Windows LAPS 和 Microsoft Entra ID 入门
了解如何开始使用 Windows 本地管理员密码解决方案 (Windows LAPS) 和 Microsoft Entra ID。 本文介绍使用 Windows LAPS 将密码备份到 Microsoft Entra ID 的基本过程以及如何检索密码。
受支持的 Azure 云
有关哪些特定云受支持的信息,请参阅 Microsoft Entra ID 中的 Windows 本地管理员密码解决方案和 Microsoft Intune 对 Windows LAPS 的支持。
在 Microsoft Entra 设备设置中启用 LAPS
重要
默认情况下,Microsoft Entra ID 不允许受管理设备将新的 Windows LAPS 密码发布到 Microsoft Entra ID。 必须先让 IT 管理员在 Microsoft Entra 租户级别启用该功能。 有关详细信息,请参阅使用 Microsoft Entra ID 启用 Windows LAPS。
配置设备策略
若要配置设备策略,请完成以下任务:
- 选择策略部署机制
- 了解适用 Microsoft Entra 模式的策略
- 配置特定策略
选择策略部署机制
第一步是选择如何将策略应用于设备。
对于已加入 Microsoft Entra ID 的设备,首选选项是将 Microsoft Intune 与 Windows LAPS 配置服务提供程序 (CSP) 配合使用。
如果您的设备已加入 Microsoft Entra,但您未使用 Microsoft Intune,则仍然可以为 Microsoft Entra ID 部署 Windows LAPS。 在这种情况下,必须手动部署策略(例如,使用直接注册表修改,或使用本地计算机组策略)。 有关详细信息,请参阅配置 Windows LAPS 策略设置。
注意
如果设备已加入本地 Windows Server Active Directory 混合域,则你可以使用 Windows LAPS 组策略来部署策略。
适用 Microsoft Entra 模式的策略
Windows LAPS CSP 和 Windows LAPS 组策略对象管理相同的设置,但只有其中的一部分设置应用于处于 Azure 模式的 Windows LAPS。
将密码备份到 Microsoft Entra ID 时,可以应用以下设置:
- BackupDirectory
- PasswordAgeDays
- PasswordComplexity
- PasswordLength
- AdministratorAccountName
- PostAuthenticationResetDelay
- PostAuthenticationActions
更直白地说:在将密码备份到 Microsoft Entra ID 时,特定于 Windows Server Active Directory 的策略设置没有意义,且不受支持。
配置特定策略
必须至少将 BackupDirectory 设置配置为值 1(将密码备份到 Microsoft Entra ID)。
如果未配置 AdministratorAccountName 设置,Windows LAPS 默认将会管理默认的内置本地管理员帐户。 此内置帐户使用其已知相对标识符 (RID) 自动标识,永远不应使用其名称标识。 内置本地管理员帐户的名称因设备的默认区域设置而异。
如果你要配置自定义本地管理员帐户,则应使用该帐户的名称配置 AdministratorAccountName 设置。
重要
如果将 Windows LAPS 配置为管理自定义本地管理员帐户,则必须确保已创建该帐户。 Windows LAPS 不会创建该帐户。 建议使用帐户 CSP 创建帐户。
可以根据组织的需要配置其他设置,例如 PasswordLength。
更新 Microsoft Entra ID 中的密码
Windows LAPS 会定期(每小时)处理当前处于活动状态的策略。 若要避免在应用策略后等待一段时间,可以运行 Invoke-LapsPolicyProcessing PowerShell cmdlet。
若要验证密码是否已在 Microsoft Entra ID 中成功更新,请在事件日志中查找 10029 事件:
从 Microsoft Entra ID 取回密码
支持使用 Microsoft Graph 检索存储在 Microsoft Entra ID 中的 Windows LAPS 密码。 Windows LAPS 包含一个 PowerShell cmdlet (Get-LapsAADPassword),它是 Microsoft Graph PowerShell 库的包装器。 还可以使用 Microsoft Entra ID 和\或 Intune 管理门户来获得基于 UI 的密码检索体验。 Windows LAPS 在 Windows 中不提供任何用于检索 Microsoft Entra 密码的用户界面选项。
这些说明中的剩下部分介绍了如何通过 Microsoft Graph 使用 Get-LapsAADPassword cmdlet 从 Microsoft Entra ID 检索 Windows LAPS 密码。
安装 Microsoft Graph PowerShell 库
第一步是安装 Microsoft Graph PowerShell 库:
Install-Module Microsoft.Graph -Scope AllUsers
可能需要将存储库配置为“受信任”才能使命令成功:
Set-PSRepository PSGallery -InstallationPolicy Trusted
创建 Microsoft Entra 注册的应用以取回 Windows LAPS 密码
下一步是创建配置了所需权限的 Microsoft Entra 应用程序。 若要查看有关创建 Microsoft Entra 应用程序的基本说明,请参阅快速入门:将应用程序注册到 Microsoft 标识平台
需要为该应用配置两个权限:Device.Read.All 和 DeviceLocalCredential.ReadBasic.All 或 DeviceLocalCredential.Read.All。 查询 Microsoft 托管桌面设备的密码可能还需要 DeviceManagementManagedDevices.Read.All。
重要
- 使用
DeviceLocalCredential.ReadBasic.All授予读取有关保存的 Windows LAPS 密码的非敏感元数据的权限。 示例包括将密码备份到 Azure 的时间,以及密码的预期过期时间。 此权限级别适合用于报告与合规性应用程序。 - 使用
DeviceLocalCredential.Read.All授予读取有关保存的 Windows LAPS 密码(包括明文密码本身)的任何信息的完全权限。 此权限级别非常敏感,应谨慎使用。
从 Microsoft Entra ID 取回密码
即将完成! 首先登录到 Microsoft Graph。 然后使用 Get-LapsAADPassword cmdlet 检索密码。
若要登录到 Microsoft Graph,请使用 Connect-MgGraph cmdlet。 必须知道前面创建的 Microsoft Entra ID 应用程序的 Azure 租户 ID 和应用程序 ID。 运行该 cmdlet 一次以登录。 例如:
PS C:\> Connect-MgGraph -Environment Global -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -ClientId 00001111-aaaa-2222-bbbb-3333cccc4444
Welcome To Microsoft Graph!
