Microsoft Intune-támogatás a Windows LAPS-hez

Minden Windows rendszerű gép rendelkezik egy beépített helyi rendszergazdai fiókkal, amely nem törölhető, és amely teljes körű engedélyekkel rendelkezik az eszközhöz. A fiók biztonságossá tétele fontos lépés a szervezet biztonságossá tételében. A Windows-eszközök közé tartozik a Windows helyi rendszergazdai jelszómegoldás (LAPS), amely egy beépített megoldás a helyi rendszergazdai fiókok kezeléséhez.

A Microsoft Intune végpontbiztonsági szabályzataival fiókvédelemmel kezelheti a LAPS-t az Intune-ban regisztrált eszközökön. Az Intune-szabályzatok a következőket tehetik:

• A helyi rendszergazdai fiókok jelszókövetelményeinek kényszerítése
• Helyi rendszergazdai fiók biztonsági mentése az eszközökről az Active Directoryba (AD) vagy a Microsoft Entra szolgáltatásba
• A fiókjelszavak rotálásának ütemezése a biztonság érdekében.

A felügyelt helyi rendszergazdai fiókok adatait az Intune Felügyeleti központban is megtekintheti, és manuálisan elforgathatja a fiókjelszavakat az ütemezett rotáción kívül.

Az Intune LAPS-szabályzatok használata segít megvédeni a Windows-eszközöket a helyi felhasználói fiókok, például a pass-the-hash vagy az lateral-traversal támadások elleni támadásoktól. A LAPS Intune-nal való kezelése segíthet a távoli ügyfélszolgálati forgatókönyvek biztonságának javításában és az egyébként elérhetetlen eszközök helyreállításában.

Az Intune LAPS-szabályzat a Windows LAPS CSP-ből elérhető beállításokat kezeli. Az Intune CSP-használata felváltja az örökölt Microsoft LAPS vagy más LAPS felügyeleti megoldások használatát, és a CSP elsőbbséget élvez a többi LAPS felügyeleti forrással szemben.

A Windows LAPS Intune-támogatása a következő képességeket tartalmazza:

• Jelszókövetelmények beállítása – Megadhatja a jelszóra vonatkozó követelményeket, beleértve az eszköz helyi rendszergazdai fiókjának összetettségét és hosszát.
• Jelszavak rotálása – A házirenddel az eszközök automatikusan, ütemezés szerint elforgathatják a helyi rendszergazdai fiók jelszavát. Az Intune Felügyeleti központban manuálisan is elforgathatja az eszköz jelszavát eszközműveletként.
• Fiókok és jelszavak biztonsági mentése – Beállíthatja, hogy az eszközök biztonsági másolatot készítsenek a fiókjukról és jelszavukról a felhőben lévő Microsoft Entra-azonosítóban vagy a helyszíni Active Directoryban. A jelszavak tárolása erős titkosítással történik.
• Hitelesítés utáni műveletek konfigurálása – Meghatározza azokat a műveleteket, amelyeket az eszköz a helyi rendszergazdai fiók jelszavának lejártakor hajt végre. A műveletek köre a felügyelt fiók alaphelyzetbe állításától az új biztonságos jelszóig, a fiók kijelentkeztetésétől, illetve az eszköz bekapcsolásától kezdve terjedhet. Azt is kezelheti, hogy az eszköz mennyi ideig várjon a jelszó lejárata után, mielőtt végrehajtja ezeket a műveleteket.
• Fiókadatok megtekintése – A megfelelő szerepköralapú rendszergazdai (RBAC) engedélyekkel rendelkező Intune-rendszergazdák megtekinthetik az eszközök helyi rendszergazdai fiókjával és aktuális jelszavával kapcsolatos információkat. Azt is láthatja, hogy mikor forgotta el utoljára a jelszót (alaphelyzetbe állította), és mikorra ütemezte a következő váltást.
• Jelentések megtekintése – Az Intune jelentéseket nyújt a jelszórotálásról, beleértve a korábbi manuális és ütemezett jelszórotálás részleteit is.

