Compatibilidad de Microsoft Intune con Windows LAPS

Cada máquina Windows tiene una cuenta de administrador local integrada que no se puede eliminar y que tiene permisos completos para el dispositivo. Proteger esta cuenta es un paso importante para proteger la organización. Los dispositivos Windows incluyen la Solución de contraseñas de administrador local (LAPS) de Windows, una solución integrada que ayuda a administrar las cuentas de administrador local.

Puede usar directivas de seguridad de puntos de conexión de Microsoft Intune para la protección de cuentas para administrar LAPS en dispositivos que se han inscrito con Intune. Las directivas de Intune pueden:

• Aplicación de los requisitos de contraseña para las cuentas de administrador local
• Copia de seguridad de una cuenta de administrador local desde dispositivos a Active Directory (AD) o Microsoft Entra
• Programe la rotación de esas contraseñas de cuenta para protegerlas.

También puede ver detalles sobre las cuentas de administrador local administradas en el centro de Administración de Intune y rotar manualmente sus contraseñas de cuenta fuera de una rotación programada.

El uso de directivas LAPS de Intune le ayuda a proteger los dispositivos Windows de ataques destinados a aprovechar las cuentas de usuario locales, como los ataques de paso a hash o de recorrido lateral. La administración de LAPS con Intune también puede ayudar a mejorar la seguridad de los escenarios remotos del departamento de soporte técnico y a recuperar los dispositivos que, de lo contrario, no son accesibles.

La directiva LAPS de Intune administra la configuración disponible en el CSP de LAPS de Windows. El uso de INTUNE del CSP reemplaza el uso de Microsoft LAPS heredado u otras soluciones de administración de LAPS, con CSP basado en tener prioridad sobre otros orígenes de administración de LAPS.

La compatibilidad de Intune con Windows LAPS incluye las siguientes funcionalidades:

• Establecer requisitos de contraseña : defina los requisitos de contraseña, incluida la complejidad y la longitud de la cuenta de administrador local en un dispositivo.
• Rotar contraseñas : con la directiva, puede hacer que los dispositivos giren automáticamente las contraseñas de la cuenta de administrador local según una programación. También puede usar el Centro de administración de Intune para girar manualmente la contraseña de un dispositivo como una acción de dispositivo.
• Cuentas de copia de seguridad y contraseñas: puede elegir que los dispositivos realicen una copia de seguridad de su cuenta y contraseña en Microsoft Entra id. en la nube o en el Active Directory local. Las contraseñas se almacenan mediante cifrado seguro.
• Administración automática de cuentas (compatible con Windows 11 24H2 y versiones posteriores): simplifique la administración de la cuenta de administrador integrada o una cuenta personalizada que especifique. Las opciones de administración automática de cuentas admiten la deshabilitación o habilitación de la cuenta especificada y la aleatoriedad del nombre o prefijo de la cuenta. El uso de la administración automática de cuentas también amplía la protección contra manipulación de cuentas LAPS.
• Configurar acciones posteriores a la autenticación : defina las acciones que realiza un dispositivo cuando expire su contraseña de cuenta de administrador local. Las acciones van desde el restablecimiento de la cuenta administrada hasta el uso de una nueva contraseña segura, el registro de la cuenta o la realización de ambas acciones y, a continuación, el apagado del dispositivo. También puede administrar cuánto tiempo espera el dispositivo después de que expire la contraseña antes de realizar estas acciones.
• Ver detalles de la cuenta : los administradores de Intune con permisos de control administrativo basado en rol (RBAC) suficientes pueden ver información sobre una cuenta de administrador local de dispositivos y su contraseña actual. También puede ver cuándo se realizó la última rotación (restablecimiento) de esa contraseña y cuándo está programada para girar.
• Ver informes : Intune proporciona informes sobre la rotación de contraseñas, incluidos detalles sobre la rotación manual y programada de contraseñas pasada.

Para obtener más información sobre Windows LAPS con más detalle, comience con los siguientes artículos de la documentación de Windows:

• ¿Qué es Windows LAPS? – Introducción a Windows LAPS y el conjunto de documentación de Windows LAPS.
• CSP de Windows LAPS : vea los detalles completos de la configuración y las opciones de LAPS. La directiva de Intune para LAPS usa esta configuración para configurar el CSP de LAPS en los dispositivos.

Se aplica a:

• Windows

Requisitos previos

A continuación se indican los requisitos para que Intune admita Windows LAPS en el inquilino:

Requisitos de licencias

• Suscripción a - IntunePlan 1 de Microsoft Intune, que es la suscripción básica de Intune. También puede usar Windows LAPS con una suscripción de prueba gratuita para Intune.

