Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Minden Windows-eszköz rendelkezik egy beépített helyi rendszergazdai fiókkal, amelyet biztosítania és védenie kell a Pass-the-Hash (PtH) és a laterális mozgásos támadások mérséklése érdekében. Számos ügyfél használja a helyi rendszergazdai jelszókezelési (LAPS) termékünket a tartományhoz csatlakoztatott Windows-gépek helyi rendszergazdai jelszókezeléséhez. A Windows LAPS Microsoft Entra-támogatásával konzisztens felületet biztosítunk mind a Microsoft Entra- és a Microsoft Entra hibrid csatlakoztatott eszközökhöz.
Az LAPS Microsoft Entra-támogatása a következő képességeket tartalmazza:
- A Windows LAPS engedélyezése a Microsoft Entra-azonosítóval – Bérlőszintű házirend és ügyféloldali szabályzat engedélyezése a helyi rendszergazdai jelszó Microsoft Entra-azonosítóba való biztonsági mentéséhez.
- Helyi rendszergazdai jelszókezelés – Ügyféloldali házirendek konfigurálása a fióknév, a jelszó életkora, hossza, összetettsége, manuális jelszó-visszaállítás stb. beállításához.
- Helyi rendszergazdai jelszó helyreállítása – API-/Portál-felület használata a helyi rendszergazdai jelszó-helyreállításhoz.
- Az összes Windows LAPS-kompatibilis eszköz számbavétele – AZ API/Portal-felületek használatával számba veheti az összes Windows-eszközt a Windows LAPS-sel engedélyezett Microsoft Entra ID-ban.
- Helyi rendszergazdai jelszó-helyreállítás engedélyezése – Szerepköralapú hozzáférés-vezérlési (RBAC) szabályzatok használata egyéni szerepkörökkel és felügyeleti egységekkel.
- A helyi rendszergazda jelszófrissítésének és helyreállításának naplózása – A naplók API/Portál felületének használatával monitorozza a jelszófrissítési és helyreállítási eseményeket.
- Feltételes hozzáférési szabályzatok a helyi rendszergazdai jelszó-helyreállításhoz – Feltételes hozzáférési szabályzatok konfigurálása olyan címtárszerepkörökben, amelyek rendelkeznek a jelszó-helyreállítás engedélyezésével.
Megjegyzés
A Microsoft Entra-azonosítóval rendelkező Windows LAPS nem támogatott a Microsoft Entra által regisztrált Windows-eszközök esetében.
A helyi rendszergazdai jelszómegoldás nem támogatott nem Windows-platformokon.
A Windows LAPS részletesebb megismeréséhez kezdje a Windows dokumentációjának alábbi cikkeivel:
- Mi az a Windows LAPS? – A Windows LAPS és a Windows LAPS dokumentációs készletének bemutatása.
- Windows LAPS CSP – A LAPS beállításainak és lehetőségeinek részletes ismertetése. A LAPS Intune-szabályzata ezekkel a beállításokkal konfigurálja a LAPS CSP-t az eszközökön.
- A Microsoft Intune támogatása a Windows LAPS-hez
- Windows LAPS-architektúra
Követelmények
Támogatott Azure-régiók és Windows-disztribúciók
Ez a funkció a következő Azure-felhőkben érhető el:
- Azure Global
- Azure Government (Kormányzati felhőszolgáltatás)
- A 21Vianet által üzemeltetett Microsoft Azure
Operációsrendszer-frissítések
Ez a funkció a következő Windows operációsrendszer-platformokon érhető el a megadott frissítéssel vagy újabb telepítéssel:
- Windows 11 22H2 – 2023. április 11-i frissítés
- Windows 11 21H2 – 2023. április 11-i frissítés
- Windows 10 20H2, 21H2 és 22H2 – 2023. április 11-i frissítés
- Windows Server 2022 – 2023. április 11-i frissítés
- Windows Server 2019 – 11 2023 11, 2023 11 2023 frissítés
Illesztéstípusok
A LAPS csak a Microsoft Entra-hoz csatlakoztatott vagy a Microsoft Entra hibrid csatlakoztatott eszközökön támogatott. A Microsoft Entra regisztrált eszközök nem támogatottak.
Licenckövetelmények
A LAPS minden olyan ügyfél számára elérhető, aki Microsoft Entra ID Free vagy magasabb szintű licenccel rendelkezik. Más kapcsolódó funkciók, például a felügyeleti egységek, az egyéni szerepkörök, a feltételes hozzáférés és az Intune más licencelési követelményekkel rendelkeznek.
