Helyi Windows-rendszergazdai jelszómegoldás a Microsoft Entra-azonosítóban
Minden Windows-eszköz rendelkezik egy beépített helyi rendszergazdai fiókkal, amelyet védenie és védenie kell a Pass-the-Hash (PtH) és az oldalirányú bejárási támadások mérséklése érdekében. Számos ügyfél használja a helyi rendszergazdai jelszókezelési (LAPS) termékünket a tartományhoz csatlakoztatott Windows-gépek helyi rendszergazdai jelszókezeléséhez. A Windows LAPS Microsoft Entra-támogatásával konzisztens felületet biztosítunk mind a Microsoft Entra- és a Microsoft Entra hibrid csatlakoztatott eszközökhöz.
Az LAPS Microsoft Entra-támogatása a következő képességeket tartalmazza:
- A Windows LAPS engedélyezése a Microsoft Entra-azonosítóval – Bérlőszintű házirend és ügyféloldali szabályzat engedélyezése a helyi rendszergazdai jelszó Microsoft Entra-azonosítóba való biztonsági mentéséhez.
- Helyi rendszergazdai jelszókezelés – Ügyféloldali házirendek konfigurálása a fióknév, a jelszó életkora, hossza, összetettsége, manuális jelszó-visszaállítás stb. beállításához.
- Helyi rendszergazdai jelszó helyreállítása – API-/Portál-felület használata a helyi rendszergazdai jelszó-helyreállításhoz.
- Az összes Windows LAPS-kompatibilis eszköz számbavétele – AZ API/Portal-felületek használatával számba veheti az összes Windows-eszközt a Windows LAPS-sel engedélyezett Microsoft Entra ID-ban.
- Helyi rendszergazdai jelszó-helyreállítás engedélyezése – Szerepköralapú hozzáférés-vezérlési (RBAC) szabályzatok használata egyéni szerepkörökkel és felügyeleti egységekkel.
- A helyi rendszergazda jelszófrissítésének és helyreállításának naplózása – A naplók API/Portál felületének használatával monitorozza a jelszófrissítési és helyreállítási eseményeket.
- Feltételes hozzáférési szabályzatok a helyi rendszergazdai jelszó-helyreállításhoz – Feltételes hozzáférési szabályzatok konfigurálása olyan címtárszerepkörökben, amelyek rendelkeznek a jelszó-helyreállítás engedélyezésével.
Feljegyzés
A Microsoft Entra-azonosítóval rendelkező Windows LAPS nem támogatott a Microsoft Entra által regisztrált Windows-eszközök esetében.
A helyi rendszergazdai jelszómegoldás nem támogatott nem Windows-platformokon.
A Windows LAPS részletesebb megismeréséhez kezdje a Windows dokumentációjának alábbi cikkeivel:
- Mi az a Windows LAPS? – A Windows LAPS és a Windows LAPS dokumentációs készletének bemutatása.
- Windows LAPS CSP – A LAPS beállításainak és beállításainak részletes ismertetése. A LAPS Intune-szabályzata ezekkel a beállításokkal konfigurálja a LAPS CSP-t az eszközökön.
- A Microsoft Intune támogatása a Windows LAPS-hez
- Windows LAPS-architektúra
Követelmények
Támogatott Azure-régiók és Windows-disztribúciók
Ez a funkció a következő Azure-felhőkben érhető el:
- Azure Global
- Azure Government
- A 21Vianet által üzemeltetett Microsoft Azure
Operációsrendszer-frissítések
Ez a funkció a következő Windows operációsrendszer-platformokon érhető el a megadott frissítéssel vagy újabb telepítéssel:
- Windows 11 22H2 – 2023. április 11-i frissítés
- Windows 11 21H2 – 2023. április 11-i frissítés
- Windows 10 20H2, 21H2 és 22H2 – 2023. április 11-i frissítés
- Windows Server 2022 – 2023. április 11-i frissítés
- Windows Server 2019 – 11 2023 11, 2023 11 2023 frissítés
Illesztéstípusok
A LAPS csak a Microsoft Entra-hoz csatlakoztatott vagy a Microsoft Entra hibrid csatlakoztatott eszközökön támogatott. A Microsoft Entra regisztrált eszközök nem támogatottak.
Licenckövetelmények
A LAPS minden olyan ügyfél számára elérhető, aki ingyenes vagy magasabb Szintű Microsoft Entra-azonosítóval rendelkezik. Más kapcsolódó funkciók, például a felügyeleti egységek, az egyéni szerepkörök, a feltételes hozzáférés és az Intune más licencelési követelményekkel rendelkeznek.