A Windows LAPS szolgáltatással kapcsolatos további információkért kezdje az alábbi cikkekkel a Windows dokumentációjában:

• Mi az a Windows LAPS? – A Windows LAPS és a Windows LAPS dokumentációjának bemutatása.
• Windows LAPS CSP – A LAPS-beállítások és -beállítások teljes részleteinek megtekintése. A LAPS Intune-szabályzata ezekkel a beállításokkal konfigurálja a LAPS CSP-t az eszközökön.

Érintett szolgáltatás:

• Windows 10
• Windows 11

Előfeltételek

A következő követelmények vonatkoznak az Intune-ra, hogy támogassa a Windows LAPS-t a bérlőjében:

Licencelési követelmények

• Intune-előfizetés - A Microsoft Intune 1. csomagja, amely az Intune alapszintű előfizetése. A Windows LAPS-t az Intune ingyenes próbaverziós előfizetésével is használhatja.

• Microsoft Entra ID – Ingyenes Microsoft Entra ID, amely a Microsoft Entra ID ingyenes verziója, amely az Intune-ra való előfizetéskor szerepel. Az ingyenes Microsoft Entra ID-val az LAPS összes funkcióját használhatja.

Active Directory-támogatás

A Windows LAPS Intune-szabályzata konfigurálhatja, hogy az eszközök biztonsági másolatot készíthessenek egy helyi rendszergazdai fiókról és jelszóról az alábbi címtártípusok egyikére:

Megjegyzés:

A munkahelyi csatlakoztatású (WPJ) eszközöket az Intune nem támogatja a LAPS-hez.

• Felhő – A felhő az alábbi esetekben támogatja a Microsoft Entra-azonosítóra történő biztonsági mentést:

  • Microsoft Entra hibrid csatlakozás

  • Microsoft Entra-csatlakozás

    A Microsoft Entra-csatlakozás támogatásához engedélyeznie kell az LAPS-t a Microsoft Entra-azonosítójában. Az alábbi lépések segíthetnek a konfiguráció végrehajtásában. A nagyobb kontextus érdekében tekintse meg ezeket a lépéseket a Microsoft Entra dokumentációjában: A Windows LAPS engedélyezése a Microsoft Entra ID azonosítóval. A Microsoft Entra hibrid csatlakoztatásához nem szükséges engedélyezni a LAPS-t a Microsoft Entra-ban.

    LAPS engedélyezése a Microsoft Entra-ban:

    1. Jelentkezzen be a Microsoft Entra felügyeleti központbafelhőeszköz-rendszergazdaként.
    2. Lépjen az Identitáseszközök>>áttekintő>eszközbeállítások területre.
    3. Válassza az Igen lehetőséget a Helyi rendszergazdai jelszómegoldás (LAPS) beállításnál , majd válassza a Mentés lehetőséget. Használhatja a Microsoft Graph API Update deviceRegistrationPolicy eszközt is.

    További információ: A Windows helyi rendszergazdai jelszómegoldása a Microsoft Entra-azonosítóban a Microsoft Entra dokumentációjában.

• Helyszíni – A helyszíni rendszer támogatja a Windows Server Active Directoryra (helyszíni Active Directory) való biztonsági mentést.

  Fontos

  A Windows-eszközökön futó LAPS konfigurálható úgy, hogy az egyik címtártípust vagy a másikat használja, de mindkettőt nem. Azt is vegye figyelembe, hogy a biztonsági mentési könyvtárat az eszközök csatlakoztatási típusának kell támogatnia – ha a címtárat egy helyszíni Active Directoryra állítja be, és az eszköz nincs tartományhoz csatlakoztatva, akkor elfogadja az Intune házirend-beállításait, de az LAPS nem tudja sikeresen használni ezt a konfigurációt.

