Gestire i criteri di Windows LAPS con Microsoft Intune

Articolo
10/24/2023

Quando si è pronti per gestire la soluzione Password amministratore locale di Windows nei dispositivi Windows gestiti con Microsoft Intune, le informazioni contenute in questo articolo consentono di usare l'interfaccia di amministrazione di Intune per:

Creare e assegnare criteri LAPS di Intune ai dispositivi.
Visualizzare i dettagli dell'account amministratore locale di un dispositivo.
Ruotare manualmente la password per l'account gestito.
Usare i report sui criteri LAPS.

Prima di creare i criteri, acquisire familiarità con le informazioni contenute in Microsoft Intune supporto per Windows LAPS, che include:

Panoramica dei criteri e delle funzionalità di Windows LAPS di Intune.
Prerequisiti per l'uso dei criteri di Intune per LAPS.
Autorizzazioni di controllo degli accessi in base al ruolo che l'account deve avere per gestire i criteri LAPS.
Domande frequenti che possono fornire informazioni dettagliate sulla configurazione e l'uso dei criteri LAPS di Intune.

Si applica a:

Windows 10
Windows 11

Informazioni sui criteri LAPS di Intune

Intune offre il supporto per configurare Windows LAPS nei dispositivi tramite il profilo Local Admin Password Solution (Windows LAPS), disponibile tramite i criteri di sicurezza degli endpoint per la protezione degli account.

I criteri di Intune gestiscono LAPS usando il provider di servizi di configurazione Windows LAPS (CSP). Le configurazioni CSP di Windows LAPS hanno la precedenza su tutte le configurazioni esistenti di altre origini LAPS, ad esempio gli oggetti Criteri di gruppo o lo strumento Microsoft LAPS legacy .

Windows LAPS consente la gestione di un singolo account amministratore locale per dispositivo. I criteri di Intune possono specificare l'account amministratore locale a cui si applica usando l'impostazione di criteri Nome account amministratore. Se il nome dell'account specificato nei criteri non è presente nel dispositivo, non viene gestito alcun account. Tuttavia, quando il nome dell'account amministratore viene lasciato vuoto, il criterio viene eseguita per impostazione predefinita sull'account amministratore locale predefinito dei dispositivi identificato dal relativo identificatore relativo noto (RID).

Nota

Assicurarsi che i prerequisiti per Intune per supportare Windows LAPS nel tenant siano soddisfatti prima di creare criteri.

I criteri LAPS di Intune non creano nuovi account o password. Gestisce invece un account già presente nel dispositivo.

Configurare e assegnare con attenzione i criteri LAPS. Il provider di servizi di configurazione Windows LAPS supporta una singola configurazione per ogni impostazione LAPS in un dispositivo. I dispositivi che ricevono più criteri di Intune che includono impostazioni in conflitto possono non riuscire a elaborare i criteri. I conflitti possono anche impedire il backup dell'account amministratore locale gestito e della password nella directory dei tenant.

Per ridurre i potenziali conflitti, è consigliabile assegnare un singolo criterio LAPS a ogni dispositivo tramite gruppi di dispositivi e non tramite gruppi di utenti. Anche se i criteri LAPS supportano le assegnazioni di gruppi di utenti, possono comportare un ciclo di modifica delle configurazioni LAPS ogni volta che un utente diverso accede a un dispositivo. I criteri che cambiano di frequente possono introdurre conflitti, una mancanza di conformità dei dispositivi con i requisiti e creare confusione su quale account amministratore locale da un dispositivo è attualmente gestito.

Creare un criterio LAPS

Importante

Assicurarsi di aver abilitato LAPS in Microsoft Entra, come illustrato nella documentazione Abilitazione di Windows LAPS con ID Microsoft Entra.

Per creare o gestire i criteri LAPS, l'account deve disporre dei diritti applicabili dalla categoria Baseline di sicurezza . Per impostazione predefinita, queste autorizzazioni sono incluse nel ruolo predefinito Endpoint Security Manager. Per usare ruoli personalizzati, assicurarsi che il ruolo personalizzato includa i diritti della categoria Baseline di sicurezza . Vedere Controlli degli accessi in base al ruolo per LAPS.

