Obsługa usługi Microsoft Intune dla systemu Windows LAPS

Każda maszyna z systemem Windows ma wbudowane konto administratora lokalnego, którego nie można usunąć i które ma pełne uprawnienia do urządzenia. Zabezpieczenie tego konta jest ważnym krokiem w zabezpieczaniu organizacji. Urządzenia z systemem Windows obejmują rozwiązanie LAPS (Local Administrator Password Solution) systemu Windows, wbudowane rozwiązanie ułatwiające zarządzanie kontami administratora lokalnego.

Zasady zabezpieczeń punktu końcowego usługi Microsoft Intune umożliwiają zarządzanie usługą LAPS na urządzeniach zarejestrowanych w usłudze Intune. Zasady usługi Intune mogą:

• Wymuszanie wymagań dotyczących haseł dla kont administratorów lokalnych
• Tworzenie kopii zapasowej konta administratora lokalnego z urządzeń w usłudze Active Directory (AD) lub Microsoft Entra
• Zaplanuj rotację tych haseł kont, aby zapewnić im bezpieczeństwo.

Możesz również wyświetlić szczegółowe informacje o zarządzanych kontach administratora lokalnego w centrum Administracja usługi Intune i ręcznie obrócić hasła kont poza zaplanowanym obrotem.

Korzystanie z zasad LAPS usługi Intune pomaga chronić urządzenia z systemem Windows przed atakami, które mają na celu wykorzystanie kont użytkowników lokalnych, takich jak ataki typu pass-the-hash lub boczne przechodzenie. Zarządzanie usługą LAPS za pomocą usługi Intune może również pomóc zwiększyć bezpieczeństwo scenariuszy zdalnej pomocy technicznej i odzyskać urządzenia, które w przeciwnym razie są niedostępne.

Zasady laps usługi Intune zarządza ustawieniami dostępnymi w dostawcy CSP laps systemu Windows. Użycie dostawcy CSP przez usługę Intune zastępuje użycie starszej wersji usługi Microsoft LAPS lub innych rozwiązań do zarządzania LAPS, a dostawca CSP ma pierwszeństwo przed innymi źródłami zarządzania LAPS.

Obsługa usługi Intune dla systemu Windows LAPS obejmuje następujące możliwości:

• Ustawianie wymagań dotyczących haseł — zdefiniuj wymagania dotyczące haseł, w tym złożoność i długość konta administratora lokalnego na urządzeniu.
• Rotacja haseł — dzięki zasadom urządzenia mogą automatycznie obracać hasła konta administratora lokalnego w harmonogramie. Możesz również użyć centrum administracyjnego usługi Intune, aby ręcznie obrócić hasło dla urządzenia jako akcję urządzenia.
• Tworzenie kopii zapasowych kont i haseł — możesz utworzyć kopię zapasową konta i hasła na urządzeniach w Microsoft Entra identyfikatorze w chmurze lub w lokalna usługa Active Directory. Hasła są przechowywane przy użyciu silnego szyfrowania.
• Automatyczne zarządzanie kontami — (obsługiwane w Windows 11 24H2 lub nowszym) — upraszcza zarządzanie wbudowanym kontem administratora lub określonym kontem niestandardowym. Opcje automatycznego zarządzania kontami obsługują wyłączanie lub włączanie określonego konta oraz losową nazwę lub prefiks konta. Korzystanie z automatycznego zarządzania kontami rozszerza również ochronę przed naruszeniami konta LAPS.
• Konfigurowanie akcji uwierzytelniania po uwierzytelnieniu — zdefiniuj akcje, które urządzenie wykonuje po wygaśnięciu hasła konta administratora lokalnego. Akcje obejmują resetowanie konta zarządzanego w celu użycia nowego bezpiecznego hasła, wylogowywanie się z konta lub wykonywanie obu tych czynności, a następnie wyłączanie urządzenia. Możesz również zarządzać tym, jak długo urządzenie czeka po wygaśnięciu hasła przed wykonaniem tych akcji.
• Wyświetlanie szczegółów konta — administratorzy usługi Intune z wystarczającymi uprawnieniami kontroli administracyjnej opartej na rolach (RBAC) mogą wyświetlać informacje o lokalnym koncie administratora urządzeń i jego bieżącym haśle. Możesz również zobaczyć, kiedy to hasło zostało ostatnio obrócone (zresetowanie) i kiedy ma zostać ponownie zaplanowane.
• Wyświetlanie raportów — usługa Intune udostępnia raporty dotyczące rotacji haseł, w tym szczegółowe informacje o przeszłej ręcznej i zaplanowanej rotacji haseł.

