Microsoft Intune对 Windows LAPS 的支持
每台 Windows 计算机都有一个无法删除的内置本地管理员帐户,该帐户对设备具有完全权限。 保护此帐户是保护组织的重要步骤。 Windows 设备包括 Windows 本地管理员密码解决方案 (LAPS) ,这是一种内置解决方案,可帮助管理本地管理员帐户。
可以使用Microsoft Intune终结点安全策略进行帐户保护,以管理已注册 Intune 的设备上的 LAPS。 Intune策略可以:
- 对本地管理员帐户强制实施密码要求
- 将本地管理员帐户从设备备份到 Active Directory (AD) 或Microsoft Entra
- 计划这些帐户密码的轮换,以帮助确保其安全。
还可以在Intune 管理员中心查看有关托管本地管理员帐户的详细信息,并在计划的轮换之外手动轮换其帐户密码。
使用Intune LAPS 策略有助于保护 Windows 设备免受旨在利用本地用户帐户的攻击,例如传递哈希或横向遍历攻击。 使用 Intune 管理 LAPS 还有助于提高远程技术支持方案的安全性,并恢复其他无法访问的设备。
Intune LAPS 策略管理 Windows LAPS CSP 提供的设置。 Intune CSP 的使用取代了旧版 Microsoft LAPS 或其他 LAPS 管理解决方案的使用,基于 CSP 的优先级高于其他 LAPS 管理源。
Intune Windows LAPS 支持包括以下功能:
- 设置密码要求 - 定义密码要求,包括设备上本地管理员帐户的复杂性和长度。
- 轮换密码 - 使用策略,你可以让设备按计划自动轮换本地管理员帐户密码。 还可以使用 Intune 管理中心手动轮换设备的密码作为设备操作。
- 备份帐户和密码 – 可以选择让设备在云中的Microsoft Entra ID或本地 Active Directory中备份其帐户和密码。 使用强加密存储密码。
- 配置身份验证后操作 - 定义设备在其本地管理员帐户密码过期时执行的操作。 操作包括重置托管帐户以使用新的安全密码、注销帐户,或同时执行这两项操作,然后关闭设备。 还可以管理设备在密码过期后等待的时间,然后再执行这些操作。
- 查看帐户详细信息 - Intune具有足够的基于角色的管理控制 (RBAC) 权限的管理员可以查看有关设备本地管理员帐户及其当前密码的信息。 还可以查看上次轮换该密码的时间 (重置) ,以及下次轮换密码的时间。
- 查看报告 – Intune提供有关密码轮换的报告,包括有关过去手动轮换和计划密码轮换的详细信息。
若要更详细地了解 Windows LAPS,请从 Windows 文档中的以下文章开始:
- 什么是 Windows LAPS? – Windows LAPS 和 Windows LAPS 文档集简介。
- Windows LAPS CSP - 查看 LAPS 设置和选项的完整详细信息。 LAPS Intune策略使用这些设置在设备上配置 LAPS CSP。
应用于:
- Windows 10
- Windows 11
先决条件
以下是Intune在租户中支持 Windows LAPS 的要求:
许可要求
Intune订阅 - Microsoft Intune 计划 1,这是基本Intune订阅。 你还可以将 Windows LAPS 与Intune的免费试用版订阅配合使用。
Microsoft Entra ID – Microsoft Entra ID免费版,这是订阅Intune时包含的免费Microsoft Entra ID版本。 使用 Microsoft Entra ID Free,可以使用 LAPS 的所有功能。
Active Directory 支持
windows LAPS Intune策略可以将设备配置为将本地管理员帐户和密码备份到以下目录类型之一:
注意
LAPS Intune不支持已加入工作区 (WPJ) 的设备。
云 - 云支持在以下方案中备份到Microsoft Entra ID:
Microsoft Entra混合联接
Microsoft Entra联接
支持Microsoft Entra联接需要你在Microsoft Entra ID中启用 LAPS。 以下步骤可帮助你完成此配置。 对于较大的上下文,请参阅使用Microsoft Entra ID启用 Windows LAPS 中的Microsoft Entra文档中的这些步骤。 Microsoft Entra混合联接不需要在Microsoft Entra中启用 LAPS。
在 Microsoft Entra 中启用 LAPS:
- 以云设备管理员身份登录到Microsoft Entra 管理中心。
- 浏览到 “标识>设备>概述>”“设备设置”。
- 对于“启用本地管理员密码解决方案 (LAPS) ”设置,选择“是”,然后选择“保存”。 还可以使用 Microsoft 图形 API Update deviceRegistrationPolicy。
有关详细信息,请参阅 Microsoft Entra 文档中Microsoft Entra ID中的 Windows 本地管理员密码解决方案。
本地 – 本地支持备份到Windows Server Active Directory (本地 Active Directory) 。
重要
Windows 设备上的 LAPS 可以配置为使用一种目录类型或另一种目录类型,但不能同时使用这两种目录类型。 另请注意,设备联接类型必须支持备份目录 - 如果将目录设置为本地 Active Directory并且设备未加入域,它将接受Intune的策略设置,但 LAPS 无法成功使用该配置。