提示
要使 Connect-MgGraph cmdlet 成功,可能需要修改 PowerShell 执行策略。 例如,可能需要首先运行 Set-ExecutionPolicy -ExecutionPolicy Unrestricted。
登录到 Microsoft Graph 后,可以检索密码。
首先,调用 Get-LapsAADPassword cmdlet 并传递设备的名称:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice
DeviceName DeviceId PasswordExpirationTime
---------- -------- ----------------------
myAzureDevice be8ab291-6307-42a2-8fda-2f4ee78e51c8 7/31/2022 11:34:39 AM
提示
传递 -Verbose 参数以查看有关 Get-LapsAADPassword cmdlet(或 Windows LAPS PowerShell 模块中的任何其他 cmdlet)正在执行的操作的详细信息。
以上示例要求为客户端授予 DeviceLocalCredential.Read.Basic 权限。 以下示例要求为客户端授予 DeviceLocalCredential.Read.All 权限。
接下来,调用 Get-LapsAADPassword cmdlet 以请求返回实际密码:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : System.Security.SecureString
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime : 7/1/2022 11:34:39 AM
在 SecureString 对象中返回的密码。
最后,出于测试或临时性的目的,可以使用 -AsPlainText 参数请求以明文形式显示密码:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : xzYVg,;rqQ+rkXEM0B29l3z!Ez.}T9rY8%67i1#TUk
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime : 7/1/2022 11:34:39 AM
轮换密码
Windows LAPS 会在本地记住上次存储的密码的过期时间,并在密码过期时自动轮换密码。 在某些情况下(例如,在出现安全漏洞后或者在进行临时测试时),你可能需要提前轮换密码。 若要手动强制轮换密码,可以使用 Reset-LapsPassword cmdlet。 例如:
PS C:\> Reset-LapsPassword
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : &HK%tbA+k7,vcrI387k9([f+%w)9VZz98;,(@+Ai6b
PasswordExpirationTime : 7/31/2022 12:16:16 PM
PasswordUpdateTime : 7/1/2022 12:16:16 PM
重要
- Microsoft Entra ID 不支持通过修改 Microsoft Entra ID 中的密码过期时间戳来使设备当前存储的密码过期。 这与基于 Windows Server Active Directory 的 Windows LAPS 在设计上有差别。
- 避免过于频繁地使用
Reset-LapsPasswordcmdlet。 如果检测到这种情况,活动可能会受到限制。
混合环境中的 Windows LAPS 与 Microsoft Entra Connect
Windows LAPS 不依赖于 Microsoft Entra Connect,且这两种技术之间没有依赖关系。 将密码备份到 Microsoft Entra ID 的托管 Windows LAPS 设备直接通过 https 执行此操作,不需要执行任何数据同步。
此外,Microsoft Entra ID 和 Intune 设备管理门户只能查看和管理从 Windows LAPS 设备直接备份的密码。 配置 Microsoft Entra Connect 以将本地 Active Directory Windows LAPS 属性同步到 Microsoft Entra ID 是没有经过测试的。 将本地 Active Directory ID Windows LAPS 属性手动同步到 Microsoft Entra ID 不会让这些属性显示在 Microsoft Entra 或 Intune 设备管理门户中。
虽然 Windows LAPS 不需要进行操作,但在每一次扩展本地 Active Directory 架构时,最好也刷新 Microsoft Entra Connect 目录架构。 请参阅刷新目录架构。
另请参阅
- 介绍使用 Microsoft Entra ID 的 Windows 本地管理员密码解决方案
- Microsoft Entra ID 中的 Windows 本地管理员密码解决方案
- Microsoft Intune
- Microsoft Intune 对 Windows LAPS 的支持
- Windows LAPS CSP
- 快速入门:将应用程序注册到 Microsoft 标识平台
- Windows LAPS 故障排除指南