obsługa Microsoft Intune dla systemu Windows LAPS
Każda maszyna z systemem Windows ma wbudowane konto administratora lokalnego, którego nie można usunąć i które ma pełne uprawnienia do urządzenia. Zabezpieczenie tego konta jest ważnym krokiem w zabezpieczaniu organizacji. Urządzenia z systemem Windows obejmują rozwiązanie LAPS (Local Administrator Password Solution) systemu Windows, wbudowane rozwiązanie ułatwiające zarządzanie kontami administratora lokalnego.
Do zarządzania usługą LAPS na urządzeniach zarejestrowanych w Intune można użyć zasad zabezpieczeń Microsoft Intune punktu końcowego. zasady Intune mogą:
- Wymuszanie wymagań dotyczących haseł dla kont administratorów lokalnych
- Tworzenie kopii zapasowej konta administratora lokalnego z urządzeń w usłudze Active Directory (AD) lub Microsoft Entra
- Zaplanuj rotację tych haseł kont, aby zapewnić im bezpieczeństwo.
Możesz również wyświetlić szczegółowe informacje o zarządzanych kontach administratora lokalnego w centrum Intune Administracja i ręcznie obrócić hasła kont poza zaplanowaną rotacją.
Korzystanie z Intune zasad LAPS pomaga chronić urządzenia z systemem Windows przed atakami, które mają na celu wykorzystanie kont użytkowników lokalnych, takich jak ataki typu pass-the-hash lub boczne przechodzenie. Zarządzanie usługą LAPS za pomocą Intune może również pomóc zwiększyć bezpieczeństwo scenariuszy zdalnej pomocy technicznej i odzyskać urządzenia, które w przeciwnym razie są niedostępne.
Intune zasady LAPS zarządza ustawieniami dostępnymi w programie windows LAPS CSP. Intune użycie dostawcy CSP zastępuje korzystanie ze starszych rozwiązań do zarządzania laps firmy Microsoft lub innych rozwiązań do zarządzania laps, a dostawca CSP ma pierwszeństwo przed innymi źródłami zarządzania laps.
Intune obsługa systemu Windows LAPS obejmuje następujące możliwości:
- Ustawianie wymagań dotyczących haseł — zdefiniuj wymagania dotyczące haseł, w tym złożoność i długość konta administratora lokalnego na urządzeniu.
- Rotacja haseł — dzięki zasadom urządzenia mogą automatycznie obracać hasła konta administratora lokalnego w harmonogramie. Możesz również użyć centrum administracyjnego Intune, aby ręcznie obrócić hasło dla urządzenia jako akcję urządzenia.
- Tworzenie kopii zapasowych kont i haseł — możesz utworzyć kopię zapasową konta i hasła na urządzeniach w Tożsamość Microsoft Entra w chmurze lub w lokalna usługa Active Directory. Hasła są przechowywane przy użyciu silnego szyfrowania.
- Konfigurowanie akcji uwierzytelniania po uwierzytelnieniu — zdefiniuj akcje, które urządzenie wykonuje po wygaśnięciu hasła konta administratora lokalnego. Akcje obejmują resetowanie konta zarządzanego w celu użycia nowego bezpiecznego hasła, wylogowywanie się z konta lub wykonywanie obu tych czynności, a następnie wyłączanie urządzenia. Możesz również zarządzać tym, jak długo urządzenie czeka po wygaśnięciu hasła przed wykonaniem tych akcji.
- Wyświetlanie szczegółów konta — Intune administratorzy z wystarczającymi uprawnieniami kontroli administracyjnej opartej na rolach (RBAC) mogą wyświetlać informacje o lokalnym koncie administratora urządzeń i jego bieżącym haśle. Możesz również zobaczyć, kiedy to hasło zostało ostatnio obrócone (zresetowanie) i kiedy ma zostać ponownie zaplanowane.
