Решение для пароля локального администратора Windows в Microsoft Entra ID
Каждое устройство Windows поставляется со встроенной локальной учетной записью администратора, которую необходимо обезопасить и защитить для предотвращения любых атак Pass-the-Hash (PtH) и бокового обхода. Многие клиенты использовали наш автономный локальный продукт локального решения для управления паролями локального администратора (LAPS) для управления паролями локального администратора на компьютерах Windows, присоединенных к домену. Благодаря поддержке Microsoft Entra для Windows LAPS мы предоставляем согласованный интерфейс для присоединенных устройств Microsoft Entra и гибридных устройств Microsoft Entra.
Поддержка Microsoft Entra для LAPS включает следующие возможности:
- Включение Windows LAPS с помощью идентификатора Microsoft Entra — включите политику для всего арендатора и политику на стороне клиента для резервного копирования пароля локального администратора в Microsoft Entra ID.
- Управление паролями локального администратора. Настройте политики на стороне клиента, чтобы задать имя учетной записи, возраст пароля, длину, сложность, сброс пароля вручную и т. д.
- Восстановление пароля локального администратора. Используйте интерфейсы API и портала для восстановления паролей локального администратора.
- Перечисление всех устройств с поддержкой Windows LAPS . Используйте интерфейсы API или портала для перечисления всех устройств Windows в идентификаторе Microsoft Entra ID с поддержкой Windows LAPS.
- Авторизация восстановления паролей локального администратора. Используйте политики управления доступом на основе ролей (RBAC) с пользовательскими ролями и административными единицами.
- Аудит обновления и восстановления пароля локального администратора - Используйте API/портал журналов аудита для мониторинга событий обновления и восстановления паролей.
- Политики условного доступа для восстановления паролей локального администратора. Настройка политик условного доступа для ролей каталогов с авторизацией восстановления паролей.
Примечание.
Windows LAPS с идентификатором Microsoft Entra не поддерживается для устройств Windows, зарегистрированных в Microsoft Entra.
Решение для паролей локального администратора не поддерживается на платформах, отличных от Windows.
Дополнительные сведения о Windows LAPS см. в следующих статьях документации по Windows:
- Что такое Windows LAPS? — Общие сведения о Windows LAPS и наборе документации по Windows LAPS.
- Windows LAPS CSP — просмотрите полные сведения о настройках и вариантах LAPS. Политика Intune для LAPS использует эти параметры для настройки CSP LAPS на устройствах.
- Поддержка Microsoft Intune для Windows LAPS
- Архитектура Windows LAPS
Требования
Поддерживаемые регионы Azure и дистрибутивы Windows
Эта функция сейчас доступна в следующих облаках Azure.
- Глобальная служба Azure
- Azure для государственных организаций
- Microsoft Azure под управлением 21Vianet
Обновления операционной системы
Эта функция теперь доступна на следующих платформах ОС Windows с указанным обновлением или более поздней версией:
- Обновление Windows 11 22H2 — 11 апреля 2023 г.
- Обновление Windows 11 21H2 — 11 апреля 2023 г.
- Обновление Windows 10 20H2, 21H2 и 22H2 — 11 апреля 2023 г.
- Windows Server 2022 — обновление 11 апреля 2023 г.
- Windows Server 2019 — обновление 11 2023 11, 2023 11 2023
Типы соединения
LAPS поддерживается только на устройствах, присоединенных к Microsoft Entra, или на гибридных устройствах, присоединенных к Microsoft Entra. Зарегистрированные устройства Microsoft Entra не поддерживаются.
Требования к лицензиям
LAPS доступен всем клиентам с бесплатными или более высокими лицензиями Microsoft Entra ID. Другие связанные функции, такие как административные единицы, пользовательские роли, условный доступ и Intune, имеют другие требования к лицензированию.
Обязательные роли или разрешения
Кроме встроенных ролей Microsoft Entra, таких как Администратор облачных устройств и Администратор Intune, которым предоставлено устройство.LocalCredentials.Read.All, можно использовать пользовательские роли Microsoft Entra или административные единицы для авторизации восстановления паролей локального администратора. Например:
Пользовательские роли должны быть назначены microsoft.directory/deviceLocalCredentials/password/read для авторизации восстановления пароля локального администратора. Вы можете создать настраиваемую роль и предоставить разрешения с помощью Центра администрирования Microsoft Entra, API Microsoft Graph или PowerShell. После создания настраиваемой роли ее можно назначить пользователям.
Вы также можете создать административную единицу Microsoft Entra ID, добавить устройства и назначить роль администратора облачных устройств с ограничением в пределах административной единицы для разрешения восстановления пароля локального администратора.
Включение WINDOWS LAPS с помощью идентификатора Microsoft Entra
Чтобы включить Windows LAPS с Microsoft Entra ID, необходимо предпринять действия в Microsoft Entra ID и на устройствах, которыми вы хотите управлять. Мы рекомендуем организациям управлять Windows LAPS с помощью Microsoft Intune. Если ваши устройства присоединены к Microsoft Entra, но не используются или не поддерживают Microsoft Intune, можно развернуть Windows LAPS для идентификатора Microsoft Entra ID вручную. Дополнительные сведения см. в статье о настройке параметров политики WINDOWS LAPS.
