podpora Microsoft Intune pro Windows LAPS

Každý počítač s Windows má integrovaný účet místního správce, který nejde odstranit a který má úplná oprávnění k zařízení. Zabezpečení tohoto účtu je důležitým krokem při zabezpečení vaší organizace. Mezi zařízení s Windows patří řešení LAPS (Windows Local Administrator Password Solution), integrované řešení, které pomáhá spravovat účty místních správců.

Zásady zabezpečení Microsoft Intune koncových bodů pro ochranu účtů můžete použít ke správě laps na zařízeních, která jsou zaregistrovaná v Intune. Zásady Intune můžou:

• Vynucení požadavků na heslo pro účty místních správců
• Zálohujte účet místního správce ze zařízení do služby Active Directory (AD) nebo Microsoft Entra
• Naplánujte obměně těchto hesel k účtům, abyste je udrželi v bezpečí.

Můžete také zobrazit podrobnosti o spravovaných účtech místních správců v centru Správa Intune a ručně obměňovat hesla k účtům mimo plánovanou obměnu.

Použití zásad Intune LAPS pomáhá chránit zařízení s Windows před útoky, které jsou zaměřené na zneužití místních uživatelských účtů, jako jsou útoky typu pass-the-hash nebo lateral-traversal. Správa laps pomocí Intune může také pomoct zlepšit zabezpečení pro scénáře vzdáleného helpdesku a obnovit zařízení, která jsou jinak nedostupná.

Zásady INTUNE LAPS spravují nastavení, která jsou k dispozici v programu Windows LAPS CSP. Použití CSP v Intune nahrazuje použití starší verze Microsoft LAPS nebo jiných řešení pro správu LAPS, přičemž založené na CSP mají přednost před jinými zdroji správy LAPS.

Podpora Intune pro Windows LAPS zahrnuje následující možnosti:

• Nastavení požadavků na heslo – Definujte požadavky na heslo, včetně složitosti a délky pro účet místního správce na zařízení.
• Obměna hesel – pomocí zásad můžete nechat zařízení automaticky obměňovat hesla účtu místního správce podle plánu. Pomocí Centra pro správu Intune můžete také ručně otočit heslo pro zařízení jako akci zařízení.
• Zálohovat účty a hesla – Můžete zvolit, aby zařízení zálohovala svůj účet a heslo v Microsoft Entra ID v cloudu nebo ve svém místní Active Directory. Hesla se ukládají pomocí silného šifrování.
• Konfigurace akcí po ověření – Definujte akce, které zařízení provede, když vyprší platnost hesla účtu místního správce. Akce se liší od resetování spravovaného účtu přes použití nového zabezpečeného hesla, odhlášení z účtu nebo provedení obojího a následné vypnutí zařízení. Můžete také určit, jak dlouho bude zařízení čekat po vypršení platnosti hesla před provedením těchto akcí.
• Zobrazení podrobností o účtu – Správci Intune s dostatečnými oprávněními řízení správy na základě role (RBAC) můžou zobrazit informace o účtu místního správce zařízení a jeho aktuálním hesle. Uvidíte také, kdy se heslo naposledy obměnělo (resetovalo) a kdy je jeho další obměna naplánovaná.
• Zobrazení sestav – Intune poskytuje sestavy o obměně hesel, včetně podrobností o ručním a plánovaném obměně hesel v minulosti.

Pokud chcete získat podrobnější informace o windows LAPS, začněte následujícími články v dokumentaci k Windows:

• Co je Windows LAPS? – Úvod do windows LAPS a sady dokumentace k Windows LAPS.
• Windows LAPS CSP – podívejte se na úplné podrobnosti o nastaveních a možnostech LAPS. Zásady Intune pro LAPS používají tato nastavení ke konfiguraci poskytovatele CSP LAPS na zařízeních.

Platí pro:

• Windows 10
• Windows 11

Požadavky

Následující požadavky musí Intune podporovat windows LAPS ve vašem tenantovi:

Licenční požadavky

• Předplatné - IntuneMicrosoft Intune Plán 1, což je základní předplatné Intune. Windows LAPS můžete používat také s bezplatnou zkušební verzí předplatného Intune.

• Microsoft Entra ID – Microsoft Entra ID Free, což je bezplatná verze Microsoft Entra ID, která je součástí předplatného Intune. S Microsoft Entra ID Free můžete používat všechny funkce FUNKCE LAPS.

