podpora Microsoft Intune pro Windows LAPS

Každý počítač s Windows má integrovaný účet místního správce, který nejde odstranit a který má úplná oprávnění k zařízení. Zabezpečení tohoto účtu je důležitým krokem při zabezpečení vaší organizace. Mezi zařízení s Windows patří řešení LAPS (Windows Local Administrator Password Solution), integrované řešení, které pomáhá spravovat účty místních správců.

Zásady zabezpečení Microsoft Intune koncových bodů pro ochranu účtů můžete použít ke správě laps na zařízeních zaregistrovaných pomocí Intune. zásady Intune můžou:

• Vynucení požadavků na heslo pro účty místních správců
• Zálohujte účet místního správce ze zařízení do služby Active Directory (AD) nebo Microsoft Entra
• Naplánujte obměně těchto hesel k účtům, abyste je udrželi v bezpečí.

Můžete také zobrazit podrobnosti o spravovaných účtech místních správců v centru Intune Správa a ručně obměňovat hesla k účtům mimo plánovanou obměnu.

Použití zásad Intune LAPS pomáhá chránit zařízení s Windows před útoky, které jsou zaměřené na zneužití místních uživatelských účtů, jako jsou útoky typu pass-the-hash nebo lateral-traversal. Správa laps pomocí Intune může také pomoct zlepšit zabezpečení pro scénáře vzdálené helpdesku a obnovit zařízení, která jsou jinak nepřístupná.

Intune zásady LAPS spravují nastavení dostupná z programu Windows LAPS CSP. Intune použití CSP nahrazuje použití starší verze Microsoft LAPS nebo jiných řešení pro správu LAPS, přičemž založené na CSP mají přednost před jinými zdroji správy LAPS.

Intune podpora systému Windows LAPS zahrnuje následující funkce:

• Nastavení požadavků na heslo – Definujte požadavky na heslo, včetně složitosti a délky pro účet místního správce na zařízení.
• Obměna hesel – pomocí zásad můžete nechat zařízení automaticky obměňovat hesla účtu místního správce podle plánu. Pomocí Centra pro správu Intune můžete také ručně otočit heslo pro zařízení jako akci zařízení.
• Zálohovat účty a hesla – Můžete zvolit, aby zařízení zálohovala svůj účet a heslo v Microsoft Entra ID v cloudu nebo ve svém místní Active Directory. Hesla se ukládají pomocí silného šifrování.
• Konfigurace akcí po ověření – Definujte akce, které zařízení provede, když vyprší platnost hesla účtu místního správce. Akce se liší od resetování spravovaného účtu přes použití nového zabezpečeného hesla, odhlášení z účtu nebo provedení obojího a následné vypnutí zařízení. Můžete také určit, jak dlouho bude zařízení čekat po vypršení platnosti hesla před provedením těchto akcí.
• Zobrazení podrobností o účtu – Intune správci s dostatečnými oprávněními řízení správy na základě role (RBAC) můžou zobrazit informace o účtu místního správce zařízení a jeho aktuálním hesle. Uvidíte také, kdy se heslo naposledy obměnělo (resetovalo) a kdy je jeho další obměna naplánovaná.
• Zobrazit sestavy – Intune poskytuje sestavy o obměně hesel, včetně podrobností o minulých ručních a plánovaných obměnách hesel.

Pokud chcete získat podrobnější informace o windows LAPS, začněte následujícími články v dokumentaci k Windows:

• Co je Windows LAPS? – Úvod do windows LAPS a sady dokumentace k Windows LAPS.
• Windows LAPS CSP – podívejte se na úplné podrobnosti o nastaveních a možnostech LAPS. zásady Intune pro LAPS používají tato nastavení ke konfiguraci poskytovatele CSP LAPS na zařízeních.

Platí pro:

• Windows 10
• Windows 11

Požadavky

Níže jsou uvedené požadavky na Intune pro podporu windows LAPS ve vašem tenantovi:

Licenční požadavky

• Intune předplatné - Microsoft Intune – plán 1 což je základní Intune předplatné. Windows LAPS můžete používat také s bezplatným zkušebním předplatným pro Intune.

• Microsoft Entra ID – Microsoft Entra ID Free, což je bezplatná verze Microsoft Entra ID, která je součástí předplatného Intune. S Microsoft Entra ID Free můžete používat všechny funkce FUNKCE LAPS.

