Thiago Rufino

Gerenciando Windows LAPS com Intune e Entra ID

O Windows LAPS é um recurso que permite as organizações aprimorarem a gestão e a segurança das senhas das contas de administrador local em dispositivos Windows. A abordagem simplificada traz eficiência operacional e segurança ao processo, oferecendo uma visão transparente e centralizada.

Neste artigo, exploraremos a implementação do gerenciamento de senhas das contas de administrador local por meio do Windows LAPS, utilizando as integrações com Intune e Entra ID.

Benefícios de usar o Windows LAPS

Use o Windows LAPS para rotacionar e gerenciar as senhas da conta de administrador local e obter estes benefícios:

  • Proteção contra ataques pass-the-hash e lateral-traversal
  • Segurança aprimorada para cenários de suporte técnico remoto
  • Capacidade de entrar e recuperar dispositivos que, de outra forma, estão inacessíveis
  • Um modelo de segurança refinado (listas de controle de acesso e criptografia de senha opcional) para proteger senhas armazenadas no Windows Server Active Directory
  • Suporte para o modelo de controle de acesso baseado em função do Azure para proteger senhas armazenadas no Azure Active Directory

Licenciamento

  • Intune: Microsoft Intune Plano 1, que é a assinatura básica do Intune. Você também pode usar o Windows LAPS com uma assinatura de avaliação gratuita para o Intune.
  • Microsoft Entra ID: Microsoft Entra ID Free, que é a versão gratuita de Microsoft Entra ID incluída quando você assina o Intune. Com Microsoft Entra ID Free, você pode usar todos os recursos do LAPS.

Habilitar LAPS no Microsoft Entra ID

  • Entrar em https://portal.azure.com/
  • Clique em Microsoft Entra ID
  • Selecione Devices > Device settings
  • Habilite Azure AD Local Administrator Password Solution (LAPS)


Implementando Políticas do Windows LAPS utilizando Intune

  • Entre em https://endpoint.microsoft.com/
  • Selecione Devices > Account protection
  • Clique em Create Policy
  • Em Platform, selecione Windows 10 and later
  • Em Profile, selecione Local admin password solution (Windows LAPS)
  • Clique em Create
  • Adicione o nome da política, depois clique em Next.
  • Aqui está um exemplo usando as configurações padrão. Analise e escolha aquelas que melhor se adequam ao seu cenário.
  • Clique em Next > Next
  • Atribua a política a um grupo de Segurança do Azure AD que inclua usuários ou dispositivos nos quais essa configuração de dispositivo específica precisa ser implementada.
  • Clique em Create


Validando a implementação do Windows LAPS

Todos os eventos relacionados ao Windows LAPS podem ser localizados no visualizador de eventos em Logs de Aplicativos e Serviços > Microsoft > Windows > LAPS.

Recuperando a senha da conta de administrador local

A senha da conta de administrador do LAPS é registrada tanto no Intune quanto no Microsoft Entra ID, possibilitando a sua recuperação por meio de ambos os portais.

Microsoft Entra ID

  • Entrar em https://portal.azure.com/
  • Clique em Microsoft Entra ID
  • Selecione Devices > Local administrator password recovery
  • Clique em Show local administrator password no dispositivo para o qual deseja recuperar a senha.


Intune

  • Entre em https://endpoint.microsoft.com/
  • Selecione Devices > Windows
  • Selecione o dispositivo
  • Clique em Local admin password > Show local administrator password


Rotacionando a senha da conta de administrador local

  • Entre em https://endpoint.microsoft.com/
  • Selecione Devices > Windows
  • Selecione o dispositivo
  • Clique em Rotate local admin password

Log no event viewer informando a alteração da senha.


Auditoria

As atividades do Windows LAPS podem ser auditadas a partir do Microsoft Entra ID.

  • Entrar em https://portal.azure.com/
  • Clique em Microsoft Entra ID > Devices > Audit logs
  • Filtre por Recover device local administrator password ou Update device local administrator password.


Definindo permissões para gestão de senhas no Windows LAPS

Microsoft Entra ID

A seguir, iremos criar uma função que permitirá aos usuários, aos quais foram atribuídas permissões, acessar e visualizar as senhas da conta de administrador local dos dispositivos.

  • Next > Create
  • Continue com as atribuições da função para os usuários.

Intune

A seguir, iremos criar uma função no Intune que permitirá aos usuários acessar, visualizar e rotacionar as senhas da conta de administrador local dos dispositivos.

  • Entre em https://endpoint.microsoft.com/
  • Clique em Tenant administration > Roles
  • Next
  • A Seguir, habilite as opções Read para Managed devices e Organization e defina Yes para Rotate Local Admin Password

Depois de criar esta função, você a encontrará em All Roles. Clique nele para abrir, na sequencia em Assignments e depois em Assign para atribuir esta função aos usuários.

Leia mais sobre Windows Laps aqui: Windows LAPS overview | Microsoft Learn

1 comentário