- Wyświetlanie raportów — Intune udostępnia raporty dotyczące rotacji haseł, w tym szczegółowe informacje o przeszłej ręcznej i zaplanowanej rotacji haseł.
Aby dowiedzieć się więcej o usłudze Windows LAPS, zacznij od następujących artykułów w dokumentacji systemu Windows:
- Co to jest windows LAPS? — Wprowadzenie do systemu Windows LAPS i zestawu dokumentacji laps systemu Windows.
- Dostawca CSP systemu Windows LAPS — wyświetl pełne szczegóły ustawień i opcji laps. Intune zasady dla usługi LAPS używają tych ustawień do konfigurowania dostawcy CSP laps na urządzeniach.
Dotyczy:
- Windows 10
- Windows 11
Wymagania wstępne
Poniżej przedstawiono wymagania dotyczące Intune do obsługi systemu Windows LAPS w dzierżawie:
Wymagania dotyczące licencjonowania
Intune subskrypcji - Microsoft Intune (plan 1), która jest podstawową subskrypcją Intune. Możesz również użyć systemu Windows LAPS z bezpłatną subskrypcją wersji próbnej dla Intune.
Tożsamość Microsoft Entra — Tożsamość Microsoft Entra Bezpłatna, czyli bezpłatna wersja Tożsamość Microsoft Entra, która jest uwzględniana podczas subskrybowania Intune. Dzięki Tożsamość Microsoft Entra Free możesz korzystać ze wszystkich funkcji laps.
Obsługa usługi Active Directory
Intune zasad dla systemu Windows LAPS można skonfigurować urządzenie do tworzenia kopii zapasowej konta administratora lokalnego i hasła do jednego z następujących typów katalogów:
Uwaga
Urządzenia przyłączone do miejsca pracy (WPJ) nie są obsługiwane przez Intune dla usługi LAPS.
Chmura — chmura obsługuje tworzenie kopii zapasowych w Tożsamość Microsoft Entra w następujących scenariuszach:
przyłączanie hybrydowe Microsoft Entra
Microsoft Entra sprzężenia
Obsługa dołączania Microsoft Entra wymaga włączenia usługi LAPS w Tożsamość Microsoft Entra. Poniższe kroki mogą pomóc w ukończeniu tej konfiguracji. Aby uzyskać większy kontekst, zapoznaj się z tymi krokami w dokumentacji Microsoft Entra w temacie Włączanie usługi WINDOWS LAPS za pomocą Tożsamość Microsoft Entra. Microsoft Entra sprzężenie hybrydowe nie wymaga włączenia funkcji LAPS w Microsoft Entra.
Włącz usługę LAPS w Microsoft Entra:
- Zaloguj się do centrum administracyjne Microsoft Entra jako administrator urządzeń w chmurze.
- Przejdź do pozycjiUrządzenia>tożsamości>— omówienie>ustawień urządzenia.
- Wybierz pozycję Tak dla ustawienia Włącz rozwiązanie laps (Local Administrator Password Solution) i wybierz pozycję Zapisz. Możesz również użyć urządzenia Microsoft interfejs Graph API UpdateRegistrationPolicy.
Aby uzyskać więcej informacji, zobacz Rozwiązanie haseł administratora lokalnego systemu Windows w Tożsamość Microsoft Entra w dokumentacji Microsoft Entra.
Lokalnie — środowisko lokalne obsługuje tworzenie kopii zapasowych do Windows Server Active Directory (lokalna usługa Active Directory).
Ważna
Usługi LAPS na urządzeniach z systemem Windows można skonfigurować tak, aby używały jednego lub drugiego typu katalogu, ale nie obu tych typów. Należy również wziąć pod uwagę, że katalog kopii zapasowej musi być obsługiwany przez typ sprzężenia urządzeń — jeśli ustawisz katalog na lokalna usługa Active Directory, a urządzenie nie jest przyłączone do domeny, zaakceptuje ustawienia zasad z Intune, ale usługa LAPS nie może pomyślnie użyć tej konfiguracji.
