Gestão de Senhas de Administrador Local
Visão Geral
A Solução de Senha de Administrador Local (LAPS) resolverá o problema de usar credenciais administrativas idênticas em todos os computadores Windows para suporte e finalidades de emergência. Por si só, o LAPS cria uma senha gerada aleatoriamente para uma conta de administrador local.
Com o RealmJoin é possível gerenciar contas administrativas seguras e individualizadas, seja para suporte local ou suporte remoto em grande escala. O RealmJoin salva senhas criptografadas no Azure Key Vault dentro do locatário do cliente e armazena logs de auditoria de cada acesso a essas credenciais.
A API do RealmJoin permite solicitar uma "Conta de Suporte" (administrador local) para um determinado dispositivo no seu locatário. Veja a descrição Swagger do RealmJoin para ver quais operações são atualmente suportadas em detalhe. Usar LAPS com RealmJoin requer a implantação do Cliente RealmJoin para Windows.
Pressupõe-se que você configurou corretamente o LAPS no seu ambiente e implantou o Cliente RealmJoin para Windows nos seus dispositivos. Além disso, certifique-se de autenticar cada solicitação à API do RealmJoin usando um cabeçalho http Authorization apropriado.
Solicitando uma Conta de Suporte
Peça ao RealmJoin para criar uma Conta de Suporte local no dispositivo de destino usando o endpoint /laps/request. A solicitação é enfileirada usando Application Insights e será processada pelo Backend do RealmJoin e pelo Cliente RealmJoin para Windows assim que possível. Quando a conta for criada/utilizável.
O endpoint retornará uma estimativa de quanto tempo a criação da conta levará. Quando a conta estiver pronta, veja aqui como consultar as credenciais.
Exemplo
Vamos assumir a seguinte situação:
Você possui suas credenciais da API do RealmJoin e as codificou para
dC0xMjM0MTIzNDpteVMzY3JldCE=(Base64)O Entra do dispositivo de destino
deviceIdé9999dab9-f946-40ee-9a17-2500c8d00878. Esteja ciente de que este não é o id do objeto do Entra (atributo diferente)!
Atualmente nenhuma Conta de Suporte existe no dispositivo de destino.
Vamos construir o solicitar:
Cabeçalhos:
Solicitação / URI:
Este endpoint não espera um corpo de solicitação.
Resposta
Status Http: 200 (OK)
Corpo (em notação JSON):
A resposta contém o tempo aproximado até que o Cliente RealmJoin para Windows crie a Conta de Suporte local. Neste exemplo, espere aguardar pelo menos 12 minutos. Se o cliente não tiver sido visto por um longo período, você pode obter null como estimativa em vez de um número.
O Cliente RealmJoin para Windows consultará por trabalhos a cada 30 minutos por padrão. A aproximação oferecida pela API baseia-se na última vez que o Cliente Windows verificou o status.
Recuperar Credenciais da Conta de Suporte
O endpoint /laps/retrieve é usado para consultar se uma Conta de Suporte já foi criada, bem como para coletar as credenciais reais da Conta de Suporte.
Vamos consultar o mesmo deviceId de 9999dab9-f946-40ee-9a17-2500c8d00878 como no exemplo acima.
No nosso exemplo, uma Conta de Suporte (Nome Completo: "Local Support Admin Account") foi criada no dispositivo de destino pelo Cliente RealmJoin para Windows:
Solicitação
Cabeçalhos:
Solicitação / URI:
Este endpoint não espera um corpo de solicitação.
Resposta
Se as credenciais ainda não estiverem disponíveis, o endpoint retornará Status Http: 404 (Not Found) e alguns detalhes técnicos no corpo:
Corpo (JSON)
Você pode continuar consultando até que as credenciais estejam prontas.
Se as credenciais estiverem prontas, o endpoint retornará Status Http: 200 (OK) e as credenciais:
Corpo (JSON)
Você pode usar essas credenciais para oferecer suporte a um usuário, por exemplo conectando-se via o AnyDesk Supporter Client.
Como pode ver, por padrão uma Conta de Suporte tem uma vida útil limitada e terá de ser recriada se o acesso for necessário após a data de expiração. Isso serve para garantir que nenhuma credencial de alto privilégio persista das tarefas operacionais do dia a dia.
Last updated
Was this helpful?