Szükséges szerepkörök vagy engedélyek
A beépített Microsoft Entra szerepkörökön, mint amilyen a Felhő Eszköz Rendszergazda és az Intune rendszergazda - melyeknek biztosított device.LocalCredentials.Read.All - kívül a Microsoft Entra egyéni szerepköreit vagy felügyeleti egységeit is használhatja a helyi rendszergazdai jelszó-helyreállítás engedélyezésére. Példa:
Az egyéni szerepköröket a microsoft.directory/deviceLocalCredentials/password/read engedéllyel kell hozzárendelni a helyi rendszergazdai jelszó-helyreállítás engedélyezéséhez. Egyéni szerepköröket
hozhat létre, és engedélyeket adhat meg a Microsoft Entra Felügyeleti központ , a Microsoft Graph API vagy a PowerShell használatával. Miután létrehozott egy egyéni szerepkört, hozzárendelheti a felhasználókhoz.Létrehozhat egy Microsoft Entra-azonosító felügyeleti egységet, eszközöket vehet fel, és hozzárendelheti a felhőeszköz-rendszergazdai szerepkört a felügyeleti egységhez a helyi rendszergazdai jelszó-helyreállítás engedélyezéséhez.
A Windows LAPS engedélyezése a Microsoft Entra ID-vel
A Windows LAPS Microsoft Entra-azonosítóval való engedélyezéséhez műveleteket kell végrehajtania a Microsoft Entra-azonosítóban és a kezelni kívánt eszközökben. Javasoljuk, hogy a szervezetek a Microsoft Intune használatával kezeljék a Windows LAPS-t. Ha az eszközei csatlakoznak a Microsoft Entra-hoz, de nem használják vagy nem támogatják a Microsoft Intune-t, manuálisan is üzembe helyezheti a Windows LAPS-t a Microsoft Entra-azonosítóhoz. További információt a Windows LAPS-házirend beállításainak konfigurálása című cikkben talál.
Jelentkezzen be a Microsoft Entra felügyeleti központba legalább felhőeszköz-rendszergazdaként.
Tallózás az Entra ID>Áttekintés> között
Válassza az Igen lehetőséget a Helyi rendszergazdai jelszómegoldás (LAPS) beállításhoz, majd válassza a Mentés lehetőséget. A feladat elvégzéséhez használhatja a Microsoft Graph API Update deviceRegistrationPolicy eszközt is.
Konfiguráljon egy ügyféloldali szabályzatot, és állítsa a BackUpDirectoryt Microsoft Entra-azonosítóra.
- Ha a Microsoft Intune-t használja az ügyféloldali szabályzatok kezeléséhez, olvassa el a Windows LAPS kezelése a Microsoft Intune-lal című témakört.
- Ha Csoportházirend-objektumokat (GPO-kat) használ az ügyféloldali szabályzatok kezeléséhez, tekintse meg a Windows LAPS csoportházirend házirendjét
Helyi rendszergazdai jelszó és jelszó metaadatainak helyreállítása
A Microsoft Entra-azonosítóhoz csatlakoztatott Windows-eszközök helyi rendszergazdai jelszavának megtekintéséhez meg kell adni a microsoft.directory/deviceLocalCredentials/password/read műveletet.
A Microsoft Entra-azonosítóhoz csatlakoztatott Windows-eszközök helyi rendszergazdai jelszó metaadatainak megtekintéséhez meg kell adnia a microsoft.directory/deviceLocalCredentials/standard/read műveletet.
Alapértelmezés szerint a következő beépített szerepkörök kapják meg ezeket a műveleteket:
| Beépített szerepkör | microsoft.directory/eszközHelyiHitelesítőAdatok/standard/olvasás és microsoft.directory/eszközHelyiHitelesítőAdatok/jelszó/olvasás | Microsoft.directory/eszközHelyiHitelesítőAdatok/standard/olvasás |
|---|---|---|
| Felhőeszköz-rendszergazda | Igen | Igen |
| Intune szolgáltatásadminisztrátor | Igen | Igen |
| Ügyfélszolgálati rendszergazda | Nem | Igen |
| Biztonsági rendszergazda | Nem | Igen |
| Biztonsági olvasó | Nem | Igen |
A listában nem szereplő szerepkörök egyik műveletet sem kapnak.
A Microsoft Graph API Get deviceLocalCredentialInfo használatával is helyreállíthatja a helyi rendszergazdai jelszót. Ha a Microsoft Graph API-t használja, a visszaadott jelszó Base64 kódolású értékben van, amelyet a használat előtt dekódolnia kell.
