PROVIDER di servizi di configurazione LAPS
Il provider di servizi di configurazione CSP (Local Administrator Password Solution) viene usato dall'organizzazione per gestire il backup delle password dell'account amministratore locale. Windows supporta un oggetto Criteri di gruppo LAPS completamente separato dal provider di servizi di configurazione LAPS. Molte delle varie impostazioni sono comuni sia nell'oggetto Criteri di gruppo LAPS che in quello CSP (l'oggetto Criteri di gruppo non supporta alcuna delle impostazioni correlate all'azione). Se almeno un'impostazione LAPS è configurata tramite CSP, tutte le impostazioni configurate per l'oggetto Criteri di gruppo verranno ignorate. Vedi anche Configurare le impostazioni dei criteri per Windows LAPS.
Nota
Per altre informazioni sugli aggiornamenti specifici del sistema operativo necessari per usare il provider di servizi di configurazione Windows LAPS e le funzionalità associate, oltre allo stato corrente dello scenario laps Microsoft Entra, vedi Disponibilità laps di Windows e Microsoft Entra stato dell'anteprima pubblica laps.
Suggerimento
Questo articolo illustra i dettagli tecnici specifici del CSP LAPS. Per altre informazioni sugli scenari in cui verrà usato il provider di servizi di configurazione laps, vedere Soluzione password amministratore locale di Windows.
L'elenco seguente mostra i nodi del provider di servizi di configurazione LAPS:
- ./Device/Vendor/MSFT/LAPS
- Azioni
-
Criteri
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- PassphraseLength
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
Azioni
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Actions
Definisce il nodo interno padre per tutte le impostazioni correlate all'azione nel provider di servizi di configurazione LAPS.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Ottieni |
Actions/ResetPassword
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
Usare questa impostazione per indicare al provider di servizi di configurazione di generare e archiviare immediatamente una nuova password per l'account amministratore locale gestito.
Questa azione richiama una reimpostazione immediata della password dell'account amministratore locale, ignorando i normali vincoli, ad esempio PasswordLengthDays e così via.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | null |
| Tipo accesso | Exec |
Actions/ResetPasswordStatus
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
Usare questa impostazione per eseguire query sullo stato dell'ultima azione di esecuzione ResetPassword inviata.
Il valore restituito è un codice HRESULT:
- S_OK (0x0): ultima azione ResetPassword inviata completata.
- E_PENDING (0x8000000): l'ultima azione ResetPassword inviata è ancora in esecuzione.
- Altro: l'ultima azione ResetPassword inviata ha rilevato l'errore restituito.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Ottieni |
| Valore predefinito | 0 |
Criteri
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies
Nodo radice per i criteri LAPS.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | node |
| Tipo accesso | Ottieni |
| Atomic Required | True |
Criteri/ADEncryptedPasswordHistorySize
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
Usare questa impostazione per configurare il numero di password crittografate precedenti che verranno memorizzate in Active Directory.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 0 password (disabilitate).
Questa impostazione ha un valore minimo consentito di 0 password.
Questa impostazione ha un valore massimo consentito di 12 password.
Importante
Questa impostazione viene ignorata a meno che ADPasswordEncryptionEnabled non sia configurato su True e non vengano soddisfatti tutti gli altri prerequisiti.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-12] |
| Valore predefinito | 0 |
| Dipendenza [BackupDirectory] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/BackupDirectory Valore consentito per le dipendenze: 2 Tipo di valore consentito per le dipendenze: ENUM |
Criteri/AdministratorAccountName
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
Usare questa impostazione per configurare il nome dell'account amministratore locale gestito.
Se non specificato, l'account amministratore locale predefinito predefinito si troverà in base al SID noto (anche se rinominato).
Se specificato, la password dell'account specificato verrà gestita.
Si noti che se in questa impostazione viene specificato un nome di account amministratore locale gestito personalizzato, l'account deve essere creato con altri mezzi. Se si specifica un nome in questa impostazione, l'account non verrà creato.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
Policies/ADPasswordEncryptionEnabled
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
Usare questa impostazione per configurare se la password è crittografata prima di essere archiviata in Active Directory.