Device Edition i Platforma
Urządzenia mogą mieć dowolną wersję systemu Windows, która Intune obsługuje, ale musi być uruchomiona jedna z następujących wersji do obsługi dostawcy CSP laps systemu Windows:
- Windows 10, wersja 22H2 (19045.2846 lub nowsza) z KB5025221
- Windows 10, wersja 21H2 (19044.2846 lub nowsza) z KB5025221
- Windows 10, wersja 20H2 (19042.2846 lub nowsza) z KB5025221
- Windows 11, wersja 22H2 (22621.1555 lub nowsza) z KB5025239
- Windows 11, wersja 21H2 (22000.1817 lub nowsza) z KB5025224
Obsługa GCC High
zasady Intune dla systemu Windows LAPS są obsługiwane w środowiskach GCC High.
Kontrola dostępu oparta na rolach dla usługi LAPS
Aby zarządzać usługą LAPS, konto musi mieć wystarczające uprawnienia kontroli dostępu na podstawie ról (RBAC), aby wykonać żądane zadanie. Poniżej przedstawiono dostępne zadania z wymaganymi uprawnieniami:
Tworzenie zasad LAPS i uzyskiwanie do nich dostępu — aby pracować z zasadami LAPS i wyświetlać je, musisz mieć przypisane wystarczające uprawnienia z kategorii Intune RBAC dla punktów odniesienia zabezpieczeń. Domyślnie są one uwzględniane w Intune wbudowanej roli Endpoint Security Manager. Aby korzystać z ról niestandardowych, upewnij się, że rola niestandardowa zawiera prawa z kategorii Punkty odniesienia zabezpieczeń .
Obróć hasło administratora lokalnego — aby użyć centrum administracyjnego Intune do wyświetlania lub obracania hasła konta administratora lokalnego urządzeń, konto musi mieć przypisane następujące uprawnienia Intune:
- Urządzenia zarządzane: odczyt
- Organizacja: Odczyt
- Zadania zdalne: obracanie hasła Administracja lokalnego
Pobieranie hasła administratora lokalnego — aby wyświetlić szczegóły hasła, konto musi mieć jedno z następujących uprawnień Microsoft Entra:
-
microsoft.directory/deviceLocalCredentials/password/read
w celu odczytania metadanych i haseł laps. -
microsoft.directory/deviceLocalCredentials/standard/read
w celu odczytania metadanych LAPS z wyłączeniem haseł.
Aby utworzyć role niestandardowe, które mogą udzielić tych uprawnień, zobacz Tworzenie i przypisywanie roli niestandardowej w Tożsamość Microsoft Entra w dokumentacji Microsoft Entra.
-
Wyświetlanie Microsoft Entra dzienników inspekcji i zdarzeń — aby wyświetlić szczegółowe informacje o zasadach LAPS i ostatnich akcjach urządzenia, takich jak zdarzenia rotacji haseł, konto musi mieć uprawnienia równoważne wbudowanej roli Intune operator tylko do odczytu.
Aby uzyskać więcej informacji na temat wbudowanych ról i ról niestandardowych Intune, zobacz Kontrola dostępu oparta na rolach dla Microsoft Intune.
Architektura LAPS
Aby uzyskać informacje o architekturze systemu Windows LAPS, zobacz Architektura laps systemu Windows w dokumentacji systemu Windows.
Często zadawane pytania
Czy mogę zarządzać dowolnym kontem administratora lokalnego na urządzeniu za pomocą zasad Intune LAPS?
Tak. Intune zasad LAPS można używać do zarządzania dowolnym kontem administratora lokalnego na urządzeniu. Jednak usługa LAPS obsługuje tylko jedno konto na urządzenie:
- Jeśli zasady nie określają nazwy konta, Intune zarządza domyślnym wbudowanym kontem administratora niezależnie od jego bieżącej nazwy na urządzeniu.
