Řešení hesel místního správce Windows v Microsoft Entra ID
Každé zařízení s Windows obsahuje integrovaný účet místního správce, který musíte zabezpečit a chránit, aby se zmírnit všechny útoky typu Pass-the-Hash (PtH) a laterální procházení. Řada zákazníků používala náš samostatný místní produkt LAPS (Local Administrator Password Solution) pro správu hesel místního správce počítačů s Windows připojených k doméně. Díky podpoře Microsoft Entra pro Windows LAPS poskytujeme konzistentní prostředí pro zařízení připojená k Microsoft Entra i hybridní zařízení připojená k Microsoft Entra.
Podpora Microsoft Entra pro LAPS zahrnuje následující možnosti:
- Povolení systému Windows LAPS pomocí Microsoft Entra ID – Povolení zásad na straně klienta a zásad na straně klienta za účelem zálohování hesla místního správce do Microsoft Entra ID.
- Správa hesel místního správce – Konfigurace zásad na straně klienta pro nastavení názvu účtu, stáří hesla, délky, složitosti, ručního resetování hesla atd.
- Obnovení hesla místního správce – Pro obnovení hesla místního správce použijte rozhraní API nebo portál.
- Výčet všech zařízení s povoleným systémem Windows LAPS – Pomocí rozhraní API/portálu můžete zobrazit výčet všech zařízení s Windows v Microsoft Entra ID s windows LAPS.
- Autorizace obnovení hesla místního správce – Použijte zásady řízení přístupu na základě role (RBAC) s vlastními rolemi a jednotkami pro správu.
- Auditování aktualizace a obnovení hesla místního správce – K monitorování událostí aktualizace a obnovení hesel použijte rozhraní API/ portál protokolů auditu.
- Zásady podmíněného přístupu pro obnovení hesla místního správce – Nakonfigurujte zásady podmíněného přístupu u rolí adresáře, které mají autorizaci obnovení hesla.
Poznámka:
Systém Windows LAPS s Microsoft Entra ID není podporován pro zařízení s Windows, která jsou zaregistrovaná společností Microsoft Entra.
Řešení hesel místního správce není podporováno na platformách jiných než Windows.
Podrobnější informace o systému Windows LAPS najdete v následujících článcích v dokumentaci k Windows:
- Co je Windows LAPS? – Úvod do systému Windows LAPS a sady dokumentace k systému Windows LAPS.
- Windows LAPS CSP – Zobrazit úplné podrobnosti o nastavení a možnostech LAPS. Zásady Intune pro LAPS používají tato nastavení ke konfiguraci CSP LAPS na zařízeních.
- Podpora Microsoft Intune pro Windows LAPS
- Architektura Windows LAPS
Požadavky
Podporované oblasti Azure a distribuce Windows
Tato funkce je teď dostupná v následujících cloudech Azure:
- Globální Azure
- Azure Government
- Platforma Microsoft Azure provozovaná společností 21Vianet
Aktualizace operačního systému
Tato funkce je nyní dostupná na následujících platformách operačního systému Windows se zadanou aktualizací nebo novější nainstalovanou:
- Windows 11 22H2 – aktualizace z 11. dubna 2023
- Windows 11 21H2 – aktualizace z 11. dubna 2023
- Windows 10 20H2, 21H2 a 22H2 – aktualizace z 11. dubna 2023
- Windows Server 2022 – aktualizace z 11. dubna 2023
- Windows Server 2019 – 11 2023 11, 2023 11 2023 Update
Typy spojení
Laps je podporován pouze na zařízeních připojených k Microsoft Entra nebo hybridních zařízeních připojených k Microsoft Entra. Registrovaná zařízení Microsoft Entra se nepodporují.
Požadavky na licenci
LAPS je k dispozici všem zákazníkům s bezplatnými licencemi Microsoft Entra ID nebo vyššími licencemi. Další související funkce, jako jsou jednotky pro správu, vlastní role, podmíněný přístup a Intune, mají další licenční požadavky.
Požadované role nebo oprávnění
Jiné než předdefinované role Microsoft Entra, jako je správce cloudových zařízení a správce Intune, které mají udělené zařízení. LocalCredentials.Read.All, můžete použít vlastní role Microsoft Entra nebo jednotky pro správu k autorizaci obnovení hesla místního správce. Příklad:
K autorizaci obnovení hesla místního správce musí být přiřazeny vlastní role microsoft.directory/deviceLocalCredentials/password/read . Pomocí Centra pro správu Microsoft Entra, rozhraní Microsoft Graph API nebo PowerShellu můžete vytvořit vlastní roli a udělit oprávnění. Jakmile vytvoříte vlastní roli, můžete ji přiřadit uživatelům.
Můžete také vytvořit jednotku pro správu Microsoft Entra ID, přidat zařízení a přiřadit roli Správce cloudového zařízení s vymezenou jednotkou pro správu za účelem autorizace obnovení hesla místního správce.
Povolení programu Windows LAPS pomocí Microsoft Entra ID
Chcete-li povolit windows LAPS s Microsoft Entra ID, musíte provést akce v Microsoft Entra ID a zařízení, která chcete spravovat. Doporučujeme organizacím spravovat windows LAPS pomocí Microsoft Intune. Pokud jsou vaše zařízení připojená k Microsoft Entra, ale nepoužívají nebo nepodporují Microsoft Intune, můžete windows LAPS pro Microsoft Entra ID nasadit ručně. Další informace najdete v článku Konfigurace nastavení zásad LAPS systému Windows.
Přihlaste se do Centra pro správu Microsoft Entra jako alespoň správce cloudového zařízení.