Szükséges szerepkörök vagy engedélyek
A Microsoft Entra beépített szerepkörei, például a felhőeszköz-rendszergazda és az eszközhöz kapott Intune-rendszergazda kivételével. LocalCredentials.Read.All, a Microsoft Entra egyéni szerepköreivel vagy felügyeleti egységeivel engedélyezheti a helyi rendszergazdai jelszó-helyreállítást. Példa:
Az egyéni szerepköröket a microsoft.directory/deviceLocalCredentials/password/read engedéllyel kell hozzárendelni a helyi rendszergazdai jelszó-helyreállítás engedélyezéséhez. Létrehozhat egy egyéni szerepkört, és engedélyeket adhat meg a Microsoft Entra felügyeleti központ, a Microsoft Graph API vagy a PowerShell használatával. Miután létrehozott egy egyéni szerepkört, hozzárendelheti a felhasználókhoz.
Létrehozhat egy Microsoft Entra-azonosító felügyeleti egységet, eszközöket vehet fel, és hozzárendelheti a felhőeszköz-rendszergazdai szerepkört a felügyeleti egységhez a helyi rendszergazdai jelszó-helyreállítás engedélyezéséhez.
A Windows LAPS engedélyezése a Microsoft Entra-azonosítóval
A Windows LAPS Microsoft Entra-azonosítóval való engedélyezéséhez műveleteket kell végrehajtania a Microsoft Entra-azonosítóban és a kezelni kívánt eszközökben. Javasoljuk, hogy a szervezetek a Microsoft Intune használatával kezeljék a Windows LAPS-t. Ha az eszközei csatlakoznak a Microsoft Entra-hoz, de nem használják vagy nem támogatják a Microsoft Intune-t, manuálisan is üzembe helyezheti a Windows LAPS-t a Microsoft Entra-azonosítóhoz. További információt a Windows LAPS-házirend beállításainak konfigurálása című cikkben talál.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőeszköz-rendszergazdaként.
Az Identitáseszközök>>áttekintése>eszközbeállítások tallózása
Válassza az Igen lehetőséget a Helyi rendszergazdai jelszómegoldás (LAPS) beállításhoz, majd válassza a Mentés lehetőséget. A feladat elvégzéséhez használhatja a Microsoft Graph API Update deviceRegistrationPolicy eszközt is.
Konfiguráljon egy ügyféloldali szabályzatot, és állítsa a BackUpDirectoryt Microsoft Entra-azonosítóra.
- Ha a Microsoft Intune-t használja az ügyféloldali szabályzatok kezeléséhez, olvassa el a Windows LAPS kezelése a Microsoft Intune-lal című témakört .
- Ha csoportházirend-objektumokat (csoportházirend-objektumokat) használ az ügyféloldali szabályzatok kezeléséhez, tekintse meg a Windows LAPS csoportházirendet
Helyi rendszergazdai jelszó és jelszó metaadatainak helyreállítása
A Microsoft Entra-azonosítóhoz csatlakoztatott Windows-eszközök helyi rendszergazdai jelszavának megtekintéséhez meg kell adni a microsoft.directory/deviceLocalCredentials/password/read műveletet.
A Microsoft Entra-azonosítóhoz csatlakoztatott Windows-eszközök helyi rendszergazdai jelszó metaadatainak megtekintéséhez meg kell adnia a microsoft.directory/deviceLocalCredentials/standard/read műveletet.
Alapértelmezés szerint a következő beépített szerepkörök kapják meg ezeket a műveleteket:
| Beépített szerepkör | microsoft.directory/deviceLocalCredentials/standard/read and microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Felhőeszköz-rendszergazda | Igen | Igen |
| Intune szolgáltatásadminisztrátor | Igen | Igen |
| Ügyfélszolgálati rendszergazda | Nem | Igen |
| Biztonsági rendszergazda | Nem | Igen |
| Biztonsági olvasó | Nem | Igen |
A listában nem szereplő szerepkörök egyik műveletet sem kapnak.
A Microsoft Graph API Get deviceLocalCredentialInfo használatával is helyreállíthatja a helyi rendszergazdai jelszót. Ha a Microsoft Graph API-t használja, a visszaadott jelszó Base64 kódolású értékben van, amelyet a használat előtt dekódolnia kell.
