Gerir a política de LAPS do Windows com o Microsoft Intune

Quando estiver pronto para gerir a Solução de Palavra-passe de Administrador Local do Windows (Windows LAPS) em dispositivos Windows que gere com o Microsoft Intune, as informações neste artigo podem ajudá-lo a utilizar o centro de administração do Intune para:

  • Crie e atribua a política laps do Intune aos dispositivos.
  • Veja os detalhes da conta de administrador local de um dispositivo.
  • Rode manualmente a palavra-passe da conta gerida.
  • Utilize relatórios sobre a política laps.

Antes de criar políticas, familiarize-se com as informações no suporte do Microsoft Intune para a LAPS do Windows, que inclui:

  • Uma descrição geral das capacidades e políticas da LAPS do Windows do Intune.
  • Os pré-requisitos para utilizar políticas do Intune para LAPS.
  • As permissões de controlo de administração baseado em funções (RBAC) que a sua conta precisa de ter para gerir a política laps.
  • Perguntas mais frequentes que podem fornecer informações sobre como configurar e utilizar a política laps do Intune.

Aplicável a:

  • Windows 10
  • Windows 11

Acerca da política de LAPS do Intune

O Intune fornece suporte para configurar a LAPS do Windows em dispositivos através do perfil solução de palavra-passe de administrador local (Windows LAPS), disponível através de políticas de segurança de ponto final para proteção de conta.

As políticas do Intune gerem a LAPS com o fornecedor de serviços de configuração (CSP) da LAPS do Windows. As configurações do CSP da LAPS do Windows têm precedência e substituem todas as configurações existentes de outras origens laps, como GPOs ou a ferramenta Legacy Microsoft LAPS .

O Windows LAPS permite a gestão de uma única conta de administrador local por dispositivo. A política do Intune pode especificar a conta de administrador local a que se aplica ao utilizar a definição de política Nome da Conta de Administrador. Se o nome da conta especificado na política não estiver presente no dispositivo, nenhuma conta é gerida. No entanto, quando o Nome da Conta de Administrador é deixado em branco, a política é predefinida para a conta de administrador local incorporada dos dispositivos que é identificada pelo respetivo identificador relativo (RID) conhecido.

Observação

Certifique-se de que os pré-requisitos do Intune para suportar o Windows LAPS no seu inquilino são cumpridos antes de criar políticas.

As políticas laps do Intune não criam novas contas ou palavras-passe. Em vez disso, gerem uma conta que já se encontra no dispositivo.

Configure e atribua políticas laps cuidadosamente. O CSP da LAPS do Windows suporta uma única configuração para cada definição de LAPS num dispositivo. Os dispositivos que recebem várias políticas do Intune que incluem definições em conflito podem não conseguir processar a política. Os conflitos também podem impedir a cópia de segurança da conta de administrador local gerida e a palavra-passe para o Diretório de inquilinos.

Para ajudar a reduzir potenciais conflitos, recomendamos que atribua uma única política laps a cada dispositivo através de grupos de dispositivos e não através de grupos de utilizadores. Embora a política laps suporte atribuições de grupos de utilizadores, podem resultar num ciclo de alteração das configurações de LAPS sempre que um utilizador diferente inicia sessão num dispositivo. A alteração frequente das políticas pode introduzir conflitos, falta de conformidade do dispositivo com os requisitos e criar confusão em torno da conta de administrador local a partir de um dispositivo que está a ser gerida atualmente.

Criar uma política laps

Importante

Certifique-se de que ativou a LAPS no Microsoft Entra, conforme abrangido na documentação Enabling Windows LAPS with Microsoft Entra ID (Ativar o Windows LAPS com o Microsoft Entra ID ).

Para criar ou gerir a política laps, a sua conta tem de ter direitos aplicáveis na categoria de linha de base Segurança . Por predefinição, estas permissões estão incluídas na função incorporada Endpoint Security Manager. Para utilizar funções personalizadas, certifique-se de que a função personalizada inclui os direitos da categoria Linhas de base de segurança. Veja Controlos de acesso baseados em funções para LAPS.