Prima di creare un criterio, è possibile esaminare i dettagli sulle impostazioni disponibili nella documentazione di Windows LAPS CSP .

Accedere all'interfaccia di amministrazione Microsoft Intune, passare aProtezione account di sicurezza> degli endpoint e quindi selezionare Crea criterio.

Impostare Platform (Piattaforma) su Windows 10 e versioni successive, Profile to Local admin password solution (Windows LAPS) e quindi selezionare Create (Crea).
In Informazioni di base immettere le proprietà seguenti:
- Nome: immettere un nome descrittivo per il profilo. Profili dei nomi in modo da poterli identificare facilmente in un secondo momento.
- Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
Nelle impostazioni di configurazione configurare una scelta per la directory di backup per definire il tipo di directory da usare per eseguire il backup dell'account amministratore locale. È anche possibile scegliere di non eseguire il backup di un account e di una password. Il tipo di directory determina anche quali impostazioni aggiuntive sono disponibili in questo criterio.

Importante

Quando si configura un criterio, tenere presente che il tipo di directory di backup nel criterio deve essere supportato dal tipo di join del dispositivo a cui è assegnato il criterio. Ad esempio, se si imposta la directory su Active Directory e il dispositivo non è aggiunto a un dominio (ma un membro di Microsoft Entra), il dispositivo può applicare le impostazioni dei criteri da Intune senza errori, ma LAPS nel dispositivo non sarà in grado di usare correttamente tale configurazione per eseguire il backup dell'account.

Dopo aver configurato la directory di backup, esaminare e configurare le impostazioni disponibili per soddisfare i requisiti dell'organizzazione.
Nella pagina Tag ambito selezionare tutti i tag di ambito desiderati da applicare e quindi selezionare Avanti.
Per Assegnazioni selezionare i gruppi per ricevere questo criterio. È consigliabile assegnare criteri LAPS ai gruppi di dispositivi. I criteri assegnati ai gruppi di utenti seguono un utente da dispositivo a dispositivo. Quando l'utente di un dispositivo cambia, un nuovo criterio potrebbe applicarsi al dispositivo e introdurre un comportamento incoerente, incluso l'account di cui il dispositivo esegue il backup o quando la password degli account gestiti viene ruotata successivamente.

Nota

Come per tutti i criteri di Intune, quando un nuovo criterio si applica a un dispositivo, Intune tenta di notificare a tale dispositivo di archiviare ed elaborare i criteri.

Fino a quando un dispositivo non esegue correttamente l'accesso con Intune ed elabora correttamente i criteri LAPS, i dati relativi all'account amministratore locale gestito non saranno disponibili per la visualizzazione o la gestione dall'interfaccia di amministrazione.

Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.
In Rivedi e crea esaminare le impostazioni e quindi selezionare Crea. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. I criteri vengono visualizzati anche nell'elenco dei criteri.

Visualizzare lo stato delle azioni del dispositivo

Quando l'account dispone di autorizzazioni equivalenti alle autorizzazioni baseline di sicurezza che concedono diritti a tutti i modelli di criteri nel carico di lavoro Sicurezza degli endpoint, è possibile usare l'interfaccia di amministrazione di Intune per visualizzare lo stato delle azioni del dispositivo richieste per il dispositivo.

Per altre informazioni, vedere Controlli degli accessi in base al ruolo per LAPS.

