Apa itu Windows LAPS?

Windows Local Administrator Password Solution (Windows LAPS) adalah fitur Windows yang secara otomatis mengelola dan mencadangkan kata sandi akun administrator lokal pada perangkat yang bergabung dengan Microsoft Entra-join atau Windows Server Active Directory Anda. Anda juga dapat menggunakan Windows LAPS untuk mengelola dan mencadangkan kata sandi akun Mode Pemulihan Layanan Direktori (DSRM) secara otomatis pada pengontrol domain Direktori Aktif Windows Server Anda. Administrator yang berwenang dapat mengambil kata sandi DSRM dan menggunakannya.

Platform yang didukung Windows LAPS

Windows LAPS tersedia pada platform OS berikut:

• Windows 11 23H2 dan rilis Windows Client yang lebih baru
• Windows Server 23H2 dan rilis Windows Server yang lebih baru
• Windows 11 22H2 - Pembaruan 11 April 2023 dan yang lebih baru
• Windows 11 21H2 - Pembaruan 11 April 2023 dan yang lebih baru
• Windows 10 - Pembaruan 11 April 2023 dan versi yang lebih baru
• Windows Server 2022 - Pembaruan 11 April 2023 dan pembaruan-pembaruan berikutnya
• Windows Server 2019 - Pembaruan 11 April 2023 dan pembaruan selanjutnya

Semua edisi platform ini yang didukung telah diperbarui dengan Windows LAPS, termasuk edisi saluran layanan jangka panjang (LTSC). Pengenalan fitur Windows LAPS tidak mengubah kebijakan siklus hidup produk Microsoft standar.

Windows LAPS dan ID Microsoft Entra

Windows LAPS dengan MICROSOFT Entra ID dan dukungan Microsoft Intune umumnya tersedia per 23 Oktober 2023. Untuk informasi selengkapnya, lihat Solusi Kata Sandi Administrator Lokal Windows dengan Microsoft Entra ID sekarang tersedia secara umum! dan Solusi Kata Sandi Administrator Lokal Windows dalam Microsoft Entra ID.

Manfaat menggunakan Windows LAPS

Gunakan Windows LAPS untuk memutar dan mengelola kata sandi akun administrator lokal secara teratur dan mendapatkan manfaat berikut:

• Perlindungan terhadap serangan pass-the-hash dan pergerakan lateral
• Peningkatan keamanan untuk skenario meja bantuan jarak jauh
• Kemampuan untuk masuk dan memulihkan perangkat yang tidak dapat diakses
• Model keamanan terperindeks (daftar kontrol akses dan enkripsi kata sandi opsional) untuk mengamankan kata sandi yang disimpan di Direktori Aktif Windows Server
• Dukungan untuk model kontrol akses berbasis peran Microsoft Entra untuk mengamankan kata sandi yang disimpan di ID Microsoft Entra

Video informasi

Video berikut menawarkan cara informatif untuk melihat lebih lanjut tentang fitur Windows LAPS.

Presentasi Windows Technical Takeoff (November 2022):

Diskusi Windows Tackling Tech (Agustus 2023):

Skenario Utama Windows LAPS

Anda dapat menggunakan Windows LAPS untuk beberapa skenario utama:

• Mencadangkan kata sandi akun administrator lokal ke Microsoft Entra ID (untuk perangkat yang tersambung ke Microsoft Entra)

• Mencadangkan kata sandi akun administrator lokal ke Windows Server Active Directory (untuk klien dan server yang bergabung dengan Windows Server Active Directory)

• Mencadangkan kata sandi akun DSRM ke Windows Server Active Directory (untuk pengontrol domain Windows Server Active Directory)

• Mencadangkan kata sandi akun administrator lokal ke Windows Server Active Directory dengan menggunakan Microsoft LAPS lama

Dalam setiap skenario, Anda dapat menerapkan pengaturan kebijakan yang berbeda.

Memahami pembatasan kondisi penyambungan perangkat

Apakah perangkat bergabung ke MICROSOFT Entra ID atau Windows Server Active Directory menentukan bagaimana Anda dapat menggunakan Windows LAPS.

• Perangkat yang hanya terhubung ke ID Microsoft Entra hanya dapat mencadangkan kata sandi ke ID Microsoft Entra.
• Perangkat yang digabungkan hanya ke Windows Server Active Directory dapat mencadangkan kata sandi hanya ke Windows Server Active Directory.
• Perangkat yang bergabung dengan hibrid (digabungkan ke ID Microsoft Entra dan Windows Server Active Directory) dapat mencadangkan kata sandi mereka baik ke ID Microsoft Entra atau ke Direktori Aktif Windows Server.

Anda tidak dapat mencadangkan kata sandi ke Microsoft Entra ID dan Windows Server Active Directory secara bersamaan.

Windows LAPS tidak mendukung klien yang bergabung ke tempat kerja melalui Microsoft Entra.

Mengatur kebijakan Windows LAPS

Untuk menyiapkan dan mengelola kebijakan untuk penyebaran Windows LAPS, Anda memiliki beberapa opsi:

• Penyedia layanan konfigurasi (CSP) Windows LAPS
• Kebijakan Windows LAPS Group
• Legasi Microsoft LAPS

Mengelola dan memantau Windows LAPS

Anda juga memiliki berbagai opsi untuk mengelola dan memantau Windows LAPS.

Opsi untuk Windows meliputi:

• Dialog properti Pengguna dan Komputer Windows Server Active Directory.
• Saluran log peristiwa khusus.
• Modul Windows PowerShell yang khusus untuk Windows LAPS.

Solusi pemantauan dan pelaporan berbasis entra tersedia saat Anda mencadangkan kata sandi ke ID Microsoft Entra.