Aby dowiedzieć się więcej o usłudze Windows LAPS, zacznij od następujących artykułów w dokumentacji systemu Windows:

• Co to jest windows LAPS? — Wprowadzenie do systemu Windows LAPS i zestawu dokumentacji laps systemu Windows.
• Dostawca CSP systemu Windows LAPS — wyświetl pełne szczegóły ustawień i opcji laps. Zasady usługi Intune dla usługi LAPS używają tych ustawień do konfigurowania dostawcy CSP laps na urządzeniach.

Dotyczy:

• System Windows

Wymagania wstępne

Poniżej przedstawiono wymagania dotyczące usługi Intune dotyczące obsługi systemu Windows LAPS w dzierżawie:

Wymagania dotyczące licencjonowania

• Subskrypcja - usługi IntuneMicrosoft Intune (plan 1), która jest podstawową subskrypcją usługi Intune. Możesz również użyć systemu Windows LAPS z bezpłatną subskrypcją wersji próbnej dla usługi Intune.

• Microsoft Entra identyfikator — Microsoft Entra identyfikator bezpłatny, czyli bezpłatna wersja identyfikatora Microsoft Entra, który jest uwzględniany podczas subskrybowania usługi Intune. Dzięki Microsoft Entra ID Free możesz korzystać ze wszystkich funkcji laps.

Obsługa usługi Active Directory

Zasady usługi Intune dla systemu Windows LAPS mogą skonfigurować urządzenie do tworzenia kopii zapasowej konta administratora lokalnego i hasła do jednego z następujących typów katalogów:

• Chmura — chmura obsługuje tworzenie kopii zapasowych identyfikatora Microsoft Entra w następujących scenariuszach:

  • przyłączanie hybrydowe Microsoft Entra

  • Microsoft Entra sprzężenia

    Obsługa dołączania Microsoft Entra wymaga włączenia usługi LAPS w identyfikatorze Microsoft Entra. Poniższe kroki mogą pomóc w ukończeniu tej konfiguracji. Aby uzyskać większy kontekst, zapoznaj się z tymi krokami w dokumentacji Microsoft Entra w temacie Włączanie usługi LAPS systemu Windows z identyfikatorem Microsoft Entra. Microsoft Entra dołączenie hybrydowe nie wymaga włączenia protokołu LAPS w Microsoft Entra.

    Włącz usługę LAPS w Microsoft Entra:

    1. Zaloguj się do centrum administracyjnego Microsoft Entra jako administrator urządzeń w chmurze.
    2. Przejdź do pozycjiUrządzenia>tożsamości>— omówienie>ustawień urządzenia.
    3. Wybierz pozycję Tak dla ustawienia Włącz rozwiązanie laps (Local Administrator Password Solution) i wybierz pozycję Zapisz. Możesz również użyć urządzenia Microsoft interfejs Graph API UpdateRegistrationPolicy.

    Aby uzyskać więcej informacji, zobacz Rozwiązanie haseł administratora lokalnego systemu Windows w Microsoft Entra identyfikatorze w dokumentacji Microsoft Entra.

• Lokalnie — środowisko lokalne obsługuje tworzenie kopii zapasowych do Windows Server Active Directory (lokalna usługa Active Directory).

  Ważna

  Usługi LAPS na urządzeniach z systemem Windows można skonfigurować tak, aby używały jednego lub drugiego typu katalogu, ale nie obu tych typów. Należy również wziąć pod uwagę, że katalog kopii zapasowej musi być obsługiwany przez typ sprzężenia urządzeń — jeśli ustawisz katalog na lokalna usługa Active Directory, a urządzenie nie jest przyłączone do domeny, akceptuje ustawienia zasad z usługi Intune, ale usługa LAPS nie może pomyślnie użyć tej konfiguracji.

