Windows 本機管理員密碼解決方案 (Windows LAPS) 是一項 Windows 功能,可自動管理和備份已加入 Microsoft Entra 或已加入 Windows Server Active Directory 的裝置上本機系統管理員帳戶的密碼。 您也可以使用 Windows LAPS,在您的 Windows Server Active Directory 網域控制站上自動管理和備份目錄服務還原模式 (DSRM) 帳戶密碼。 授權的系統管理員可擷取 DSRM 密碼並加以使用。
Windows LAPS 支援的平台
Windows LAPS 可在下列 OS 平臺上使用:
Windows 用戶端
- Windows 11 23H2 及更高版本。
- 已收到 2023 年 4 月 11 日更新或更新版本的其他 Windows 用戶端版本,包括:
備註
自動帳號管理 CSP 設定需要 Windows 11 24H2 或更新版本。
Windows 伺服器
- Windows Server 2025 和更新版本。
- 適用於容器的 Windows Server 年度通道,23H2 和更新版本。
- 已收到 2023 年 4 月 11 日更新或更新版本的其他 Windows Server 版本,包括:
這些平臺的所有支援版本都已使用 Windows LAPS 更新,包括長期服務通道 (LTSC) 版本。 Windows LAPS 功能的引進不會修改標準 Microsoft 產品生命週期原則。
Windows LAPS 和 Microsoft Entra ID
具有 Microsoft Entra ID 和 Microsoft Intune 支援的 Windows LAPS 已於 2023 年 10 月 23 日正式推出。 如需詳細資訊,請參閱 Windows 本機系統管理員密碼解決方案 (Microsoft Entra ID) 現已正式推出! 和 Microsoft Entra ID 中的 Windows 本機系統管理員密碼解決方案。
使用 Windows LAPS 的好處
使用 Windows LAPS 定期輪替與管理區域系統管理員帳戶密碼,並取得下列好處:
- 防範雜湊傳遞和橫向遍歷攻擊
- 改善遠端客服情境的安全性
- 可登入和復原無法存取的裝置
- 用於保護儲存在 Windows Server Active Directory 中密碼的細密安全性模型 (存取控制清單和選用的密碼加密)
- 支援 Microsoft Entra 角色型存取控制模型,以保護儲存在 Microsoft Entra ID 中的密碼
資訊影片
下列影片提供資訊豐富的方式,讓您深入瞭解 Windows LAPS 功能。
Windows 技術起飛簡報 (2022 年 11 月):
Windows 應對科技討論 (2023 年 8 月):
主要 Windows LAPS 案例
您可以針對多種主要案例使用 Windows LAPS:
將本機系統管理員帳戶密碼備份至 Microsoft Entra ID (適用於已加入 Microsoft Entra 的裝置)
將區域系統管理員帳戶密碼備份至 Windows Server Active Directory (適用於已加入 Windows Server Active Directory 的用戶端與服務)
將 DSRM 帳戶密碼備份至 Windows Server Active Directory (適用於 Windows Server Active Directory 網域控制站)
使用舊版 Microsoft LAPS 將區域系統管理員帳戶密碼備份至 Windows Server Active Directory
您可以在每個案例中套用不同的原則設定。
理解裝置加入狀態限制
是否將裝置加入 Microsoft Entra ID 或 Windows Server Active Directory 決定了您如何使用 Windows LAPS。
- 只有加入 Microsoft Entra ID 的裝置能將密碼備份到 Microsoft Entra ID。
- 僅加入 Windows Server Active Directory 的裝置只可將密碼備份至 Windows Server Active Directory。
- 混合式聯結的裝置 (同時加入 Microsoft Entra ID 和 Windows Server Active Directory) 可以將其密碼備份至 Microsoft Entra ID 或 Windows Server Active Directory。
您無法將密碼同時備份到 Microsoft Entra ID 和 Windows Server Active Directory。
Windows LAPS 不支援加入 Microsoft Entra 工作場所的用戶端。
設定 Windows LAPS 原則
若要設定和管理 Windows LAPS 部署的原則,您有多種選項:
管理與監視 Windows LAPS
您還有各種選項來管理和監視 Windows LAPS。
適用於 Windows 的選項包括:
- [Windows Server Active Directory 的使用者與電腦屬性] 對話框。
