次の方法で共有

Windows LAPS のMicrosoft Intuneサポート

  • [アーティクル]

すべての Windows マシンには、削除できないローカル管理者アカウントが組み込まれており、デバイスに対する完全なアクセス許可を持っています。 このアカウントのセキュリティ保護は、organizationをセキュリティで保護するための重要な手順です。 Windows デバイスには、ローカル管理者アカウントの管理に役立つ組み込みソリューションである Windows ローカル管理者パスワード ソリューション (LAPS) が含まれています。

アカウント保護にはMicrosoft Intuneエンドポイント セキュリティ ポリシーを使用して、Intuneに登録されているデバイスの LAPS を管理できます。 Intune ポリシーでは、次のことができます。

  • ローカル管理者アカウントにパスワード要件を適用する
  • デバイスから Active Directory (AD) またはMicrosoft Entraにローカル管理者アカウントをバックアップする
  • アカウント パスワードを安全に保つために、それらのアカウント パスワードのローテーションをスケジュールします。

また、Intune 管理 センターでマネージド ローカル管理者アカウントの詳細を表示し、スケジュールされたローテーションの外部でアカウント パスワードを手動でローテーションすることもできます。

Intune LAPS ポリシーを使用すると、パス ザ ハッシュ攻撃や横トラバーサル攻撃などのローカル ユーザー アカウントを悪用することを目的とした攻撃から Windows デバイスを保護できます。 Intuneを使用して LAPS を管理すると、リモート ヘルプ デスクのシナリオのセキュリティを向上させ、それ以外の場合はアクセスできないデバイスを回復することもできます。

LAPS ポリシー Intune、Windows LAPS CSP から使用できる設定を管理します。 Intune CSP を使用すると、従来の Microsoft LAPS またはその他の LAPS 管理ソリューションの使用が、他の LAPS 管理ソースよりも優先される CSP に置き換えられます。

Windows LAPS のIntuneサポートには、次の機能が含まれます。

  • パスワード要件の設定 – デバイス上のローカル管理者アカウントの複雑さと長さを含むパスワード要件を定義します。
  • パスワードのローテーション – ポリシーを使用すると、デバイスがスケジュールに従ってローカル管理者アカウントのパスワードを自動的にローテーションさせることができます。 また、Intune管理センターを使用して、デバイスアクションとしてデバイスのパスワードを手動でローテーションすることもできます。
  • アカウントとパスワードのバックアップ – クラウド内のMicrosoft Entra IDまたはオンプレミスの Active Directoryで、デバイスに自分のアカウントとパスワードをバックアップさせることができます。 パスワードは、強力な暗号化を使用して格納されます。
  • 認証後のアクションの構成 – ローカル管理者アカウントのパスワードの有効期限が切れたときにデバイスが実行するアクションを定義します。 アクションの範囲は、マネージド アカウントをリセットして新しいセキュリティで保護されたパスワードを使用する、アカウントをログオフする、または両方を実行してからデバイスの電源を切るなどです。 また、これらのアクションを実行する前に、パスワードの有効期限が切れた後にデバイスが待機する時間を管理することもできます。
  • アカウントの詳細を表示する – 十分なロールベースの管理制御 (RBAC) アクセス許可を持つ管理者Intune、デバイスのローカル管理者アカウントとその現在のパスワードに関する情報を表示できます。 また、そのパスワードが最後にローテーションされたタイミング (リセット) と、次回ローテーションがスケジュールされているタイミングも確認できます。
  • レポートの表示 – Intuneは、過去の手動およびスケジュールされたパスワードローテーションに関する詳細を含む、パスワードローテーションに関するレポートを提供します。

Windows LAPS の詳細については、Windows ドキュメントの次の記事を参照してください。

  • Windows LAPS とは – Windows LAPS と Windows LAPS ドキュメント セットの概要。
  • Windows LAPS CSP – LAPS の設定とオプションの詳細を表示します。 LAPS のIntune ポリシーでは、これらの設定を使用してデバイスで LAPS CSP を構成します。

適用対象:

  • Windows 10
  • Windows 11

前提条件

テナントで Windows LAPS をサポートするためのIntuneの要件を次に示します。

ライセンスの要件

  • Intuneサブスクリプション - Microsoft Intune プラン 1。これは基本的なIntune サブスクリプションです。 Intuneの無料試用版サブスクリプションで Windows LAPS を使用することもできます。

  • Microsoft Entra IDMicrosoft Entra ID無料。これは、Intuneをサブスクライブするときに含まれるMicrosoft Entra IDの無料版です。 Microsoft Entra ID無料で、LAPS のすべての機能を使用できます。