Войдите в Центр администрирования Microsoft Entra в роли по крайней мере Администратора облачных устройств.
Перейдите в Идентификация>Устройства>Обзор>Параметры устройства
Выберите "Да " для параметра "Включить решение для пароля локального администратора" (LAPS), а затем нажмите кнопку "Сохранить". Вы также можете использовать API Microsoft Graph для обновления функции deviceRegistrationPolicy и выполнения этой задачи.
Настройте политику на стороне клиента и укажите BackUpDirectory как Microsoft Entra ID.
- Если вы используете Microsoft Intune для управления политиками на стороне клиента, см. статью "Управление windows LAPS с помощью Microsoft Intune"
- Если вы используете объекты групповой политики для управления политиками на стороне клиента, ознакомьтесь с групповой политикой Windows LAPS.
Восстановление пароля локального администратора и метаданных пароля
Чтобы просмотреть пароль локального администратора для устройства Windows, присоединенного к идентификации Microsoft Entra ID, необходимо получить разрешение на действие microsoft.directory/deviceLocalCredentials/password/read.
Чтобы просмотреть метаданные пароля локального администратора для устройства Windows, подключенного к Microsoft Entra ID, вам должно быть предоставлено действие microsoft.directory/deviceLocalCredentials/standard/read.
Следующим встроенным ролям по умолчанию предоставляются эти действия:
| Встроенная роль | microsoft.directory/deviceLocalCredentials/standard/read и microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Администратор облачных устройств | Да | Да |
| Администратор службы Intune | Да | Да |
| Администратор службы технической поддержки | Нет | Да |
| администратор безопасности; | Нет | Да |
| читатель сведений о безопасности; | Нет | Да |
Любые роли, не перечисленные, не предоставляются никакого действия.
Вы также можете использовать API Microsoft Graph Get deviceLocalCredentialInfo для восстановления локального административного пароля. Если вы используете API Microsoft Graph, возвращенный пароль находится в кодировке Base64, который необходимо декодировать перед использованием.
Перечислите все устройства с включенной функцией Windows LAPS.
Чтобы получить список всех устройств с поддержкой Windows LAPS, вы можете перейти к Идентификация>Устройства>Обзор>Восстановление пароля локального администратора или использовать Microsoft Graph API.
Аудит обновления и восстановления пароля локального администратора
Чтобы просмотреть события аудита, можно перейти к Удостоверения>Устройства>Обзор>Журналы аудита, а затем использовать фильтр Активность и выполнить поиск Обновление пароля локального администратора устройства или Восстановление пароля локального администратора устройства, чтобы просмотреть события аудита.
Политики условного доступа для восстановления паролей локального администратора
Политики условного доступа могут быть ограничены встроенными ролями для защиты доступа к восстановлению паролей локального администратора. Пример политики, требующей многофакторной проверки подлинности в статье, политика общего условного доступа: требовать многофакторную проверку подлинности для администраторов.
Примечание.
Другие типы ролей, включая роли с областью администрирования и пользовательские роли, не поддерживаются
Часто задаваемые вопросы
Поддерживается ли Windows LAPS с управлением конфигурацией Microsoft Entra через объекты групповой политики (ГОП)?
Да, только для гибридных устройств, присоединенных к Microsoft Entra. См. групповая политика Windows LAPS.
Поддерживается ли Windows LAPS с настройкой управления Microsoft Entra с помощью MDM?
Да, для устройств с Microsoft Entra join и Microsoft Entra hybrid join (совместно управляемых). Клиенты могут использовать Microsoft Intune или любые другие сторонние средства управления мобильными устройствами (MDM) по своему усмотрению.
Что происходит при удалении устройства в идентификаторе Microsoft Entra?
При удалении устройства в Microsoft Entra ID учетные данные LAPS, привязанные к этому устройству, теряются, а пароль, хранящийся в Microsoft Entra ID, утрачивается. Если у вас нет пользовательского рабочего процесса для получения паролей LAPS и их хранения во внешнем режиме, нет метода в идентификаторе Microsoft Entra для восстановления управляемого пароля LAPS для удаленного устройства.
Какие роли необходимы для восстановления паролей LAPS?
Следующие встроенные роли Microsoft Entra имеют разрешение на восстановление паролей LAPS: администратора облачных устройств и администратора Intune.
Какие роли необходимы для чтения метаданных LAPS?
Следующие встроенные роли поддерживаются для просмотра метаданных о LAPS, включая имя устройства, смену последнего пароля и следующую смену паролей: администратор облачных устройств, администратор Intune, администратор службы технической поддержки, читатель безопасности и администратор безопасности.
Поддерживаются ли пользовательские роли?
Да. Если у вас есть идентификатор Microsoft Entra ID P1 или P2, можно создать пользовательскую роль со следующими разрешениями RBAC:
- Чтение метаданных LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Для чтения паролей LAPS: microsoft.directory/deviceLocalCredentials/password/read
Что происходит при изменении учетной записи локального администратора, указанной политикой?
Так как Windows LAPS может управлять только одной учетной записью локального администратора на устройстве одновременно, исходная учетная запись больше не управляется политикой LAPS. Если политика содержит резервную копию этой учетной записи, новая учетная запись резервируется и сведения о предыдущей учетной записи больше не доступны из Центра администрирования Intune или из каталога, указанного для хранения сведений об учетной записи.