Questa impostazione viene ignorata se la password è attualmente archiviata in Microsoft Entra ID.
Questa impostazione viene rispettata solo quando il dominio di Active Directory si trova a Windows Server 2016 livello di funzionalità del dominio o superiore.
Se questa impostazione è abilitata e il dominio di Active Directory soddisfa i prerequisiti DFL, la password verrà crittografata prima di essere archiviata in Active Directory.
Se questa impostazione è disabilitata o il dominio di Active Directory non soddisfa i prerequisiti DFL, la password verrà archiviata come testo non crittografata in Active Directory.
Se non specificato, questa impostazione è impostata per impostazione predefinita su True.
Importante
Questa impostazione viene ignorata a meno che BackupDirectory non sia configurato per eseguire il backup della password in Active Directory, MENTRE il dominio active directory è al livello di funzionalità del dominio Windows Server 2016 o superiore.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | True |
| Dipendenza [BackupDirectory] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/BackupDirectory Valore consentito per le dipendenze: 2 Tipo di valore consentito per le dipendenze: ENUM |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false | Archiviare la password in formato non crittografato in Active Directory. |
| true (impostazione predefinita) | Archiviare la password in formato crittografato in Active Directory. |
Policies/ADPasswordEncryptionPrincipal
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
Usare questa impostazione per configurare il nome o il SID di un utente o un gruppo in grado di decrittografare la password archiviata in Active Directory.
Questa impostazione viene ignorata se la password è attualmente archiviata in Microsoft Entra ID.
Se non specificata, la password sarà decrittografabile dal gruppo Domain Admins nel dominio del dispositivo.
Se specificato, l'utente o il gruppo specificato sarà in grado di decrittografare la password archiviata in Active Directory.
Se l'account utente o di gruppo specificato non è valido, il dispositivo eseguirà il fallback all'uso del gruppo Domain Admins nel dominio del dispositivo.
Importante
Questa impostazione viene ignorata a meno che ADPasswordEncryptionEnabled non sia configurato su True e non vengano soddisfatti tutti gli altri prerequisiti. La stringa archiviata in questa impostazione deve essere un SID in formato stringa o il nome completo di un utente o di un gruppo. Gli esempi validi includono:
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
L'entità identificata (in base al SID o al nome utente/gruppo) deve esistere ed essere risolvibile dal dispositivo.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Dipendenza [BackupDirectory] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/BackupDirectory Valore consentito per le dipendenze: 2 Tipo di valore consentito per le dipendenze: ENUM |
Criteri/AutomaticAccountManagementEnableAccount
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
Usare questa impostazione per configurare se l'account gestito automaticamente è abilitato o disabilitato.
Se questa impostazione è abilitata, l'account di destinazione verrà abilitato.
Se questa impostazione è disabilitata, l'account di destinazione verrà disabilitato.
Se non specificato, questa impostazione viene impostata per impostazione predefinita su False.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
| Dipendenza [AutomaticAccountManagementEnabled] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valore consentito per le dipendenze: true Tipo di valore consentito per le dipendenze: ENUM |
Valori consentiti:
| Value | Descrizione |
|---|---|
| False (impostazione predefinita) | L'account di destinazione verrà disabilitato. |
| True | L'account di destinazione verrà abilitato. |
Criteri/AutomaticAccountManagementEnabled
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Usare questa impostazione per specificare se la gestione automatica degli account è abilitata.
Se questa impostazione è abilitata, l'account di destinazione verrà gestito automaticamente.
Se questa impostazione è disabilitata, l'account di destinazione non verrà gestito automaticamente.
Se non specificato, questa impostazione viene impostata per impostazione predefinita su False.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false (impostazione predefinita) | L'account di destinazione non verrà gestito automaticamente. |
| true | L'account di destinazione verrà gestito automaticamente. |
Criteri/AutomaticAccountManagementNameOrPrefix
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
Usare questa impostazione per configurare il nome o il prefisso dell'account amministratore locale gestito.
Se specificato, il valore verrà usato come nome o prefisso del nome dell'account gestito.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su "WLapsAdmin".
