Microsoft Intune supporto per Windows LAPS
Ogni computer Windows ha un account amministratore locale predefinito che non può essere eliminato e che dispone delle autorizzazioni complete per il dispositivo. La protezione di questo account è un passaggio importante per la protezione dell'organizzazione. I dispositivi Windows includono Laps (Local Administrator Password Solution), una soluzione predefinita che consente di gestire gli account di amministrazione locali.
È possibile usare Microsoft Intune criteri di sicurezza degli endpoint per la protezione degli account per gestire LAPS nei dispositivi registrati con Intune. Intune criteri possono:
- Applicare i requisiti delle password per gli account amministratore locali
- Eseguire il backup di un account amministratore locale dai dispositivi in Active Directory (AD) o Microsoft Entra
- Pianificare la rotazione di tali password dell'account per proteggerle.
È anche possibile visualizzare i dettagli sugli account di amministrazione locale gestiti nel centro Intune Amministrazione e ruotare manualmente le password degli account al di fuori di una rotazione pianificata.
L'uso di Intune criteri LAPS consente di proteggere i dispositivi Windows da attacchi volti a sfruttare gli account utente locali, ad esempio gli attacchi pass-the-hash o laterale. La gestione di LAPS con Intune può anche contribuire a migliorare la sicurezza per gli scenari di help desk remoto e ripristinare i dispositivi altrimenti inaccessibili.
Intune criterio LAPS gestisce le impostazioni disponibili dal provider di servizi di configurazione Windows LAPS. Intune'uso del CSP sostituisce l'uso di Microsoft LAPS legacy o di altre soluzioni di gestione LAPS, con CSP basato sulla precedenza su altre origini di gestione LAPS.
Intune supporto per Windows LAPS include le funzionalità seguenti:
- Impostare i requisiti delle password : definire i requisiti della password, inclusa la complessità e la lunghezza per l'account amministratore locale in un dispositivo.
- Ruotare le password : con i criteri è possibile fare in modo che i dispositivi ruotino automaticamente le password dell'account amministratore locale in base a una pianificazione. È anche possibile usare l'interfaccia di amministrazione Intune per ruotare manualmente la password per un dispositivo come azione del dispositivo.
- Backup di account e password: è possibile scegliere di fare in modo che i dispositivi eservino il backup dell'account e della password in Microsoft Entra ID nel cloud o nel Active Directory locale. Le password vengono archiviate tramite crittografia avanzata.
- Configurare le azioni post-autenticazione : definire le azioni eseguite da un dispositivo alla scadenza della password dell'account amministratore locale. Le azioni vanno dalla reimpostazione dell'account gestito all'uso di una nuova password sicura, alla disconnessione dell'account o all'esecuzione di entrambe le operazioni e quindi all'accensione del dispositivo. È anche possibile gestire il tempo di attesa del dispositivo dopo la scadenza della password prima di eseguire queste azioni.
- Visualizzare i dettagli dell'account: Intune amministratori con autorizzazioni di controllo amministrativo (RBAC) sufficienti possono visualizzare informazioni su un account amministratore locale dei dispositivi e sulla password corrente. È anche possibile vedere quando la password è stata ruotata per l'ultima volta (reimpostazione) e quando è pianificata la rotazione successiva.
- Visualizza report: Intune fornisce report sulla rotazione delle password, inclusi i dettagli sulla rotazione manuale e pianificata delle password precedenti.
Per informazioni più dettagliate su Windows LAPS, iniziare con gli articoli seguenti nella documentazione di Windows:
- Che cos'è Windows LAPS? : introduzione a Windows LAPS e al set di documentazione di Windows LAPS.
- Provider di servizi di configurazione windows LAPS : visualizzare i dettagli completi per le impostazioni e le opzioni di LAPS. Intune criterio per LAPS usa queste impostazioni per configurare il provider di servizi di configurazione LAPS nei dispositivi.
Si applica a:
- Windows 10
- Windows 11
Prerequisiti
Di seguito sono riportati i requisiti per Intune per supportare Windows LAPS nel tenant:
Requisiti di licenza
Intune sottoscrizione - Microsoft Intune (piano 1), ovvero la sottoscrizione di base Intune. È anche possibile usare Windows LAPS con una sottoscrizione di valutazione gratuita per Intune.
Microsoft Entra ID: Microsoft Entra ID gratuito, che è la versione gratuita di Microsoft Entra ID inclusa quando si effettua la sottoscrizione a Intune. Con Microsoft Entra ID Gratuito, è possibile usare tutte le funzionalità di LAPS.
