Windows LAPS-szabályzat kezelése Microsoft Intune
Ha készen áll a windowsos helyi rendszergazdai jelszómegoldás (Windows LAPS) kezelésére a Microsoft Intune által kezelt Windows-eszközökön, a jelen cikkben található információk segíthetnek az Intune felügyeleti központjának használatához:
- Intune LAPS-szabályzat létrehozása és eszközökhöz rendelése.
- Az eszköz helyi rendszergazdai fiókjának adatainak megtekintése.
- Manuálisan forgassa el a felügyelt fiók jelszavát.
- Jelentések használata LAPS-szabályzathoz.
A szabályzatok létrehozása előtt ismerkedjen meg a Windows LAPS Microsoft Intune támogatásával kapcsolatos információkkal, beleértve a következőket:
- Az Intune Windows LAPS-szabályzatának és képességeinek áttekintése.
- Az Intune-szabályzatok LAPS-hez való használatának előfeltételei.
- A fiók szerepköralapú rendszergazdai (RBAC) engedélyeinek a LAPS-szabályzat kezeléséhez kell tartoznia.
- Gyakori kérdések, amelyek betekintést nyújtanak az Intune LAPS-szabályzat konfigurálásához és használatához.
Érintett szolgáltatás:
- Windows 10 rendszer esetén
- Windows 11
Az Intune LAPS-szabályzat ismertetése
Az Intune támogatja a Windows LAPS konfigurálását az eszközökön a Helyi rendszergazdai jelszómegoldás (Windows LAPS) profilon keresztül, amely a fiókvédelem végpontbiztonsági szabályzatain keresztül érhető el.
Az Intune-szabályzatok a Windows LAPS konfigurációs szolgáltató (CSP) használatával kezelik a LAPS-t. A Windows LAPS CSP-konfigurációk elsőbbséget élveznek , és felülírják a más LAPS-forrásokból származó meglévő konfigurációkat, például a GPO-kat vagy az örökölt Microsoft LAPS eszközt.
A Windows LAPS lehetővé teszi egyetlen helyi rendszergazdai fiók felügyeletét eszközönként. Az Intune-szabályzat a Rendszergazdai fiók neve házirendbeállítással megadhatja, hogy melyik helyi rendszergazdai fiókra vonatkozik. Ha a szabályzatban megadott fióknév nincs jelen az eszközön, a rendszer nem felügyeli a fiókot. Ha azonban a rendszergazdai fiók neve üres, a szabályzat alapértelmezés szerint az eszközök beépített helyi rendszergazdai fiókjára vonatkozik, amelyet az ismert relatív azonosító (RID) azonosít.
Megjegyzés:
A szabályzatok létrehozása előtt győződjön meg arról, hogy az Intune támogatja a Windows LAPS-t a bérlőben.
Az Intune LAPS-szabályzatai nem hoznak létre új fiókokat vagy jelszavakat. Ehelyett egy olyan fiókot kezelnek, amely már megtalálható az eszközön.
Gondosan konfigurálja és rendelje hozzá a LAPS-szabályzatokat. A Windows LAPS CSP egyetlen konfigurációt támogat az eszköz minden LAPS-beállításához. Azok az eszközök, amelyek több Intune-szabályzatot kapnak, amelyek ütköző beállításokat tartalmaznak, nem tudják feldolgozni a szabályzatot. Az ütközések megakadályozhatják a felügyelt helyi rendszergazdai fiók és jelszó biztonsági mentését a bérlői címtárba.
A lehetséges ütközések csökkentése érdekében javasoljuk, hogy minden eszközhöz eszközcsoportokon, és ne felhasználói csoportokon keresztül rendeljen hozzá egyetlen LAPS-szabályzatot. Bár a LAPS-szabályzat támogatja a felhasználói csoportok hozzárendelését, a LAPS-konfigurációk módosításának ciklusát eredményezhetik minden alkalommal, amikor egy másik felhasználó jelentkezik be egy eszközre. A gyakran változó szabályzatok ütközéseket okozhatnak, az eszközök nem felelnek meg a követelményeknek, és zavart okozhatnak azzal kapcsolatban, hogy jelenleg melyik helyi rendszergazdai fiókot kezelik egy eszközről.
LAPS-szabályzat létrehozása
Fontos
Győződjön meg arról, hogy engedélyezte a LAPS-t a Microsoft Entra-ben, az Enableing Windows LAPS with Microsoft Entra ID (Windows LAPS engedélyezése Microsoft Entra id azonosítóval) című dokumentációban leírtak szerint.