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato |
chr (stringa) |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Dipendenza [AutomaticAccountManagementEnabled] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valore consentito per le dipendenze: true Tipo di valore consentito per le dipendenze: ENUM |
Policies/AutomaticAccountManagementRandomizeName
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
Usare questa impostazione per configurare se il nome dell'account gestito automaticamente usa un suffisso numerico casuale ogni volta che la password viene ruotata.
Se questa impostazione è abilitata, il nome dell'account di destinazione userà un suffisso numerico casuale.
Se questa impostazione è disbled, il nome dell'account di destinazione non userà un suffisso numerico casuale.
Se non specificato, questa impostazione viene impostata per impostazione predefinita su False.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | False |
| Dipendenza [AutomaticAccountManagementEnabled] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valore consentito per le dipendenze: true Tipo di valore consentito per le dipendenze: ENUM |
Valori consentiti:
| Value | Descrizione |
|---|---|
| False (impostazione predefinita) | Il nome dell'account di destinazione non usa un suffisso numerico casuale. |
| True | Il nome dell'account di destinazione userà un suffisso numerico casuale. |
Criteri/AutomaticAccountManagementTarget
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
Usare questa impostazione per configurare l'account gestito automaticamente.
Le impostazioni consentite sono:
0=L'account amministratore predefinito verrà gestito.
1=Verrà gestito un nuovo account creato da Windows LAPS.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 1.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 1 |
| Dipendenza [AutomaticAccountManagementEnabled] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valore consentito per le dipendenze: true Tipo di valore consentito per le dipendenze: ENUM |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 | Gestire l'account amministratore predefinito. |
| 1 (impostazione predefinita) | Gestire un nuovo account amministratore personalizzato. |
Criteri/BackupDirectory
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
Usare questa impostazione per configurare la directory in cui viene eseguito il backup della password dell'account amministratore locale.
Le impostazioni consentite sono:
0=Disabilitato (il backup della password non verrà eseguito) 1=Backup della password in Microsoft Entra ID solo 2=Backup della password solo in Active Directory.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 0.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 0 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 0 (Predefinito) | Disabilitato (non verrà eseguito il backup della password). |
| 1 | Eseguire il backup della password solo per Microsoft Entra ID. |
| 2 | Eseguire il backup della password solo in Active Directory. |
Criteri/PassphraseLength
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11 versione 24H2 [10.0.26100] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
Usare questa impostazione per configurare il numero di parole passphrase.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 6 parole.
Questa impostazione ha un valore minimo consentito di 3 parole.
Questa impostazione ha un valore massimo consentito di 10 parole.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [3-10] |
| Valore predefinito | 6 |
| Dipendenza [PasswordComplexity] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valore consentito per le dipendenze: [6-8] Tipo di valore consentito per le dipendenze: Range |
Criteri/PasswordAgeDays
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
Usare questo criterio per configurare la validità massima della password dell'account amministratore locale gestito.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 30 giorni.
Questa impostazione ha un valore minimo consentito di 1 giorno quando si esegue il backup della password per Active Directory locale e di 7 giorni quando si esegue il backup della password per Microsoft Entra ID.
Questa impostazione ha un valore massimo consentito di 365 giorni.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [1-365] |
| Valore predefinito | 30 |
| Dipendenza [BackupDirectoryAADMode BackupDirectoryADMode] | Tipo di dipendenza: DependsOn DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valore consentito per le dipendenze: Tipo di valore consentito per le dipendenze: ENUM ENUM |
Criteri/PasswordComplessità
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
Usare questa impostazione per configurare la complessità delle password dell'account amministratore locale gestito.
Le impostazioni consentite sono:
1=Lettere grandi 2=Lettere grandi + lettere piccole 3=Lettere grandi + lettere piccole + numeri 4=Lettere grandi + Lettere piccole + Numeri + Caratteri speciali 5=Lettere grandi + Lettere piccole + Numeri + Caratteri speciali (leggibilità migliorata) 6=Passphrase (parole lunghe) 7=Passphrase (parole brevi) 8=Passphrase (parole brevi con prefissi univoci)
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 4.
