Správa zásad WINDOWS LAPS pomocí Microsoft Intune

  • Článek

Až budete připraveni spravovat Řešení hesel místního správce Windows (Windows LAPS) na zařízeních s Windows, která spravujete pomocí Microsoft Intune, můžou vám informace v tomto článku pomoct použít Centrum pro správu Intune k:

  • Vytvořte a přiřaďte k zařízením zásady Intune LAPS.
  • Zobrazení podrobností o účtu místního správce zařízení
  • Heslo spravovaného účtu můžete ručně otočit.
  • Používejte sestavy zásad LAPS.

Než začnete vytvářet zásady, seznamte se s informacemi v Microsoft Intune podpory pro Windows LAPS, mezi které patří:

  • Přehled zásad a možností Windows LAPS v Intune
  • Předpoklady pro použití zásad Intune pro LAPS.
  • Oprávnění řízení na základě role (RBAC), která váš účet potřebuje ke správě zásad LAPS.
  • Nejčastější dotazy, které vám můžou poskytnout přehled o konfiguraci a používání zásad INTUNE LAPS.

Platí pro:

  • Windows 10
  • Windows 11

Informace o zásadách INTUNE LAPS

Intune poskytuje podporu ke konfiguraci windows LAPS na zařízeních prostřednictvím profilu řešení Windows LAPS (Local Admin Password Solution), který je k dispozici prostřednictvím zásad zabezpečení koncových bodů pro ochranu účtů.

Zásady Intune spravují LAPS pomocí poskytovatele konfigurační služby Windows LAPS (CSP). Konfigurace windows LAPS CSP mají přednost před všemi existujícími konfiguracemi z jiných zdrojů LAPS, jako jsou objekty zásad skupiny nebo starší nástroj Microsoft LAPS , a přepisují je.

Windows LAPS umožňuje správu jednoho účtu místního správce pro každé zařízení. Zásady Intune můžou určit, na který účet místního správce se vztahuje, pomocí nastavení zásad Název účtu správce. Pokud se název účtu zadaný v zásadách na zařízení nenachází, nespravuje se žádný účet. Pokud je ale název účtu správce prázdný, použije se jako výchozí zásada integrovaný účet místního správce zařízení, který je identifikován známým relativním identifikátorem (RID).

Poznámka

Před vytvořením zásad se ujistěte, že intune splňuje požadavky na podporu windows LAPS ve vašem tenantovi.

Zásady LAPS v Intune nevytvořují nové účty ani hesla. Místo toho spravují účet, který už na zařízení je.

Zásady LAPS nakonfigurujte a přiřaďte pečlivě. Windows LAPS CSP podporuje jednu konfiguraci pro každé nastavení LAPS na zařízení. Zařízení, která mají více zásad Intune, které obsahují konfliktní nastavení, můžou selhat zpracovat zásady. Konflikty také můžou zabránit zálohování spravovaného místního účtu správce a hesla do adresáře tenantů.

Pokud chcete omezit potenciální konflikty, doporučujeme každému zařízení přiřadit jednu zásadu LAPS prostřednictvím skupin zařízení, a ne prostřednictvím skupin uživatelů. Zásady LAPS sice podporují přiřazení skupin uživatelů, ale při každém přihlášení jiného uživatele k zařízení můžou mít za následek cyklus změn konfigurace LAPS. Často se měnící zásady můžou způsobovat konflikty, nedodržování předpisů zařízením a vytvářet nejasnosti ohledně toho, který účet místního správce ze zařízení se právě spravuje.

Vytvoření zásady LAPS

Důležité

Ujistěte se, že jste v Microsoft Entra povolili službu LAPS, jak je popsáno v dokumentaci k povolení windows LAPS s id Microsoft Entra.