• Microsoft Entra ID: Microsoft Entra id. gratis, que es la versión gratuita del identificador de Microsoft Entra que se incluye al suscribirse a Intune. Con Microsoft Entra id. gratis, puede usar todas las características de LAPS.

Compatibilidad con Active Directory

La directiva de Intune para Windows LAPS puede configurar un dispositivo para realizar una copia de seguridad de una cuenta de administrador local y una contraseña en uno de los siguientes tipos de directorio:

• Nube: la nube admite la copia de seguridad en el identificador de Microsoft Entra para los siguientes escenarios:

  • Unión híbrida a Microsoft Entra

  • Unión a Microsoft Entra

    La compatibilidad con Microsoft Entra unión requiere que habilite LAPS en el identificador de Microsoft Entra. Los pasos siguientes pueden ayudarle a completar esta configuración. Para un contexto más amplio, vea estos pasos en la documentación de Microsoft Entra en Habilitación de Windows LAPS con Microsoft Entra ID. Microsoft Entra unión híbrida no requiere que LAPS se habilite en Microsoft Entra.

    Habilite LAPS en Microsoft Entra:

    1. Inicie sesión en el centro de administración de Microsoft Entra como administrador de dispositivos en la nube.
    2. Vaya a IdentityDevicesOverviewDevice settings (Informacióngeneral> sobre dispositivos > de identidad > configuración del dispositivo).
    3. Seleccione Sí en la opción Habilitar solución de contraseña de administrador local (LAPS) y seleccione Guardar. También puede usar microsoft Graph API update deviceRegistrationPolicy.

    Para obtener más información, vea Solución de contraseñas de administrador local de Windows en Microsoft Entra id. en la documentación de Microsoft Entra.

• Local: el entorno local admite la copia de seguridad en Windows Server Active Directory (Active Directory local).

  Importante

  LAPS en dispositivos Windows se puede configurar para usar un tipo de directorio u otro, pero no ambos. Tenga en cuenta también que el tipo de combinación de dispositivos debe admitir el directorio de copia de seguridad; si establece el directorio en un Active Directory local y el dispositivo no está unido a un dominio, acepta la configuración de directiva de Intune, pero LAPS no puede usar esa configuración correctamente.

Edición y plataforma de dispositivos

Los dispositivos pueden tener cualquier edición de Windows compatible con Intune, pero deben ejecutar una de las versiones siguientes para admitir el CSP de Windows LAPS:

• Windows 11, versión 22H2 (22621.1555 o posterior) con KB5025239
• Windows 11, versión 21H2 (22000.1817 o posterior) con KB5025224
• Windows 10, versión 22H2 (19045.2846 o posterior) con KB5025221
• Windows 10, versión 21H2 (19044.2846 o posterior) con KB5025221
• Windows 10, versión 20H2 (19042.2846 o posterior) con KB5025221
• Windows 10 Enterprise LTSC 2019 y versiones posteriores de LTSC

Compatibilidad con GCC High

La directiva de Intune para Windows LAPS es compatible con entornos de GCC High.

Controles de acceso basados en roles para LAPS

Para administrar LAPS, una cuenta debe tener suficientes permisos de control de acceso basado en rol (RBAC) para completar una tarea deseada. A continuación se muestran las tareas disponibles con sus permisos necesarios:

• Crear y acceder a la directiva LAPS : para trabajar con directivas LAPS y verlas, a su cuenta se le deben asignar los permisos suficientes de la categoría RBAC de Intune para las líneas base de seguridad. De forma predeterminada, se incluyen en el rol integrado De IntuneEndpoint Security Manager. Para usar roles RBAC personalizados de Intune, asegúrese de que el rol personalizado incluya los derechos de la categoría Líneas de base de seguridad .

• Rotación de la contraseña de administrador local : para usar el Centro de administración de Intune para ver o rotar una contraseña de cuenta de administrador local de dispositivos, se debe asignar a la cuenta los siguientes permisos de Intune:

  • Dispositivos administrados: Lectura

  • Organización: Leer

  • Tareas remotas: Rotar contraseña de Administración local

    Importante

    La acción Tareas remotas de Rotar contraseña de Administración local no se incluye en ningún rol integrado de Intune ni en el rol integrado Microsoft Entra del administrador de Intune. En su lugar, use un rol de Intune personalizado para asignar este permiso a los usuarios que deben tener esta funcionalidad.

• Recuperar contraseña de administrador local: para ver los detalles de la contraseña, la cuenta debe tener uno de los siguientes permisos de Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read para leer los metadatos y contraseñas de LAPS.
  • microsoft.directory/deviceLocalCredentials/standard/read para leer los metadatos de LAPS, excepto las contraseñas.

  Para crear roles personalizados que puedan conceder estos permisos, consulte Creación y asignación de un rol personalizado en Microsoft Entra id. en la documentación de Microsoft Entra.

