Gestão da Palavra-passe de Administrador Local
Overview
A Solução de Senha de Administrador Local (LAPS) resolverá o problema de usar credenciais administrativas idênticas em todos os computadores Windows para fins de suporte e emergência. Por si só, o LAPS cria uma senha gerada aleatoriamente para uma conta de administrador local.
Com o RealmJoin, é possível gerenciar contas administrativas seguras e individualizadas, seja para suporte local ou suporte remoto em grande escala. O RealmJoin salva senhas criptografadas no Azure Key Vault dentro do Tenant do cliente e armazena registros de auditoria de cada acesso a essas credenciais.
A API do RealmJoin permite que você solicite uma "Support Account" (administrador local) para um determinado dispositivo no seu Tenant. Veja a descrição Swagger do RealmJoin para ver em detalhe quais operações são atualmente suportadas. Usar o LAPS com o RealmJoin requer a implantação do RealmJoin Windows Client.
Pressupõe-se que você configurou corretamente o LAPS no seu ambiente e implantou o RealmJoin Windows Client nos seus dispositivos. Além disso, certifique-se de autenticar cada solicitação à API do RealmJoin usando um cabeçalho HTTP Authorization apropriado.
Solicitando uma Support Account
Diga ao RealmJoin para criar uma Support Account local no dispositivo de destino usando o endpoint /laps/request. A solicitação é colocada em fila usando o Application insights e será processada pelo RealmJoin Backend e pelo RealmJoin Windows Client o mais rápido possível. Quando a conta for criada/estiver utilizável.
O endpoint retornará uma estimativa de quanto tempo levará para a conta ser criada. Quando a conta estiver pronta, veja aqui sobre como consultar as credenciais.
Exemplo
Vamos assumir a seguinte situação:
Você tem suas credenciais da API do RealmJoin e as codificou em
dC0xMjM0MTIzNDpteVMzY3JldCE=(Base64)O
deviceIdnão é9999dab9-f946-40ee-9a17-2500c8d00878. Atenção: este não é o object id do Entra (atributo diferente)!
No momento, não existe nenhuma Support Account no dispositivo de destino.
Vamos construir o solicitação:
Cabeçalhos:
Solicitação / URI:
Este endpoint não espera um corpo de solicitação.
Resposta
Status HTTP: 200 (OK)
Corpo (em notação JSON):
A resposta contém o tempo aproximado até que o RealmJoin Windows Client crie a Support Account local. Neste exemplo, espere aguardar pelo menos 12 minutos. Se o cliente não tiver sido visto há muito tempo, você poderá obter null como estimativa em vez de um número.
O RealmJoin Windows Client verificará trabalhos a cada 30 min por padrão. A aproximação oferecida pela API é baseada na última vez que o Windows Client fez check-in.
Obter credenciais da Support Account
O endpoint /laps/retrieve é usado para consultar se uma Support Account já foi criada, bem como para coletar as credenciais reais da Support Account.
Vamos consultar o mesmo deviceId de 9999dab9-f946-40ee-9a17-2500c8d00878 como no exemplo acima.
No nosso exemplo, uma Support Account (Nome completo: "Local Support Admin Account") foi criada no dispositivo de destino pelo RealmJoin Windows Client:
Pedido
Cabeçalhos:
Solicitação / URI:
Este endpoint não espera um corpo de solicitação.
Resposta
Se as credenciais ainda não estiverem disponíveis, o endpoint retornará Status HTTP: 404 (Not Found) e alguns detalhes técnicos no corpo:
Corpo (JSON)
Você pode continuar consultando até que as credenciais estejam prontas.
Se as credenciais estiverem prontas, o endpoint retornará Status HTTP: 200 (OK) e as credenciais:
Corpo (JSON)
Você pode usar essas credenciais para oferecer suporte a um usuário, por exemplo, conectando-se via AnyDesk Supporter Client.
Como você pode ver, por padrão uma Support Account tem vida útil limitada e terá de ser recriada se o acesso for necessário após a data de expiração. Isso serve para garantir que nenhuma credencial de privilégio elevado permaneça das tarefas de operação do dia a dia.
Última atualização
Isto foi útil?