Active Directory のサポート

Windows LAPS のIntune ポリシーでは、ローカル管理者アカウントとパスワードを次のいずれかの種類のディレクトリにバックアップするようにデバイスを構成できます。

注:

workplace-joined (WPJ) のデバイスは、LAPS のIntuneではサポートされていません。

  • クラウド – クラウドは、次のシナリオでMicrosoft Entra IDへのバックアップをサポートします。

    • ハイブリッド結合Microsoft Entra

    • Microsoft Entra参加

      Microsoft Entra参加をサポートするには、Microsoft Entra IDで LAPS を有効にする必要があります。 次の手順は、この構成を完了するのに役立ちます。 より大きなコンテキストについては、「Microsoft Entra IDを使用した Windows LAPS の有効化」のMicrosoft Entraドキュメントでこれらの手順を参照してください。 ハイブリッド参加Microsoft Entra、Microsoft Entraで LAPS を有効にする必要はありません。

      Microsoft Entraで LAPS を有効にする:

      1. クラウド デバイス管理者としてMicrosoft Entra 管理センターにサインインします。
      2. [Identity>Devices>Overview>Device の設定] を参照します。
      3. [ローカル管理者パスワード ソリューション (LAPS) を有効にする] 設定で [はい] を選択し、[保存] を選択します。 Microsoft Graph API Update deviceRegistrationPolicy を使用することもできます。

      詳細については、Microsoft Entraドキュメントの「Microsoft Entra IDの Windows ローカル管理者パスワード ソリューション」を参照してください。

  • オンプレミス – オンプレミスでは、Windows Server Active Directory (オンプレミスの Active Directory) へのバックアップがサポートされています。

    重要

    Windows デバイス上の LAPS は、1 つのディレクトリの種類を使用するように構成できますが、両方を使用することはできません。 また、バックアップ ディレクトリはデバイス参加の種類でサポートされている必要があります。ディレクトリをオンプレミスの Active Directoryに設定し、デバイスがドメインに参加していない場合、Intuneのポリシー設定を受け入れますが、LAPS ではその構成を正常に使用できません。

Device Edition とプラットフォーム

デバイスには、Intuneサポートされている任意の Windows エディションを含めることができますが、Windows LAPS CSP をサポートするには、次のいずれかのバージョンを実行する必要があります。

  • Windows 10、バージョン 22H2 (19045.2846 以降) とKB5025221
  • Windows 10、バージョン 21H2 (19044.2846 以降) とKB5025221
  • Windows 10、バージョン 20H2 (19042.2846 以降) とKB5025221
  • Windows 11、バージョン 22H2 (22621.1555 以降) とKB5025239
  • Windows 11、バージョン 21H2 (22000.1817 以降) とKB5025224

GCC の高いサポート

WINDOWS LAPS のIntune ポリシーは、GCC High 環境でサポートされています。

LAPS のロールベースのアクセス制御

LAPS を管理するには、アカウントに必要なタスクを完了するための十分なロールベースのアクセス制御 (RBAC) アクセス許可が必要です。 必要なアクセス許可を持つ使用可能なタスクを次に示します。

  • LAPS ポリシーの作成とアクセス – LAPS ポリシーを操作して表示するには、セキュリティ ベースラインのIntune RBAC カテゴリから十分なアクセス許可がアカウントに割り当てられている必要があります。 既定では、これらはIntune組み込みロール Endpoint Security Manager に含まれます。 カスタム ロールを使用するには、カスタム ロールに セキュリティ ベースライン カテゴリの権限が含まれていることを確認します。

  • ローカル管理者パスワードをローテーションする – Intune管理センターを使用してデバイスのローカル管理者アカウントのパスワードを表示またはローテーションするには、アカウントに次のIntuneアクセス許可を割り当てる必要があります。

    • マネージド デバイス: 読み取り
    • 組織: 読み取り
    • リモート タスク: ローカル 管理 パスワードをローテーションする

  • ローカル管理者パスワードを取得する – パスワードの詳細を表示するには、アカウントに次のいずれかのMicrosoft Entraアクセス許可が必要です。

    • microsoft.directory/deviceLocalCredentials/password/read LAPS メタデータとパスワードを読み取ります。
    • microsoft.directory/deviceLocalCredentials/standard/read パスワードを除く LAPS メタデータを読み取ります。

    これらのアクセス許可を付与できるカスタム ロールを作成するには、Microsoft Entraドキュメントの「Microsoft Entra IDでカスタム ロールを作成して割り当てる」を参照してください。

