Solusi Kata Sandi Administrator Lokal Windows di ID Microsoft Entra
Setiap perangkat Windows dilengkapi dengan akun administrator lokal bawaan yang harus Anda amankan dan lindungi untuk mengurangi serangan Pass-the-Hash (PtH) dan lateral traversal apa pun. Banyak pelanggan telah menggunakan produk Solusi Kata Sandi Administrator Lokal (LAPS) mandiri dan lokal kami untuk manajemen kata sandi administrator lokal dari komputer Windows yang bergabung dengan domain mereka. Dengan dukungan Microsoft Entra untuk Windows LAPS, kami memberikan pengalaman yang konsisten untuk perangkat yang bergabung dengan Microsoft Entra dan microsoft Entra hybrid.
Dukungan Microsoft Entra untuk LAPS mencakup kemampuan berikut:
- Mengaktifkan Windows LAPS dengan ID Microsoft Entra - Aktifkan kebijakan luas penyewa dan kebijakan sisi klien untuk mencadangkan kata sandi administrator lokal ke ID Microsoft Entra.
- Manajemen kata sandi administrator lokal - Konfigurasikan kebijakan sisi klien untuk mengatur nama akun, usia kata sandi, panjang, kompleksitas, pengaturan ulang kata sandi manual, dan sebagainya.
- Memulihkan kata sandi administrator lokal - Gunakan pengalaman API/Portal untuk pemulihan kata sandi administrator lokal.
- Menghitung semua perangkat yang diaktifkan Windows LAPS - Gunakan pengalaman API/Portal untuk menghitung semua perangkat Windows di ID Microsoft Entra yang diaktifkan dengan Windows LAPS.
- Otorisasi pemulihan kata sandi administrator lokal - Gunakan kebijakan kontrol akses berbasis peran (RBAC) dengan peran kustom dan unit administratif.
- Mengaudit pembaruan dan pemulihan kata sandi administrator lokal - Gunakan pengalaman API/Portal log audit untuk memantau peristiwa pembaruan dan pemulihan kata sandi.
- Kebijakan Akses Bersyarat untuk pemulihan kata sandi administrator lokal - Mengonfigurasi kebijakan Akses Bersyarat pada peran direktori yang memiliki otorisasi pemulihan kata sandi.
Catatan
Windows LAPS dengan ID Microsoft Entra tidak didukung untuk perangkat Windows yang terdaftar dengan Microsoft Entra.
Solusi Kata Sandi Administrator Lokal tidak didukung pada platform non-Windows.
Untuk mempelajari tentang Windows LAPS secara lebih rinci, mulailah dengan artikel berikut dalam dokumentasi Windows:
- Apa itu Windows LAPS? – Pengenalan Windows LAPS dan kumpulan dokumentasi Windows LAPS.
- Windows LAPS CSP – Lihat detail lengkap untuk pengaturan dan opsi LAPS. Kebijakan Intune untuk LAPS menggunakan pengaturan ini untuk mengonfigurasi LAPS CSP pada perangkat.
- Dukungan Microsoft Intune untuk Windows LAPS
- Arsitektur Windows LAPS
Persyaratan
Wilayah Azure dan distribusi Windows yang didukung
Fitur ini sekarang tersedia di cloud Azure berikut:
- Azure Global
- Azure Government
- Microsoft Azure dioperasikan oleh 21Vianet
Pembaruan sistem operasi
Fitur ini sekarang tersedia pada platform OS Windows berikut dengan pembaruan yang ditentukan atau yang lebih baru diinstal:
- Windows 11 22H2 - Pembaruan 11 April 2023
- Windows 11 21H2 - Pembaruan 11 April 2023
- Windows 10 20H2, 21H2 dan 22H2 - Pembaruan 11 April 2023
- Windows Server 2022 - Pembaruan 11 April 2023
- Windows Server 2019 - 11 2023 11, 2023 11 2023 Memperbarui
Jenis gabungan
LAPS didukung pada perangkat gabungan Microsoft Entra atau gabungan hibrid Microsoft Entra saja. Perangkat terdaftar Microsoft Entra tidak didukung.
