Share via

Windows LAPS-szabályzat kezelése Microsoft Intune

  • Cikk

Ha készen áll a windowsos helyi rendszergazdai jelszómegoldás (Windows LAPS) kezelésére a Microsoft Intune által kezelt Windows-eszközökön, a jelen cikkben található információk segíthetnek az Intune felügyeleti központjának használatához:

  • Intune LAPS-szabályzat létrehozása és eszközökhöz rendelése.
  • Az eszköz helyi rendszergazdai fiókjának adatainak megtekintése.
  • Manuálisan forgassa el a felügyelt fiók jelszavát.
  • Jelentések használata LAPS-szabályzathoz.

A szabályzatok létrehozása előtt ismerkedjen meg a Windows LAPS Microsoft Intune támogatásával kapcsolatos információkkal, beleértve a következőket:

  • Az Intune Windows LAPS-szabályzatának és képességeinek áttekintése.
  • Az Intune-szabályzatok LAPS-hez való használatának előfeltételei.
  • A fiók szerepköralapú rendszergazdai (RBAC) engedélyeinek a LAPS-szabályzat kezeléséhez kell tartoznia.
  • Gyakori kérdések, amelyek betekintést nyújtanak az Intune LAPS-szabályzat konfigurálásához és használatához.

Érintett szolgáltatás:

  • Windows 10 rendszer esetén
  • Windows 11

Az Intune LAPS-szabályzat ismertetése

Az Intune támogatja a Windows LAPS konfigurálását az eszközökön a Helyi rendszergazdai jelszómegoldás (Windows LAPS) profilon keresztül, amely a fiókvédelem végpontbiztonsági szabályzatain keresztül érhető el.

Az Intune-szabályzatok a Windows LAPS konfigurációs szolgáltató (CSP) használatával kezelik a LAPS-t. A Windows LAPS CSP-konfigurációk elsőbbséget élveznek , és felülírják a más LAPS-forrásokból származó meglévő konfigurációkat, például a GPO-kat vagy az örökölt Microsoft LAPS eszközt.

A Windows LAPS lehetővé teszi egyetlen helyi rendszergazdai fiók felügyeletét eszközönként. Az Intune-szabályzat a Rendszergazdai fiók neve házirendbeállítással megadhatja, hogy melyik helyi rendszergazdai fiókra vonatkozik. Ha a szabályzatban megadott fióknév nincs jelen az eszközön, a rendszer nem felügyeli a fiókot. Ha azonban a rendszergazdai fiók neve üres, a szabályzat alapértelmezés szerint az eszközök beépített helyi rendszergazdai fiókjára vonatkozik, amelyet az ismert relatív azonosító (RID) azonosít.

Megjegyzés:

A szabályzatok létrehozása előtt győződjön meg arról, hogy az Intune támogatja a Windows LAPS-t a bérlőben.

Az Intune LAPS-szabályzatai nem hoznak létre új fiókokat vagy jelszavakat. Ehelyett egy olyan fiókot kezelnek, amely már megtalálható az eszközön.

Gondosan konfigurálja és rendelje hozzá a LAPS-szabályzatokat. A Windows LAPS CSP egyetlen konfigurációt támogat az eszköz minden LAPS-beállításához. Azok az eszközök, amelyek több Intune-szabályzatot kapnak, amelyek ütköző beállításokat tartalmaznak, nem tudják feldolgozni a szabályzatot. Az ütközések megakadályozhatják a felügyelt helyi rendszergazdai fiók és jelszó biztonsági mentését a bérlői címtárba.

A lehetséges ütközések csökkentése érdekében javasoljuk, hogy minden eszközhöz eszközcsoportokon, és ne felhasználói csoportokon keresztül rendeljen hozzá egyetlen LAPS-szabályzatot. Bár a LAPS-szabályzat támogatja a felhasználói csoportok hozzárendelését, a LAPS-konfigurációk módosításának ciklusát eredményezhetik minden alkalommal, amikor egy másik felhasználó jelentkezik be egy eszközre. A gyakran változó szabályzatok ütközéseket okozhatnak, az eszközök nem felelnek meg a követelményeknek, és zavart okozhatnak azzal kapcsolatban, hogy jelenleg melyik helyi rendszergazdai fiókot kezelik egy eszközről.

LAPS-szabályzat létrehozása

Fontos

Győződjön meg arról, hogy engedélyezte a LAPS-t a Microsoft Entra-ben, az Enableing Windows LAPS with Microsoft Entra ID (Windows LAPS engedélyezése Microsoft Entra id azonosítóval) című dokumentációban leírtak szerint.

