通过

在 Windows 上的 Teams 会议室 上配置 LAPS

  • 项目
  • 适用于:
    Microsoft Teams

本文概述了 LAPS 及其体系结构,以及为 Windows 上Teams 会议室配置 LAPS 的步骤。

Windows 本地管理员密码解决方案 (LAPS) 是一项 Windows 功能,用于管理和备份本地管理员帐户的密码,以Microsoft Entra已加入 (Entra Joined) 或 Active Directory (AD) 。 它提供针对本地管理员帐户密码攻击的增强保护,并满足客户在 Windows 设备上部署Teams 会议室的关键要求。

什么是 LAPS?

LAPS 是一种解决方案,它会自动为每个 Windows 设备上的本地管理员帐户生成一个随机且复杂的密码,并将其安全地存储在 Entra 或 Active Directory 中。 密码根据配置的策略定期更改,授权用户可在需要访问时检索。 LAPS 可降低在多台设备上利用同一本地管理员密码的横向移动和特权提升攻击的风险。 它简化了本地管理员密码的管理,并消除了手动或脚本化解决方案的需要。

Windows LAPS 体系结构

LAPS 由以下组件组成:

  • 定期后台任务在每个 Windows 设备上运行,并执行密码更改和备份操作。
  • 一个 PowerShell 模块,提供用于管理和检索密码的 cmdlet。
  • 为 AD 启用Microsoft Entra本地管理员密码解决方案 (LAPS) 架构扩展,该扩展添加了用于存储密码和相关信息的属性。

LAPS 体系结构和工作流

具有托管设备、Azure Active Directory 和 Windows Server ActiveDirectory 的 Windows LAPS 体系结构。

LAPS 部署

在 Windows 上部署 Teams 会议室 之前,应考虑:

  • 应尽可能使用 Entra ID 部署 LAPS,因为它比 Active Directory 提供更好的安全性和可伸缩性。
  • 设备必须是 Entra joined 或 Hybrid Entra Joined and by Intune 管理,然后才能继续执行 LAPS 部署。
  • 使用本地管理员凭据连接到 Windows 设备上的Teams 会议室的任何外围设备或终结点将在重新启动或更改密码时失去连接。 某些 OEM 实现使用此方法连接会议室控制器。 应咨询 OEM,了解兼容性和替代解决方案。
  • 本文档中的所有指南都已针对 OEM 版本进行了配置和测试,并且排除了任何自定义映像。
  • 你有一个专用设备组,用于在 Windows 设备上Teams 会议室,用于策略管理和分配。 如果这不可用,请先创建一个,然后再继续操作。

注意

某些 OEM(如 Crestron)需要本地用户名和密码才能连接触摸控制器等外围设备。 有关更改本地帐户密码的影响的详细信息,请在实现之前联系 Crestron。

在 Windows 设备上部署用于Teams 会议室的 LAPS 需要:

  • 配置 Entra ID 设置以启用 LAPS。
  • 在 Intune 中创建和分配 LAPS 策略。
  • 验证设备上的密码更改和备份。

Entra 配置

若要在 Entra ID 中启用 LAPS,请执行以下操作:

  1. 转到 https://entra.microsoft.com
  2. 单击“ 标识>设备>所有设备”。
  3. 选择“设备设置”。
  4. “启用Microsoft Entra本地管理员密码解决方案”切换为“是”。
  5. 单击“保存”。

Intune配置

若要在 Intune 中创建和分配 LAPS 策略,应执行以下步骤:

  1. 转到 Intune 管理员 中心https://intune.microsoft.com
  2. 在左侧导航栏中选择 “终结点安全性 ”。
  3. 选择“ 帐户保护”。
  4. 选择“ 创建策略”。
  5. 对于“平台”,请选择“Windows 10及更高版本”,并将本地管理员密码解决方案 (Windows LAPS)
  6. 单击“创建”。

配置策略设置:

  1. Windows LAPS 策略上输入策略名称,例如Teams 会议室。
  2. 根据需要输入说明,然后单击“ 下一步”。
  3. 选择“ 备份目录 ”以 仅将密码备份到 Azure AD。
  4. “密码期限天数”切换为“配置 ”,并输入所需的值。
  5. “管理员帐户名称”切换为“配置”,并输入“管理员”以匹配 Windows 主机上Teams 会议室本地管理员帐户的预定义用户名。
  6. 选择所需的 密码复杂性 方法。
  7. “密码长度 ”切换为“配置”,并输入所需的密码长度(最小值为 8,最大值为 64)。
  8. 如果不使用范围标记,请单击“ 下一步 ”两次。

若要将策略分配给 Windows 设备上的一组Intune托管Teams 会议室,请执行以下操作:

  1. 选择 “分配”。
  2. 在 Windows 设备上选择包含Teams 会议室的组,并正确限定策略的范围。 选择“ 下一步”。
  3. 确认策略和范围正确后,选择“ 创建 ”,将策略应用于范围内设备。
  4. 等待最多一小时,以便应用策略并更改密码。

LAPS 管理

若要从 Entra 管理员 中心检索本地管理员密码,请执行以下操作:

  1. 转到 https://entra.microsoft.com
  2. 单击“ 标识>设备>所有设备”。
  3. 选择“ 本地管理员密码恢复”。
  4. 搜索已启用的设备或从预填充列表中选择。
  5. 单击“ 显示本地管理员密码”。
  6. 单击“ 显示”以显示密码。 记下最后一个和下一个旋转时间戳。

在 Entra 中查看审核日志:

  1. 转到 https://entra.microsoft.com
  2. 单击“ 标识>设备>所有设备>审核日志”。
  3. 选择“ 活动 ”,根据 更新设备本地管理员密码 或 Recover 设备本地管理员密码 进行筛选,以查看事件。

摘要

LAPS 是一项 Windows 功能,可增强 Windows 设备上Teams 会议室本地管理员密码的安全性和管理。 它自动生成密码并将其备份到 Entra,并允许授权用户在需要时检索密码。 LAPS 还可以防止密码重用并简化密码轮换。 本文档介绍了使用 Entra 和 Intune 在 Windows 设备上为Teams 会议室部署和服务 LAPS 的步骤。