Device Edition i Platforma

Urządzenia mogą mieć dowolną wersję systemu Windows obsługiwaną przez usługę Intune, ale muszą uruchamiać jedną z następujących wersji, aby obsługiwać dostawca CSP systemu Windows LAPS:

• Windows 11, wersja 22H2 (22621.1555 lub nowsza) z KB5025239
• Windows 11, wersja 21H2 (22000.1817 lub nowsza) z KB5025224
• Windows 10, wersja 22H2 (19045.2846 lub nowsza) z KB5025221
• Windows 10, wersja 21H2 (19044.2846 lub nowsza) z KB5025221
• Windows 10, wersja 20H2 (19042.2846 lub nowsza) z KB5025221
• Windows 10 Enterprise wersje LTSC 2019 i nowsze LTSC

Obsługa GCC High

Zasady usługi Intune dla systemu Windows LAPS są obsługiwane w środowiskach GCC High.

Kontrola dostępu oparta na rolach dla usługi LAPS

Aby zarządzać usługą LAPS, konto musi mieć wystarczające uprawnienia kontroli dostępu na podstawie ról (RBAC), aby wykonać żądane zadanie. Poniżej przedstawiono dostępne zadania z wymaganymi uprawnieniami:

• Tworzenie zasad LAPS i uzyskiwanie do nich dostępu — aby pracować z zasadami LAPS i wyświetlać je, twoje konto musi mieć przypisane wystarczające uprawnienia z kategorii RBAC usługi Intune dla punktów odniesienia zabezpieczeń. Domyślnie są one uwzględniane w wbudowanej roli programuEndpoint Security Manager usługi Intune. Aby użyć niestandardowych ról RBAC usługi Intune, upewnij się, że rola niestandardowa zawiera prawa z kategorii Punkty odniesienia zabezpieczeń .

• Obróć hasło administratora lokalnego — aby użyć centrum administracyjnego usługi Intune do wyświetlania lub obracania hasła konta administratora lokalnego urządzeń, konto musi mieć przypisane następujące uprawnienia usługi Intune:

  • Urządzenia zarządzane: odczyt

  • Organizacja: Odczyt

  • Zadania zdalne: obracanie hasła Administracja lokalnego

    Ważna

    Akcja Zadania zdalnerotacji hasła Administracja lokalnej nie jest uwzględniana przez żadną wbudowaną rolę usługi Intune ani wbudowaną rolę administratora usługi Intune Microsoft Entra. Zamiast tego użyj niestandardowej roli usługi Intune , aby przypisać to uprawnienie użytkownikom, którzy powinni mieć tę możliwość.

• Pobieranie hasła administratora lokalnego — aby wyświetlić szczegóły hasła, konto musi mieć jedno z następujących uprawnień Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read w celu odczytania metadanych i haseł laps.
  • microsoft.directory/deviceLocalCredentials/standard/read w celu odczytania metadanych LAPS z wyłączeniem haseł.

  Aby utworzyć role niestandardowe, które mogą udzielić tych uprawnień, zobacz Tworzenie i przypisywanie roli niestandardowej w Microsoft Entra identyfikatorze w dokumentacji Microsoft Entra.

• Wyświetlanie Microsoft Entra dzienników inspekcji i zdarzeń — aby wyświetlić szczegółowe informacje o zasadach LAPS i ostatnich akcjach urządzenia, takich jak zdarzenia rotacji haseł, konto musi mieć uprawnienia równoważne wbudowanej roli usługi Intune tylko do odczytu.

Aby uzyskać więcej informacji na temat wbudowanych ról i ról niestandardowych usługi Intune, zobacz Kontrola dostępu oparta na rolach dla usługi Microsoft Intune.

Architektura LAPS

Aby uzyskać informacje o architekturze systemu Windows LAPS, zobacz Architektura laps systemu Windows w dokumentacji systemu Windows.

Często zadawane pytania

Czy mogę używać zasad LAPS usługi Intune do zarządzania dowolnym kontem administratora lokalnego na urządzeniu?

