O que é o Windows LAPS?
A LAPS (Solução de Senha de Administrador Local) do Windows é um recurso do Windows que gerencia e faz backup automaticamente da senha de uma conta de administrador local em seus dispositivos ingressados no Microsoft Entra ou no Windows Server Active Directory. Você também pode usar o Windows LAPS para gerenciar e fazer backup automático da senha da conta do DSRM (Modo de Restauração dos Serviços de Diretório) em seus controladores de domínio do Windows Server Active Directory. Um administrador autorizado pode recuperar a senha DSRM e usá-la.
Plataformas com suporte do Windows LAPS
O LAPS do Windows já está disponível nas seguintes plataformas do sistema operacional com a atualização especificada ou instalada posteriormente:
- Windows 11 22H2 – Atualização de 11 de abril de 2023
- Windows 11 21H2 – Atualização de 11 de abril de 2023
- Windows 10 – Atualização de 11 de abril de 2023
- Windows Server 2022 – Atualização de 11 de abril de 2023
- Windows Server 2019 – Atualização de 11 de abril de 2023
Todas as edições com suporte das plataformas acima foram atualizadas com a LAPS do Windows, incluindo as edições LTSC. A introdução do recurso LAPS do Windows não modifica de maneira alguma as políticas padrão de ciclo de vida do produto da Microsoft.
Windows LAPS e Microsoft Entra ID
O Windows LAPS com o suporte ao Microsoft Entra ID e ao Microsoft Intune agora está em Disponibilidade Geral a partir de 23 de outubro de 2023. Para obter mais informações, consulte Solução de Senha do Administrador Local do Windows com o Microsoft Entra ID, agora em Disponibilidade Geral., e Solução de Senha do Administrador Local do Windows no Microsoft Entra ID.
Benefícios de usar a LAPS do Windows
Use a LAPS do Windows para girar e gerenciar regularmente as senhas da conta de administrador local e obter estes benefícios:
- Proteção contra ataques pass-the-hash e lateral-traversal
- Segurança aprimorada para cenários de suporte técnico remoto
- Capacidade de entrar e recuperar dispositivos que, de outra forma, estão inacessíveis
- Um modelo de segurança refinado (listas de controle de acesso e criptografia de senha opcional) para proteger senhas armazenadas no Windows Server Active Directory
- Suporte ao modelo de controle de acesso baseado em função do Entra para proteger senhas armazenadas no Microsoft Entra ID
Vídeos informativos
Os vídeos a seguir oferecem uma maneira informativa de saber mais sobre o recurso do Windows LAPS.
Apresentação de decolagem técnica do Windows (novembro de 2022):
Discussão do Windows Tackling Tech (agosto de 2023):
Principais cenários do Windows LAPS
Você pode usar a LAPS do Windows para vários cenários principais:
Fazer backup de senhas de contas de administrador local no Microsoft Entra ID (para dispositivos ingressados no Microsoft Entra)
Fazer backup de senhas de conta de administrador local para o Windows Server Active Directory (para clientes e servidores ingressados no Windows Server Active Directory)
Fazer backup de senhas de conta DSRM para o Windows Server Active Directory (para controladores de domínio do Windows Server Active Directory)
Fazer backup de senhas de conta de administrador local para o Windows Server Active Directory usando a LAPS da Microsoft herdada
Em cada cenário, você pode aplicar configurações de política diferentes.
Entender as restrições de estado de junção do dispositivo
Se um dispositivo está ingressado no Microsoft Entra ID ou o Windows Server Active Directory determina como você pode usar a LAPS do Windows.
Os dispositivos que ingressaram somente no Microsoft Entra ID podem fazer backup de senhas somente no Microsoft Entra ID.
Os dispositivos ingressados apenas no Windows Server Active Directory podem fazer backup de senhas apenas para o Windows Server Active Directory.
Os dispositivos ingressados de forma híbrida (no Microsoft Entra ID e no Windows Server Active Directory) podem fazer backup de suas senhas no Microsoft Entra ID ou no Windows Server Active Directory. Não é possível fazer backup de senhas no Microsoft Entra ID e no Windows Server Active Directory.
A LAPS do Windows não oferece suporte a clientes ingressados no local de trabalho do Microsoft Entra.
Definir a política da LAPS do Windows
Você tem várias opções para configurar e gerenciar a política para sua implantação da LAPS do Windows:
- CSP (provedor de serviços de configuração) da LAPS do Windows
- Política de Grupo da LAPS do Windows
- Microsoft LAPS herdado
Gerenciar e monitorar a LAPS do Windows
Você também tem várias opções para gerenciar e monitorar a LAPS do Windows.
As opções para Windows incluem:
- A caixa de diálogo Propriedades de Usuários e Computadores do Windows Server Active Directory
- Um canal de log de eventos dedicado
- Um módulo do Windows PowerShell específico da LAPS do Windows
As soluções de monitoramento e relatório baseadas no Azure estão disponíveis quando você faz backup de senhas no Microsoft Entra ID.