Antes de criar uma política, pode rever os detalhes sobre as definições disponíveis na documentação do CSP do Windows LAPS .

  1. Inicie sessão no centro de administração do Microsoft Intune , aceda a Endpoint security>Account protection e, em seguida, selecione Criar Política.

    Captura de ecrã que mostra onde, no centro de administração, cria uma política laps.

    Defina a Plataforma como Windows 10 e posterior, Perfil como Solução de palavra-passe de administrador local (LAPS do Windows) e, em seguida, selecione Criar.

  2. Em Noções básicas, introduza as seguintes propriedades:

    • Nome: insira um nome descritivo para o perfil. Atribua um nome aos perfis para que possa identificá-los facilmente mais tarde.
    • Descrição: insira uma descrição para o perfil. Essa configuração é opcional, mas recomendada.
  3. Em Definições de configuração, configure uma opção para o Diretório de Cópia de Segurança para definir o tipo de Diretório a utilizar para criar uma cópia de segurança da conta de administrador local. Também pode optar por não criar uma cópia de segurança de uma conta e palavra-passe. O tipo de Diretório também determina que definições adicionais estão disponíveis nesta política.

    Captura de ecrã que mostra as opções para a definição Diretório de Cópia de Segurança.

    Importante

    Ao configurar uma política, tenha em atenção que o tipo de diretório de cópia de segurança na política tem de ser suportado pelo tipo de associação do dispositivo ao qual a política está atribuída. Por exemplo, se definir o diretório para o Active Directory e o dispositivo não estiver associado a um domínio (mas um membro do Microsoft Entra), o dispositivo pode aplicar as definições de política do Intune sem erros, mas a LAPS no dispositivo não conseguirá utilizar essa configuração com êxito para fazer uma cópia de segurança da conta.

    Depois de configurar o Diretório de Cópia de Segurança, reveja e configure as definições disponíveis para satisfazer os requisitos da sua organização.

  4. Na página Marcas de escopo, selecione todas as marcas de escopo desejadas a aplicar e selecione Próximo.

  5. Para Atribuições, selecione os grupos a receber esta política. Recomendamos que atribua a política LAPS a grupos de dispositivos. As políticas atribuídas a grupos de utilizadores seguem um utilizador de dispositivo para dispositivo. Quando o utilizador de um dispositivo é alterado, pode aplicar-se uma nova política ao dispositivo e introduzir um comportamento inconsistente, incluindo a conta em que o dispositivo faz uma cópia de segurança ou quando a palavra-passe das contas geridas é rodada em seguida.

    Observação

    Tal como acontece com todas as políticas do Intune, quando uma nova política se aplica a um dispositivo, o Intune tenta notificar esse dispositivo para dar entrada e processar a política.

    Até que um dispositivo faça o check-in com êxito com o Intune e processe com êxito a política laps, os dados sobre a conta de administrador local gerida não estarão disponíveis para visualizar ou gerir a partir do centro de administração.

    Para obter mais informações sobre a atribuição de perfis, consulte Atribuir perfis de usuário e dispositivo.

  6. Em Rever + criar, reveja as suas definições e, em seguida, selecione Criar. Quando você seleciona Criar, suas alterações são salvas e o perfil é atribuído. A política também é apresentada na lista de políticas.

Ver estado das ações do dispositivo

Quando a sua conta tiver permissões equivalentes às permissões de Linhas de base de segurança que concedem direitos a todos os modelos de política na carga de trabalho de segurança do Ponto final, pode utilizar o centro de administração do Intune para ver o estado das ações do dispositivo pedidas para o dispositivo.

Para obter mais informações, veja Controlos de acesso baseados em funções para LAPS.

  1. No centro de administração do Microsoft Intune, aceda a Dispositivos>Todos os dispositivos e selecione um dispositivo que tenha uma política laps que faça uma cópia de segurança de uma conta de administrador local. O Intune apresenta o painel Descrição Geral dos dispositivos.