Tak. Zasady LAPS usługi Intune mogą służyć do zarządzania dowolnym kontem administratora lokalnego na urządzeniu. Jednak usługa LAPS obsługuje tylko jedno konto na urządzenie:

• Jeśli zasady nie określają nazwy konta, usługa Intune zarządza domyślnym wbudowanym kontem administratora niezależnie od jego bieżącej nazwy na urządzeniu.
• Konto zarządzane przez usługę Intune dla urządzenia można zmienić, zmieniając przypisane zasady urządzenia lub edytując jego bieżące zasady, aby określić inne konto.
• Jeśli do urządzenia są przypisane dwie oddzielne zasady, które określają inne konto, występuje konflikt, który należy rozwiązać, zanim będzie można zarządzać kontem urządzenia.

Co zrobić, jeśli wdrożę zasady LAPS w usłudze Intune na urządzeniu, które ma już konfiguracje laps z innego źródła?

Zasady oparte na programie CSP z usługi Intune przesłaniają wszystkie inne źródła zasad LAPS, na przykład z obiektów zasad grupy lub konfiguracji starszej wersji usługi Microsoft LAPS. Aby uzyskać więcej informacji, zobacz Obsługiwane katalogi główne zasad w dokumentacji systemu Windows LAPS.

Czy usługa Windows LAPS może tworzyć konta administratora lokalnego na podstawie nazwy konta administratora skonfigurowanej przy użyciu zasad LAPS?

Począwszy od Windows 11 24H2, można skonfigurować windows LAPS przy użyciu nowego automatycznego trybu zarządzania kontami do zarządzania wbudowanym kontem administratora lokalnego lub utworzyć nowe konto niestandardowe, które następnie zarządza. W wersjach systemu Windows niższego poziomu usługa Windows LAPS może zarządzać tylko kontami, które już istnieją na urządzeniu.

Czy usługa Windows LAPS obraca i tworzy kopię zapasową hasła dla urządzenia wyłączonego w Microsoft Entra?

L.p. System Windows LAPS wymaga, aby urządzenie było w stanie włączonym przed zastosowaniem operacji rotacji haseł i tworzenia kopii zapasowych.

Co się stanie, gdy urządzenie zostanie usunięte w Microsoft Entra?

Gdy urządzenie zostanie usunięte w Microsoft Entra, poświadczenie LAPS, które zostało powiązane z tym urządzeniem, zostanie utracone, a hasło przechowywane w identyfikatorze Microsoft Entra zostanie utracone. Jeśli nie masz niestandardowego przepływu pracy do pobierania haseł LAPS i przechowywania ich na zewnątrz, nie ma metody w Microsoft Entra identyfikatora w celu odzyskania hasła zarządzanego laps dla usuniętego urządzenia.

Jakie role są potrzebne do odzyskania haseł LAPS?

Następujące wbudowane role Microsoft Entra mają uprawnienia do odzyskiwania haseł LAPS: administrator urządzeń w chmurze i administrator usługi Intune.

Jakie role są potrzebne do odczytu metadanych LAPS?

Następujące wbudowane role Microsoft Entra są obsługiwane w celu wyświetlania metadanych dotyczących usługi LAPS, w tym nazwy urządzenia, ostatniej rotacji haseł i następnej rotacji haseł:

• Czytelnik zabezpieczeń

Można również użyć następujących ról:

• Administrator urządzeń w chmurze
• Intune Administrator
• Administrator pomocy technicznej
• Administrator zabezpieczeń

Dlaczego przycisk hasła administratora lokalnego jest wyszarzone i niedostępne?

Obecnie dostęp do tego obszaru wymaga uprawnienia Rotacja hasła administratora lokalnego w usłudze Intune. Zobacz Kontrola dostępu oparta na rolach dla usługi Microsoft Intune.

Co się stanie po zmianie konta określonego przez zasady?

Ponieważ usługa Windows LAPS może jednocześnie zarządzać tylko jednym kontem administratora lokalnego na urządzeniu, oryginalne konto nie jest już zarządzane przez zasady LAPS. Jeśli zasady mają kopię zapasową tego konta, nowe konto jest kopią zapasową, a szczegóły dotyczące poprzedniego konta nie są już dostępne w centrum administracyjnym usługi Intune lub w katalogu określonym do przechowywania informacji o koncie.

Następne kroki

• Tworzenie zasad dla usługi LAPS
• Wyświetlanie raportów dla usługi LAPS
• Zasady ochrony konta dla zabezpieczeń punktu końcowego w usłudze Intune