Pokud chcete vytvořit nebo spravovat zásady LAPS, váš účet musí mít příslušná práva z kategorie Standardní hodnoty zabezpečení . Ve výchozím nastavení jsou tato oprávnění součástí předdefinované role Endpoint Security Manager. Pokud chcete použít vlastní role, ujistěte se, že vlastní role zahrnuje práva z kategorie Standardní hodnoty zabezpečení . Viz Řízení přístupu na základě role pro LAPS.

Než vytvoříte zásadu, můžete si projít podrobnosti o dostupných nastaveních v dokumentaci k programu Windows LAPS CSP .

  1. Přihlaste se do Centra pro správu Microsoft Intune, přejděte do částiOchrana účtuzabezpečení> koncového bodu a pak vyberte Vytvořit zásadu.

    Snímek obrazovky, který ukazuje, kde v Centru pro správu vytvoříte zásadu LAPS.

    Nastavte Platform na Windows 10 a novější, Profil na Řešení hesel místního správce (Windows LAPS) a pak vyberte Vytvořit.

  2. V části Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Profily názvů, abyste je později mohli snadno identifikovat.
    • Popis: Zadejte popis profilu. Toto nastavení je volitelné, ale doporučuje se.

  3. V nastavení konfigurace nakonfigurujte volbu pro záložní adresář , abyste definovali typ adresáře, který se má použít k zálohování účtu místního správce. Můžete se také rozhodnout, že účet a heslo nebudete zálohovat. Typ adresáře také určuje, která další nastavení jsou v této zásadě k dispozici.

    Snímek obrazovky znázorňující možnosti nastavení Zálohovací adresář

    Důležité

    Při konfiguraci zásady mějte na paměti, že typ záložního adresáře v zásadě musí být podporovaný typem připojení zařízení, ke kterému je zásada přiřazená. Pokud například nastavíte adresář na Active Directory a zařízení není připojené k doméně (ale je členem Microsoft Entra), zařízení může nastavení zásad z Intune použít bez chyby, ale služba LAPS na zařízení nebude moct tuto konfiguraci úspěšně použít k zálohování účtu.

    Po konfiguraci adresáře zálohování zkontrolujte a nakonfigurujte dostupná nastavení tak, aby splňovala požadavky vaší organizace.

  4. Na stránce Značky oboru vyberte požadované značky oboru, které chcete použít, a pak vyberte Další.

  5. V části Přiřazení vyberte skupiny, které mají tuto zásadu přijmout. Doporučujeme přiřadit zásady LAPS skupinám zařízení. Zásady přiřazené skupinám uživatelů sledují uživatele ze zařízení na zařízení. Když se uživatel zařízení změní, můžou se na zařízení vztahovat nové zásady a zavádět nekonzistentní chování, včetně toho, který účet zařízení zálohuje nebo kdy se heslo spravovaných účtů bude příště obměňovat.

    Poznámka

    Stejně jako u všech zásad Intune platí, že když se na zařízení vztahují nové zásady, Intune se pokusí toto zařízení upozornit, aby se ohlásí se změnami a zpracuje zásadu.

    Dokud se zařízení úspěšně neohlásí pomocí Intune a nezvládá úspěšně své zásady LAPS, nebudou data o jeho spravovaném účtu místního správce dostupná k zobrazení ani správě v Centru pro správu.

    Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

  6. V části Zkontrolovat a vytvořit zkontrolujte nastavení a pak vyberte Vytvořit. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásady se také zobrazují v seznamu zásad.

Zobrazit stav akcí zařízení

Pokud má váš účet oprávnění ekvivalentní oprávněním standardních hodnot zabezpečení , která udělují práva všem šablonám zásad v úloze Zabezpečení koncového bodu, můžete pomocí Centra pro správu Intune zobrazit stav akcí zařízení požadovaných pro dané zařízení.

Další informace najdete v tématu Řízení přístupu na základě role pro LAPS.

  1. V Centru pro správu Microsoft Intune přejděte na Zařízení>Všechna zařízení a vyberte zařízení, které má zásadu LAPS, která zálohuje účet místního správce. Intune zobrazí podokno Přehled zařízení.