Eszköz kiadása és platformja

Az eszközök bármelyik Olyan Windows-kiadással rendelkezhetnek, amelyet az Intune támogat, de a Windows LAPS CSP támogatásához az alábbi verziók egyikét kell futtatniuk:

• Windows 10, 22H2-es verzió (19045.2846 vagy újabb) KB5025221
• Windows 10, 21H2-es verzió (19044.2846-os vagy újabb) KB5025221
• Windows 10, 20H2-es verzió (19042.2846 vagy újabb) KB5025221
• Windows 11, 22H2-es verzió (22621.1555 vagy újabb) KB5025239
• Windows 11, 21H2-es verzió (22000.1817-es vagy újabb) KB5025224

GCC Magas szintű támogatás

A Windows LAPS Intune-szabályzata GCC High-környezetekben támogatott.

Szerepköralapú hozzáférés-vezérlés LAPS-hez

A LAPS kezeléséhez a fióknak megfelelő szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel kell rendelkeznie a kívánt feladat elvégzéséhez. A következő feladatok érhetők el a szükséges engedélyekkel:

• LAPS-szabályzat létrehozása és elérése – A LAPS-szabályzatok használatához és megtekintéséhez a fiókjához megfelelő engedélyeket kell hozzárendelni az Intune RBAC-kategóriából a biztonsági alapkonfigurációkhoz. Alapértelmezés szerint ezek a beépített Endpoint Security Manager szerepkör részét képezik. Az egyéni szerepkörök használatához győződjön meg arról, hogy az egyéni szerepkör tartalmazza a Biztonsági alapkonfigurációk kategória jogosultságait .

• Helyi rendszergazdai jelszó rotálása – Ha az Intune felügyeleti központban szeretné megtekinteni vagy elforgatni egy eszköz helyi rendszergazdai fiókjelszóját, a fiókjához a következő Intune-engedélyeket kell hozzárendelni:

  • Felügyelt eszközök: Olvasás
  • Szervezet: Olvasás
  • Távoli feladatok: Helyi rendszergazdai jelszó rotálása

• Helyi rendszergazdai jelszó lekérése – A jelszó részleteinek megtekintéséhez a fiókjának a következő Microsoft Entra-engedélyekkel kell rendelkeznie:

  • microsoft.directory/deviceLocalCredentials/password/read laps metaadatok és jelszavak olvasásához.
  • microsoft.directory/deviceLocalCredentials/standard/read az LAPS metaadatainak olvasásához a jelszavak kivételével.

  Az engedélyek megadására jogosult egyéni szerepkörök létrehozásához lásd: Egyéni szerepkör létrehozása és hozzárendelése a Microsoft Entra-azonosítóban a Microsoft Entra dokumentációjában.

• A Microsoft Entra auditnaplóinak és eseményeinek megtekintése – Az LAPS-szabályzatokkal és a legutóbbi eszközműveletekkel, például a jelszóváltási eseményekkel kapcsolatos részletek megtekintéséhez a fióknak az Intune beépített Írásvédett operátor szerepkörével egyenértékű engedélyekkel kell rendelkeznie.

További információ: Szerepköralapú hozzáférés-vezérlés a Microsoft Intune-hoz.

LAPS-architektúra

A Windows LAPS architektúrával kapcsolatos további információkért tekintse meg a Windows dokumentációjának Windows LAPS architektúráját ismertető szakaszát.

Gyakori kérdések

Használhatom az Intune LAPS-szabályzatot bármely helyi rendszergazdai fiók kezelésére egy eszközön?

Igen, Az Intune LAPS-házirendje az eszközök bármely helyi rendszergazdai fiókjának kezelésére használható. Az LAPS azonban eszközönként csak egy fiókot támogat:

• Ha egy szabályzat nem ad meg fióknevet, az Intune az eszköz aktuális nevétől függetlenül kezeli az alapértelmezett beépített rendszergazdai fiókot.
• Az Eszközhöz rendelt szabályzat módosításával vagy az aktuális szabályzat módosításával módosíthatja az Intune által kezelt fiókot egy másik fiók megadásához.
• Ha két külön szabályzat van hozzárendelve egy másik fiókot meghatározó eszközhöz, ütközés lép fel, amelyet fel kell oldani az eszköz fiókjának kezelése előtt.