Podpora služby Active Directory

Intune zásady pro Windows LAPS můžou nakonfigurovat zařízení pro zálohování účtu místního správce a hesla do jednoho z následujících typů adresářů:

Poznámka

Zařízení připojená k pracovišti (WPJ) nejsou podporována Intune pro LAPS.

• Cloud – cloud podporuje zálohování do Microsoft Entra ID pro následující scénáře:

  • Microsoft Entra hybridní připojení

  • Microsoft Entra připojit

    Podpora připojení Microsoft Entra vyžaduje, abyste ve svém Microsoft Entra ID povolili funkci LAPS. Následující kroky vám můžou pomoct s dokončením této konfigurace. Pokud chcete použít širší kontext, podívejte se na tyto kroky v dokumentaci k Microsoft Entra v tématu Povolení windows LAPS s Microsoft Entra ID. Microsoft Entra hybridní připojení nevyžaduje povolení funkce LAPS v Microsoft Entra.

    Povolení funkce LAPS v Microsoft Entra:

    1. Přihlaste se k Centrum pro správu Microsoft Entra jako správce cloudových zařízení.
    2. Přejděte naPřehlednastavenízařízení>>s identitou>.
    3. Vyberte Ano pro nastavení Povolit řešení hesel místního správce (LAPS) a vyberte Uložit. Můžete také použít Microsoft Graph API Update deviceRegistrationPolicy.

    Další informace najdete v tématu Řešení hesel místního správce Windows v Microsoft Entra ID v dokumentaci k Microsoft Entra.

• Místní – místní prostředí podporuje zálohování do Windows Server Active Directory (místní Active Directory).

  Důležité

  Funkce LAPS na zařízeních s Windows se dá nakonfigurovat tak, aby používala jeden nebo druhý typ adresáře, ale ne oba. Vezměte také v úvahu, že záložní adresář musí být podporovaný typem připojení zařízení – pokud nastavíte adresář na místní Active Directory a zařízení není připojené k doméně, přijme nastavení zásad z Intune, ale LAPS nemůže tuto konfiguraci úspěšně použít.

Device Edition a Platform

Zařízení můžou mít libovolnou edici Windows, která Intune podporuje, ale musí mít některou z následujících verzí, aby podporovala windows LAPS CSP:

• Windows 10 verze 22H2 (19045.2846 nebo novější) s KB5025221
• Windows 10 verze 21H2 (19044.2846 nebo novější) s KB5025221
• Windows 10 verze 20H2 (19042.2846 nebo novější) s KB5025221
• Windows 11 verze 22H2 (22621.1555 nebo novější) s KB5025239
• Windows 11 verze 21H2 (22000.1817 nebo novější) s KB5025224

Podpora GCC High

Intune zásady pro Windows LAPS se podporují v prostředích GCC High.

Řízení přístupu na základě role pro LAPS

Ke správě LAPS musí mít účet dostatečná oprávnění řízení přístupu na základě role (RBAC) k dokončení požadované úlohy. Níže jsou uvedené dostupné úkoly s požadovanými oprávněními:

• Vytvoření zásad LAPS a přístup k těmto zásadám – Pokud chcete pracovat se zásadami LAPS a zobrazovat je, musí mít váš účet přiřazená dostatečná oprávnění z kategorie Intune RBAC pro standardní hodnoty zabezpečení. Ve výchozím nastavení jsou součástí Intune předdefinované role Endpoint Security Manager. Pokud chcete použít vlastní role, ujistěte se, že vlastní role zahrnuje práva z kategorie Standardní hodnoty zabezpečení .

• Obměna hesla místního správce – Pokud chcete použít Centrum pro správu Intune k zobrazení nebo obměně hesla místního účtu správce zařízení, musíte mít k účtu přiřazená následující Intune oprávnění:

  • Spravovaná zařízení: Čtení
  • Organizace: Čtení
  • Vzdálené úlohy: Obměna hesla místního Správa

• Načtení hesla místního správce – Pokud chcete zobrazit podrobnosti o heslech, váš účet musí mít jedno z následujících oprávnění Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read a přečtěte si metadata a hesla LAPS.
  • microsoft.directory/deviceLocalCredentials/standard/read a přečtěte si metadata LAPS s vyloučením hesel.

  Pokud chcete vytvořit vlastní role, které můžou udělit tato oprávnění, přečtěte si téma Vytvoření a přiřazení vlastní role v Microsoft Entra ID v dokumentaci k Microsoft Entra.

