Gestión de contraseñas de administrador local
pestaña Resumen
Local Administrator Password Solution (LAPS) resolverá el problema de usar credenciales administrativas idénticas en cada equipo Windows para soporte y propósitos de emergencia. Por sí solo, LAPS crea una contraseña generada aleatoriamente para una cuenta de administrador local.
Con RealmJoin es posible gestionar cuentas administrativas seguras e individualizadas, ya sea para soporte local o soporte remoto a gran escala. RealmJoin guarda contraseñas cifradas en Azure Key Vault dentro del tenant del cliente y almacena registros de auditoría de cada acceso a estas credenciales.
La API de RealmJoin permite solicitar una "Cuenta de Soporte" (administrador local) para un dispositivo determinado en su tenant. Ver la descripción Swagger de RealmJoin para ver qué operaciones están actualmente soportadas en detalle. Usar LAPS con RealmJoin requiere el despliegue del Cliente de Windows de RealmJoin.
Se asume que ha configurado correctamente LAPS en su entorno y desplegado el Cliente de Windows de RealmJoin en sus dispositivos. Además, asegúrese de autenticarse en cada solicitud contra la API de RealmJoin usando un encabezado http Authorization apropiado.
Solicitar una Cuenta de Soporte
Indique a RealmJoin que cree una Cuenta de Soporte local en el dispositivo objetivo usando el endpoint /laps/request. La solicitud se encola usando Application Insights y será procesada por el Backend de RealmJoin y el Cliente de Windows de RealmJoin lo antes posible. Cuando la cuenta esté creada/usable.
El endpoint devolverá una estimación de cuánto tardará la creación de la cuenta. Cuando la cuenta esté lista, vea aquí sobre cómo consultar las credenciales.
Ejemplo
Supongamos la siguiente situación:
Usted tiene sus credenciales de la API de RealmJoin y las codificó a
dC0xMjM0MTIzNDpteVMzY3JldCE=(Base64)El
deviceIdes9999dab9-f946-40ee-9a17-2500c8d00878. Tenga en cuenta que este no es el id de objeto de Entra (¡atributo diferente)!
Actualmente no existe una Cuenta de Soporte en el dispositivo objetivo.
Construyamos los solicitud:
Encabezados:
Solicitud / URI:
Este endpoint no espera un cuerpo de solicitud.
Respuesta
Estado Http: 200 (OK)
Cuerpo (en notación JSON):
La respuesta contiene el tiempo aproximado hasta que el Cliente de Windows de RealmJoin cree la Cuenta de Soporte local. En este ejemplo espere al menos 12 minutos. Si el cliente no se ha visto durante mucho tiempo, podría obtener null como estimación en lugar de un número.
El Cliente de Windows de RealmJoin consultará por trabajos cada 30 min por defecto. La aproximación ofrecida por la API se basa en la última vez que el Cliente de Windows hizo check-in.
Recuperar credenciales de la Cuenta de Soporte
El endpoint /laps/retrieve se usa para consultar si ya se ha creado una Cuenta de Soporte, así como para recopilar las credenciales reales de la Cuenta de Soporte.
Consultemos el mismo deviceId de 9999dab9-f946-40ee-9a17-2500c8d00878 como en el ejemplo arriba.
En nuestro ejemplo una Cuenta de Soporte (Nombre completo: "Local Support Admin Account") ha sido creada en el dispositivo objetivo por el Cliente de Windows de RealmJoin:
Solicitud
Encabezados:
Solicitud / URI:
Este endpoint no espera un cuerpo de solicitud.
Respuesta
Si las credenciales aún no están disponibles, el endpoint devolverá Estado Http: 404 (Not Found) y algunos detalles técnicos en el cuerpo:
Cuerpo (JSON)
Puede seguir consultando hasta que las credenciales estén listas.
Si las credenciales están listas, el endpoint devolverá Estado Http: 200 (OK) y las credenciales:
Cuerpo (JSON)
Puede usar estas credenciales para ofrecer soporte a un usuario, por ejemplo conectándose mediante el Cliente Supporter de AnyDesk.
Como puede ver, por defecto una Cuenta de Soporte tiene una vida útil limitada y tendrá que ser recreada si se necesita acceso después de la fecha de expiración. Esto es para asegurar que no persistan credenciales con privilegios altos de las operaciones diarias.
Última actualización
¿Te fue útil?