A LAPS-szabályzat létrehozásához vagy kezeléséhez a fióknak rendelkeznie kell a Biztonsági alapkonfiguráció kategóriából származó megfelelő jogosultságokkal. Alapértelmezés szerint ezek az engedélyek a beépített Endpoint Security Manager szerepkör részét képezik. Az egyéni szerepkörök használatához győződjön meg arról, hogy az egyéni szerepkör tartalmazza a Biztonsági alapkonfigurációk kategória jogosultságait . Lásd: Laps szerepköralapú hozzáférés-vezérlése.

Mielőtt létrehoz egy szabályzatot, a Windows LAPS CSP dokumentációjában áttekintheti az elérhető beállítások részleteit.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, lépjen a Végpontbiztonsági>fiókvédelem elemre, majd válassza a Szabályzat létrehozása lehetőséget.

    Képernyőkép arról, hogy a Felügyeleti központban hol hozhat létre LAPS-szabályzatot.

    Állítsa a Platform beállítást Windows 10 vagy újabb verzióra, a Profilbeállítást a Helyi rendszergazdai jelszómegoldás (Windows LAPS) értékre, majd válassza a Létrehozás lehetőséget.

  2. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

  3. A Konfigurációs beállítások területen konfigurálja a Biztonsági mentési címtár beállítását a helyi rendszergazdai fiók biztonsági mentéséhez használandó címtár típusának meghatározásához. Dönthet úgy is, hogy nem készít biztonsági másolatot a fiókról és a jelszóról. A címtár típusa azt is meghatározza, hogy mely további beállítások érhetők el ebben a szabályzatban.

    Képernyőkép a Biztonsági mentési könyvtár beállítás beállításairól.

    Fontos

    Szabályzat konfigurálásakor ne feledje, hogy a szabályzatban szereplő biztonsági mentési könyvtár típusát annak az eszköznek az illesztési típusának kell támogatnia, amelyhez a szabályzat hozzá van rendelve. Ha például a címtárat Active Directoryra állítja, és az eszköz nem csatlakozik tartományhoz (de az Microsoft Entra tagja), az eszköz hiba nélkül alkalmazhatja az Intune házirend-beállításait, de az eszközön lévő LAPS nem fogja tudni sikeresen használni ezt a konfigurációt a fiók biztonsági mentéséhez.

    A Backup Directory konfigurálása után tekintse át és konfigurálja az elérhető beállításokat, hogy megfeleljenek a szervezet követelményeinek.

  4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

  5. A Hozzárendelések beállításnál válassza ki a szabályzatot fogadó csoportokat. Javasoljuk, hogy a LAPS-szabályzatot eszközcsoportokhoz rendelje. A felhasználói csoportokhoz rendelt szabályzatok eszközről eszközre követik a felhasználót. Amikor egy eszköz felhasználója megváltozik, egy új szabályzat vonatkozhat az eszközre, és inkonzisztens viselkedést eredményezhet, beleértve azt is, hogy az eszköz melyik fiókról készít biztonsági másolatot, vagy amikor a felügyelt fiókok jelszava legközelebb rotálva lesz.

    Megjegyzés:

    Mint minden Intune-szabályzat esetében, amikor egy új szabályzat vonatkozik egy eszközre, az Intune megpróbálja értesíteni az eszközt a szabályzat beadásáról és feldolgozásáról.

    Amíg egy eszköz sikeresen be nem jelentkezik az Intune-nal, és nem dolgozza fel az LAPS-szabályzatát, addig a felügyelt helyi rendszergazdai fiók adatai nem lesznek megtekinthetők és kezelhetők a felügyeleti központban.

    További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

  6. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Eszközműveletek állapotának megtekintése

Ha a fiók rendelkezik az alapkonfigurációk biztonsági engedélyeivel egyenértékű engedélyekkel, amelyek jogosultságokat biztosítanak a végpontbiztonsági számítási feladat összes szabályzatsablonjához, az Intune Felügyeleti központban megtekintheti az eszközhöz kért eszközműveletek állapotát.

További információ: Laps szerepköralapú hozzáférés-vezérlése.

  1. A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz területre, és válasszon ki egy olyan eszközt, amely helyi rendszergazdai fiók biztonsági mentésére szolgáló LAPS-szabályzattal rendelkezik. Az Intune megjeleníti az eszközök Áttekintés panelét.