A LAPS-szabályzat létrehozásához vagy kezeléséhez a fióknak rendelkeznie kell a Biztonsági alapkonfiguráció kategóriából származó megfelelő jogosultságokkal. Alapértelmezés szerint ezek az engedélyek a beépített Endpoint Security Manager szerepkör részét képezik. Az egyéni szerepkörök használatához győződjön meg arról, hogy az egyéni szerepkör tartalmazza a Biztonsági alapkonfigurációk kategória jogosultságait . Lásd: Laps szerepköralapú hozzáférés-vezérlése.
Mielőtt létrehoz egy szabályzatot, a Windows LAPS CSP dokumentációjában áttekintheti az elérhető beállítások részleteit.
Jelentkezzen be a Microsoft Intune Felügyeleti központba, lépjen a Végpontbiztonsági>fiókvédelem elemre, majd válassza a Szabályzat létrehozása lehetőséget.
Állítsa a Platform beállítást Windows 10 vagy újabb verzióra, a Profilbeállítást a Helyi rendszergazdai jelszómegoldás (Windows LAPS) értékre, majd válassza a Létrehozás lehetőséget.
Az Alapok területen adja meg a következő tulajdonságokat:
- Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
- Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.
A Konfigurációs beállítások területen konfigurálja a Biztonsági mentési címtár beállítását a helyi rendszergazdai fiók biztonsági mentéséhez használandó címtár típusának meghatározásához. Dönthet úgy is, hogy nem készít biztonsági másolatot a fiókról és a jelszóról. A címtár típusa azt is meghatározza, hogy mely további beállítások érhetők el ebben a szabályzatban.
Fontos
Szabályzat konfigurálásakor ne feledje, hogy a szabályzatban szereplő biztonsági mentési könyvtár típusát annak az eszköznek az illesztési típusának kell támogatnia, amelyhez a szabályzat hozzá van rendelve. Ha például a címtárat Active Directoryra állítja, és az eszköz nem csatlakozik tartományhoz (de az Microsoft Entra tagja), az eszköz hiba nélkül alkalmazhatja az Intune házirend-beállításait, de az eszközön lévő LAPS nem fogja tudni sikeresen használni ezt a konfigurációt a fiók biztonsági mentéséhez.
A Backup Directory konfigurálása után tekintse át és konfigurálja az elérhető beállításokat, hogy megfeleljenek a szervezet követelményeinek.
A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.
A Hozzárendelések beállításnál válassza ki a szabályzatot fogadó csoportokat. Javasoljuk, hogy a LAPS-szabályzatot eszközcsoportokhoz rendelje. A felhasználói csoportokhoz rendelt szabályzatok eszközről eszközre követik a felhasználót. Amikor egy eszköz felhasználója megváltozik, egy új szabályzat vonatkozhat az eszközre, és inkonzisztens viselkedést eredményezhet, beleértve azt is, hogy az eszköz melyik fiókról készít biztonsági másolatot, vagy amikor a felügyelt fiókok jelszava legközelebb rotálva lesz.
Megjegyzés:
Mint minden Intune-szabályzat esetében, amikor egy új szabályzat vonatkozik egy eszközre, az Intune megpróbálja értesíteni az eszközt a szabályzat beadásáról és feldolgozásáról.
Amíg egy eszköz sikeresen be nem jelentkezik az Intune-nal, és nem dolgozza fel az LAPS-szabályzatát, addig a felügyelt helyi rendszergazdai fiók adatai nem lesznek megtekinthetők és kezelhetők a felügyeleti központban.
További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.
A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.
Eszközműveletek állapotának megtekintése
Ha a fiók rendelkezik az alapkonfigurációk biztonsági engedélyeivel egyenértékű engedélyekkel, amelyek jogosultságokat biztosítanak a végpontbiztonsági számítási feladat összes szabályzatsablonjához, az Intune Felügyeleti központban megtekintheti az eszközhöz kért eszközműveletek állapotát.
További információ: Laps szerepköralapú hozzáférés-vezérlése.
A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz területre, és válasszon ki egy olyan eszközt, amely helyi rendszergazdai fiók biztonsági mentésére szolgáló LAPS-szabályzattal rendelkezik. Az Intune megjeleníti az eszközök Áttekintés panelét.