Supporto di Active Directory
Intune criteri per Windows LAPS possono configurare un dispositivo per eseguire il backup di un account amministratore locale e della password in uno dei tipi di directory seguenti:
Nota
I dispositivi aggiunti all'area di lavoro (WPJ) non sono supportati da Intune per LAPS.
Cloud: cloud supporta il backup nel Microsoft Entra ID per gli scenari seguenti:
Aggiunta a Microsoft Entra ibrido
Aggiunta a Microsoft Entra
Il supporto per Microsoft Entra join richiede di abilitare LAPS nel Microsoft Entra ID. La procedura seguente consente di completare questa configurazione. Per un contesto più ampio, vedere questi passaggi nella documentazione di Microsoft Entra in Abilitazione dei laps di Windows con Microsoft Entra ID. Microsoft Entra join ibrido non richiede l'abilitazione di LAPS in Microsoft Entra.
Abilitare LAPS in Microsoft Entra:
- Accedere al Interfaccia di amministrazione di Microsoft Entra come amministratore di dispositivi cloud.
- Passare a Panoramicadei dispositivi>di identità>Impostazioni>del dispositivo.
- Selezionare Sì per l'impostazione Abilita la soluzione laps (Local Administrator Password Solution) e selezionare Salva. È anche possibile usare Microsoft API Graph Update deviceRegistrationPolicy.
Per altre informazioni, vedere Soluzione password amministratore locale windows in Microsoft Entra ID nella documentazione di Microsoft Entra.
Locale: l'ambiente locale supporta il backup fino a Windows Server Active Directory (Active Directory locale).
Importante
LAPS nei dispositivi Windows può essere configurato in modo da usare un tipo di directory o l'altro, ma non entrambi. Si consideri anche che la directory di backup deve essere supportata dal tipo di aggiunta dei dispositivi: se si imposta la directory su un Active Directory locale e il dispositivo non è aggiunto a un dominio, accetterà le impostazioni dei criteri da Intune, ma LAPS non può usare correttamente tale configurazione.
Device Edition e piattaforma
I dispositivi possono avere qualsiasi edizione di Windows supportata da Intune, ma devono eseguire una delle versioni seguenti per supportare il provider di servizi di configurazione Windows LAPS:
- Windows 10 versione 22H2 (19045.2846 o successiva) con KB5025221
- Windows 10 versione 21H2 (19044.2846 o successiva) con KB5025221
- Windows 10 versione 20H2 (19042.2846 o successiva) con KB5025221
- Windows 11 versione 22H2 (22621.1555 o successiva) con KB5025239
- Windows 11 versione 21H2 (22000.1817 o successiva) con KB5025224
Supporto GCC High
Intune criteri per Windows LAPS è supportato per gli ambienti GCC High.
Controlli di accesso in base al ruolo per LAPS
Per gestire LAPS, un account deve disporre di autorizzazioni di controllo degli accessi in base al ruolo sufficienti per completare un'attività desiderata. Di seguito sono riportate le attività disponibili con le autorizzazioni necessarie:
Creare e accedere ai criteri LAPS: per usare e visualizzare i criteri LAPS, all'account devono essere assegnate autorizzazioni sufficienti dalla categoria Intune controllo degli accessi in base al ruolo per le baseline di sicurezza. Per impostazione predefinita, questi sono inclusi nel ruolo predefinito Endpoint Security Manager. Per usare ruoli personalizzati, assicurarsi che il ruolo personalizzato includa i diritti della categoria Baseline di sicurezza .
Ruotare la password dell'amministratore locale: per usare l'interfaccia di amministrazione Intune per visualizzare o ruotare una password dell'account amministratore locale dei dispositivi, è necessario assegnare all'account le autorizzazioni di Intune seguenti:
- Dispositivi gestiti: lettura
- Organizzazione: lettura
- Attività remote: Ruotare la password di Amministrazione locale
Recuperare la password dell'amministratore locale: per visualizzare i dettagli della password, l'account deve disporre di una delle autorizzazioni di Microsoft Entra seguenti:
-
microsoft.directory/deviceLocalCredentials/password/read
per leggere i metadati e le password LAPS. -
microsoft.directory/deviceLocalCredentials/standard/read
per leggere i metadati LAPS escluse le password.
Per creare ruoli personalizzati in grado di concedere queste autorizzazioni, vedere Creare e assegnare un ruolo personalizzato in Microsoft Entra ID nella documentazione Microsoft Entra.
