Microsoft Entra ID での Windows Local Administrator Password Solution

  • [アーティクル]

すべての Windows デバイスには、Pass-the-Hash (PtH) 攻撃と横方向トラバーサル攻撃を軽減するためにセキュリティで保護する必要がある、組み込みのローカル管理者アカウントが付属しています。 多くのお客様は、ドメインに参加している Windows マシンのローカル管理者パスワード管理のために、スタンドアロンのオンプレミス Local Administrator Password Solution (LAPS) 製品を使用しています。 Windows LAPS の Microsoft Entra サポートでは、Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスの両方に一貫したエクスペリエンスが提供されます。

LAPS の Microsoft Entra サポートには、以下の機能が含まれています。

  • Microsoft Entra ID を使用した Windows LAPS の有効化 - テナント全体のポリシーとクライアント側ポリシーを有効にして、ローカル管理者パスワードを Microsoft Entra ID にバックアップします。
  • ローカル管理者パスワードの管理 - クライアント側ポリシーを構成して、アカウント名、パスワードの有効期間、長さ、複雑さ、手動によるパスワード リセットなどを設定します。
  • ローカル管理者パスワードの回復 - ローカル管理者のパスワード回復のための API/ポータル エクスペリエンスを使用します。
  • すべての Windows LAPS 有効デバイスの列挙 - API/Portal エクスペリエンスを使用して、Windows LAPS が有効になっている Microsoft Entra ID 内のすべての Windows デバイスを列挙します。
  • ローカル管理者パスワード回復の承認 - カスタム ロールと管理単位でロールベースのアクセス制御 (RBAC) ポリシーを使用します。
  • ローカル管理者パスワードの更新と回復の監査 - 監査ログ API/ポータル エクスペリエンスを使用して、パスワードの更新と回復のイベントを監視します。
  • ローカル管理者パスワードの回復の条件付きアクセス ポリシー - パスワード回復が認可されているディレクトリ ロールに対して条件付きアクセス ポリシーを構成します。

Note

Microsoft Entra ID を使用した Windows LAPS は、Microsoft Entra 登録済み Windows デバイスではサポートされていません。

Local Administrator Password Solution は、Windows 以外のプラットフォームではサポートされていません。

Windows LAPS の詳細については、Windows ドキュメントの次の記事から始めます。

必要条件

サポートされる Azure リージョンと Windows ディストリビューション

この機能は、次の Azure クラウドで使用できるようになりました。

  • Azure Global
  • Azure Government
  • 21Vianet が運用する Microsoft Azure

オペレーティング システムの更新プログラム

この機能は、指定した更新プログラム以降がインストールされた次の Windows OS プラットフォームで使用できるようになりました。

結合の種類

LAPS がサポートされているのは、Microsoft Entra 参加済みデバイスまたは Microsoft Entra ハイブリッド参加済みデバイス上のみです。 Microsoft Entra 登録済みデバイスはサポートされていません。

ライセンス要件

LAPS は、Microsoft Entra ID Free 以上のライセンスを持つすべてのお客様が利用できます。 管理単位、カスタム ロール、条件付きアクセス、Intune などのその他の関連機能には、他のライセンス要件があります。

必要なロールまたはアクセス許可

device.LocalCredentials.Read.All が付与されている組み込み Microsoft Entra ロールのクラウド デバイス管理者、Intune 管理者、および全体管理者以外は、Microsoft Entra カスタム ロールまたは管理単位を使用してローカル管理者パスワードの回復を承認できます。 たとえば、 にします。

  • ローカル管理者パスワードの回復を承認するには、カスタム ロールに microsoft.directory/deviceLocalCredentials/password/read アクセス許可を割り当てる必要があります。 カスタム ロールを作成し、Microsoft Entra 管理センターMicrosoft Graph API、または PowerShell を使ってアクセス許可を付与できます。 カスタム ロールを作成すると、ユーザーに割り当てることができます。

  • また、Microsoft Entra ID の管理単位を作成し、デバイスを追加し、管理単位をスコープとするクラウド デバイス管理者ロールを割り当てて、ローカル管理者パスワードの回復を承認することもできます。

Microsoft Entra ID を使用した Windows LAPS の有効化

Microsoft Entra ID を使用した Windows LAPS を有効にするには、Microsoft Entra ID と管理したいデバイスでアクションを実行する必要があります。 組織では、Microsoft Intune を使用して Windows LAPS を管理することをお勧めします。 デバイスが Microsoft Entra に参加済であるが、Microsoft Intune を使用していない、またはサポートしていない場合でも、Microsoft Entra ID 用の Windows LAPS を手動で展開できます。 詳細については、「Windows LAPS のポリシー設定を構成する」の記事を参照してください。

  1. Microsoft Entra 管理センター に少なくとも クラウド アプリケーション管理者 としてサインインします。

  2. ID>デバイス>概要>デバイス設定を参照します

  3. ローカル管理者パスワード ソリューション (LAPS) を有効にする設定で [はい] を選択し、[保存] を選択します。 Microsoft Graph API の Update deviceRegistrationPolicy を使用して、このタスクを完了することもできます。