  2. No painel Descrição Geral do dispositivo, pode ver o estado Ações do dispositivo. As ações pedidas anteriormente e as ações pendentes são apresentadas, incluindo a hora do pedido e se a ação falhou ou foi bem-sucedida. Na captura de ecrã de exemplo seguinte, um dispositivo teve a palavra-passe da conta de Administrador Local rodada com êxito.

    Captura de ecrã do estado das ações do dispositivo para um dispositivo, com uma ação concluída e uma ação atual pendente.

  3. Selecionar uma ação na lista abre o painel Estado da ação do dispositivo , que pode apresentar detalhes adicionais sobre essa ação.

Ver detalhes da conta e da palavra-passe

Para ver os detalhes da conta e da palavra-passe, uma conta tem de ter uma das seguintes permissões do Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Utilize os seguintes métodos para conceder às contas estas permissões:

Crie e atribua uma função personalizada no Microsoft Entra ID que conceda estas permissões. Consulte Criar e atribuir uma função personalizada no Microsoft Entra ID na documentação do Microsoft Entra.

Para obter mais informações, veja Controlos de acesso baseados em funções para LAPS.

  1. No centro de administração do Microsoft Intune, aceda a Dispositivos>Todos os dispositivos> selecione um dispositivo Windows para abrir o painel Descrição geral.

    No painel de descrição geral, pode ver os dispositivos Estado das ações do dispositivo. O estado apresenta ações atuais e anteriores, como a rotação de palavras-passe.

  2. No painel Descrição Geral dos dispositivos, abaixo de Monitor , selecione Palavra-passe de administrador local. Se a sua conta tiver permissões suficientes, é aberto o painel Palavra-passe de administrador local do dispositivo, que é a mesma vista disponível no portal do Azure.

    Captura de ecrã que mostra o painel de palavras-passe de administrador local de um dispositivo Windows.

    As seguintes informações podem ser vistas a partir do centro de administração. No entanto, a palavra-passe de administrador local só pode ser visualizada quando a conta tiver sido efetuada uma cópia de segurança para o Microsoft Entra. Não é possível vê-la para uma conta com cópia de segurança para um Active Directory no local (Windows Server Active Directory):

    • Nome da conta – o nome da conta de administrador local que foi criada uma cópia de segurança do dispositivo.
    • ID de Segurança – o SID conhecido para a conta que é criada uma cópia de segurança do dispositivo.
    • Palavra-passe de administrador local – ocultada por predefinição. Se a sua conta tiver permissão, pode selecionar Mostrar para revelar a palavra-passe. Em seguida, pode utilizar a opção Copiar para copiar a palavra-passe para a área de transferência. Estas informações não estão disponíveis para dispositivos que efetuem cópias de segurança para um Active Directory no local.
    • Última rotação de palavras-passe – em UTC, a data e hora em que a palavra-passe foi alterada ou rodada pela última vez pela política.
    • Rotação de palavra-passe seguinte – em UTC, a próxima data e hora em que a palavra-passe será rodada por política.

Seguem-se considerações sobre a visualização de uma conta de dispositivos e informações de palavra-passe:

  • A obtenção (visualização) da palavra-passe de uma conta de administrador local aciona um evento de auditoria.

  • Não pode ver os detalhes da palavra-passe para os seguintes dispositivos:

    • Dispositivos com a respetiva conta de administrador local efetuadas cópias de segurança para um Active Directory no local
    • Dispositivos que estão definidos para utilizar o Active Directory para fazer uma cópia de segurança da palavra-passe da conta.

Rodar palavras-passe manualmente

A política laps inclui uma agenda para rodar automaticamente as palavras-passe da conta. Além de uma rotação agendada, pode utilizar a ação de dispositivo do Intune rodar a palavra-passe de administrador local para rodar manualmente uma palavra-passe de dispositivos, independentemente da agenda de rotação definida pela Política laps dos dispositivos.