Přejděte na Nastavení zařízení s přehledem identity>>>
U nastavení Povolit řešení hesel místního správce (LAPS) vyberte Ano a pak vyberte Uložit. K dokončení této úlohy můžete použít také aktualizaci deviceRegistrationPolicy rozhraní Microsoft Graph API Update.
Nakonfigurujte zásady na straně klienta a nastavte BackUpDirectory na Microsoft Entra ID.
- Pokud ke správě zásad na straně klienta používáte Microsoft Intune, přečtěte si téma Správa systému Windows LAPS pomocí Microsoft Intune.
- Pokud ke správě zásad na straně klienta používáte objekty zásad skupiny (GPO), přečtěte si téma Zásady skupiny systému Windows LAPS.
Obnovení metadat hesel a hesel místního správce
Pokud chcete zobrazit heslo místního správce pro zařízení s Windows připojené k Microsoft Entra ID, musíte mít udělenou akci microsoft.directory/deviceLocalCredentials/password/read .
Pokud chcete zobrazit metadata hesla místního správce pro zařízení s Windows připojená k Microsoft Entra ID, musíte mít udělenou akci microsoft.directory/deviceLocalCredentials/standard/read .
Následující předdefinované role mají ve výchozím nastavení tyto akce:
| Předdefinovaná role | microsoft.directory/deviceLocalCredentials/standard/read a microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Správce cloudových zařízení | Ano | Yes |
| Správce služeb Intune | Ano | Yes |
| Správce helpdesku | No | Ano |
| Správce zabezpečení | No | Ano |
| Čtenář zabezpečení | No | Ano |
Žádné role, které nejsou uvedené, nejsou uděleny ani akce.
K obnovení hesla místního správce můžete použít také rozhraní Microsoft Graph API Get deviceLocalCredentialInfo . Pokud používáte rozhraní Microsoft Graph API, vrátí se vrácené heslo v hodnotě kódování Base64, kterou potřebujete před použitím dekódovat.
Zobrazení seznamu všech zařízení s Windows LAPS
Pokud chcete zobrazit seznam všech zařízení s povoleným systémem Windows LAPS, můžete přejít na obnovení hesla místního správce přehledu zařízení>>identit>nebo použít rozhraní Microsoft Graph API.
Auditování aktualizace a obnovení hesla místního správce
Pokud chcete zobrazit události auditu, můžete přejít do protokolů auditu přehledu zařízení>>identit>a pak pomocí filtru aktivity vyhledat heslo místního správce zařízení nebo obnovit heslo místního správce zařízení k zobrazení událostí auditu.
Zásady podmíněného přístupu pro obnovení hesla místního správce
Zásady podmíněného přístupu mohou být vymezeny na předdefinované role, které chrání přístup k obnovení hesel místního správce. Příklad zásady, která vyžaduje vícefaktorové ověřování, najdete v článku o běžných zásadách podmíněného přístupu: Vyžadování vícefaktorového ověřování pro správce.
Poznámka:
Jiné typy rolí, včetně rolí s oborem jednotek pro správu a vlastních rolí, se nepodporují.
Nejčastější dotazy
Podporuje se služba Windows LAPS s konfigurací správy Microsoft Entra pomocí objektů zásad skupiny (GPO)?
Ano, pouze pro zařízení připojená k hybridnímu připojení Microsoft Entra. Další informace najdete v tématu Zásady skupiny LAPS systému Windows.
Podporuje se windows LAPS s konfigurací správy Microsoft Entra pomocí MDM?
Ano, pro microsoft Entra připojte/zařízení Microsoft Entra hybrid join (spoluspravovaná). Zákazníci můžou používat Microsoft Intune nebo jakoukoli jinou správu mobilních zařízení (MDM) třetích stran podle svého výběru.
Co se stane, když se zařízení odstraní v Microsoft Entra ID?
Když se zařízení odstraní v Microsoft Entra ID, dojde ke ztrátě přihlašovacích údajů LAPS, které bylo s tímto zařízením svázané, a heslo uložené v Microsoft Entra ID se ztratí. Pokud nemáte vlastní pracovní postup pro načtení hesel LAPS a jejich externí uložení, neexistuje v Microsoft Entra ID žádná metoda pro obnovení hesla spravovaného nástrojem LAPS pro odstraněné zařízení.
Jaké role jsou potřeba k obnovení hesel LAPS?
Následující předdefinované role Microsoft Entra mají oprávnění k obnovení hesel LAPS: Správce cloudového zařízení a správce Intune.
Jaké role jsou potřeba ke čtení metadat LAPS?
Následující předdefinované role se podporují pro zobrazení metadat o laps, včetně názvu zařízení, poslední obměny hesel a další obměny hesel: Správce cloudového zařízení, správce Intune, správce helpdesku, čtenář zabezpečení a správce zabezpečení.
Podporují se vlastní role?
Ano. Pokud máte Microsoft Entra ID P1 nebo P2, můžete vytvořit vlastní roli s následujícími oprávněními RBAC:
- Čtení metadat LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Čtení hesel LAPS: microsoft.directory/deviceLocalCredentials/password/read
Co se stane, když se změní účet místního správce určený zásadami?
Systém Windows LAPS může současně spravovat jenom jeden účet místního správce na zařízení, a proto už se původní účet nespravuje zásadami LAPS. Pokud zásady tento účet zálohují, nový účet se zálohuje a podrobnosti o předchozím účtu už nebudou dostupné v Centru pro správu Intune nebo v adresáři určeném k uložení informací o účtu.