Az eszköz Áttekintés paneljén megtekintheti az Eszközműveletek állapotát. A korábban kért műveletek és függőben lévő műveletek megjelennek, beleértve a kérés időpontját, valamint azt, hogy a művelet sikertelen vagy sikeres volt-e. Az alábbi képernyőképen egy eszköz helyi Rendszergazda-fiókjának jelszava sikeresen el lett forgatva.
Ha kiválaszt egy műveletet a listából, megnyílik az Eszközművelet állapota panel, amely további részleteket jeleníthet meg a műveletről.
Fiók és jelszó részleteinek megtekintése
A fiók és a jelszó adatainak megtekintéséhez a fióknak az alábbi Microsoft Entra engedélyek egyikével kell rendelkeznie:
microsoft.directory/deviceLocalCredentials/password/read
microsoft.directory/deviceLocalCredentials/standard/read
Az alábbi módszerekkel adhat ilyen engedélyeket a fiókoknak:
- Rendelje hozzá az alábbi beépített Microsoft Entra szerepkörök egyikét:
- Globális Rendszergazda
- Felhőeszköz-Rendszergazda
Hozzon létre és rendeljen hozzá egy egyéni szerepkört Microsoft Entra azonosítóban, amely megadja ezeket az engedélyeket. Lásd: Egyéni szerepkör létrehozása és hozzárendelése Microsoft Entra-azonosítóban a Microsoft Entra dokumentációjában.
További információ: Laps szerepköralapú hozzáférés-vezérlése.
A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz> elemre, és válasszon ki egy Windows-eszközt az Áttekintés panel megnyitásához.
Az áttekintő panelen megtekintheti az eszközök eszközműveleteinek állapotát. Az állapot megjeleníti az aktuális és a korábbi műveleteket, például a jelszóváltást.
Az eszközök Áttekintés paneljén, a Monitorozás alatt válassza a Helyi rendszergazdai jelszó lehetőséget. Ha a fiókja rendelkezik a megfelelő engedélyekkel, megnyílik az eszköz Helyi rendszergazdai jelszó panelje, amely ugyanaz a nézet, amely a Azure Portal belülről érhető el.
Az alábbi információk a felügyeleti központban tekinthetők meg. A helyi rendszergazdai jelszó azonban csak akkor tekinthető meg, ha a fiókról biztonsági másolatot készült Microsoft Entra. Nem tekinthető meg egy helyi Active Directory (Windows Server Active Directory) biztonsági mentéssel rendelkező fiók esetén:
- Fiók neve – Annak a helyi rendszergazdai fióknak a neve, amelyről biztonsági másolatot készült az eszközről.
- Biztonsági azonosító – Az eszközről biztonsági másolatot készítő fiók jól ismert biztonsági azonosítója.
- Helyi rendszergazdai jelszó – Alapértelmezés szerint el van rejtve. Ha a fiókja rendelkezik engedéllyel, a Megjelenítés lehetőséget választva megjelenítheti a jelszót. Ezután a Másolás lehetőséggel átmásolhatja a jelszót a vágólapra. Ezek az információk nem érhetők el az helyi Active Directory biztonsági másolatot készítő eszközökhöz.
- Utolsó jelszóváltoztatás – UTC-ben a jelszó legutóbbi módosításának vagy a szabályzat által történő elforgatásának dátuma és időpontja.
- Következő jelszóváltás – UTC-ben a jelszó szabályzatonkénti elforgatásának következő dátuma és időpontja.
Az eszközök fiók- és jelszóadatainak megtekintéséhez az alábbi szempontokat kell figyelembe venni:
A helyi rendszergazdai fiók jelszavának beolvasása (megtekintése) naplózási eseményt vált ki.
A következő eszközök jelszóadatai nem tekinthetők meg:
- Olyan eszközök, amelyek helyi rendszergazdai fiókjáról biztonsági másolatot készít egy helyi Active Directory
- Azok az eszközök, amelyek a fiók jelszavának biztonsági mentéséhez az Active Directoryt használják.
Jelszavak manuális elforgatása
A LAPS-szabályzat a fiókjelszavak automatikus rotálásának ütemezését tartalmazza. Az ütemezett rotáció mellett a Helyi rendszergazdai jelszó elforgatásaIntune-eszközműveletével manuálisan is elforgathatja az eszközök jelszavát az eszközök LAPS-szabályzata által beállított rotációs ütemezéstől függetlenül.