  2. V podokně Přehled zařízení můžete zobrazit stav akcí zařízení. Zobrazí se dříve požadované a nevyřízené akce, včetně času požadavku a toho, jestli akce selhala nebo byla úspěšná. Na následujícím příkladu snímku obrazovky se u zařízení úspěšně otočilo heslo účtu Local Správa.

    Snímek obrazovky se stavem akcí zařízení s jednou dokončenou akcí a aktuální čekající akcí

  3. Výběrem akce ze seznamu se otevře podokno Stav akce zařízení , ve kterém se zobrazí další podrobnosti o této akci.

Zobrazení podrobností o účtu a hesle

Pokud chcete zobrazit podrobnosti o účtu a hesle, musí mít účet jedno z následujících Microsoft Entra oprávnění:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Pomocí následujících metod udělte účtům tato oprávnění:

  • Přiřaďte jednu z následujících předdefinovaných rolí Microsoft Entra:
    • Globální Správa
    • Správa cloudových zařízení

Vytvořte a přiřaďte vlastní roli v ID Microsoft Entra, která uděluje tato oprávnění. Viz Vytvoření a přiřazení vlastní role v ID Microsoft Entra v dokumentaci k Microsoft Entra.

Další informace najdete v tématu Řízení přístupu na základě role pro LAPS.

  1. V Centru pro správu Microsoft Intune přejděte na Zařízení>Všechna zařízení> vyberte zařízení s Windows a otevřete podokno Přehled.

    V podokně přehledu můžete zobrazit zařízení Stav akcí zařízení. Stav zobrazuje aktuální a minulé akce, například obměně hesel.

  2. V podokně přehledu zařízení v části Monitorování vyberte Heslo místního správce. Pokud má váš účet dostatečná oprávnění, otevře se podokno Hesla místního správce pro zařízení, které je stejné jako v Azure Portal.

    Snímek obrazovky s podoknem hesel místního správce pro zařízení s Windows

    Následující informace můžete zobrazit v Centru pro správu. Heslo místního správce se ale dá zobrazit jenom v případě, že se účet zálohoval do Microsoft Entra. Nedá se zobrazit pro účet, který je zálohovaný na místní Active Directory (Windows Server Active Directory):

    • Název účtu – název místního účtu správce, který byl zálohován ze zařízení.
    • ID zabezpečení – známý identifikátor SID účtu, který je zálohovaný ze zařízení.
    • Heslo místního správce – ve výchozím nastavení je skryto. Pokud má váš účet oprávnění, můžete vybrat Zobrazit a heslo zobrazit. Potom můžete použít možnost Kopírovat a zkopírovat heslo do schránky. Tyto informace nejsou k dispozici pro zařízení, která zálohuje do místní Active Directory.
    • Poslední obměna hesla – ve standardu UTC je to datum a čas, kdy se heslo naposledy změnilo nebo obměnělo podle zásad.
    • Další obměna hesel – ve standardu UTC je to další datum a čas, kdy se heslo pro každou zásadu obměna změní.

Tady jsou důležité informace o zobrazení účtu zařízení a informací o heslech:

  • Načtení (zobrazení) hesla pro účet místního správce aktivuje událost auditu.

  • Nelze zobrazit podrobnosti o heslech pro následující zařízení:

    • Zařízení, která mají účet místního správce zálohovaný na místní Active Directory
    • Zařízení, která jsou nastavená tak, aby k zálohování hesla účtu používala službu Active Directory.

Ruční obměna hesel

Zásady LAPS zahrnují plán automatické obměny hesel k účtům. Kromě plánované rotace můžete pomocí akce zařízení Intune v části Obměna hesla místního správce ručně otočit heslo zařízení nezávisle na plánu obměny nastaveném zásadami LAPS zařízení.