Passphrase list tratto da "Deep Dive: EFF's New Wordlists for Random Passphrases" di Electronic Frontier Foundation e viene usato con una licenza di attribuzione CC-BY-3.0. Per altre informazioni, vedere https://go.microsoft.com/fwlink/?linkid=2255471.
Importante
Windows supporta le impostazioni di complessità delle password più basse (1, 2 e 3) solo per la compatibilità con le versioni precedenti di LAPS. Microsoft consiglia di configurare sempre questa impostazione su 4.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 4 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 1 | Lettere di grandi dimensioni. |
| 2 | Lettere di grandi dimensioni + lettere piccole. |
| 3 | Lettere di grandi dimensioni + lettere piccole + numeri. |
| 4 (impostazione predefinita) | Lettere grandi + lettere piccole + numeri + caratteri speciali. |
| 5 | Lettere grandi + lettere piccole + numeri + caratteri speciali (leggibilità migliorata). |
| 6 | Passphrase (parole lunghe). |
| 7 | Passphrase (parole brevi). |
| 8 | Passphrase (parole brevi con prefissi univoci). |
Criteri/PasswordExpirationProtectionEnabled
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
Usare questa impostazione per configurare l'imposizione aggiuntiva della validità massima della password per l'account amministratore locale gestito.
Quando questa impostazione è abilitata, la scadenza pianificata della password che comporterebbe una validità della password superiore a quella dettata dai criteri "PasswordAgeDays" NON è consentita. Quando viene rilevata tale scadenza, la password viene modificata immediatamente e la nuova data di scadenza della password viene impostata in base ai criteri.
Se non specificato, questa impostazione è impostata per impostazione predefinita su True.
Importante
Questa impostazione viene ignorata a meno che BackupDirectory non sia configurato per eseguire il backup della password in Active Directory.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | bool |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | True |
| Dipendenza [BackupDirectory] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/BackupDirectory Valore consentito per le dipendenze: 2 Tipo di valore consentito per le dipendenze: ENUM |
Valori consentiti:
| Value | Descrizione |
|---|---|
| false | Consenti il timestamp di scadenza della password configurato per superare la validità massima della password. |
| true (impostazione predefinita) | Non consentire che il timestamp di scadenza della password configurato superi la validità massima della password. |
Criteri/PasswordLength
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
Usare questa impostazione per configurare la lunghezza della password dell'account amministratore locale gestito.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 14 caratteri.
Questa impostazione ha un valore minimo consentito di 8 caratteri.
Questa impostazione ha un valore massimo consentito di 64 caratteri.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [8-64] |
| Valore predefinito | 14 |
| Dipendenza [PasswordComplexity] | Tipo di dipendenza: DependsOn URI di dipendenza: Vendor/MSFT/LAPS/Policies/PasswordComplexity Valore consentito per le dipendenze: [1-5] Tipo di valore consentito per le dipendenze: Range |
Criteri/PostAuthenticationActions
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
Usare questa impostazione per specificare le azioni da eseguire alla scadenza del periodo di tolleranza configurato.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 3 (Reimpostare la password e disconnettere l'account gestito).
Importante
Le azioni di post-autenticazione consentite consentono di limitare la quantità di tempo in cui una password LAPS può essere usata prima di essere reimpostata. La disconnessione dall'account gestito o il riavvio del dispositivo sono opzioni che consentono di garantire questa operazione. La chiusura improvvisa delle sessioni di accesso o il riavvio del dispositivo possono causare la perdita di dati.