- 專用的事件記錄通道。
- Windows LAPS 特有的 Windows PowerShell 模組。
當您將密碼備份至 Microsoft Entra ID 時,可以使用 Entra 型監視和報告解決方案。
不建議使用舊版 Microsoft LAPS 產品
Important
舊版 Microsoft LAPS 產品已從 Windows 11 23H2 及更新版本開始棄用。 舊版 Microsoft LAPS Microsoft Installer (MSI) 套件的安裝會在較新的 OS 版本上封鎖,而且 Microsoft 不再考慮舊版 Microsoft LAPS 產品的程式代碼變更。
使用 Windows LAPS 來管理本機系統管理員帳戶密碼。 Windows LAPS 可在 Windows Server 2019 和更新版本,以及支援的 Windows 10 和 Windows 11 用戶端上使用。
Microsoft 將繼續在先前支援的舊版 Windows (早於 Windows 11 23H2) 上支援舊版 Microsoft LAPS 產品。 該支援將在對這些作業系統版本的正常支援結束時結束。
Windows LAPS 與舊版 Microsoft LAPS 的比較
Windows LAPS 繼承了舊版 Microsoft LAPS 的許多設計概念。 如果您熟悉舊版 Microsoft LAPS,則會對許多 Windows LAPS 功能感到很熟悉。 主要差異在於 Windows LAPS 是 Windows 原生的完全個別實作。 Windows LAPS 還新增了許多舊版 Microsoft LAPS 中沒有提供的功能。 您可以使用 Windows LAPS 將密碼備份至 Microsoft Entra ID、加密 Windows Server Active Directory 中的密碼,以及儲存密碼歷程記錄。
Important
Windows LAPS 不需要您安裝舊版 Microsoft LAPS。 您可以完全部署及使用所有 Windows LAPS 功能,而不需安裝或參考舊版 Microsoft LAPS。 但為了協助移轉現有的舊版 Microsoft LAPS 部署,Windows LAPS 提供了舊版 Microsoft LAPS 模擬模式。
Important
舊版 Microsoft LAPS 產品已在較新的 Microsoft OS 版本上被取代。 如需詳細資訊,請參閱舊 版 Microsoft LAPS 產品的淘汰。
支持聲明
Microsoft 於 2016 年日曆年度在 Microsoft 下載中心發行了舊版 Microsoft LAPS 產品。 Windows LAPS 作為 2023 年 4 月 11 日發行的 Windows 更新的一部分提供,適用於 Windows LAPS 和 Microsoft Entra ID 中列出的平台。
Microsoft 及其支援交付組織為 Microsoft LAPS 和 Windows LAPS 提供輔助支援,包括這兩個產品之間的互通性。
Important
舊版 Microsoft LAPS 產品已在較新的 Microsoft OS 版本上被取代。 如需詳細資訊,請參閱舊 版 Microsoft LAPS 產品的淘汰。
強烈建議您現在開始規劃,將支援 Windows LAPS 的系統從使用舊版 Microsoft LAPS 移轉至 Windows LAPS 功能。 Windows LAPS 提供許多新的安全性功能和改進的產品服務。
有關第三方本機帳戶密碼管理工具與 Windows LAPS 之間的限制和互通性問題,應直接向第三方應用程式開發人員提出,而不是 Microsoft。
授權需求
Windows LAPS 功能本身可在所有支援的 Windows 平台中免費取得。
您可以將密碼備份到 Windows Server Active Directory,無需其他授權需求。
您可以使用 Microsoft Entra ID 免費或更高的授權,將密碼備份至 Microsoft Entra ID。
其他 Entra 相關或 Intune 相關功能可能有其他授權需求。
提交意見反應
是否要傳送意見反應給我們? 請隨時透過本頁底部的意見反應連結提交特定於文件的問題。
您還可以透過 Windows LAPS 回饋技術社區頁面提交意見回饋和其他要求。
如果您的意見回饋是專屬於 Microsoft Entra ID 或 Intune 的 LAPS 功能,您可以透過 Microsoft Entra 意見回饋論壇提交意見回饋。
如果您不確定意見反應應該放在哪裡,請使用這些任一選項提交意見反應。
另請參閱
- 使用 Microsoft Entra ID 的 Windows 本機管理員密碼解決方案簡介
- Microsoft Entra ID 中的 Windows 本機管理員密碼解決方案
- 帶有 Microsoft Entra ID 的 Windows 本地管理員密碼解決方案現已全面推出!
- Windows LAPS 的 Microsoft Intune 支援
- LAPS CSP
- Windows LAPS 疑難排解指引
- LAPS PowerShell 模組參考
- 舊版 Microsoft LAPS