Pokud chcete použít tuto akci zařízení, musí mít váš účet následující tři oprávnění Intune:

  • Spravovaná zařízení: Čtení
  • Organizace: Čtení
  • Vzdálené úlohy: Obměna hesla místního Správa

Viz Řízení přístupu na základě role pro LAPS.

Obměna hesla

  1. V Centru pro správu Microsoft Intune přejděte na Zařízení>Všechna zařízení a vyberte zařízení s Windows s účtem, který chcete otočit.

  2. Při prohlížení podrobností o zařízení rozbalte tři tečky (...) na pravé straně řádku nabídek, abyste zobrazili dostupné možnosti, a pak vyberte Otočit heslo místního správce.

    Snímek obrazovky s rozbalenými možnostmi nabídky pro akce zařízení

  3. Když vyberete Otočit heslo místního správce, Intune zobrazí upozornění, které před obměnou heslem vyžaduje potvrzení.

    Po potvrzení záměru o obměně hesla zahájí Intune proces, který může trvat několik minut. Během této doby se v podokně podrobností o zařízení zobrazí banner a stav akcí zařízení , které označují, že akce čeká na vyřízení.

Po úspěšném otočení se potvrzení zobrazí ve stavu Akce zařízení jako Dokončeno.

Při ruční obměně hesel je potřeba vzít v úvahu následující:

  • Akce Zařízení Otočit heslo místního správce je dostupná pro všechna zařízení s Windows, ale všechna zařízení, která úspěšně nezálohovala svůj účet a data hesel, nedokončí žádost o otočení.

  • Výsledkem každého ručního pokusu o obměnu je událost auditu. Naplánované obměny hesel také protokolují událost auditu.

  • Při ruční obměně hesla se resetuje čas do další naplánované obměně hesla. Čas do další naplánované obměny se spravuje pomocí nastavení PasswordAgeDays v zásadách LAPS.

    Funguje to takto: Zařízení obdrží zásadu 1. března, která nastaví PasswordAgeDays na 10 dní. Výsledkem je, že zařízení automaticky změní heslo po 10 dnech, tedy 11. března. 5. března správce ručně otočí heslo tohoto zařízení a akci, která resetuje počáteční datum PasswordAgeDays na 5. března. V důsledku toho teď zařízení o 10 dní později, 15. března, automaticky obměněne heslo.

  • U Microsoft Entra připojených zařízení musí být zařízení v době, kdy se požaduje ruční obměna, online. Pokud zařízení není v době žádosti online, dojde k selhání.

  • Obměně hesel se nepodporuje jako hromadná akce. Najednou můžete otáčet jenom jedno zařízení.

Vyhněte se konfliktům zásad

Následující podrobnosti vám můžou pomoct vyhnout se konfliktům a pochopit očekávané chování zařízení spravovaných zásadami LAPS.

Pokud je zařízení s úspěšnými zásadami přiřazené dvě nebo více zásad, které zavádějí konflikt:

  • Nastavení, která se na zařízení používala, zůstávají na zařízení při poslední nastavené hodnotě. Obě zásady, původní i nové, hlásí konflikt.
  • Konflikt vyřešíte tak, že buď odeberete přiřazení zásad, dokud se konfliktní zásady nepoužijí, nebo překonfigurujte příslušné zásady tak, aby nastavily stejnou konfiguraci, čímž konflikt odeberete.

Pokud zařízení, které nemá zásadu LAPS, obdrží současně dvě konfliktní zásady:

  • Nastavení se do zařízení neodesílají a obě zásady se hlásí jako konflikty.
  • Konflikt sice přetrvává, ale nastavení ze zásad se na zařízení nevztahují.

Pokud chcete vyřešit konflikty, musíte buď odebrat přiřazení zásad ze zařízení, nebo překonfigurovat nastavení v příslušných zásadách, dokud nezůstanou žádné další konflikty.

Další kroky