Device Edition 和 Platform
设备可以具有Intune支持的任何 Windows 版本,但必须运行以下版本之一才能支持 Windows LAPS CSP:
- Windows 10版本 22H2 (19045.2846 或更高版本 ) KB5025221
- Windows 10,版本 21H2 (19044.2846 或更高版本) KB5025221
- Windows 10版本 20H2 (19042.2846 或更高版本 ) KB5025221
- Windows 11版本 22H2 (22621.1555 或更高版本) KB5025239
- Windows 11版本 21H2 (22000.1817 或更高版本) KB5025224
GCC 高支持
GCC High 环境支持 Windows LAPS Intune策略。
LAPS 的基于角色的访问控制
若要管理 LAPS,帐户必须具有足够的基于角色的访问控制 (RBAC) 权限才能完成所需的任务。 以下是具有所需权限的可用任务:
创建和访问 LAPS 策略 - 若要使用和查看 LAPS 策略,必须为帐户分配安全基线Intune RBAC 类别的足够权限。 默认情况下,这些属性包含在Intune内置角色 Endpoint Security Manager 中。 若要使用自定义角色,请确保自定义角色包含 安全基线 类别中的权限。
轮换本地管理员密码 – 若要使用Intune管理中心查看或轮换设备本地管理员帐户密码,必须为你的帐户分配以下Intune权限:
- 托管设备: 读取
- 组织: 读取
- 远程任务:轮换本地管理员密码
检索本地管理员密码 – 若要查看密码详细信息,帐户必须具有以下Microsoft Entra权限之一:
-
microsoft.directory/deviceLocalCredentials/password/read
读取 LAPS 元数据和密码。 -
microsoft.directory/deviceLocalCredentials/standard/read
读取不包括密码的 LAPS 元数据。
若要创建可以授予这些权限的自定义角色,请参阅Microsoft Entra文档中的在 Microsoft Entra ID 中创建和分配自定义角色。
-
查看Microsoft Entra审核日志和事件 – 若要查看有关 LAPS 策略和最近设备操作(如密码轮换事件)的详细信息,帐户必须具有等效于内置Intune角色只读操作员的权限。
有关Intune的内置角色和自定义角色的详细信息,请参阅Microsoft Intune的基于角色的访问控制。
LAPS 体系结构
有关 Windows LAPS 体系结构的信息,请参阅 Windows 文档中的 Windows LAPS 体系结构 。
常见问题
是否可以使用 Intune LAPS 策略来管理设备上的任何本地管理员帐户?
是。 Intune LAPS 策略可用于管理设备上的任何本地管理员帐户。 但是,LAPS 仅支持每个设备一个帐户:
- 当策略未指定帐户名称时,Intune管理默认内置管理员帐户,而不考虑设备上的当前名称。
- 可以通过更改设备的分配策略或编辑其当前策略以指定其他帐户来更改Intune为设备管理的帐户。
- 如果将两个单独的策略分配给同时指定不同帐户的设备,则会发生必须在管理设备帐户之前解决的冲突。
如果将具有Intune的 LAPS 策略部署到已从其他源具有 LAPS 配置的设备,该怎么办?
Intune基于 CSP 的策略会覆盖 LAPS 策略的所有其他源,例如来自 GPO 或来自旧版 Microsoft LAPS 的配置。 有关详细信息,请参阅 Windows LAPS 文档中 的支持策略根 。
Windows LAPS 是否可以根据使用 LAPS 策略配置的管理员帐户名称创建本地管理员帐户?
不正确。 Windows LAPS 只能管理设备上已存在的帐户。 如果策略按名称指定了设备上不存在的帐户,该策略将应用并且不会报告错误。 但是,不会备份任何帐户。
Windows LAPS 是否轮换和备份Microsoft Entra中禁用的设备的密码?
不正确。 Windows LAPS 要求设备处于启用状态,然后才能应用密码轮换和备份操作。
在 Microsoft Entra 中删除设备时会发生什么情况?
在 Microsoft Entra 中删除设备时,绑定到该设备的 LAPS 凭据将丢失,并且存储在 Microsoft Entra ID 中的密码将丢失。 除非有用于检索 LAPS 密码并将其存储在外部的自定义工作流,否则Microsoft Entra ID中没有方法可恢复已删除设备的 LAPS 托管密码。
恢复 LAPS 密码需要哪些角色?
以下内置Microsoft Entra角色有权恢复 LAPS 密码:云设备管理员和Intune管理员。
读取 LAPS 元数据需要哪些角色?
支持以下内置Microsoft Entra角色角色查看有关 LAPS 的元数据,包括设备名称、上次密码轮换和下一个密码轮换:
- 安全信息读取者
还可以使用以下角色:
- 云设备管理员
- Intune管理员
- 支持管理员
- 安全管理员
为什么“本地管理员密码”按钮灰显且无法访问?
目前,访问此区域需要轮换本地管理员密码Intune权限。 有关Microsoft Intune,请参阅基于角色的访问控制。
更改策略指定的帐户时会发生什么情况?
由于 Windows LAPS 一次只能在设备上管理一个本地管理员帐户,因此,原始帐户不再由 LAPS 策略管理。 如果策略已将设备备份到该帐户,则会备份新帐户,并且无法再从Intune管理中心或指定用于存储帐户信息的目录获取有关上一个帐户的详细信息。