Reprovação do produto herdado LAPS da Microsoft
Importante
OBSERVAÇÃO: o produto herdado Microsoft LAPS é preterido desde o Windows 11 23 H2 em diante. A instalação do pacote herdado do MSI do LAPS da Microsoft está bloqueada nas versões mais recentes do sistema operacional, e a Microsoft deixará de considerar as alterações de código para o produto herdado LAPS da Microsoft.
Use o LAPS do Windows, disponível no Windows Server 2019 e superior, e nos clientes Windows 10 e Windows 11 com suporte, para gerenciar as senhas de contas de administrador local.
A Microsoft continuará dando suporte ao produto herdado LAPS da Microsoft em versões mais antigas do Windows (anteriores ao Windows 11 23 H2) nos quais ele tinha suporte. Esse suporte terminará no fim normal do suporte para esses sistemas operacionais.
LAPS do Windows vs. LAPS herdadas da Microsoft
A LAPS do Windows herda muitos conceitos de design da LAPS herdada da Microsoft. Se você estiver familiarizado com a LAPS herdada da Microsoft, muitos recursos da LAPS do Windows são familiares. Uma diferença importante é que a LAPS do Windows é uma implementação totalmente separada que é nativa do Windows. A LAPS do Windows também adiciona muitos recursos que não estão disponíveis da LAPS herdada da Microsoft. Você pode usar a LAPS do Windows para fazer backup de senhas no Azure Active Directory, criptografar senhas no Windows Server Active Directory e armazenar seu histórico de senhas.
Importante
A LAPS do Windows não exige que você instale a LAPS herdada da Microsoft. Você pode implantar e usar totalmente todos os recursos da LAPS do Windows sem instalar ou fazer referência à LAPS herdada da Microsoft. Mas para ajudar a migrar uma implantação da LAPS herdada da Microsoft existente, a LAPS do Windows oferece o modo de emulação da LAPS herdada da Microsoft.
Importante
O produto herdado LAPS da Microsoft foi preterido nas versões mais recentes do sistema operacional da Microsoft. Confira Reprovação do produto herdado LAPS da Microsoft.
Declaração de suporte
A Microsoft lançou o produto LAPS do Microsoft herdada no ano civil de 2016 no Centro de Download da Microsoft. O Windows LAPS foi fornecido como parte das Atualizações do Windows lançadas em 11 de abril de 2023 para as plataformas listadas no Windows LAPS e no Microsoft Entra ID.
A Microsoft e a respectiva organização de entrega de suporte oferecem suporte assistido para a LAPS do Microsoft e a LAPS do Windows, incluindo a interoperabilidade entre os dois produtos.
Importante
O produto herdado LAPS da Microsoft foi preterido nas versões mais recentes do sistema operacional da Microsoft. Confira Reprovação do produto herdado LAPS da Microsoft.
A Microsoft recomenda fortemente que os clientes comecem a planejar agora a migração de sistemas compatíveis com a LAPS do Windows do uso da LAPS da Microsoft herdada para o novo recurso LAPS do Windows. A LAPS do Windows oferece muitos recursos novos de segurança e melhor manutenção de produtos.
Perguntas sobre limitações e/ou preocupações sobre interoperabilidade entre as ferramentas de gerenciamento de senhas de contas locais de terceiros e a LAPS do Windows devem ser encaminhadas para o desenvolvedor de aplicativos de terceiros e não para a Microsoft.
Requisitos de licenciamento
O recurso LAPS do Windows em si está disponível gratuitamente em todas as plataformas Windows com suporte.
Você pode fazer backup de senhas em seu Active Directory local sem outros requisitos de licenciamento.
Você pode fazer backup de senhas no Microsoft Entra ID com uma licença gratuita do Microsoft Entra ID ou superior.
Outros recursos relacionados ao Azure ou ao Intune podem ter outros requisitos de licenciamento.
Enviar comentários
Deseja enviar comentários? Fique à vontade para enviar perguntas específicas sobre a documentação por meio dos links de Comentários na parte inferior dessas páginas de documentação .
Você também pode enviar comentários e outras solicitações por meio de comentários da LAPS do Windows na página da comunidade técnica.
Se os seus comentários forem específicos da funcionalidade da LAPS relacionada ao Microsoft Entra ID ou ao Intune, envie-os pelo fórum de comentários do Microsoft Entra.
Se você não tiver certeza sobre o destino dos seus comentários, envie-os usando qualquer uma das opções acima.
Confira também
- Introdução à Solução de Senha de Administrador Local do Windows no Microsoft Entra ID
- Solução de senha do administrador local do Windows no Microsoft Entra ID
- Solução de senha do administrador local do Windows com o Microsoft Entra ID agora em disponibilidade geral!
- Solução de senha do administrador local do Windows no Microsoft Entra ID.
- Microsoft Intune suporte para o Windows LAPS
- CSP da LAPS do Windows
- Diretrizes de solução de problemas da LAPS do Windows
- Referência do módulo LAPS do PowerShell
- Microsoft LAPS herdado