Nell'interfaccia di amministrazione Microsoft Intune passare a Dispositivi>tutti i dispositivi e selezionare un dispositivo con criteri LAPS che esegue il backup di un account amministratore locale. Intune visualizza il riquadro Panoramica dei dispositivi.
Nel riquadro Panoramica del dispositivo è possibile visualizzare lo stato azioni del dispositivo. Vengono visualizzate le azioni richieste in precedenza e le azioni in sospeso, incluso l'ora della richiesta e se l'azione ha avuto esito negativo o ha avuto esito positivo. Nello screenshot di esempio seguente, un dispositivo ha ruotato correttamente la password dell'account di Amministrazione locale.
Selezionando un'azione dall'elenco viene aperto il riquadro Stato azione dispositivo , che può visualizzare dettagli aggiuntivi su tale azione.

Visualizzare i dettagli dell'account e della password

Per visualizzare i dettagli dell'account e della password, un account deve avere una delle autorizzazioni di Microsoft Entra seguenti:

microsoft.directory/deviceLocalCredentials/password/read
microsoft.directory/deviceLocalCredentials/standard/read

Usare i metodi seguenti per concedere agli account queste autorizzazioni:

Assegnare uno dei ruoli di Microsoft Entra predefiniti seguenti:
- Amministratore globale
- Amministrazione del dispositivo cloud

Creare e assegnare un ruolo personalizzato nell Microsoft Entra ID che concede queste autorizzazioni. Vedere Creare e assegnare un ruolo personalizzato in Microsoft Entra ID nella documentazione di Microsoft Entra.

Per altre informazioni, vedere Controlli degli accessi in base al ruolo per LAPS.

Nell'interfaccia di amministrazione Microsoft Intune passare a Dispositivi>Tutti i dispositivi> selezionare un dispositivo Windows per aprire il riquadro Panoramica.

Nel riquadro panoramica è possibile visualizzare lo stato delle azioni del dispositivo. Lo stato visualizza le azioni correnti e passate, ad esempio la rotazione delle password.
Nel riquadro Panoramica dei dispositivi, sotto Monitoraggio selezionare Password amministratore locale. Se l'account dispone di autorizzazioni sufficienti, viene visualizzato il riquadro Password amministratore locale per il dispositivo, che è la stessa visualizzazione disponibile all'interno del portale di Azure.

Le informazioni seguenti possono essere visualizzate dall'interfaccia di amministrazione. Tuttavia, la password dell'amministratore locale può essere visualizzata solo quando è stato eseguito il backup dell'account in Microsoft Entra. Non può essere visualizzato per un account di cui è stato eseguito il backup in un Active Directory locale (Windows Server Active Directory):
- Nome account : nome dell'account amministratore locale di cui è stato eseguito il backup dal dispositivo.
- ID di sicurezza : SID noto per l'account di cui viene eseguito il backup dal dispositivo.
- Password amministratore locale : oscurata per impostazione predefinita. Se l'account dispone dell'autorizzazione, è possibile selezionare Mostra per visualizzare la password. È quindi possibile usare l'opzione Copia per copiare la password negli Appunti. Queste informazioni non sono disponibili per i dispositivi di cui viene eseguito il backup a un Active Directory locale.
- Ultima rotazione della password : in formato UTC, data e ora dell'ultima modifica o rotazione della password in base ai criteri.
- Rotazione successiva della password : in formato UTC, la data e l'ora successive in cui la password verrà ruotata per ogni criterio.

Di seguito sono riportate alcune considerazioni per la visualizzazione delle informazioni sull'account e sulla password di un dispositivo:

Il recupero (visualizzazione) della password per un account amministratore locale attiva un evento di controllo.
Non è possibile visualizzare i dettagli della password per i dispositivi seguenti:
- Dispositivi di cui è stato eseguito il backup dell'account amministratore locale in un Active Directory locale
- Dispositivi impostati per l'uso di Active Directory per eseguire il backup della password dell'account.

Ruotare manualmente le password

I criteri LAPS includono una pianificazione per la rotazione automatica delle password degli account. Oltre a una rotazione pianificata, è possibile usare l'azione del dispositivo di Intune ruotare la password dell'amministratore locale per ruotare manualmente una password dei dispositivi indipendentemente dalla pianificazione di rotazione impostata dai criteri LAPS dei dispositivi.

