Microsoft Intune supporto per Windows LAPS

Ogni computer Windows ha un account amministratore locale predefinito che non può essere eliminato e che dispone delle autorizzazioni complete per il dispositivo. La protezione di questo account è un passaggio importante per la protezione dell'organizzazione. I dispositivi Windows includono Laps (Local Administrator Password Solution), una soluzione predefinita che consente di gestire gli account di amministrazione locali.

È possibile usare Microsoft Intune criteri di sicurezza degli endpoint per la protezione degli account per gestire LAPS nei dispositivi registrati con Intune. I criteri di Intune possono:

• Applicare i requisiti delle password per gli account amministratore locali
• Eseguire il backup di un account amministratore locale dai dispositivi in Active Directory (AD) o Microsoft Entra
• Pianificare la rotazione di tali password dell'account per proteggerle.

È anche possibile visualizzare i dettagli sugli account amministratore locale gestiti nel centro Amministrazione di Intune e ruotare manualmente le password degli account all'esterno di una rotazione pianificata.

L'uso dei criteri LAPS di Intune consente di proteggere i dispositivi Windows da attacchi volti a sfruttare gli account utente locali come gli attacchi pass-the-hash o laterale. La gestione dei laps con Intune può anche contribuire a migliorare la sicurezza per gli scenari di help desk remoto e a ripristinare i dispositivi altrimenti inaccessibili.

I criteri LAPS di Intune gestiscono le impostazioni disponibili dal provider di servizi di configurazione Windows LAPS. L'uso di CSP da parte di Intune sostituisce l'uso di Microsoft LAPS legacy o di altre soluzioni di gestione LAPS, con CSP basato sulla precedenza rispetto ad altre origini di gestione LAPS.

Il supporto di Intune per Windows LAPS include le funzionalità seguenti:

• Impostare i requisiti delle password : definire i requisiti della password, inclusa la complessità e la lunghezza per l'account amministratore locale in un dispositivo.
• Ruotare le password : con i criteri è possibile fare in modo che i dispositivi ruotino automaticamente le password dell'account amministratore locale in base a una pianificazione. È anche possibile usare l'interfaccia di amministrazione di Intune per ruotare manualmente la password per un dispositivo come azione del dispositivo.
• Backup di account e password: è possibile scegliere di fare in modo che i dispositivi eservino il backup dell'account e della password in Microsoft Entra ID nel cloud o nel Active Directory locale. Le password vengono archiviate tramite crittografia avanzata.
• Configurare le azioni post-autenticazione : definire le azioni eseguite da un dispositivo alla scadenza della password dell'account amministratore locale. Le azioni vanno dalla reimpostazione dell'account gestito all'uso di una nuova password sicura, alla disconnessione dell'account o all'esecuzione di entrambe le operazioni e quindi all'accensione del dispositivo. È anche possibile gestire il tempo di attesa del dispositivo dopo la scadenza della password prima di eseguire queste azioni.
• Visualizzare i dettagli dell'account : gli amministratori di Intune con autorizzazioni di controllo amministrativo (RBAC) sufficienti possono visualizzare informazioni su un account amministratore locale dei dispositivi e sulla password corrente. È anche possibile vedere quando la password è stata ruotata per l'ultima volta (reimpostazione) e quando è pianificata la rotazione successiva.
• Visualizza report : Intune fornisce report sulla rotazione delle password, inclusi i dettagli sulla rotazione manuale e pianificata delle password precedenti.

Per informazioni più dettagliate su Windows LAPS, iniziare con gli articoli seguenti nella documentazione di Windows:

• Che cos'è Windows LAPS? : introduzione a Windows LAPS e al set di documentazione di Windows LAPS.
• Provider di servizi di configurazione windows LAPS : visualizzare i dettagli completi per le impostazioni e le opzioni di LAPS. I criteri di Intune per LAPS usano queste impostazioni per configurare il provider di servizi di configurazione LAPS nei dispositivi.

Si applica a:

• Windows 10
• Windows 11

Prerequisiti

Di seguito sono riportati i requisiti per Intune per supportare Windows LAPS nel tenant:

Requisiti di licenza

• Sottoscrizione - di IntuneMicrosoft Intune Piano 1, ovvero la sottoscrizione di Base di Intune. È anche possibile usare Windows LAPS con una sottoscrizione di valutazione gratuita per Intune.

• Microsoft Entra ID: Microsoft Entra ID gratuito, che è la versione gratuita di Microsoft Entra ID inclusa durante la sottoscrizione a Intune. Con Microsoft Entra ID Gratuito, è possibile usare tutte le funzionalità di LAPS.