Az összes Windows LAPS-kompatibilis eszköz listázása
Az összes Windows LAPS-kompatibilis eszköz listázásához keresse meg az Identitáseszközök>>áttekintése>helyi rendszergazdai jelszó-helyreállítást, vagy használja a Microsoft Graph API-t.
Helyi rendszergazdai jelszófrissítés és -helyreállítás naplózása
A naplózási események megtekintéséhez tallózhat az Identitáseszközök>>áttekintési>naplói között, majd a Tevékenység szűrővel megkeresheti az eszköz helyi rendszergazdai jelszavának frissítését vagy az eszköz helyi rendszergazdai jelszavának helyreállítását a naplózási események megtekintéséhez.
Feltételes hozzáférési szabályzatok helyi rendszergazdai jelszó-helyreállításhoz
A feltételes hozzáférési szabályzatok hatóköre a beépített szerepkörökre terjedhet ki a helyi rendszergazdai jelszavak helyreállításához való hozzáférés védelme érdekében. Egy többtényezős hitelesítést igénylő házirendre a Common Conditional Access policy: Require MFA for administrators (Általános feltételes hozzáférési szabályzat: MFA megkövetelése rendszergazdáknak) című cikkben talál példát.
Feljegyzés
Más szerepkörtípusok, például a felügyeleti egységek hatókörébe tartozó szerepkörök és egyéni szerepkörök nem támogatottak
Gyakori kérdések
Támogatott a Microsoft Entra felügyeleti konfigurációval rendelkező Windows LAPS csoportházirend-objektumok (CSOPORTHÁZIREND-k) használatával?
Igen, csak a Microsoft Entra hibrid csatlakoztatott eszközök esetében. Lásd: Windows LAPS csoportházirend.
Támogatott a Microsoft Entra felügyeleti konfigurációval rendelkező Windows LAPS az MDM használatával?
Igen, a Microsoft Entra esetén csatlakozzon/a Microsoft Entra hibrid csatlakoztatási (közösen felügyelt) eszközeihez. Az ügyfelek használhatják a Microsoft Intune-t vagy bármely más külső mobileszköz-kezelést (MDM- et).
Mi történik, ha egy eszköz törölve van a Microsoft Entra-azonosítóban?
Amikor töröl egy eszközt a Microsoft Entra ID-ban, az eszközhöz kapcsolódó LAPS-hitelesítő adatok elvesznek, és a Microsoft Entra-azonosítóban tárolt jelszó elveszik. Ha nem rendelkezik egyéni munkafolyamattal a LAPS-jelszavak lekéréséhez és külső tárolásához, a Microsoft Entra-azonosítóban nincs olyan módszer, a törlendő eszköz LAPS által kezelt jelszavának helyreállítására.
Milyen szerepkörök szükségesek a LAPS-jelszavak helyreállításához?
A microsoft Entra-szerepkörök a következő beépített szerepkörökben rendelkeznek engedéllyel a LAPS-jelszavak helyreállítására: felhőeszköz-rendszergazda és Intune-rendszergazda.
Milyen szerepkörök szükségesek a LAPS-metaadatok olvasásához?
Az alábbi beépített szerepkörök támogatják a LAPS metaadatainak megtekintését, beleértve az eszköz nevét, az utolsó jelszó elforgatását és a következő jelszóváltást: felhőeszköz-rendszergazda, Intune-rendszergazda, ügyfélszolgálati rendszergazda, biztonsági olvasó és biztonsági rendszergazda.
Támogatottak az egyéni szerepkörök?
Igen. Ha P1 vagy P2 Microsoft Entra-azonosítóval rendelkezik, létrehozhat egy egyéni szerepkört az alábbi RBAC-engedélyekkel:
- LAPS-metaadatok olvasása: microsoft.directory/deviceLocalCredentials/standard/read
- LAPS-jelszavak olvasása: microsoft.directory/deviceLocalCredentials/password/read
Mi történik a szabályzat által megadott helyi rendszergazdai fiók módosításakor?
Mivel a Windows LAPS egyszerre csak egy helyi rendszergazdai fiókot képes kezelni egy eszközön, az eredeti fiókot már nem kezeli a LAPS-szabályzat. Ha a szabályzat biztonsági másolatot készít az eszközről a fiókról, az új fiókról biztonsági másolatot készít, és az előző fiók adatai már nem érhetők el az Intune felügyeleti központban vagy a fiókadatok tárolására megadott címtárból.