Importante
Dal punto di vista della sicurezza, un utente malintenzionato che acquisisce privilegi amministrativi in un dispositivo che usa una password LAPS valida ha la capacità ultima di impedire o aggirare questi meccanismi.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungere, eliminare, ottenere, sostituire |
| Valore predefinito | 3 |
Valori consentiti:
| Value | Descrizione |
|---|---|
| 1 | Reimpostare la password: alla scadenza del periodo di tolleranza, la password dell'account gestito verrà reimpostata. |
| 3 (impostazione predefinita) | Reimpostare la password e disconnettere l'account gestito: alla scadenza del periodo di tolleranza, la password dell'account gestito verrà reimpostata e tutte le sessioni di accesso interattivo che usano l'account gestito verranno terminate. |
| 5 | Reimpostare la password e riavviare: alla scadenza del periodo di tolleranza, la password dell'account gestito verrà reimpostata e il dispositivo gestito verrà riavviato immediatamente. |
| 11 | Reimpostare la password, disconnettere l'account gestito e terminare tutti i processi rimanenti: alla scadenza del periodo di tolleranza, la password dell'account gestito viene reimpostata, tutte le sessioni di accesso interattivo che usano l'account gestito vengono disconnesso e tutti i processi rimanenti vengono terminati. |
Criteri/PostAuthenticationResetDelay
| Ambito | Edizioni | Sistema operativo applicabile |
|---|---|---|
|
✅ dispositivo ❌ utente |
✅ Pro ✅ Enterprise ✅ Education ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] e versioni successive ✅ [10.0.25145] e versioni successive ✅Windows 10, versione 1809 [10.0.17763.4244] e versioni successive ✅Windows 10, versione 2004 [10.0.19041.2784] e versioni successive ✅Windows 11 versione 21H2 [10.0.22000.1754] e versioni successive ✅Windows 11 versione 22H2 [10.0.22621.1480] e versioni successive |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
Usare questa impostazione per specificare la quantità di tempo (in ore) di attesa dopo un'autenticazione prima di eseguire le azioni post-autenticazione specificate.
Se non specificato, questa impostazione verrà impostata per impostazione predefinita su 24 ore.
Questa impostazione ha un valore minimo consentito di 0 ore (in questo modo vengono disabilitate tutte le azioni post-autenticazione).
Questa impostazione ha un valore massimo consentito di 24 ore.
Proprietà del framework di descrizione:
| Nome della proprietà | Valore proprietà |
|---|---|
| Formato | int |
| Tipo accesso | Aggiungi, Elimina, Ottieni, Sostituisci |
| Valori consentiti | Gamma: [0-24] |
| Valore predefinito | 24 |
Applicabilità delle impostazioni
Il provider di servizi di configurazione LAPS può essere usato per gestire i dispositivi aggiunti a Microsoft Entra ID o aggiunti sia a Microsoft Entra ID che ad Active Directory (aggiunta ibrida). Il provider di servizi di configurazione LAPS gestisce una combinazione di impostazioni solo Microsoft Entra e solo AD. Le impostazioni solo AD sono applicabili solo ai dispositivi aggiunti a un ambiente ibrido e quindi solo quando BackupDirectory è impostato su 2.
| Nome dell'impostazione | Aggiunta ad Azure | Aggiunta ibrida |
|---|---|---|
| BackupDirectory | Sì | Sì |
| PasswordAgeDays | Sì | Sì |
| PasswordLength | Sì | Sì |
| PasswordComplexity | Sì | Sì |
| PasswordExpirationProtectionEnabled | No | Sì |
| AdministratorAccountName | Sì | Sì |
| ADPasswordEncryptionEnabled | No | Sì |
| ADPasswordEncryptionPrincipal | No | Sì |
| ADEncryptedPasswordHistorySize | No | Sì |
| PostAuthenticationResetDelay | Sì | Sì |
| PostAuthenticationActions | Sì | Sì |
| ResetPassword | Sì | Sì |
| ResetPasswordStatus | Sì | Sì |
Esempi di SyncML
Gli esempi seguenti vengono forniti per mostrare il formato corretto e non devono essere considerati come raccomandazione.
Password di backup del dispositivo aggiunto ad Azure fino a Microsoft Entra ID
Questo esempio illustra come configurare un dispositivo aggiunto ad Azure per eseguire il backup della password per Microsoft Entra ID:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Password di backup del dispositivo aggiunto all'ibrido fino ad Active Directory
Questo esempio illustra come configurare un dispositivo ibrido per eseguire il backup della password in Active Directory con la crittografia della password abilitata:
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>