Podpora služby Active Directory

Zásady Intune pro Windows LAPS můžou nakonfigurovat zařízení pro zálohování účtu místního správce a hesla do jednoho z následujících typů adresářů:

Poznámka

Zařízení, která jsou připojená k pracovišti (WPJ), intune pro LAPS nepodporuje.

• Cloud – cloud podporuje zálohování do Microsoft Entra ID pro následující scénáře:

  • Microsoft Entra hybridní připojení

  • Microsoft Entra připojit

    Podpora připojení Microsoft Entra vyžaduje, abyste ve svém Microsoft Entra ID povolili funkci LAPS. Následující kroky vám můžou pomoct s dokončením této konfigurace. Pokud chcete použít širší kontext, podívejte se na tyto kroky v dokumentaci k Microsoft Entra v tématu Povolení windows LAPS s Microsoft Entra ID. Microsoft Entra hybridní připojení nevyžaduje povolení funkce LAPS v Microsoft Entra.

    Povolení funkce LAPS v Microsoft Entra:

    1. Přihlaste se k Centrum pro správu Microsoft Entra jako správce cloudových zařízení.
    2. Přejděte naPřehlednastavenízařízení>>s identitou>.
    3. Vyberte Ano pro nastavení Povolit řešení hesel místního správce (LAPS) a vyberte Uložit. Můžete také použít Microsoft Graph API Update deviceRegistrationPolicy.

    Další informace najdete v tématu Řešení hesel místního správce Windows v Microsoft Entra ID v dokumentaci k Microsoft Entra.

• Místní – místní prostředí podporuje zálohování do Windows Server Active Directory (místní Active Directory).

  Důležité

  Funkce LAPS na zařízeních s Windows se dá nakonfigurovat tak, aby používala jeden nebo druhý typ adresáře, ale ne oba. Vezměte také v úvahu, že záložní adresář musí být podporovaný typem připojení zařízení – pokud adresář nastavíte na místní Active Directory a zařízení není připojené k doméně, přijme nastavení zásad z Intune, ale LAPS nemůže tuto konfiguraci úspěšně použít.

Device Edition a Platform

Zařízení můžou mít libovolnou edici Windows, kterou Intune podporuje, ale musí mít jednu z následujících verzí, aby podporovala windows LAPS CSP:

• Windows 10 verze 22H2 (19045.2846 nebo novější) s KB5025221
• Windows 10 verze 21H2 (19044.2846 nebo novější) s KB5025221
• Windows 10 verze 20H2 (19042.2846 nebo novější) s KB5025221
• Windows 11 verze 22H2 (22621.1555 nebo novější) s KB5025239
• Windows 11 verze 21H2 (22000.1817 nebo novější) s KB5025224

Podpora GCC High

Zásady Intune pro Windows LAPS se podporují v prostředích GCC High.

Řízení přístupu na základě role pro LAPS

Ke správě LAPS musí mít účet dostatečná oprávnění řízení přístupu na základě role (RBAC) k dokončení požadované úlohy. Níže jsou uvedené dostupné úkoly s požadovanými oprávněními:

• Vytvoření zásad LAPS a přístup k těmto zásadám – Pokud chcete pracovat se zásadami LAPS a zobrazovat je, musí mít váš účet přiřazená dostatečná oprávnění z kategorie Intune RBAC pro standardní hodnoty zabezpečení. Ve výchozím nastavení jsou součástí předdefinované role Endpoint Security Manager. Pokud chcete použít vlastní role, ujistěte se, že vlastní role zahrnuje práva z kategorie Standardní hodnoty zabezpečení .

• Obměna hesla místního správce – Pokud chcete použít Centrum pro správu Intune k zobrazení nebo obměně hesla účtu místního správce zařízení, musíte mít k vašemu účtu přiřazená následující oprávnění Intune:

  • Spravovaná zařízení: Čtení
  • Organizace: Čtení
  • Vzdálené úlohy: Obměna hesla místního Správa

• Načtení hesla místního správce – Pokud chcete zobrazit podrobnosti o heslech, váš účet musí mít jedno z následujících oprávnění Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read a přečtěte si metadata a hesla LAPS.
  • microsoft.directory/deviceLocalCredentials/standard/read a přečtěte si metadata LAPS s vyloučením hesel.

  Pokud chcete vytvořit vlastní role, které můžou udělit tato oprávnění, přečtěte si téma Vytvoření a přiřazení vlastní role v Microsoft Entra ID v dokumentaci k Microsoft Entra.