Persyaratan lisensi
LAPS tersedia untuk semua pelanggan dengan lisensi Microsoft Entra ID Gratis atau lebih tinggi. Fitur terkait lainnya seperti unit administratif, peran kustom, Akses Bersyar, dan Intune memiliki persyaratan lisensi lainnya.
Peran atau izin yang diperlukan
Selain peran Microsoft Entra bawaan seperti Administrator Perangkat Cloud dan Administrator Intune yang diberikan perangkat. LocalCredentials.Read.All, Anda dapat menggunakan peran kustom Microsoft Entra atau unit administratif untuk mengotorisasi pemulihan kata sandi administrator lokal. Contohnya:
Peran kustom harus diberi izin microsoft.directory/deviceLocalCredentials/password/read untuk mengotorisasi pemulihan kata sandi administrator lokal. Anda dapat membuat peran kustom dan memberikan izin menggunakan pusat admin Microsoft Entra, Microsoft Graph API, atau PowerShell. Setelah membuat peran kustom, Anda dapat menetapkannya kepada pengguna.
Anda juga dapat membuat unit administratif ID Microsoft Entra, menambahkan perangkat, dan menetapkan peran Administrator Perangkat Cloud yang dilingkup ke unit administratif untuk mengotorisasi pemulihan kata sandi administrator lokal.
Mengaktifkan Windows LAPS dengan ID Microsoft Entra
Untuk mengaktifkan Windows LAPS dengan ID Microsoft Entra, Anda harus mengambil tindakan di ID Microsoft Entra dan perangkat yang ingin Anda kelola. Sebaiknya organisasi mengelola Windows LAPS menggunakan Microsoft Intune. Jika perangkat Anda bergabung dengan Microsoft Entra tetapi tidak menggunakan atau tidak mendukung Microsoft Intune, Anda dapat menyebarkan Windows LAPS untuk MICROSOFT Entra ID secara manual. Untuk informasi selengkapnya, lihat artikel Mengonfigurasi pengaturan kebijakan Windows LAPS.
Masuk ke pusat admin Microsoft Entra sebagai setidaknya Administrator Perangkat Cloud.
Telusuri ke Pengaturan Perangkat Gambaran Umum>Perangkat Identitas>>
Pilih Ya untuk pengaturan Aktifkan Solusi Kata Sandi Administrator Lokal (LAPS), lalu pilih Simpan. Anda juga dapat menggunakan deviceRegistrationPolicy Pembaruan API Microsoft Graph untuk menyelesaikan tugas ini.
Konfigurasikan kebijakan sisi klien dan atur BackUpDirectory menjadi ID Microsoft Entra.
- Jika Anda menggunakan Microsoft Intune untuk mengelola kebijakan sisi klien, lihat Mengelola Windows LAPS menggunakan Microsoft Intune
- Jika Anda menggunakan Objek Kebijakan Grup (GPO) untuk mengelola kebijakan sisi klien, lihat Kebijakan Grup Windows LAPS
Memulihkan kata sandi administrator lokal dan metadata kata sandi
Untuk melihat kata sandi administrator lokal untuk perangkat Windows yang bergabung ke ID Microsoft Entra, Anda harus diberikan tindakan microsoft.directory/deviceLocalCredentials/password/read .
Untuk melihat metadata kata sandi administrator lokal untuk perangkat Windows yang bergabung ke ID Microsoft Entra, Anda harus diberikan tindakan microsoft.directory/deviceLocalCredentials/standard/read .
Peran bawaan berikut diberikan tindakan ini secara default:
| Peran bawaan | microsoft.directory/deviceLocalCredentials/standard/read dan microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Admin Perangkat Cloud | Ya | Ya |
| Administrator Layanan Intune | Ya | Ya |
| Admin Bantuan Teknis | Tidak | Ya |
| Administrator Keamanan | Tidak | Ya |
| Pembaca Keamanan | Tidak | Ya |
Peran apa pun yang tidak tercantum tidak diberikan tindakan apa pun.
Anda juga dapat menggunakan Microsoft Graph API Get deviceLocalCredentialInfo untuk memulihkan kata sandi administratif lokal. Jika Anda menggunakan Microsoft Graph API, kata sandi yang dikembalikan berada dalam nilai yang dikodekan Base64 yang perlu Anda dekode sebelum menggunakannya.