• Ver Microsoft Entra registros de auditoría y eventos: para ver detalles sobre las directivas LAPS y las acciones recientes del dispositivo, como los eventos de rotación de contraseñas, la cuenta debe tener permisos equivalentes al rol integrado operador de solo lectura de Intune.

Para obtener más información sobre los roles integrados y los roles personalizados de Intune, consulte Control de acceso basado en rol para Microsoft Intune.

Arquitectura de LAPS

Para obtener información sobre la arquitectura de Windows LAPS, consulte Arquitectura de Windows LAPS en la documentación de Windows.

preguntas más frecuentes

¿Puedo usar la directiva LAPS de Intune para administrar cualquier cuenta de administrador local en un dispositivo?

Sí. La directiva LAPS de Intune se puede usar para administrar cualquier cuenta de administrador local en un dispositivo. Sin embargo, LAPS solo admite una cuenta por dispositivo:

• Cuando una directiva no especifica un nombre de cuenta, Intune administra la cuenta de administrador integrada predeterminada independientemente de su nombre actual en el dispositivo.
• Puede cambiar la cuenta que Intune administra para un dispositivo cambiando la directiva asignada del dispositivo o editando su directiva actual para especificar una cuenta diferente.
• Si se asignan dos directivas independientes a un dispositivo que especifica una cuenta diferente, se produce un conflicto que debe resolverse antes de que se pueda administrar la cuenta del dispositivo.

¿Qué ocurre si implemento la directiva LAPS con Intune en un dispositivo que ya tiene configuraciones de LAPS de un origen diferente?

La directiva basada en CSP de Intune invalida todos los demás orígenes de directiva LAPS, como los GPO o una configuración de Microsoft LAPS heredado. Para obtener más información, consulte Las raíces de directiva admitidas en la documentación de Windows LAPS.

¿Puede Windows LAPS crear cuentas de administrador locales en función del nombre de cuenta de administrador que se haya configurado mediante la directiva LAPS?

A partir de Windows 11 24H2, puede configurar Windows LAPS mediante el nuevo modo de administración automática de cuentas para administrar la cuenta de administrador local integrada o crear una nueva cuenta personalizada que luego administre. En las versiones de Windows de nivel inferior, Windows LAPS solo puede administrar las cuentas que ya existen en el dispositivo.

¿Gira Windows LAPS y hace una copia de seguridad de la contraseña de un dispositivo que está deshabilitado en Microsoft Entra?

No. Windows LAPS requiere que el dispositivo esté en un estado habilitado antes de que se puedan aplicar las operaciones de rotación y copia de seguridad de contraseñas.

¿Qué ocurre cuando se elimina un dispositivo en Microsoft Entra?

Cuando se elimina un dispositivo en Microsoft Entra, se pierde la credencial LAPS asociada a ese dispositivo y se pierde la contraseña almacenada en Microsoft Entra id. A menos que tenga un flujo de trabajo personalizado para recuperar contraseñas LAPS y almacenarlas externamente, no hay ningún método en Microsoft Entra id. para recuperar la contraseña administrada de LAPS para un dispositivo eliminado.

¿Qué roles se necesitan para recuperar contraseñas de LAPS?

Los siguientes roles de Microsoft Entra integrados tienen permiso para recuperar contraseñas de LAPS: Administrador de dispositivos en la nube y Administrador de Intune.

¿Qué roles se necesitan para leer los metadatos de LAPS?

Se admiten los siguientes roles de Microsoft Entra integrados para ver los metadatos sobre LAPS, incluidos el nombre del dispositivo, la última rotación de contraseñas y la siguiente rotación de contraseñas:

• Lector de seguridad

También puede usar los siguientes roles:

• Administrador de dispositivos en la nube
• Administrador de Intune
• Administrador del departamento de soporte técnico
• Administrador de seguridad

¿Por qué el botón Contraseña de administrador local está atenuado e inaccesible?

Actualmente, el acceso a esta área requiere el permiso Rotación de la contraseña de administrador local de Intune. Consulte Control de acceso basado en rol para Microsoft Intune.

¿Qué ocurre cuando se cambia la cuenta especificada por la directiva?

Dado que Windows LAPS solo puede administrar una cuenta de administrador local en un dispositivo a la vez, la cuenta original ya no se administra mediante la directiva LAPS. Si la directiva tiene la copia de seguridad del dispositivo en esa cuenta, se realiza una copia de seguridad de la nueva cuenta y los detalles sobre la cuenta anterior ya no están disponibles desde el Centro de administración de Intune ni desde el directorio especificado para almacenar la información de la cuenta.

Pasos siguientes

• Creación de una directiva para LAPS
• Visualización de informes para LAPS
• Directiva de protección de cuentas para la seguridad de los puntos de conexión en Intune