  2. Az eszköz Áttekintés paneljén megtekintheti az Eszközműveletek állapotát. A korábban kért műveletek és függőben lévő műveletek megjelennek, beleértve a kérés időpontját, valamint azt, hogy a művelet sikertelen vagy sikeres volt-e. Az alábbi képernyőképen egy eszköz helyi Rendszergazda-fiókjának jelszava sikeresen el lett forgatva.

    Képernyőkép egy eszköz eszközműveleteinek állapotáról, egy művelettel és egy függőben lévő aktuális művelettel.

  3. Ha kiválaszt egy műveletet a listából, megnyílik az Eszközművelet állapota panel, amely további részleteket jeleníthet meg a műveletről.

Fiók és jelszó részleteinek megtekintése

A fiók és a jelszó adatainak megtekintéséhez a fióknak az alábbi Microsoft Entra engedélyek egyikével kell rendelkeznie:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Az alábbi módszerekkel adhat ilyen engedélyeket a fiókoknak:

  • Rendelje hozzá az alábbi beépített Microsoft Entra szerepkörök egyikét:
    • Globális Rendszergazda
    • Felhőeszköz-Rendszergazda

Hozzon létre és rendeljen hozzá egy egyéni szerepkört Microsoft Entra azonosítóban, amely megadja ezeket az engedélyeket. Lásd: Egyéni szerepkör létrehozása és hozzárendelése Microsoft Entra-azonosítóban a Microsoft Entra dokumentációjában.

További információ: Laps szerepköralapú hozzáférés-vezérlése.

  1. A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz> elemre, és válasszon ki egy Windows-eszközt az Áttekintés panel megnyitásához.

    Az áttekintő panelen megtekintheti az eszközök eszközműveleteinek állapotát. Az állapot megjeleníti az aktuális és a korábbi műveleteket, például a jelszóváltást.

  2. Az eszközök Áttekintés paneljén, a Monitorozás alatt válassza a Helyi rendszergazdai jelszó lehetőséget. Ha a fiókja rendelkezik a megfelelő engedélyekkel, megnyílik az eszköz Helyi rendszergazdai jelszó panelje, amely ugyanaz a nézet, amely a Azure Portal belülről érhető el.

    Képernyőkép egy Windows-eszköz helyi rendszergazdai jelszópaneljéről.

    Az alábbi információk a felügyeleti központban tekinthetők meg. A helyi rendszergazdai jelszó azonban csak akkor tekinthető meg, ha a fiókról biztonsági másolatot készült Microsoft Entra. Nem tekinthető meg egy helyi Active Directory (Windows Server Active Directory) biztonsági mentéssel rendelkező fiók esetén:

    • Fiók neve – Annak a helyi rendszergazdai fióknak a neve, amelyről biztonsági másolatot készült az eszközről.
    • Biztonsági azonosító – Az eszközről biztonsági másolatot készítő fiók jól ismert biztonsági azonosítója.
    • Helyi rendszergazdai jelszó – Alapértelmezés szerint el van rejtve. Ha a fiókja rendelkezik engedéllyel, a Megjelenítés lehetőséget választva megjelenítheti a jelszót. Ezután a Másolás lehetőséggel átmásolhatja a jelszót a vágólapra. Ezek az információk nem érhetők el az helyi Active Directory biztonsági másolatot készítő eszközökhöz.
    • Utolsó jelszóváltoztatás – UTC-ben a jelszó legutóbbi módosításának vagy a szabályzat által történő elforgatásának dátuma és időpontja.
    • Következő jelszóváltás – UTC-ben a jelszó szabályzatonkénti elforgatásának következő dátuma és időpontja.

Az eszközök fiók- és jelszóadatainak megtekintéséhez az alábbi szempontokat kell figyelembe venni:

  • A helyi rendszergazdai fiók jelszavának beolvasása (megtekintése) naplózási eseményt vált ki.

  • A következő eszközök jelszóadatai nem tekinthetők meg:

    • Olyan eszközök, amelyek helyi rendszergazdai fiókjáról biztonsági másolatot készít egy helyi Active Directory
    • Azok az eszközök, amelyek a fiók jelszavának biztonsági mentéséhez az Active Directoryt használják.

Jelszavak manuális elforgatása

A LAPS-szabályzat a fiókjelszavak automatikus rotálásának ütemezését tartalmazza. Az ütemezett rotáció mellett a Helyi rendszergazdai jelszó elforgatásaIntune-eszközműveletével manuálisan is elforgathatja az eszközök jelszavát az eszközök LAPS-szabályzata által beállított rotációs ütemezéstől függetlenül.