• Zobrazení Microsoft Entra protokolů auditu a událostí – Pokud chcete zobrazit podrobnosti o zásadách LAPS a nedávných akcích zařízení, jako jsou události obměny hesel, musí váš účet mít oprávnění ekvivalentní předdefinované roli Intune – operátor jen pro čtení.

Další informace najdete v tématu Řízení přístupu na základě role pro Microsoft Intune.

Architektura LAPS

Informace o architektuře Windows LAPS najdete v tématu Architektura Windows LAPS v dokumentaci k Windows.

Časté otázky

Můžu pomocí zásad Intune LAPS spravovat jakýkoli místní účet správce na zařízení?

Ano. Zásady Intune LAPS se dají použít ke správě libovolného účtu místního správce na zařízení. Laps ale podporuje jenom jeden účet na zařízení:

• Pokud zásada nezadá název účtu, Intune spravuje výchozí předdefinovaný účet správce bez ohledu na jeho aktuální název na zařízení.
• Účet, který Intune pro zařízení spravuje, můžete změnit tak, že změníte zásady přiřazené k zařízení nebo upravíte jeho aktuální zásady a zadáte jiný účet.
• Pokud jsou k zařízení, které obě určují jiný účet, přiřazeny dvě samostatné zásady, dojde ke konfliktu, který musí být vyřešen před tím, než bude možné spravovat účet zařízení.

Co když nasadím zásady LAPS s Intune do zařízení, které už má konfigurace LAPS z jiného zdroje?

Zásady založené na CSP z Intune přepíší všechny ostatní zdroje zásad LAPS, například z objektů zásad skupiny nebo konfiguraci ze starší verze Microsoft LAPS. Další informace najdete v tématu Podporované kořeny zásad v dokumentaci Windows LAPS.

Může systém Windows LAPS vytvářet účty místního správce na základě názvu účtu správce nakonfigurovaného pomocí zásad LAPS?

Ne. Windows LAPS může spravovat jenom účty, které už na zařízení existují. Pokud zásada určuje účet podle názvu, který na zařízení neexistuje, použije se a neohlásí chybu. Nezálohuje se ale žádný účet.

Obměňuje systém Windows LAPS a zálohuje heslo pro zařízení, které je zakázané v Microsoft Entra?

Ne. Windows LAPS vyžaduje, aby bylo zařízení v povoleném stavu, než se můžou použít operace obměny hesel a zálohování.

Co se stane, když se zařízení v Microsoft Entra odstraní?

Při odstranění zařízení v Microsoft Entra dojde ke ztrátě přihlašovacích údajů LAPS, které byly svázané s tímto zařízením, a heslo uložené v Microsoft Entra ID se ztratí. Pokud nemáte vlastní pracovní postup pro načtení hesel LAPS a jejich externí ukládání, neexistuje v Microsoft Entra ID žádná metoda obnovení hesla spravovaného službou LAPS pro odstraněné zařízení.

Jaké role jsou potřeba k obnovení hesel LAPS?

Oprávnění k obnovení hesel LAPS mají následující předdefinované role Microsoft Entra: Globální Správa, Správa cloudových zařízení a Správa služby Intune.

Jaké role jsou potřeba ke čtení metadat LAPS?

Následující předdefinované role podporují zobrazení metadat o službě LAPS, včetně názvu zařízení, poslední obměny hesla a dalšího obměny hesel: Globální Správa, cloudová Správa zařízení, Správa služby Intune, helpdesk Správa, čtenář zabezpečení, Správa zabezpečení a globální čtenář.

Proč je tlačítko Heslo místního správce neaktivní a nepřístupné?

Přístup k této oblasti v současné době vyžaduje oprávnění Obměna hesla místního správce v Intune. Informace o Microsoft Intune najdete v tématu Řízení přístupu na základě role.

Co se stane, když dojde ke změně účtu určeného zásadou?

Vzhledem k tomu, že windows LAPS může na zařízení současně spravovat jenom jeden účet místního správce, původní účet už není spravovaný zásadami LAPS. Pokud zásady mají zařízení zálohovat tento účet, nový účet se zálohuje a podrobnosti o předchozím účtu už nebudou dostupné v Centru pro správu Intune nebo v adresáři určeném pro ukládání informací o účtu.

Další kroky

• Vytvoření zásad pro LAPS
• Zobrazení sestav pro LAPS
• Zásady ochrany účtů pro zabezpečení koncových bodů v Intune