Para utilizar esta ação de dispositivo, a sua conta tem de ter as três seguintes permissões do Intune:

  • Dispositivos geridos: Leitura
  • Organização: Leitura
  • Tarefas remotas: Rodar a Palavra-passe de Administrador Local

Veja Controlos de acesso baseados em funções para LAPS.

Para rodar uma palavra-passe

  1. No centro de administração do Microsoft Intune, aceda a Dispositivos>Todos os dispositivos e selecione o dispositivo Windows com a conta que pretende rodar.

  2. Durante a visualização dos detalhes do dispositivo, expanda as reticências (...) no lado direito da barra de menus para revelar as opções disponíveis e, em seguida, selecione Rodar Palavra-passe de administrador local.

    Captura de ecrã das opções de menu expandidas para ações do dispositivo.

  3. Quando seleciona Rodar palavra-passe de administrador local, o Intune apresenta um aviso que requer confirmação antes de a palavra-passe ser rodada.

    Depois de confirmar a intenção de rodar a palavra-passe, o Intune inicia o processo, que pode demorar alguns minutos a concluir. Durante este período, o painel de detalhes do dispositivo apresenta uma faixa e um estado Ações do dispositivo que indicam que a ação está Pendente.

Após uma rotação bem-sucedida, a confirmação estará visível no estado Ações do dispositivo como Concluído.

Seguem-se considerações sobre a rotação manual de palavras-passe:

  • A ação Rodar palavra-passe de administrador local do dispositivo está disponível para todos os dispositivos Windows, mas qualquer dispositivo que não tenha feito uma cópia de segurança da conta e os dados da palavra-passe não conseguirão concluir um pedido rotativo.

  • Cada tentativa de rotação manual resulta num evento de auditoria. As rotações de palavras-passe agendadas também registam um evento de auditoria.

  • Quando uma palavra-passe é rodada manualmente, é reposta a hora para a próxima rotação agendada de palavras-passe. O tempo para a rotação agendada seguinte é gerido através da definição PasswordAgeDays na política LAPS.

    Eis como isto funciona: um dispositivo recebe uma política a 1 de março, que define PasswordAgeDays para 10 dias. O resultado é que o dispositivo irá rodar automaticamente a palavra-passe após 10 dias, a 11 de março. No dia 5 de março, um administrador roda manualmente a palavra-passe desse dispositivo e a ação que repõe a data de início de PasswordAgeDays para 5 de março. Como resultado, o dispositivo irá agora rodar automaticamente a palavra-passe 10 dias depois, a 15 de março.

  • Para dispositivos associados ao Microsoft Entra, o dispositivo tem de estar online no momento em que a rotação manual é pedida. Se o dispositivo não estiver online no momento do pedido, tal resultará numa falha.

  • A rotação de palavras-passe não é suportada como Ação em Massa. Só pode rodar um único dispositivo de cada vez.

Evitar conflitos de políticas

Os detalhes seguintes podem ajudá-lo a evitar conflitos e a compreender o comportamento esperado dos dispositivos geridos pela política laps.

Quando é atribuída uma política com êxito a um dispositivo com uma política com êxito, são atribuídas duas ou mais políticas que introduzem um conflito:

  • As definições que estavam a ser utilizadas no dispositivo permanecem no dispositivo no último valor definido. Ambas as políticas, as originais e as novas, comunicam como estando em conflito.
  • Para resolver o conflito, remova as atribuições de políticas até que a política em conflito não se aplique ou reconfigure as políticas aplicáveis para definir a mesma configuração, removendo o conflito.

Quando um dispositivo que não tem uma política laps recebe duas políticas em conflito ao mesmo tempo:

  • As definições não são enviadas para o dispositivo e ambas as políticas são comunicadas como tendo conflitos.
  • Enquanto um conflito permanece, as definições das políticas não se aplicam ao dispositivo.

Para resolver conflitos, tem de remover as atribuições de políticas do dispositivo ou reconfigurar as definições nas políticas aplicáveis até que não existam mais conflitos.

Próximas etapas