Supporto di Active Directory

I criteri di Intune per Windows LAPS possono configurare un dispositivo per eseguire il backup di un account amministratore locale e della password in uno dei tipi di directory seguenti:

Nota

I dispositivi aggiunti all'area di lavoro (WPJ) non sono supportati da Intune per LAPS.

• Cloud: cloud supporta il backup nel Microsoft Entra ID per gli scenari seguenti:

  • Aggiunta a Microsoft Entra ibrido

  • Aggiunta a Microsoft Entra

    Il supporto per Microsoft Entra join richiede di abilitare LAPS nel Microsoft Entra ID. La procedura seguente consente di completare questa configurazione. Per un contesto più ampio, vedere questi passaggi nella documentazione di Microsoft Entra in Abilitazione dei laps di Windows con Microsoft Entra ID. Microsoft Entra join ibrido non richiede l'abilitazione di LAPS in Microsoft Entra.

    Abilitare LAPS in Microsoft Entra:

    1. Accedere al Interfaccia di amministrazione di Microsoft Entra come amministratore di dispositivi cloud.
    2. Passare a Panoramicadei dispositivi>di identità>Impostazioni>del dispositivo.
    3. Selezionare Sì per l'impostazione Abilita la soluzione laps (Local Administrator Password Solution) e selezionare Salva. È anche possibile usare Microsoft API Graph Update deviceRegistrationPolicy.

    Per altre informazioni, vedere Soluzione password amministratore locale windows in Microsoft Entra ID nella documentazione di Microsoft Entra.

• Locale: l'ambiente locale supporta il backup fino a Windows Server Active Directory (Active Directory locale).

  Importante

  LAPS nei dispositivi Windows può essere configurato in modo da usare un tipo di directory o l'altro, ma non entrambi. Si consideri anche che la directory di backup deve essere supportata dal tipo di aggiunta dei dispositivi: se si imposta la directory su un Active Directory locale e il dispositivo non è aggiunto a un dominio, accetterà le impostazioni dei criteri da Intune, ma LAPS non può usare correttamente tale configurazione.

Device Edition e piattaforma

I dispositivi possono avere qualsiasi edizione di Windows supportata da Intune, ma devono eseguire una delle versioni seguenti per supportare il provider di servizi di configurazione Windows LAPS:

• Windows 10 versione 22H2 (19045.2846 o successiva) con KB5025221
• Windows 10 versione 21H2 (19044.2846 o successiva) con KB5025221
• Windows 10 versione 20H2 (19042.2846 o successiva) con KB5025221
• Windows 11 versione 22H2 (22621.1555 o successiva) con KB5025239
• Windows 11 versione 21H2 (22000.1817 o successiva) con KB5025224

Supporto GCC High

I criteri di Intune per Windows LAPS sono supportati per gli ambienti GCC High.

Controlli di accesso in base al ruolo per LAPS

Per gestire LAPS, un account deve disporre di autorizzazioni di controllo degli accessi in base al ruolo sufficienti per completare un'attività desiderata. Di seguito sono riportate le attività disponibili con le autorizzazioni necessarie:

• Creare e accedere ai criteri LAPS : per usare e visualizzare i criteri LAPS, all'account devono essere assegnate autorizzazioni sufficienti dalla categoria Controllo degli accessi in base al ruolo di Intune per le baseline di sicurezza. Per impostazione predefinita, questi sono inclusi nel ruolo predefinito Endpoint Security Manager. Per usare ruoli personalizzati, assicurarsi che il ruolo personalizzato includa i diritti della categoria Baseline di sicurezza .

• Ruotare la password dell'amministratore locale : per usare l'interfaccia di amministrazione di Intune per visualizzare o ruotare una password dell'account amministratore locale dei dispositivi, è necessario assegnare all'account le autorizzazioni di Intune seguenti:

  • Dispositivi gestiti: lettura
  • Organizzazione: lettura
  • Attività remote: Ruotare la password di Amministrazione locale

• Recuperare la password dell'amministratore locale: per visualizzare i dettagli della password, l'account deve disporre di una delle autorizzazioni di Microsoft Entra seguenti:

  • microsoft.directory/deviceLocalCredentials/password/read per leggere i metadati e le password LAPS.
  • microsoft.directory/deviceLocalCredentials/standard/read per leggere i metadati LAPS escluse le password.

  Per creare ruoli personalizzati in grado di concedere queste autorizzazioni, vedere Creare e assegnare un ruolo personalizzato in Microsoft Entra ID nella documentazione Microsoft Entra.