-
Visualizzare Microsoft Entra log di controllo e gli eventi: per visualizzare i dettagli sui criteri LAPS e le azioni recenti del dispositivo, ad esempio gli eventi di rotazione delle password, l'account deve disporre di autorizzazioni equivalenti all'operatore di sola lettura predefinito Intune ruolo.
Per altre informazioni, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.
Architettura LAPS
Per informazioni sull'architettura LAPS di Windows, vedere Architettura di Windows LAPS nella documentazione di Windows.
Domande frequenti
È possibile usare Intune criteri LAPS per gestire qualsiasi account amministratore locale in un dispositivo?
Sì. Intune criteri LAPS possono essere usati per gestire qualsiasi account amministratore locale in un dispositivo. Tuttavia, LAPS supporta un solo account per dispositivo:
- Quando un criterio non specifica un nome di account, Intune gestisce l'account amministratore predefinito predefinito indipendentemente dal nome corrente nel dispositivo.
- È possibile modificare l'account gestito Intune per un dispositivo modificando i criteri assegnati del dispositivo o modificandone i criteri correnti per specificare un account diverso.
- Se a un dispositivo vengono assegnati due criteri separati che specificano entrambi un account diverso, si verifica un conflitto che deve essere risolto prima che l'account del dispositivo possa essere gestito.
Cosa accade se si distribuiscono criteri LAPS con Intune in un dispositivo che dispone già di configurazioni LAPS da un'origine diversa?
I criteri basati su CSP di Intune sostituiscono tutte le altre origini dei criteri LAPS, ad esempio dagli oggetti Criteri di gruppo o da una configurazione da Microsoft LAPS legacy. Per altre informazioni, vedere Supported Policy roots (Radici dei criteri supportati ) nella documentazione di Windows LAPS.
Windows LAPS può creare account di amministratore locale in base al nome dell'account amministratore configurato usando i criteri LAPS?
No. Windows LAPS può gestire solo gli account già esistenti nel dispositivo. Se un criterio specifica un account per nome che non esiste nel dispositivo, il criterio si applica e non segnala un errore. Tuttavia, non viene eseguito il backup di alcun account.
Windows LAPS ruota ed esegue il backup della password per un dispositivo disabilitato in Microsoft Entra?
No. Windows LAPS richiede che il dispositivo sia abilitato prima che possano essere applicate le operazioni di rotazione e backup delle password.
Cosa accade quando un dispositivo viene eliminato in Microsoft Entra?
Quando un dispositivo viene eliminato in Microsoft Entra, le credenziali LAPS associate al dispositivo vengono perse e la password archiviata in Microsoft Entra ID viene persa. A meno che non si disponga di un flusso di lavoro personalizzato per recuperare le password LAPS e archiviarle esternamente, non esiste alcun metodo in Microsoft Entra ID per recuperare la password gestita di LAPS per un dispositivo eliminato.
Quali ruoli sono necessari per recuperare le password LAPS?
I ruoli di Microsoft Entra predefiniti seguenti dispongono dell'autorizzazione per recuperare le password LAPS: Amministratore del dispositivo cloud e Amministratore Intune.
Quali ruoli sono necessari per leggere i metadati LAPS?
I ruoli di Microsoft Entra predefiniti seguenti sono supportati per visualizzare i metadati relativi a LAPS, tra cui il nome del dispositivo, la rotazione dell'ultima password e la rotazione successiva delle password:
- Ruolo con autorizzazioni di lettura per la sicurezza
È anche possibile usare i ruoli seguenti:
- Amministratore del dispositivo cloud
- Amministratore Intune
- Amministratore helpdesk
- Amministratore della sicurezza
Perché il pulsante Password amministratore locale è disattivato e inaccessibile?
Attualmente, l'accesso a questa area richiede l'autorizzazione Ruota password amministratore locale Intune. Vedere Controllo degli accessi in base al ruolo per Microsoft Intune.
Cosa accade quando viene modificato l'account specificato dai criteri?
Poiché Windows LAPS può gestire un solo account amministratore locale in un dispositivo alla volta, l'account originale non è più gestito dai criteri LAPS. Se il criterio esegue il backup dell'account da parte del dispositivo, viene eseguito il backup del nuovo account e i dettagli sull'account precedente non sono più disponibili dall'interfaccia di amministrazione Intune o dalla directory specificata per archiviare le informazioni sull'account.