Az eszközművelet használatához a fióknak a következő három Intune-engedéllyel kell rendelkeznie:

  • Felügyelt eszközök: Olvasás
  • Szervezet: Olvasás
  • Távoli feladatok: Helyi Rendszergazda jelszavának elforgatása

Lásd: Laps szerepköralapú hozzáférés-vezérlése.

Jelszó elforgatása

  1. A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz területre, és válassza ki az elforgatni kívánt fiókot tartalmazó Windows-eszközt.

  2. Az eszköz részleteinek megtekintése közben bontsa ki a menüsáv jobb oldalán található három pontot (...) az elérhető lehetőségek megjelenítéséhez, majd válassza a Helyi rendszergazdai jelszó elforgatása lehetőséget.

    Képernyőkép az eszközműveletek kibontott menübeállításairól.

  3. Ha a Helyi rendszergazdai jelszó elforgatása lehetőséget választja, az Intune figyelmeztetést jelenít meg, amely megerősítést igényel a jelszó elforgatása előtt.

    Miután megerősítette a jelszó elforgatási szándékát, az Intune elindítja a folyamatot, amely eltarthat néhány percig. Ez idő alatt az eszközadatok panelen megjelenik egy szalagcím és egy Eszközműveletek állapota , amely jelzi, hogy a művelet Függőben állapotú.

A sikeres forgatás után a megerősítés Kész állapotúként jelenik meg az Eszközműveletek állapotban.

A jelszó manuális rotálásával kapcsolatos szempontok a következők:

  • A Helyi rendszergazdai jelszó elforgatása eszközművelet minden Windows-eszközön elérhető, de minden olyan eszköz, amely nem mentette sikeresen a fiókjáról és a jelszóadatairól készült biztonsági mentést, nem tud rotálási kérést végrehajtani.

  • Minden manuális rotálási kísérlet naplózási eseményt eredményez. Az ütemezett jelszóváltások naplóznak egy naplózási eseményt is.

  • A jelszó manuális rotálásakor a jelszó következő ütemezett rotálásának ideje alaphelyzetbe áll. A következő ütemezett rotáció időpontjának kezelése a LAPS-szabályzat PasswordAgeDays beállításával történik.

    Így működik: Egy eszköz március 1-jén kap egy szabályzatot, amely 10 napra állítja a PasswordAgeDays beállítást. Ennek eredményeképpen az eszköz 10 nap elteltével, március 11-én automatikusan elforgatja a jelszavát. Március 5-én egy rendszergazda manuálisan elforgatja az eszköz jelszavát, és olyan műveletet hajt végre, amely visszaállítja a PasswordAgeDays kezdő dátumát március 5-ére. Ennek eredményeképpen az eszköz 10 nappal később, március 15-én automatikusan elforgatja a jelszavát.

  • Microsoft Entra csatlakoztatott eszközök esetén az eszköznek online állapotban kell lennie a manuális rotálás kérelmezésekor. Ha az eszköz a kérés időpontjában nincs online állapotban, az hibát eredményez.

  • A jelszóváltás tömeges műveletként nem támogatott. Egyszerre csak egyetlen eszközt forgathat el.

Szabályzatütközések elkerülése

Az alábbi részletek segíthetnek elkerülni az ütközéseket, és megérteni a LAPS-szabályzattal felügyelt eszközök várható viselkedését.

Ha egy sikeres szabályzattal rendelkező eszközhöz két vagy több szabályzat van hozzárendelve, amelyek ütközést vezetnek be:

  • Az eszközön használt beállítások az utolsó beállításnál maradnak az eszközön. Mindkét szabályzat, az eredeti és az új ütközőként jelent.
  • Az ütközés feloldásához távolítsa el a szabályzat-hozzárendeléseket, amíg az ütköző szabályzat nem lép érvénybe, vagy konfigurálja újra a megfelelő szabályzatokat, hogy ugyanazt a konfigurációt állítsa be, eltávolítva az ütközést.

Ha egy olyan eszköz, amely nem rendelkezik LAPS-szabályzattal, két ütköző szabályzatot kap egyszerre:

  • A rendszer nem küldi el a beállításokat az eszköznek, és mindkét szabályzat ütközésként lesz jelentve.
  • Amíg az ütközések megmaradnak, a szabályzatok beállításai nem vonatkoznak az eszközre.

Az ütközések feloldásához el kell távolítania a szabályzat-hozzárendeléseket az eszközről, vagy újra kell konfigurálnia a beállításokat a vonatkozó szabályzatokban, amíg nem marad több ütközés.

Következő lépések