Compartir a través de

¿Qué es Windows LAPS?

La solución de contraseñas de administrador local de Windows (Windows LAPS) es una característica de Windows que administra y realiza automáticamente copias de seguridad de la contraseña de una cuenta de administrador local en los dispositivos unidos a Microsoft Entra o unidos a Active Directory de Windows Server. También puede usar Windows LAPS para administrar y hacer copias de seguridad automáticas de la contraseña de la cuenta del Modo de restauración de servicios de directorio (DSRM) en los controladores de dominio de Windows Server Active Directory. Un administrador autorizado puede recuperar la contraseña de DSRM y usarla.

Plataformas compatibles con Windows LAPS

Windows LAPS está disponible en las siguientes plataformas del sistema operativo:

Todas las ediciones compatibles de estas plataformas se han actualizado con Windows LAPS, incluidas las ediciones del canal de mantenimiento a largo plazo (LTSC). La introducción de la característica LAPS de Windows no modifica las directivas estándar de ciclo de vida del producto de Microsoft.

Windows LAPS y Microsoft Entra ID

Windows LAPS con Microsoft Entra ID y el soporte técnico de Microsoft Intune está en disponibilidad general a partir del 23 de octubre de 2023. Para obtener más información, consulte Solución de Contraseña de Administrador Local de Windows con Microsoft Entra ID, ¡ahora disponible a nivel general! y Solución de Contraseña de Administrador Local de Windows en Microsoft Entra ID.

Ventajas de usar Windows LAPS

Use Windows LAPS para rotar y administrar regularmente las contraseñas de la cuenta de administrador local y obtener estas ventajas:

  • Protección contra ataques Pass-the-Hash y lateral-transversal
  • Seguridad mejorada para escenarios remotos del departamento de soporte técnico
  • Capacidad de iniciar sesión y recuperar dispositivos que, de lo contrario, no son accesibles
  • Un modelo de seguridad específico (listas de control de acceso y cifrado de contraseña opcional) para proteger las contraseñas almacenadas en Windows Server Active Directory
  • Compatibilidad con el modelo de control de acceso basado en rol de Microsoft Entra para proteger contraseñas almacenadas en microsoft Entra ID

Vídeos informativos

Los vídeos siguientes ofrecen una manera informativa de ver más sobre la característica LAPS de Windows.

Presentación del despegue técnico de Windows (noviembre de 2022):

Discusión técnica de Windows (agosto de 2023):

Escenarios clave de Windows LAPS

Puede usar Windows LAPS para varios escenarios principales:

  • Copia de seguridad de contraseñas de cuenta de administrador local en Microsoft Entra ID (para dispositivos unidos a Microsoft Entra)

  • Hacer una copia de seguridad de las contraseñas de cuenta de administrador local para Windows Server Active Directory (para clientes y servidores unidos a Windows Server Active Directory)

  • Hacer una copia de seguridad de las contraseñas de cuenta de DSRM en Windows Server Active Directory (para controladores de dominio de Windows Server Active Directory)

  • Realizar copias de seguridad de las contraseñas de las cuentas de administrador local en Windows Server Active Directory mediante el uso de la versión anterior de Microsoft LAPS

En cada escenario puede aplicar diferentes configuraciones de directiva.

Descripción de las restricciones de estado de unión a dispositivos

Si un dispositivo está unido a Microsoft Entra ID o Windows Server Active Directory determina cómo puede usar Windows LAPS.

  • Los dispositivos unidos solo a Microsoft Entra ID solo pueden realizar copias de seguridad de contraseñas en Microsoft Entra ID.
  • Los dispositivos unidos solo a Windows Server Active Directory pueden realizar copias de seguridad de contraseñas solo en Windows Server Active Directory.
  • Los dispositivos unidos híbridos (unidos a Microsoft Entra ID y Windows Server Active Directory) pueden realizar copias de seguridad de sus contraseñas en Microsoft Entra ID o en Windows Server Active Directory.

No se pueden realizar copias de seguridad de contraseñas en Microsoft Entra ID y en Windows Server Active Directory.

Windows LAPS no admite que se unan clientes al área de trabajo de Microsoft Entra.

Establecer la directiva de Windows LAPS

Para configurar y administrar la directiva para la implementación de Windows LAPS tiene varias opciones:

Administrar y supervisar Windows LAPS

También tiene varias opciones para administrar y supervisar Windows LAPS.

Entre las opciones para Windows se incluyen:

  • Cuadro de diálogo de propiedades de Usuarios y Equipos de Active Directory de Windows Server.
  • Un canal de registro de eventos dedicado.
  • Un módulo de Windows PowerShell específico de Windows LAPS.