  4. クライアント側ポリシーを構成し、BackUpDirectory を Microsoft Entra ID に設定します。

ローカル管理者のパスワードとパスワード メタデータの復旧

Microsoft Entra ID に参加済みの Windows デバイスのローカル管理者パスワードを表示するには、microsoft.directory/deviceLocalCredentials/password/read アクションが付与されている必要があります。

Microsoft Entra ID に参加済みの Windows デバイスのローカル管理者パスワード メタデータを表示するには、microsoft.directory/deviceLocalCredentials/standard/read アクションが付与されている必要があります。

次の組み込みロールには、既定でこれらのアクションが付与されています。

組み込みのロール microsoft.directory/deviceLocalCredentials/standard/read および microsoft.directory/deviceLocalCredentials/password/read microsoft.directory/deviceLocalCredentials/standard/read
クラウド デバイス管理者 はい はい
Intune サービス管理者 はい はい
ヘルプデスク管理者 いいえ はい
セキュリティ管理者 いいえ はい
Security Reader いいえ はい

一覧にないロールには、どちらのアクションも付与されていません。

Microsoft Graph API の Get deviceLocalCredentialInfo を使用して、ローカル管理パスワードを回復することもできます。 Microsoft Graph API を使用する場合、返されるパスワードは Base64 でエンコードされた値であり、使用する前にデコードする必要があります。

すべての Windows LAPS 対応デバイスを一覧表示する

すべての Windows LAPS 対応デバイスを一覧表示するには、[ID]>[デバイス]>[概要]>[ローカル管理者パスワード回復] の順に移動するか、Microsoft Graph API を使います。

ローカル管理者パスワードの更新と回復の監査

監査イベントを表示するには、[ID][デバイス][概要][監査ログ] の順に移動した後、[アクティビティ] フィルターを使用して [デバイスのローカル管理者パスワードの更新] または [デバイスのローカル管理者パスワードの回復] を検索して監査イベントを表示できます。

ローカル管理者パスワード回復のための条件付きアクセス ポリシー

条件付きアクセス ポリシーのスコープを組み込みのロールに設定して、ローカル管理者のパスワードを回復するためのアクセスを保護できます。 多要素認証を必要とするポリシーの例については、「一般的な条件付きアクセス ポリシー: 管理者に対して MFA を要求する」の記事を参照してください。

注意

管理単位スコープのロールやカスタム ロールなど、その他のロールの種類はサポートされていません。

よく寄せられる質問

Microsoft Entra 管理構成を使用した Windows LAPS では、グループ ポリシー オブジェクト (GPO) の使用がサポートされていますか?

はい。対象は Microsoft Entra ハイブリッド参加済みデバイスのみです。 「Windows LAPS グループ ポリシー」を参照してください。

Microsoft Entra 管理構成を使用した Windows LAPS では、MDM の使用がサポートされていますか?

はい。対象は Microsoft Entra 参加/Microsoft Entra ハイブリッド参加 (共同管理) デバイスです。 お客様は Microsoft Intune または他の任意のサード パーティ製モバイル デバイス管理 (MDM) を選んで使うことができます。

Microsoft Entra ID でデバイスが削除されるとどうなりますか?

Microsoft Entra ID でデバイスが削除されると、そのデバイスに関連付けられていた LAPS 資格情報が失われ、Microsoft Entra ID に保存されているパスワードが失われます。 LAPS パスワードを取得して外部に保存するカスタム ワークフローがない限り、Microsoft Entra ID には、削除されたデバイスの LAPS マネージド パスワードを回復する方法はありません。

LAPS パスワードを回復するために必要なロールは何ですか?

次の組み込みの Microsoft Entra ロールには、LAPS パスワードを回復するためのアクセス許可があります: クラウド デバイス管理者、Intune 管理者。

LAPS のメタデータを読み取るために必要なロールは何ですか?

LAPS に関するメタデータ (デバイス名、最後のパスワード ローテーション、次回のパスワード ローテーションなど) を表示するためにサポートされている組み込みロールは、クラウド デバイス管理者、Intune 管理者、ヘルプデスク管理者、セキュリティ閲覧者、セキュリティ管理者です。

カスタム ロールはサポートされていますか?

はい。 Microsoft Entra ID P1 または P2 を持っている場合は、以下の RBAC アクセス許可を持つカスタム ロールを作成できます。

  • LAPS メタデータを読み取る場合: microsoft.directory/deviceLocalCredentials/standard/read
  • LAPS パスワードを読み取る場合: microsoft.directory/deviceLocalCredentials/password/read

ポリシーで指定されたローカル管理者アカウントが変更されるとどうなりますか?

Windows LAPS ではデバイス上で一度に 1 つのローカル管理者アカウントのみを管理できるため、元のアカウントは LAPS ポリシーによって管理されなくなります。 ポリシーによってデバイスでそのアカウントがバックアップされた場合、新しいアカウントがバックアップされ、以前のアカウントの詳細は、Intune 管理センター内から、またはアカウント情報を格納するために指定されたディレクトリから得られなくなります。

次のステップ