- Możesz zmienić konto, które Intune zarządza dla urządzenia, zmieniając przypisane zasady urządzenia lub edytując jego bieżące zasady, aby określić inne konto.
- Jeśli do urządzenia są przypisane dwie oddzielne zasady, które określają inne konto, występuje konflikt, który należy rozwiązać, zanim będzie można zarządzać kontem urządzenia.
Co zrobić, jeśli wdrożę zasady LAPS z Intune na urządzeniu, które ma już konfiguracje LAPS z innego źródła?
Zasady oparte na programie CSP z Intune przesłaniają wszystkie inne źródła zasad LAPS, takie jak obiekty zasad grupy lub konfiguracja ze starszej wersji usługi Microsoft LAPS. Aby uzyskać więcej informacji, zobacz Obsługiwane katalogi główne zasad w dokumentacji systemu Windows LAPS.
Czy usługa Windows LAPS może tworzyć konta administratora lokalnego na podstawie nazwy konta administratora skonfigurowanej przy użyciu zasad LAPS?
L.p. Usługa WINDOWS LAPS może zarządzać tylko kontami, które już istnieją na urządzeniu. Jeśli zasady określają konto według nazwy, które nie istnieje na urządzeniu, zasady mają zastosowanie i nie zgłaszają błędu. Kopia zapasowa konta nie jest jednak kopią zapasową.
Czy usługa Windows LAPS obraca i tworzy kopię zapasową hasła dla urządzenia wyłączonego w Microsoft Entra?
L.p. System Windows LAPS wymaga, aby urządzenie było w stanie włączonym przed zastosowaniem operacji rotacji haseł i tworzenia kopii zapasowych.
Co się stanie, gdy urządzenie zostanie usunięte w Microsoft Entra?
Gdy urządzenie zostanie usunięte w Microsoft Entra, poświadczenie LAPS, które zostało powiązane z tym urządzeniem, zostanie utracone, a hasło przechowywane w Tożsamość Microsoft Entra zostanie utracone. Jeśli nie masz niestandardowego przepływu pracy do pobierania haseł LAPS i przechowywania ich na zewnątrz, nie ma metody w Tożsamość Microsoft Entra odzyskiwania hasła zarządzanego przez usługę LAPS dla usuniętego urządzenia.
Jakie role są potrzebne do odzyskania haseł LAPS?
Następujące wbudowane role Microsoft Entra mają uprawnienia do odzyskiwania haseł LAPS: administrator urządzeń w chmurze i administrator Intune.
Jakie role są potrzebne do odczytu metadanych LAPS?
Następujące wbudowane role Microsoft Entra są obsługiwane w celu wyświetlania metadanych dotyczących usługi LAPS, w tym nazwy urządzenia, ostatniej rotacji haseł i następnej rotacji haseł:
- Czytelnik zabezpieczeń
Można również użyć następujących ról:
- Administrator urządzeń w chmurze
- administrator Intune
- Administrator pomocy technicznej
- Administrator zabezpieczeń
Dlaczego przycisk hasła administratora lokalnego jest wyszarzone i niedostępne?
Obecnie dostęp do tego obszaru wymaga uprawnienia Intune Intune hasła administratora lokalnego. Zobacz Kontrola dostępu oparta na rolach dla Microsoft Intune.
Co się stanie po zmianie konta określonego przez zasady?
Ponieważ usługa Windows LAPS może jednocześnie zarządzać tylko jednym kontem administratora lokalnego na urządzeniu, oryginalne konto nie jest już zarządzane przez zasady LAPS. Jeśli zasady mają kopię zapasową tego konta, nowe konto jest kopią zapasową, a szczegóły dotyczące poprzedniego konta nie są już dostępne w centrum administracyjnym Intune lub w katalogu określonym do przechowywania informacji o koncie.