Las soluciones de supervisión e informes basadas en Entra están disponibles al realizar copias de seguridad de contraseñas en microsoft Entra ID.

Desuso del producto LAPS heredado de Microsoft

Importante

El producto de Microsoft LAPS heredado está en desuso a partir de Windows 11, 23 23H2 y versiones posteriores. La instalación del paquete heredado microsoft LAPS Microsoft Installer (MSI) está bloqueado en versiones más recientes del sistema operativo y Microsoft ya no tiene en cuenta los cambios de código para el producto MICROSOFT LAPS heredado.

Use Windows LAPS para administrar contraseñas de cuenta de administrador local. Windows LAPS está disponible en Windows Server 2019 y versiones posteriores, y en clientes de Windows 10 y Windows 11 compatibles.

Microsoft seguirá admitiendo el producto LAPS de Microsoft heredado en versiones anteriores de Windows (anteriores a Windows 11 23H2) en los que se admitía anteriormente. Ese soporte finalizará una vez que finalice el soporte normal para esas versiones del sistema operativo.

Windows LAPS vs. Microsoft LAPS heredado

Windows LAPS incorpora muchos de los conceptos de diseño del antiguo Microsoft LAPS. Si está familiarizado con Microsoft LAPS heredado, muchas características de Windows LAPS le serán familiares. Una diferencia clave es que Windows LAPS es una implementación totalmente independiente que es nativa de Windows. Windows LAPS también agrega muchas características que no están disponibles en Microsoft LAPS heredado. Puedes usar Windows LAPS para realizar copias de seguridad de contraseñas en microsoft Entra ID, cifrar contraseñas en Windows Server Active Directory y almacenar el historial de contraseñas.

Importante

Windows LAPS no requiere que instale Microsoft LAPS anterior. Puede implementar y utilizar plenamente todas las funciones de Windows LAPS sin necesidad de instalar o referirse al antiguo Microsoft LAPS. Pero para ayudar a migrar una implementación existente de Microsoft LAPS heredado, Windows LAPS ofrece el modo de emulación de Microsoft LAPS heredado.

Importante

El producto MICROSOFT LAPS heredado está en desuso en versiones más recientes del sistema operativo de Microsoft. Para obtener más información, consulte Desuso del producto Microsoft LAPS heredado.

Declaración de compatibilidad

Microsoft publicó el producto heredado Microsoft LAPS en el año natural 2016 en el Centro de descarga de Microsoft. Windows LAPS se envió como parte de las actualizaciones de Windows publicadas el 11 de abril de 2023 para las plataformas enumeradas en Windows LAPS y Microsoft Entra ID.

Microsoft y su organización de entrega de soporte técnico ofrecen soporte técnico asistido para Microsoft LAPS y Windows LAPS, incluida la interoperabilidad entre los dos productos.

Importante

El producto MICROSOFT LAPS heredado está en desuso en versiones más recientes del sistema operativo de Microsoft. Para obtener más información, consulte Desuso del producto Microsoft LAPS heredado.

Te recomendamos encarecidamente que empieces a planear ahora la migración de los sistemas compatibles con Windows LAPS desde el uso heredado de Microsoft LAPS a la característica LAPS de Windows. Windows LAPS ofrece muchas características de seguridad nuevas y un mantenimiento mejorado del producto.

Las preguntas sobre las limitaciones y los problemas de interoperabilidad entre las herramientas de administración de contraseñas de cuentas locales de terceros y Windows LAPS deben dirigirse al desarrollador de aplicaciones de terceros, no a Microsoft.

Requisitos de concesión de licencia

La funcionalidad LAPS de Windows está disponible de forma gratuita en todas las plataformas Windows compatibles.

Puede realizar copias de seguridad de contraseñas en Windows Server Active Directory sin otros requisitos de licencia.

Puede realizar copias de seguridad de contraseñas en microsoft Entra ID con una licencia Gratis o superior de Microsoft Entra ID.

Otras características relacionadas con Entra o relacionadas con Intune pueden tener otros requisitos de licencia.

Enviar comentarios

¿Desea enviar comentarios? No dude en enviar preguntas específicas del documento a través de los vínculos de comentarios en la parte inferior de esta página.

También puede enviar comentarios y otras solicitudes a través de la página de la comunidad técnica Windows LAPS Feedback.

Si sus comentarios son específicos de la funcionalidad de LAPS relacionada con Microsoft Entra ID o con Intune, puede enviar sus opiniones a través del foro de comentarios de Microsoft Entra .

Si no está seguro de dónde deben ir sus comentarios, envíelos mediante cualquiera de estas opciones.

Consulte también

Pasos siguientes