Penghentian produk Microsoft LAPS lama

Penting

Produk Microsoft LAPS warisan tidak digunakan lagi pada Windows 11 23H2 dan yang lebih baru. Penginstalan paket Microsoft LAPS Microsoft Installer (MSI) warisan diblokir pada versi OS yang lebih baru, dan Microsoft tidak lagi mempertimbangkan perubahan kode untuk produk Microsoft LAPS warisan.

Gunakan Windows LAPS untuk mengelola kata sandi akun administrator lokal. Windows LAPS tersedia di Windows Server 2019 dan yang lebih baru, dan pada klien Windows 10 dan Windows 11 yang didukung.

Microsoft akan terus mendukung produk Microsoft LAPS warisan pada versi Windows yang lebih lama (lebih lama dari Windows 11 23H2) yang sebelumnya didukung. Dukungan tersebut akan berakhir pada akhir dukungan normal untuk versi OS tersebut.

Perbandingan antara Windows LAPS dan LAPS Microsoft yang lama

Windows LAPS mewarisi banyak konsep desain dari Microsoft LAPS warisan. Jika Anda terbiasa dengan Microsoft LAPS warisan, banyak fitur Windows LAPS yang sudah tidak asing lagi. Perbedaan utamanya adalah bahwa Windows LAPS adalah sebuah implementasi yang sepenuhnya terpisah dan merupakan bawaan dari Windows. Windows LAPS juga menambahkan banyak fitur yang tidak tersedia di Microsoft LAPS warisan. Anda dapat menggunakan Windows LAPS untuk mencadangkan kata sandi ke ID Microsoft Entra, mengenkripsi kata sandi di Direktori Aktif Windows Server, dan menyimpan riwayat kata sandi Anda.

Penting

Windows LAPS tidak mengharuskan Anda menginstal Microsoft LAPS warisan. Anda dapat sepenuhnya menyebarkan dan menggunakan semua fitur Windows LAPS tanpa menginstal atau merujuk ke Microsoft LAPS warisan. Tetapi untuk membantu memigrasikan penerapan Microsoft LAPS lama yang ada, Windows LAPS menawarkan mode emulasi Microsoft LAPS lama.

Penting

Produk Microsoft LAPS warisan tidak digunakan lagi pada versi Microsoft OS yang lebih baru. Untuk informasi selengkapnya, lihat Penghentian dukungan produk Microsoft LAPS versi lama.

Pernyataan dukungan

Microsoft merilis produk Microsoft LAPS warisan pada tahun kalender 2016 di Pusat Unduhan Microsoft. Windows LAPS dikirimkan sebagai bagian dari Pembaruan Windows yang dirilis pada 11 April 2023, untuk platform yang disebutkan dalam Windows LAPS dan ID Microsoft Entra.

Microsoft dan organisasi pengiriman dukungannya menawarkan dukungan terbantu untuk Microsoft LAPS dan Windows LAPS, termasuk interoperabilitas antara kedua produk.

Penting

Produk Microsoft LAPS warisan tidak digunakan lagi pada versi Microsoft OS yang lebih baru. Untuk informasi selengkapnya, lihat Penghentian dukungan produk Microsoft LAPS versi lama.

Kami sangat menyarankan agar Anda mulai merencanakan sekarang untuk memigrasikan sistem berkemampuan Windows LAPS Anda dari menggunakan Microsoft LAPS yang lama ke fitur Windows LAPS. Windows LAPS menawarkan banyak fitur keamanan baru dan layanan produk yang ditingkatkan.

Pertanyaan tentang keterbatasan dan masalah interoperabilitas antara alat manajemen kata sandi akun lokal pihak ketiga dan Windows LAPS harus diarahkan ke pengembang aplikasi pihak ketiga, bukan Microsoft.

Persyaratan lisensi

Fitur Windows LAPS itu sendiri tersedia secara gratis di semua platform Windows yang didukung.

Anda dapat mencadangkan kata sandi ke Windows Server Active Directory tanpa persyaratan lisensi lainnya.

Anda dapat mencadangkan kata sandi ke Microsoft Entra ID dengan lisensi Microsoft Entra ID Gratis atau yang lebih tinggi.

Fitur terkait Entra atau Intune lainnya dapat memiliki persyaratan lisensi lainnya.

Kirim umpan balik

Ingin mengirimi kami umpan balik? Jangan ragu untuk mengirimkan pertanyaan khusus dokumen melalui tautan umpan balik di bagian bawah halaman ini.

Anda juga dapat mengirimkan umpan balik dan permintaan lain melalui halaman Komunitas Teknologi umpan balik Windows LAPS.

Jika umpan balik Anda khusus untuk fungsionalitas LAPS yang terkait ID Microsoft Entra atau Intune, Anda dapat mengirimkan umpan balik melalui forum umpan balik Microsoft Entra .

Jika Anda tidak yakin ke mana umpan balik Anda harus pergi, kirimkan dengan menggunakan salah satu opsi ini.

Lihat juga

• Memperkenalkan Solusi Kata Sandi Administrator Lokal Windows dengan ID Microsoft Entra
• Solusi Kata Sandi Administrator Lokal Windows pada Microsoft Entra ID
• Solusi Kata Sandi Administrator Lokal Windows dengan ID Microsoft Entra sekarang tersedia secara umum!
• Dukungan Microsoft Intune untuk Windows LAPS
• LAPS CSP
• Panduan Pemecahan Masalah untuk Windows LAPS
• Referensi modul LAPS PowerShell
• Legasi Microsoft LAPS

Langkah berikutnya

• Konsep utama di Windows LAPS
• Mulai menggunakan Windows LAPS dan Windows Server Active Directory
• Mulai menggunakan Windows LAPS dan Microsoft Entra ID
• Mulai menggunakan Windows LAPS dalam mode emulasi Microsoft LAPS lama