Per usare questa azione del dispositivo, l'account deve disporre delle tre autorizzazioni seguenti per Intune:

Dispositivi gestiti: lettura
Organizzazione: lettura
Attività remote: Ruotare la password di Amministrazione locale

Vedere Controlli degli accessi in base al ruolo per LAPS.

Per ruotare una password

Nell'interfaccia di amministrazione Microsoft Intune passare a Dispositivi>tutti i dispositivi e selezionare il dispositivo Windows con l'account che si vuole ruotare.
Durante la visualizzazione dei dettagli del dispositivo, espandere i puntini di sospensione (...) sul lato destro della barra dei menu per visualizzare le opzioni disponibili e quindi selezionare Ruota password amministratore locale.
Quando si seleziona Ruota password amministratore locale, Intune visualizza un avviso che richiede la conferma prima che la password venga ruotata.

Dopo aver confermato la finalità di ruotare la password, Intune avvia il processo, che può richiedere alcuni minuti. Durante questo periodo di tempo, nel riquadro dei dettagli del dispositivo vengono visualizzati un banner e uno stato Azioni dispositivo che indicano che l'azione è in sospeso.

Dopo una rotazione riuscita, la conferma sarà visibile nello stato Azioni del dispositivo come Completato.

Di seguito sono riportate alcune considerazioni sulla rotazione manuale delle password:

L'azione Ruota dispositivo password amministratore locale è disponibile per tutti i dispositivi Windows, ma qualsiasi dispositivo che non ha eseguito correttamente il backup dei dati dell'account e della password non riesce a completare una richiesta di rotazione.
Ogni tentativo di rotazione manuale comporta un evento di controllo. Le rotazioni pianificate delle password registrano anche un evento di controllo.
Quando una password viene ruotata manualmente, l'ora di rotazione della password pianificata successiva viene reimpostata. L'ora della rotazione pianificata successiva viene gestita tramite l'impostazione PasswordAgeDays nei criteri LAPS.

Ecco come funziona: un dispositivo riceve un criterio il 1° marzo, che imposta PasswordAgeDays su 10 giorni. Il risultato è che il dispositivo ruota automaticamente la password dopo 10 giorni, l'11 marzo. Il 5 marzo un amministratore ruota manualmente la password del dispositivo e l'azione che reimposta la data di inizio di PasswordAgeDays al 5 marzo. Di conseguenza, il dispositivo ora ruota automaticamente la password 10 giorni dopo, il 15 marzo.
Per Microsoft Entra dispositivi aggiunti, il dispositivo deve essere online nel momento in cui viene richiesta la rotazione manuale. Se il dispositivo non è online al momento della richiesta, si verifica un errore.
La rotazione delle password non è supportata come azione bulk. È possibile ruotare un solo dispositivo alla volta.

Evitare conflitti di criteri

I dettagli seguenti consentono di evitare conflitti e comprendere il comportamento previsto dai dispositivi gestiti dai criteri LAPS.

Quando a un dispositivo con criteri riusciti vengono assegnati due o più criteri che introducono un conflitto:

Le impostazioni in uso nel dispositivo rimangono nel dispositivo all'ultimo valore impostato. Entrambi i criteri, l'originale e il nuovo, segnalano che sono in conflitto.
Per risolvere il conflitto, rimuovere le assegnazioni dei criteri fino a quando non vengono applicati i criteri in conflitto oppure riconfigurare i criteri applicabili per impostare la stessa configurazione, rimuovendo il conflitto.

Quando un dispositivo che non dispone di criteri LAPS riceve contemporaneamente due criteri in conflitto:

Le impostazioni non vengono inviate al dispositivo ed entrambi i criteri vengono segnalati come conflitti.
Mentre rimane un conflitto, le impostazioni dei criteri non si applicano al dispositivo.

Per risolvere i conflitti, è necessario rimuovere le assegnazioni di criteri dal dispositivo o riconfigurare le impostazioni nei criteri applicabili fino a quando non rimangono altri conflitti.