Mi a teendő, ha az Intune-nal olyan eszközön helyezek üzembe LAPS-szabályzatot, amely már rendelkezik laps-konfigurációkkal egy másik forrásból?

Az Intune CSP-alapú szabályzata felülbírálja az LAPS-házirend összes többi forrását, például a csoportházirend-objektumokból vagy a régi Microsoft LAPS konfigurációjából. További információ: A támogatott szabályzatgyökerek a Windows LAPS dokumentációjában.

A Windows LAPS létrehozhat helyi rendszergazdai fiókokat a LAPS-szabályzattal konfigurált rendszergazdai fiók neve alapján?

Nem. A Windows LAPS csak az eszközön már létező fiókokat tudja kezelni. Ha egy szabályzat olyan fiókot ad meg név szerint, amely nem létezik az eszközön, a szabályzat érvényes lesz, és nem jelent hibát. A fiókról azonban nem készül biztonsági mentés.

A Windows LAPS elforgatja és biztonsági másolatot készít a Microsoft Entra-ban letiltott eszközök jelszavával?

Nem. A Windows LAPS megköveteli, hogy az eszköz engedélyezett állapotban legyen, mielőtt a jelszóváltási és biztonsági mentési műveletek alkalmazhatók lennének.

Mi történik, ha egy eszközt törölnek a Microsoft Entra-ban?

Amikor töröl egy eszközt a Microsoft Entra-ban, az eszközhöz kötött LAPS-hitelesítő adatok elvesznek, és a Microsoft Entra-azonosítóban tárolt jelszó elveszik. Ha nem rendelkezik egyéni munkafolyamattal a LAPS-jelszavak lekéréséhez és külső tárolásához, a Microsoft Entra ID-ban nincs mód a laps felügyelt jelszó helyreállítására egy törölt eszköz esetében.

Milyen szerepkörök szükségesek a LAPS-jelszavak helyreállításához?

A következő beépített Microsoft Entra-szerepkörök rendelkeznek engedéllyel a LAPS-jelszavak helyreállításához: felhőeszköz-rendszergazda és Intune-rendszergazda.

Milyen szerepkörök szükségesek a LAPS-metaadatok olvasásához?

Az alábbi beépített Microsoft Entra-szerepkörök támogatottak az LAPS metaadatainak megtekintéséhez, beleértve az eszköz nevét, az utolsó jelszó rotálását és a következő jelszóváltást:

• Biztonsági olvasó

A következő szerepköröket is használhatja:

• Felhőeszköz-rendszergazda
• Intune-rendszergazda
• Ügyfélszolgálati rendszergazda
• Biztonsági rendszergazda

Miért szürkén jelennek meg és nem érhetők el a Helyi rendszergazda jelszava gomb?

Jelenleg ehhez a területhez való hozzáféréshez helyi rendszergazdai jelszó rotálása Intune-engedély szükséges. Lásd: Szerepköralapú hozzáférés-vezérlés a Microsoft Intune-hoz.

Mi történik a szabályzat által megadott fiók módosításakor?

Mivel a Windows LAPS egyszerre csak egy helyi rendszergazdai fiókot képes kezelni egy eszközön, az eredeti fiókot már nem kezeli a LAPS-szabályzat. Ha a szabályzat biztonsági másolatot készít az eszközről az adott fiókról, az új fiókról biztonsági másolatot készít, és az előző fiók adatai már nem érhetők el az Intune Felügyeleti központban vagy a fiókadatok tárolásához megadott címtárban.

Következő lépések

• Szabályzat létrehozása LAPS-hez
• LAPS-jelentések megtekintése
• Fiókvédelmi szabályzat a végpontbiztonsághoz az Intune-ban