• Visualizzare Microsoft Entra log di controllo ed eventi: per visualizzare i dettagli sui criteri LAPS e le azioni recenti del dispositivo, ad esempio gli eventi di rotazione delle password, l'account deve disporre di autorizzazioni equivalenti all'operatore di sola lettura del ruolo predefinito di Intune.

Per altre informazioni, vedere Controllo degli accessi in base al ruolo per Microsoft Intune.

Architettura LAPS

Per informazioni sull'architettura LAPS di Windows, vedere Architettura di Windows LAPS nella documentazione di Windows.

Domande frequenti

È possibile usare i criteri LAPS di Intune per gestire qualsiasi account amministratore locale in un dispositivo?

Sì. I criteri LAPS di Intune possono essere usati per gestire qualsiasi account amministratore locale in un dispositivo. Tuttavia, LAPS supporta un solo account per dispositivo:

• Quando un criterio non specifica un nome di account, Intune gestisce l'account amministratore predefinito predefinito indipendentemente dal nome corrente nel dispositivo.
• È possibile modificare l'account gestito da Intune per un dispositivo modificando i criteri assegnati del dispositivo o modificandone i criteri correnti per specificare un account diverso.
• Se a un dispositivo vengono assegnati due criteri separati che specificano entrambi un account diverso, si verifica un conflitto che deve essere risolto prima che l'account del dispositivo possa essere gestito.

Cosa accade se si distribuiscono i criteri LAPS con Intune in un dispositivo che dispone già di configurazioni LAPS da un'origine diversa?

I criteri basati su CSP di Intune sostituiscono tutte le altre origini dei criteri LAPS, ad esempio dagli oggetti Criteri di gruppo o da una configurazione di Microsoft LAPS legacy. Per altre informazioni, vedere Supported Policy roots (Radici dei criteri supportati ) nella documentazione di Windows LAPS.

Windows LAPS può creare account di amministratore locale in base al nome dell'account amministratore configurato usando i criteri LAPS?

No. Windows LAPS può gestire solo gli account già esistenti nel dispositivo. Se un criterio specifica un account per nome che non esiste nel dispositivo, il criterio si applica e non segnala un errore. Tuttavia, non viene eseguito il backup di alcun account.

Windows LAPS ruota ed esegue il backup della password per un dispositivo disabilitato in Microsoft Entra?

No. Windows LAPS richiede che il dispositivo sia abilitato prima che possano essere applicate le operazioni di rotazione e backup delle password.

Cosa accade quando un dispositivo viene eliminato in Microsoft Entra?

Quando un dispositivo viene eliminato in Microsoft Entra, le credenziali LAPS associate al dispositivo vengono perse e la password archiviata in Microsoft Entra ID viene persa. A meno che non si disponga di un flusso di lavoro personalizzato per recuperare le password LAPS e archiviarle esternamente, non esiste alcun metodo in Microsoft Entra ID per recuperare la password gestita di LAPS per un dispositivo eliminato.

Quali ruoli sono necessari per recuperare le password LAPS?

I ruoli predefiniti seguenti Microsoft Entra ruoli dispongono dell'autorizzazione per ripristinare le password LAPS: Global Amministrazione, Cloud Device Amministrazione e Intune Service Amministrazione.

Quali ruoli sono necessari per leggere i metadati LAPS?

I ruoli predefiniti seguenti sono supportati per visualizzare i metadati relativi a LAPS, tra cui il nome del dispositivo, la rotazione dell'ultima password e la successiva rotazione delle password: Global Amministrazione, Cloud Device Amministrazione, Intune Service Amministrazione, Helpdesk Amministrazione, Security Reader, Security Amministrazionee Lettore globale.

Perché il pulsante Password amministratore locale è disattivato e inaccessibile?

Attualmente, l'accesso a questa area richiede l'autorizzazione Ruota password amministratore locale in Intune. Vedere Controllo degli accessi in base al ruolo per Microsoft Intune.

Cosa accade quando viene modificato l'account specificato dai criteri?

Poiché Windows LAPS può gestire un solo account amministratore locale in un dispositivo alla volta, l'account originale non è più gestito dai criteri LAPS. Se il criterio esegue il backup dell'account da parte del dispositivo, viene eseguito il backup del nuovo account e i dettagli sull'account precedente non sono più disponibili dall'interfaccia di amministrazione di Intune o dalla directory specificata per archiviare le informazioni sull'account.

Passaggi successivi

• Creare criteri per LAPS
• Visualizzare i report per LAPS
• Criteri di protezione degli account per la sicurezza degli endpoint in Intune