras pequenas + números + caracteres especiais 5=Letras grandes + letras pequenas + números + caracteres especiais (melhor legibilidade) 6=Senha (palavras longas) 7=Senha (palavras curtas) 8=Senha (palavras curtas com prefixos exclusivos)
Se não for especificada, essa configuração será padrão para 4.
A lista de frases de passe retiradas de "Deep Dive: New Wordlists for Random Passphrases" da EFF pela Electronic Frontier Foundation e é usada sob uma licença de atribuição CC-BY-3.0. Consulte https://go.microsoft.com/fwlink/?linkid=2255471 para mais informações.
Importante
O Windows dá suporte às configurações de menor complexidade de senha (1, 2 e 3) apenas para compatibilidade com versões anteriores do LAPS. A Microsoft recomenda que essa configuração sempre seja configurada como 4.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 4 |
Valores Permitidos:
Valor | Descrição |
---|---|
1 | Letras grandes. |
2 | Letras grandes + letras pequenas. |
3 | Letras grandes + letras pequenas + números. |
4 (Padrão) | Letras grandes + letras pequenas + números + caracteres especiais. |
5 | Letras grandes + letras pequenas + números + caracteres especiais (melhor legibilidade). |
6 | Senha (palavras longas). |
7 | Senha (palavras curtas). |
8 | Senha (palavras curtas com prefixos exclusivos). |
Policies/PasswordExpirationProtectionEnabled
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
Use essa configuração para configurar a aplicação adicional da idade máxima da senha para a conta de administrador local gerenciada.
Quando essa configuração está habilitada, a expiração de senha planejada que resultaria em uma idade de senha maior do que a ditada pela política "PasswordAgeDays" NÃO é permitida. Quando essa expiração é detectada, a senha é alterada imediatamente e a nova data de validade da senha é definida de acordo com a política.
Se não for especificado, essa configuração será padrão para True.
Importante
Essa configuração é ignorada, a menos que o BackupDirectory seja configurado para fazer backup da senha para o Active Directory.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | bool |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | True |
Dependência [BackupDirectory] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/BackupDirectory Valor permitido de dependência: 2 Tipo de valor permitido de dependência: ENUM |
Valores Permitidos:
Valor | Descrição |
---|---|
false | Permitir que o carimbo de data/hora de expiração de senha configurado exceda a idade máxima da senha. |
true (Padrão) | Não permita que o carimbo de data/hora de expiração de senha configurado exceda a idade máxima da senha. |
Policies/PasswordLength
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
Use essa configuração para configurar o comprimento da senha da conta de administrador local gerenciada.
Se não for especificada, essa configuração será padrão para 14 caracteres.
Essa configuração tem um valor mínimo permitido de 8 caracteres.
Essa configuração tem um valor máximo permitido de 64 caracteres.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valores Permitidos | Gama: [8-64] |
Valor Padrão | 14 |
Dependência [PasswordComplexity] | Tipo de dependência: DependsOn URI de dependência: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valor permitido de dependência: [1-5] Tipo de valor permitido de dependência: Range |
Policies/PostAuthenticationActions
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
Use essa configuração para especificar as ações a serem executadas após a expiração do período de carência configurado.
Se não for especificada, essa configuração será padrão para 3 (Redefinir a senha e logoff da conta gerenciada).
Importante
As ações de pós-autenticação permitidas destinam-se a ajudar a limitar o tempo que uma senha laps pode ser usada antes de ser redefinida. O registro em log da conta gerenciada - ou a reinicialização do dispositivo - são opções para ajudar a garantir isso. O término abrupto das sessões de logon ou a reinicialização do dispositivo podem resultar em perda de dados.