Mencantumkan semua perangkat yang mengaktifkan Windows LAPS
Untuk mencantumkan semua perangkat yang diaktifkan Windows LAPS, Anda dapat menelusuri ke Ikhtisar>Perangkat>Identitas>Pemulihan kata sandi administrator lokal atau menggunakan Microsoft Graph API.
Mengaudit pembaruan dan pemulihan kata sandi administrator lokal
Untuk melihat peristiwa audit, Anda dapat menelusuri ke log Audit Gambaran Umum>Perangkat>Identitas>, lalu menggunakan filter Aktivitas dan mencari Memperbarui kata sandi administrator lokal perangkat atau Memulihkan kata sandi administrator lokal perangkat untuk melihat peristiwa audit.
Kebijakan Akses Bersyarah untuk pemulihan kata sandi administrator lokal
Kebijakan Akses Bersyar dapat dilingkupkan ke peran bawaan untuk melindungi akses untuk memulihkan kata sandi administrator lokal. Anda dapat menemukan contoh kebijakan yang memerlukan autentikasi multifaktor dalam artikel, kebijakan Akses Bersyarat Umum: Memerlukan MFA untuk administrator.
Catatan
Jenis peran lain termasuk peran cakupan unit administratif dan peran kustom tidak didukung
Tanya jawab umum
Apakah Windows LAPS dengan konfigurasi manajemen Microsoft Entra didukung menggunakan Objek Kebijakan Grup (GPO)?
Ya, hanya untuk perangkat gabungan hibrid Microsoft Entra. Lihat Kebijakan Grup Windows LAPS.
Apakah Windows LAPS dengan konfigurasi manajemen Microsoft Entra didukung menggunakan MDM?
Ya, untuk Microsoft Entra bergabung dengan/perangkat gabungan hibrid Microsoft Entra (dikelola bersama). Pelanggan dapat menggunakan Microsoft Intune atau manajemen perangkat seluler (MDM) pihak ketiga lainnya pilihan mereka.
Apa yang terjadi saat perangkat dihapus di ID Microsoft Entra?
Saat perangkat dihapus di ID Microsoft Entra, kredensial LAPS yang terkait dengan perangkat tersebut hilang, dan kata sandi yang disimpan di ID Microsoft Entra hilang. Kecuali Anda memiliki alur kerja kustom untuk mengambil kata sandi LAPS dan menyimpannya secara eksternal, tidak ada metode di ID Microsoft Entra untuk memulihkan kata sandi terkelola LAPS untuk perangkat yang dihapus.
Peran apa yang diperlukan untuk memulihkan kata sandi LAPS?
Peran bawaan peran Microsoft Entra berikut memiliki izin untuk memulihkan kata sandi LAPS: Administrator Perangkat Cloud dan Administrator Intune.
Peran apa yang diperlukan untuk membaca metadata LAPS?
Peran bawaan berikut didukung untuk melihat metadata tentang LAPS termasuk nama perangkat, rotasi kata sandi terakhir, dan rotasi kata sandi berikutnya: Administrator Perangkat Cloud, Administrator Intune, Administrator Helpdesk, Pembaca Keamanan, dan Administrator Keamanan.
Apakah peran kustom didukung?
Ya. Jika Anda memiliki Microsoft Entra ID P1 atau P2, Anda bisa membuat peran kustom dengan izin RBAC berikut:
- Untuk membaca metadata LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Untuk membaca kata sandi LAPS: microsoft.directory/deviceLocalCredentials/password/read
Apa yang terjadi ketika akun administrator lokal yang ditentukan oleh kebijakan diubah?
Karena Windows LAPS hanya dapat mengelola satu akun admin lokal pada perangkat pada satu waktu, akun asli tidak lagi dikelola oleh kebijakan LAPS. Jika kebijakan mencadangkan akun tersebut, akun baru dicadangkan dan detail tentang akun sebelumnya tidak lagi tersedia dari dalam pusat admin Intune atau dari Direktori yang ditentukan untuk menyimpan informasi akun.