Az eszközművelet használatához a fióknak a következő három Intune-engedéllyel kell rendelkeznie:
- Felügyelt eszközök: Olvasás
- Szervezet: Olvasás
- Távoli feladatok: Helyi Rendszergazda jelszavának elforgatása
Lásd: Laps szerepköralapú hozzáférés-vezérlése.
Jelszó elforgatása
A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz területre, és válassza ki az elforgatni kívánt fiókot tartalmazó Windows-eszközt.
Az eszköz részleteinek megtekintése közben bontsa ki a menüsáv jobb oldalán található három pontot (...) az elérhető lehetőségek megjelenítéséhez, majd válassza a Helyi rendszergazdai jelszó elforgatása lehetőséget.
Ha a Helyi rendszergazdai jelszó elforgatása lehetőséget választja, az Intune figyelmeztetést jelenít meg, amely megerősítést igényel a jelszó elforgatása előtt.
Miután megerősítette a jelszó elforgatási szándékát, az Intune elindítja a folyamatot, amely eltarthat néhány percig. Ez idő alatt az eszközadatok panelen megjelenik egy szalagcím és egy Eszközműveletek állapota , amely jelzi, hogy a művelet Függőben állapotú.
A sikeres forgatás után a megerősítés Kész állapotúként jelenik meg az Eszközműveletek állapotban.
A jelszó manuális rotálásával kapcsolatos szempontok a következők:
A Helyi rendszergazdai jelszó elforgatása eszközművelet minden Windows-eszközön elérhető, de minden olyan eszköz, amely nem mentette sikeresen a fiókjáról és a jelszóadatairól készült biztonsági mentést, nem tud rotálási kérést végrehajtani.
Minden manuális rotálási kísérlet naplózási eseményt eredményez. Az ütemezett jelszóváltások naplóznak egy naplózási eseményt is.
A jelszó manuális rotálásakor a jelszó következő ütemezett rotálásának ideje alaphelyzetbe áll. A következő ütemezett rotáció időpontjának kezelése a LAPS-szabályzat PasswordAgeDays beállításával történik.
Így működik: Egy eszköz március 1-jén kap egy szabályzatot, amely 10 napra állítja a PasswordAgeDays beállítást. Ennek eredményeképpen az eszköz 10 nap elteltével, március 11-én automatikusan elforgatja a jelszavát. Március 5-én egy rendszergazda manuálisan elforgatja az eszköz jelszavát, és olyan műveletet hajt végre, amely visszaállítja a PasswordAgeDays kezdő dátumát március 5-ére. Ennek eredményeképpen az eszköz 10 nappal később, március 15-én automatikusan elforgatja a jelszavát.
Microsoft Entra csatlakoztatott eszközök esetén az eszköznek online állapotban kell lennie a manuális rotálás kérelmezésekor. Ha az eszköz a kérés időpontjában nincs online állapotban, az hibát eredményez.
A jelszóváltás tömeges műveletként nem támogatott. Egyszerre csak egyetlen eszközt forgathat el.
Szabályzatütközések elkerülése
Az alábbi részletek segíthetnek elkerülni az ütközéseket, és megérteni a LAPS-szabályzattal felügyelt eszközök várható viselkedését.
Ha egy sikeres szabályzattal rendelkező eszközhöz két vagy több szabályzat van hozzárendelve, amelyek ütközést vezetnek be:
- Az eszközön használt beállítások az utolsó beállításnál maradnak az eszközön. Mindkét szabályzat, az eredeti és az új ütközőként jelent.
- Az ütközés feloldásához távolítsa el a szabályzat-hozzárendeléseket, amíg az ütköző szabályzat nem lép érvénybe, vagy konfigurálja újra a megfelelő szabályzatokat, hogy ugyanazt a konfigurációt állítsa be, eltávolítva az ütközést.
Ha egy olyan eszköz, amely nem rendelkezik LAPS-szabályzattal, két ütköző szabályzatot kap egyszerre:
- A rendszer nem küldi el a beállításokat az eszköznek, és mindkét szabályzat ütközésként lesz jelentve.
- Amíg az ütközések megmaradnak, a szabályzatok beállításai nem vonatkoznak az eszközre.
Az ütközések feloldásához el kell távolítania a szabályzat-hozzárendeléseket az eszközről, vagy újra kell konfigurálnia a beállításokat a vonatkozó szabályzatokban, amíg nem marad több ütközés.
Következő lépések
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: