A Windows LAPS Microsoft Intune támogatása

  • Cikk

Minden Windows rendszerű gép rendelkezik egy beépített helyi rendszergazdai fiókkal, amely nem törölhető, és amely teljes körű engedélyekkel rendelkezik az eszközhöz. A fiók biztonságossá tétele fontos lépés a szervezet biztonságossá tételében. A Windows-eszközök közé tartozik a Windows helyi rendszergazdai jelszómegoldás (LAPS), amely egy beépített megoldás a helyi rendszergazdai fiókok kezeléséhez.

A fiókvédelemhez Microsoft Intune végpontbiztonsági szabályzatokkal kezelheti a LAPS-t az Intune-ban regisztrált eszközökön. Az Intune-szabályzatok a következőket tehetik:

  • A helyi rendszergazdai fiókok jelszókövetelményeinek kényszerítése
  • Helyi rendszergazdai fiók biztonsági mentése az eszközökről az Active Directoryba (AD) vagy Microsoft Entra
  • A fiókjelszavak rotálásának ütemezése a biztonság érdekében.

A felügyelt helyi rendszergazdai fiókok adatait az Intune Rendszergazda központban is megtekintheti, és manuálisan elforgathatja a fiókjelszavakat az ütemezett rotáción kívül.

Az Intune LAPS-szabályzatok használata segít megvédeni a Windows-eszközöket a helyi felhasználói fiókok, például a pass-the-hash vagy az lateral-traversal támadások elleni támadásoktól. A LAPS Intune-nal való kezelése segíthet a távoli ügyfélszolgálati forgatókönyvek biztonságának javításában és az egyébként elérhetetlen eszközök helyreállításában.

Az Intune LAPS-szabályzat a Windows LAPS CSP-ből elérhető beállításokat kezeli. Az Intune CSP-használata felváltja az örökölt Microsoft LAPS vagy más LAPS felügyeleti megoldások használatát, és a CSP elsőbbséget élvez a többi LAPS felügyeleti forrással szemben.

A Windows LAPS Intune-támogatása a következő képességeket tartalmazza:

  • Jelszókövetelmények beállítása – Megadhatja a jelszóra vonatkozó követelményeket, beleértve az eszköz helyi rendszergazdai fiókjának összetettségét és hosszát.
  • Jelszavak rotálása – A házirenddel az eszközök automatikusan, ütemezés szerint elforgathatják a helyi rendszergazdai fiók jelszavát. Az Intune Felügyeleti központban manuálisan is elforgathatja az eszköz jelszavát eszközműveletként.
  • Fiókok és jelszavak biztonsági mentése – Beállíthatja, hogy az eszközök biztonsági másolatot készítsenek a fiókjukról és a jelszavukról a felhőben Microsoft Entra ID vagy a helyi Active Directory. A jelszavak tárolása erős titkosítással történik.
  • Hitelesítés utáni műveletek konfigurálása – Meghatározza azokat a műveleteket, amelyeket az eszköz a helyi rendszergazdai fiók jelszavának lejártakor hajt végre. A műveletek köre a felügyelt fiók alaphelyzetbe állításától az új biztonságos jelszóig, a fiók kijelentkeztetésétől, illetve az eszköz bekapcsolásától kezdve terjedhet. Azt is kezelheti, hogy az eszköz mennyi ideig várjon a jelszó lejárata után, mielőtt végrehajtja ezeket a műveleteket.
  • Fiókadatok megtekintése – A megfelelő szerepköralapú rendszergazdai (RBAC) engedélyekkel rendelkező Intune-rendszergazdák megtekinthetik az eszközök helyi rendszergazdai fiókjával és aktuális jelszavával kapcsolatos információkat. Azt is láthatja, hogy mikor forgotta el utoljára a jelszót (alaphelyzetbe állította), és mikorra ütemezte a következő váltást.
  • Jelentések megtekintése – Az Intune jelentéseket nyújt a jelszórotálásról, beleértve a korábbi manuális és ütemezett jelszórotálás részleteit is.

A Windows LAPS szolgáltatással kapcsolatos további információkért kezdje az alábbi cikkekkel a Windows dokumentációjában:

  • Mi az a Windows LAPS? – A Windows LAPS és a Windows LAPS dokumentációjának bemutatása.
  • Windows LAPS CSP – A LAPS-beállítások és -beállítások teljes részleteinek megtekintése. A LAPS Intune-szabályzata ezekkel a beállításokkal konfigurálja a LAPS CSP-t az eszközökön.

Érintett szolgáltatás:

  • Windows 10 rendszer esetén
  • Windows 11

Előfeltételek

A következő követelmények vonatkoznak az Intune-ra, hogy támogassa a Windows LAPS-t a bérlőjében:

Licencelési követelmények

  • Intune-előfizetés - Microsoft Intune 1. csomag, amely az intune alapszintű előfizetése. A Windows LAPS-t az Intune ingyenes próbaverziós előfizetésével is használhatja.

  • Microsoft Entra IDMicrosoft Entra ID Ingyenes, amely az Intune-ra való előfizetéskor elérhető Microsoft Entra ID ingyenes verziója. Az ingyenes Microsoft Entra ID az LAPS összes funkcióját használhatja.

Active Directory-támogatás

A Windows LAPS Intune-szabályzata konfigurálhatja, hogy az eszközök biztonsági másolatot készíthessenek egy helyi rendszergazdai fiókról és jelszóról az alábbi címtártípusok egyikére:

Megjegyzés:

A munkahelyi csatlakoztatású (WPJ) eszközöket az Intune nem támogatja a LAPS-hez.

  • Felhő – A felhő a következő esetekben támogatja a biztonsági mentést a Microsoft Entra ID:

  • Helyszíni – A helyszíni rendszer támogatja az Windows Server Active Directory (helyi Active Directory) biztonsági mentését.

    Fontos

    A Windows-eszközökön futó LAPS konfigurálható úgy, hogy az egyik címtártípust vagy a másikat használja, de mindkettőt nem. Azt is vegye figyelembe, hogy a biztonsági mentési könyvtárat támogatnia kell az eszközök csatlakoztatási típusának – ha a címtárat egy helyi Active Directory állítja be, és az eszköz nincs tartományhoz csatlakoztatva, akkor az elfogadja az Intune házirend-beállításait, de az LAPS nem tudja sikeresen használni ezt a konfigurációt.

Eszköz kiadása és platformja

Az eszközök bármelyik Olyan Windows-kiadással rendelkezhetnek, amelyet az Intune támogat, de a Windows LAPS CSP támogatásához az alábbi verziók egyikét kell futtatniuk:

  • Windows 10, 22H2-es verzió (19045.2846-os vagy újabb) KB5025221
  • Windows 10, 21H2-es verzió (19044.2846-os vagy újabb) KB5025221
  • Windows 10, 20H2-es verzió (19042.2846-os vagy újabb) KB5025221
  • Windows 11, 22H2-es verzió (22621.1555-ös vagy újabb) KB5025239
  • Windows 11, 21H2-es verzió (22000.1817-es vagy újabb) KB5025224

GCC Magas szintű támogatás

A Windows LAPS Intune-szabályzata GCC High-környezetekben támogatott.

Szerepköralapú hozzáférés-vezérlés LAPS-hez

A LAPS kezeléséhez a fióknak megfelelő szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel kell rendelkeznie a kívánt feladat elvégzéséhez. A következő feladatok érhetők el a szükséges engedélyekkel:

  • LAPS-szabályzat létrehozása és elérése – A LAPS-szabályzatok használatához és megtekintéséhez a fiókjához megfelelő engedélyeket kell hozzárendelni az Intune RBAC-kategóriából a biztonsági alapkonfigurációkhoz. Alapértelmezés szerint ezek a beépített Endpoint Security Manager szerepkör részét képezik. Az egyéni szerepkörök használatához győződjön meg arról, hogy az egyéni szerepkör tartalmazza a Biztonsági alapkonfigurációk kategória jogosultságait .

  • Helyi rendszergazdai jelszó rotálása – Ha az Intune felügyeleti központban szeretné megtekinteni vagy elforgatni egy eszköz helyi rendszergazdai fiókjelszóját, a fiókjához a következő Intune-engedélyeket kell hozzárendelni:

    • Felügyelt eszközök: Olvasás
    • Szervezet: Olvasás
    • Távoli feladatok: Helyi Rendszergazda jelszavának elforgatása

  • Helyi rendszergazdai jelszó lekérése – A jelszó részleteinek megtekintéséhez a fióknak az alábbi Microsoft Entra engedélyek egyikével kell rendelkeznie:

    • microsoft.directory/deviceLocalCredentials/password/read laps metaadatok és jelszavak olvasásához.
    • microsoft.directory/deviceLocalCredentials/standard/read az LAPS metaadatainak olvasásához a jelszavak kivételével.

    Az engedélyek megadására jogosult egyéni szerepkörök létrehozásához lásd: Egyéni szerepkör létrehozása és hozzárendelése Microsoft Entra ID a Microsoft Entra dokumentációjában.

  • Microsoft Entra auditnaplók és események megtekintése – Az LAPS-szabályzatokkal és a legutóbbi eszközműveletekkel, például a jelszóváltási eseményekkel kapcsolatos részletek megtekintéséhez a fióknak az Intune beépített Írásvédett operátor szerepkörével egyenértékű engedélyekkel kell rendelkeznie.

