Cómo configurar una política LAPS para dispositivos Microsoft unidos internamente

📅
🕑 4 minutos de lectura

¿Intentando controlar las contraseñas de administrador local en tus dispositivos? Sí, lo entiendo. Gestionar las contraseñas de administrador local manualmente es un engorro, sobre todo en una organización grande. Por suerte, Microsoft ofrece la Solución de Contraseñas de Administrador Local de Windows (LAPS).Si tus dispositivos están conectados a Microsoft Entra (antes Azure AD) y se gestionan mediante Intune, esta guía te ayudará a configurarlo para que las contraseñas no queden expuestas y se roten automáticamente.

Una vez configurado, podrás generar, almacenar y recuperar de forma segura las contraseñas de administrador local, sin tener que preocuparte por restablecerlas si alguien las olvida o, peor aún, deja el equipo desprotegido. Resulta curioso que Windows no lo haga tan obvio de entrada, pero con unos pocos pasos, automatizarás muchos problemas de seguridad. Disfrutarás de una mayor seguridad, menos trabajo manual y la posibilidad de acceder rápidamente a las credenciales de administrador cuando las necesites, porque, claro, Windows siempre lo complica más de lo necesario.

Cómo habilitar LAPS en Microsoft 365 e implementar una directiva LAPS para dispositivos unidos internamente.

Requisitos:

  • Los dispositivos están conectados a Microsoft Entra.
  • Gestionado por Intune
  • Ten a mano algunas credenciales de administrador de Microsoft 365 (porque, bueno, son cosas de administrador).

Habilitar LAPS en Entra

Este paso es necesario, ya que no se pueden administrar las contraseñas si la función no está activada. Diríjase al centro de administración de Entra. Desde allí, vaya a Dispositivos > Configuración del dispositivo. Busque el interruptor que dice Habilitar la solución de contraseña de administrador local de Microsoft Entra (LAPS) y actívelo.Guarde. Listo. El sistema ya estará preparado para administrar las contraseñas locales.

Crear una política LAPS en Intune

Aquí es donde defines *cómo* se administran las contraseñas: configuraciones como la frecuencia de rotación, dónde se almacenan y la complejidad de la contraseña. Accede al centro de administración de Microsoft Intune. Luego, ve a Seguridad de endpoints > Protección de cuentas y haz clic en Crear una nueva directiva.

  • Seleccionar plataforma: Windows
  • Perfil: Solución de contraseña de administrador local (Windows LAPS)
  • Haz clic en Crear

Asígnale un nombre sólido como «Política LAPS para dispositivos Entra» y agrega una descripción si lo deseas. Haz clic en Siguiente.

Aquí configurarás aspectos como la ubicación, la antigüedad, la longitud y la complejidad de la copia de seguridad de contraseñas. Un consejo: configura la copia de seguridad en Microsoft Entra ID (o Azure AD, si ese es tu entorno) para que las contraseñas se almacenen de forma segura en la nube. Para la configuración de contraseñas, suelo usar 30 días, 14 caracteres de longitud y una combinación de letras y números para mayor seguridad. Una vez que hayas terminado, haz clic en Siguiente y asigna la directiva a tus grupos de dispositivos. Normalmente, solo añado «Todos los dispositivos», pero personalízalo según sea necesario.

Revisa tus opciones y finaliza haciendo clic en Guardar. Ahora, solo espera a que se aplique la política; a veces tarda un poco, así que vuelve más tarde para asegurarte de que todo esté correcto.

Acceda a la contraseña de administrador local en un dispositivo.

Una vez implementada la política, puede consultar la contraseña de administrador local en Intune o Entra. Diríjase al centro de administración de Entra. Busque su dispositivo en Dispositivos > Todos los dispositivos. Seleccione el dispositivo y, a continuación, busque la opción « Recuperación de contraseña de administrador local». Haga clic en ella y, a continuación, seleccione «Mostrar contraseña de administrador local ».Se mostrará la contraseña, lo que permitirá un acceso rápido cuando sea necesario, por ejemplo, para solucionar problemas o para obtener acceso de administrador de emergencia.

Resumen

Configurar una directiva LAPS en Microsoft Entra es muy sencillo, pero constituye un paso crucial para la seguridad. Solo tienes que habilitar LAPS en el inquilino, crear una nueva directiva de administración de contraseñas en Intune y asignarla a tus dispositivos. En poco tiempo, las contraseñas de administrador local se migrarán automáticamente, se almacenarán de forma segura y estarán listas para recuperarse cuando sea necesario. Con tan solo unos clics, la seguridad de tu organización se reforzará considerablemente.

Ah, y asegúrate de comprobar que la política se haya aplicado correctamente; no hay nada peor que pensar que todo está bien y descubrir que las contraseñas no se están actualizando como deberían. En algunas configuraciones, a veces funciona y otras no, pero reiniciar el dispositivo o forzar la sincronización suele solucionarlo.

Resumen

Implementar LAPS puede ahorrarte muchos problemas en el futuro. Una vez configurado, solo tendrás que supervisar y revisar los informes. Menos incertidumbre sobre las contraseñas y mayor seguridad: ese es el objetivo. Esperemos que esto funcione y que, a partir de ahora, al menos una actualización de dispositivo sea más sencilla.

Resumen

  • LAPS habilitado en el centro de administración de Entra
  • Creé una política de administración de contraseñas en Intune.
  • Lo asigné a los grupos de dispositivos correctos.
  • Aprendí a recuperar contraseñas cuando fue necesario.

Ojalá esto le ahorre unas horas a alguien.¡Buena suerte y no olviden estar atentos a las políticas!