  • 監査ログとイベントMicrosoft Entra表示する – LAPS ポリシーとパスワード ローテーション イベントなどの最近のデバイス アクションの詳細を表示するには、組み込みのIntune ロールの読み取り専用オペレーターと同等のアクセス許可がアカウントに必要です。

Intuneの組み込みロールとカスタム ロールの詳細については、「Microsoft Intuneのロールベースのアクセス制御」を参照してください。

LAPS アーキテクチャ

Windows LAPS アーキテクチャの詳細については、Windows ドキュメントの 「Windows LAPS アーキテクチャ 」を参照してください。

よく寄せられる質問

INTUNE LAPS ポリシーを使用して、デバイス上のローカル管理者アカウントを管理できますか?

はい。 INTUNE LAPS ポリシーを使用して、デバイス上の任意のローカル管理者アカウントを管理できます。 ただし、LAPS では、デバイスごとに 1 つのアカウントのみがサポートされます。

  • ポリシーでアカウント名が指定されていない場合、Intuneは、デバイス上の現在の名前に関係なく、既定の組み込み管理者アカウントを管理します。
  • デバイスに対して管理Intuneアカウントを変更するには、デバイスに割り当てられたポリシーを変更するか、現在のポリシーを編集して別のアカウントを指定します。
  • 両方で別のアカウントを指定する 2 つの個別のポリシーがデバイスに割り当てられている場合、デバイスのアカウントを管理する前に解決する必要がある競合が発生します。

Intuneを含む LAPS ポリシーを、別のソースからの LAPS 構成が既に存在するデバイスに展開した場合はどうなりますか?

Intuneからの CSP ベースのポリシーは、GPO やレガシ Microsoft LAPS からの構成など、LAPS ポリシーの他のすべてのソースをオーバーライドします。 詳細については、Windows LAPS ドキュメントの 「サポートされているポリシー ルート」を参照してください。

Windows LAPS は、LAPS ポリシーを使用して構成された管理者アカウント名に基づいてローカル管理者アカウントを作成できますか?

いいえ。 Windows LAPS では、デバイスに既に存在するアカウントのみを管理できます。 ポリシーで、デバイスに存在しないアカウントを名前で指定した場合、ポリシーは適用され、エラーは報告されません。 ただし、アカウントはバックアップされません。

Windows LAPS は、Microsoft Entraで無効になっているデバイスのパスワードをローテーションしてバックアップしますか?

いいえ。 Windows LAPS では、パスワードのローテーションとバックアップ操作を適用する前に、デバイスが有効な状態である必要があります。

Microsoft Entraでデバイスが削除されるとどうなりますか?

Microsoft Entraでデバイスが削除されると、そのデバイスに関連付けられた LAPS 資格情報が失われ、Microsoft Entra IDに格納されているパスワードが失われます。 LAPS パスワードを取得して外部に保存するカスタム ワークフローがない限り、削除されたデバイスの LAPS 管理パスワードを回復する方法はMicrosoft Entra IDにありません。

LAPS パスワードを回復するために必要なロールは何ですか?

の組み込みのMicrosoft Entraロールには、LAPS パスワードを回復するためのアクセス許可があります:Cloud Device Administratorおよび Intune Administrator

LAPS メタデータを読み取るために必要なロールは何ですか?

デバイス名、最後のパスワードローテーション、次のパスワードローテーションなど、LAPS に関するメタデータを表示するには、次の組み込みのMicrosoft Entraロールがサポートされています。

  • セキュリティ閲覧者

次のロールを使用することもできます。

  • クラウド デバイス管理者
  • Intune管理者
  • ヘルプデスク管理者
  • セキュリティ管理者

[ローカル管理者パスワード] ボタンが灰色表示され、アクセスできないのはなぜですか?

現時点では、この領域へのアクセスには、ローカル管理者パスワードのローテーション Intuneアクセス許可が必要です。 Microsoft Intuneについては、「ロールベースのアクセス制御」を参照してください。

ポリシーで指定されたアカウントが変更された場合はどうなりますか?

Windows LAPS では一度に 1 つのデバイス上のローカル管理者アカウントのみを管理できるため、元のアカウントは LAPS ポリシーによって管理されなくなります。 ポリシーにデバイスがそのアカウントをバックアップしている場合、新しいアカウントがバックアップされ、以前のアカウントに関する詳細は、Intune管理センター内またはアカウント情報を格納するために指定されたディレクトリから使用できなくなります。

次の手順