• Zobrazení Microsoft Entra protokolů auditu a událostí – Pokud chcete zobrazit podrobnosti o zásadách LAPS a nedávných akcích zařízení, jako jsou události obměny hesel, musí váš účet mít oprávnění ekvivalentní předdefinované roli Intune operátora jen pro čtení.

Další informace o předdefinovaných rolích a vlastních rolích Intune najdete v tématu Řízení přístupu na základě role pro Microsoft Intune.

Architektura LAPS

Informace o architektuře Windows LAPS najdete v tématu Architektura Windows LAPS v dokumentaci k Windows.

Časté otázky

Můžu použít zásady Intune LAPS ke správě jakéhokoli účtu místního správce na zařízení?

Ano. Intune zásady LAPS se dají použít ke správě libovolného účtu místního správce na zařízení. Laps ale podporuje jenom jeden účet na zařízení:

• Pokud zásada nezadá název účtu, Intune spravuje výchozí integrovaný účet správce bez ohledu na jeho aktuální název na zařízení.
• Účet, který Intune spravuje pro zařízení, můžete změnit tak, že změníte zásady přiřazené zařízením nebo upravíte jeho aktuální zásady a zadáte jiný účet.
• Pokud jsou k zařízení, které obě určují jiný účet, přiřazeny dvě samostatné zásady, dojde ke konfliktu, který musí být vyřešen před tím, než bude možné spravovat účet zařízení.

Co když nasadím zásadu LAPS s Intune na zařízení, které už má konfigurace LAPS z jiného zdroje?

Zásady založené na CSP z Intune přepíšou všechny ostatní zdroje zásad LAPS, například z objektů zásad skupiny nebo konfigurace ze starší verze Microsoft LAPS. Další informace najdete v tématu Podporované kořeny zásad v dokumentaci Windows LAPS.

Může systém Windows LAPS vytvářet účty místního správce na základě názvu účtu správce nakonfigurovaného pomocí zásad LAPS?

Ne. Windows LAPS může spravovat jenom účty, které už na zařízení existují. Pokud zásada určuje účet podle názvu, který na zařízení neexistuje, použije se a neohlásí chybu. Nezálohuje se ale žádný účet.

Obměňuje systém Windows LAPS a zálohuje heslo pro zařízení, které je zakázané v Microsoft Entra?

Ne. Windows LAPS vyžaduje, aby bylo zařízení v povoleném stavu, než se můžou použít operace obměny hesel a zálohování.

Co se stane, když se zařízení v Microsoft Entra odstraní?

Při odstranění zařízení v Microsoft Entra dojde ke ztrátě přihlašovacích údajů LAPS, které byly svázané s tímto zařízením, a heslo uložené v Microsoft Entra ID se ztratí. Pokud nemáte vlastní pracovní postup pro načtení hesel LAPS a jejich externí ukládání, neexistuje v Microsoft Entra ID žádná metoda obnovení hesla spravovaného službou LAPS pro odstraněné zařízení.

Jaké role jsou potřeba k obnovení hesel LAPS?

Oprávnění k obnovení hesel LAPS mají následující předdefinované role Microsoft Entra: Správce cloudových zařízení a správce Intune.

Jaké role jsou potřeba ke čtení metadat LAPS?

Následující předdefinované role Microsoft Entra rolí se podporují pro zobrazení metadat o nástroji LAPS, včetně názvu zařízení, poslední obměny hesla a dalšího obměny hesel:

• Čtenář zabezpečení

Můžete také použít následující role:

• Správce cloudových zařízení
• správce Intune
• Správce helpdesku
• Správce zabezpečení

Proč je tlačítko Heslo místního správce neaktivní a nepřístupné?

Přístup k této oblasti v současné době vyžaduje Intune oprávnění Obměna hesla místního správce. Informace o Microsoft Intune najdete v tématu Řízení přístupu na základě role.

Co se stane, když dojde ke změně účtu určeného zásadou?

Vzhledem k tomu, že windows LAPS může na zařízení současně spravovat jenom jeden účet místního správce, původní účet už není spravovaný zásadami LAPS. Pokud zásady zazálohují zařízení tento účet, nový účet se zálohuje a podrobnosti o předchozím účtu už nebudou dostupné v Centru pro správu Intune nebo v adresáři určeném pro ukládání informací o účtu.

Další kroky

• Vytvoření zásad pro LAPS
• Zobrazení sestav pro LAPS
• Zásady ochrany účtů pro zabezpečení koncových bodů v Intune