További információ: Szerepköralapú hozzáférés-vezérlés Microsoft Intune.

LAPS-architektúra

A Windows LAPS architektúrával kapcsolatos további információkért tekintse meg a Windows dokumentációjának Windows LAPS architektúráját ismertető szakaszát.

Gyakori kérdések

Használhatom az Intune LAPS-szabályzatot bármely helyi rendszergazdai fiók kezelésére egy eszközön?

Igen, Az Intune LAPS-házirendje az eszközök bármely helyi rendszergazdai fiókjának kezelésére használható. Az LAPS azonban eszközönként csak egy fiókot támogat:

  • Ha egy szabályzat nem ad meg fióknevet, az Intune az eszköz aktuális nevétől függetlenül kezeli az alapértelmezett beépített rendszergazdai fiókot.
  • Az Eszközhöz rendelt szabályzat módosításával vagy az aktuális szabályzat módosításával módosíthatja az Intune által kezelt fiókot egy másik fiók megadásához.
  • Ha két külön szabályzat van hozzárendelve egy másik fiókot meghatározó eszközhöz, ütközés lép fel, amelyet fel kell oldani az eszköz fiókjának kezelése előtt.

Mi a teendő, ha az Intune-nal olyan eszközön helyezek üzembe LAPS-szabályzatot, amely már rendelkezik laps-konfigurációkkal egy másik forrásból?

Az Intune CSP-alapú szabályzata felülbírálja az LAPS-házirend összes többi forrását, például a csoportházirend-objektumokból vagy a régi Microsoft LAPS konfigurációjából. További információ: A támogatott szabályzatgyökerek a Windows LAPS dokumentációjában.

A Windows LAPS létrehozhat helyi rendszergazdai fiókokat a LAPS-szabályzattal konfigurált rendszergazdai fiók neve alapján?

Nem. A Windows LAPS csak az eszközön már létező fiókokat tudja kezelni. Ha egy szabályzat olyan fiókot ad meg név szerint, amely nem létezik az eszközön, a szabályzat érvényes lesz, és nem jelent hibát. A fiókról azonban nem készül biztonsági mentés.

A Windows LAPS elforgatja és biztonsági másolatot készít egy Microsoft Entra letiltott eszköz jelszavával?

Nem. A Windows LAPS megköveteli, hogy az eszköz engedélyezett állapotban legyen, mielőtt a jelszóváltási és biztonsági mentési műveletek alkalmazhatók lennének.

Mi történik, ha egy eszközt törölnek a Microsoft Entra?

Amikor töröl egy eszközt Microsoft Entra, az eszközhöz kapcsolódó LAPS-hitelesítő adatok elvesznek, és a Microsoft Entra ID tárolt jelszó elveszik. Hacsak nincs egyéni munkafolyamata a LAPS-jelszavak lekéréséhez és külső tárolásához, a Microsoft Entra ID nem tudja helyreállítani a LAPS által kezelt jelszót egy törölt eszközhöz.

Milyen szerepkörök szükségesek a LAPS-jelszavak helyreállításához?

A következő beépített szerepkörök Microsoft Entra szerepkörök rendelkeznek engedéllyel a LAPS-jelszavak helyreállításához: globális Rendszergazda, felhőalapú eszköz Rendszergazda és Intune Service-Rendszergazda.

Milyen szerepkörök szükségesek a LAPS-metaadatok olvasásához?

Az alábbi beépített szerepkörök támogatják az LAPS metaadatainak megtekintését, beleértve az eszköz nevét, az utolsó jelszó rotálását és a következő jelszórotálást: globális Rendszergazda, felhőalapú eszköz Rendszergazda, Intune Service Rendszergazda, segélyszolgálati Rendszergazda, biztonsági olvasó, biztonsági Rendszergazda és globális olvasó.

Miért szürkén jelennek meg és nem érhetők el a Helyi rendszergazda jelszava gomb?

Jelenleg ehhez a területhez való hozzáféréshez helyi rendszergazdai jelszó rotálása Intune-engedély szükséges. Lásd: Szerepköralapú hozzáférés-vezérlés Microsoft Intune.

Mi történik a szabályzat által megadott fiók módosításakor?

Mivel a Windows LAPS egyszerre csak egy helyi rendszergazdai fiókot képes kezelni egy eszközön, az eredeti fiókot már nem kezeli a LAPS-szabályzat. Ha a szabályzat biztonsági másolatot készít az eszközről az adott fiókról, az új fiókról biztonsági másolatot készít, és az előző fiók adatai már nem érhetők el az Intune Felügyeleti központban vagy a fiókadatok tárolásához megadott címtárban.

Következő lépések