Importante
De uma perspectiva de segurança, um usuário mal-intencionado que adquire privilégios administrativos em um dispositivo usando uma senha laps válida tem a capacidade final de impedir ou contornar esses mecanismos.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valor Padrão | 3 |
Valores Permitidos:
Valor | Descrição |
---|---|
1 | Redefinir senha: após o término do período de carência, a senha da conta gerenciada será redefinida. |
3 (Padrão) | Redefinir a senha e logoff da conta gerenciada: após o término do período de carência, a senha da conta gerenciada será redefinida e todas as sessões de logon interativas usando a conta gerenciada serão encerradas. |
5 | Redefinir a senha e a reinicialização: após o término do período de carência, a senha da conta gerenciada será redefinida e o dispositivo gerenciado será imediatamente reiniciado. |
11 | Redefinir a senha, logoff da conta gerenciada e encerrar todos os processos restantes: após a expiração do período de carência, a senha da conta gerenciada é redefinida, todas as sessões de logon interativas usando a conta gerenciada são registradas e todos os processos restantes são encerrados. |
Policies/PostAuthenticationResetDelay
Escopo | Edições | Sistema operacional aplicável |
---|---|---|
Dispositivo ✅ Usuário ❌ |
Pro ✅ Corporativo ✅ Educação ✅ Windows SE ✅ Empresa de Internet das Coisas / LTSC Empresa Internet das Coisas ✅ |
✅ [10.0.20348.1663] e posterior ✅Windows 10, versão 1809 [10.0.17763.4244] e posterior ✅Windows 10, versão 2004 [10.0.19041.2784] e posterior ✅Windows 11, versão 21H2 [10.0.22000.1754] e posterior ✅Windows 11, versão 22H2 [10.0.22621.1480] e posterior ✅Windows Insider Preview [10.0.25145] |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
Use essa configuração para especificar a quantidade de tempo (em horas) para aguardar após uma autenticação antes de executar as ações pós-autenticação especificadas.
Se não for especificada, essa configuração será padrão para 24 horas.
Essa configuração tem um valor mínimo permitido de 0 horas (isso desabilita todas as ações pós-autenticação).
Essa configuração tem um valor máximo permitido de 24 horas.
Propriedades da estrutura de descrição:
Nome da propriedade | Valor de propriedade |
---|---|
Formato | int |
Tipo de acesso | Adicionar, Excluir, Obter, Substituir |
Valores Permitidos | Gama: [0-24] |
Valor Padrão | 24 |
Aplicabilidade de configurações
O CSP laps pode ser usado para gerenciar dispositivos que são unidos ao Microsoft Entra ID ou unidos ao Microsoft Entra ID e ao Active Directory (híbrido-ingressado). O CSP laps gerencia uma combinação de configurações somente Microsoft Entra e somente AD. As configurações somente do AD são aplicáveis somente para dispositivos híbridos e, em seguida, somente quando o BackupDirectory é definido como 2.
Nome da configuração | Ingressado no Azure | Ingressado em híbrido |
---|---|---|
Backupdirectory | Sim | Sim |
PasswordAgeDays | Sim | Sim |
PasswordLength | Sim | Sim |
PasswordComplexity | Sim | Sim |
PasswordExpirationProtectionEnabled | Não | Sim |
AdministratorAccountName | Sim | Sim |
ADPasswordEncryptionEnabled | Não | Sim |
ADPasswordEncryptionPrincipal | Não | Sim |
ADEncryptedPasswordHistorySize | Não | Sim |
PostAuthenticationResetDelay | Sim | Sim |
PostAuthenticationActions | Sim | Sim |
Resetpassword | Sim | Sim |
ResetPasswordStatus | Sim | Sim |
Exemplos de SyncML
Os exemplos a seguir são fornecidos para mostrar o formato correto e não devem ser considerados como uma recomendação.
Senha de backup de dispositivo ingressada no Azure até Microsoft Entra ID
Este exemplo mostra como configurar um dispositivo ingressado no Azure para fazer backup de sua senha para Microsoft Entra ID:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Senha de backup de dispositivo ingressado híbrido no Active Directory
Este exemplo mostra como configurar um dispositivo híbrido para fazer backup de sua senha para o Active Directory com criptografia de senha habilitada:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Artigos relacionados
Comentários
https://aka.ms/ContentUserFeedback.
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulteEnviar e exibir comentários de