Az összes Windows LAPS-kompatibilis eszköz listázása
Az összes Windows LAPS-kompatibilis eszköz listázásához keresse meg az Entra>>áttekintése>helyi rendszergazdai jelszó-helyreállítást, vagy használja a Microsoft Graph API-t.
Helyi rendszergazdai jelszófrissítés és -helyreállítás naplózása
A naplózási események megtekintéséhez tallózhat az Entra ID>Eszközök>Áttekintés>Ellenőrzési naplók menüponthoz, majd a tevékenység szűrőt használva keresse meg az Eszköz helyi rendszergazdai jelszavának frissítése vagy Eszköz helyi rendszergazdai jelszavának helyreállítása műveleteket.
Feltételes hozzáférési szabályzatok helyi rendszergazdai jelszó-helyreállításhoz
A feltételes hozzáférési szabályzatok hatóköre a beépített szerepkörökre terjedhet ki a helyi rendszergazdai jelszavak helyreállításához való hozzáférés védelme érdekében. Egy többtényezős hitelesítést igénylő házirendre a Common Conditional Access policy: Require MFA for administrators (Általános feltételes hozzáférési szabályzat: MFA megkövetelése rendszergazdáknak) című cikkben talál példát.
Megjegyzés
Más szerepkörtípusok, például a felügyeleti egységek hatókörébe tartozó szerepkörök és egyéni szerepkörök nem támogatottak
Gyakori kérdések
Támogatott a Windows LAPS a Microsoft Entra menedzsment konfigurációval csoportházirend-objektumok (GPO-k) használatával?
Igen, csak a Microsoft Entra hibrid csatlakoztatott eszközök esetében. Lásd a Windows LAPS csoportházirendet.
Támogatott a Microsoft Entra felügyeleti konfigurációval rendelkező Windows LAPS az MDM használatával?
Igen, a Microsoft Entra esetén csatlakozzon/a Microsoft Entra hibrid csatlakoztatási (közösen felügyelt) eszközeihez. Az ügyfelek használhatják a Microsoft Intune-t vagy bármely más külső mobileszköz-kezelést (MDM- et).
Mi történik, ha egy eszköz törölve van a Microsoft Entra-azonosítóban?
Amikor töröl egy eszközt a Microsoft Entra ID-ban, az eszközhöz kapcsolódó LAPS-hitelesítő adatok elvesznek, és a Microsoft Entra-azonosítóban tárolt jelszó elveszik. Ha nem rendelkezik egyéni munkafolyamattal a LAPS-jelszavak lekéréséhez és külső tárolásához, a Microsoft Entra-azonosítóban nincs olyan módszer, a törlendő eszköz LAPS által kezelt jelszavának helyreállítására.
Milyen szerepkörök szükségesek a LAPS-jelszavak helyreállításához?
A microsoft Entra-szerepkörök a következő beépített szerepkörökben rendelkeznek engedéllyel a LAPS-jelszavak helyreállítására: felhőeszköz-rendszergazda és Intune-rendszergazda.
Milyen szerepkörök szükségesek a LAPS-metaadatok olvasásához?
Az alábbi beépített szerepkörök támogatják a LAPS metaadatainak megtekintését, beleértve az eszköz nevét, az utolsó jelszó elforgatását és a következő jelszóváltást: felhőeszköz-rendszergazda, Intune-rendszergazda, ügyfélszolgálati rendszergazda, biztonsági olvasó és biztonsági rendszergazda.
Az egyéni szerepkörök támogatottak?
Igen. Ha P1 vagy P2 Microsoft Entra-azonosítóval rendelkezik, létrehozhat egy egyéni szerepkört az alábbi RBAC-engedélyekkel:
- LAPS-metaadatok olvasása: microsoft.directory/deviceLocalCredentials/standard/read
- LAPS-jelszavak olvasása: microsoft.directory/deviceLocalCredentials/password/read
Mi történik a szabályzat által megadott helyi rendszergazdai fiók módosításakor?
Mivel a Windows LAPS egyszerre csak egy helyi rendszergazdai fiókot képes kezelni egy eszközön, az eredeti fiókot már nem kezeli a LAPS-szabályzat. Ha a szabályzat szerint az eszközről biztonsági másolatot kell készíteni a fiókra, akkor az új fiókról készül biztonsági másolat, és az előző fiók adatai már nem érhetők el sem az Intune felügyeleti központban, sem a fiókadatok tárolására megadott címtárban.