Windows LAPS の Microsoft Intune サポート
すべての Windows マシンには、削除できないローカル管理者アカウントが組み込まれており、デバイスに対する完全なアクセス許可を持っています。 このアカウントのセキュリティ保護は、組織をセキュリティで保護するための重要な手順です。 Windows デバイスには、ローカル管理者アカウントの管理に役立つ組み込みソリューションである Windows ローカル管理者パスワード ソリューション (LAPS) が含まれています。
アカウント保護には Microsoft Intune エンドポイント セキュリティ ポリシーを使用して、Intune に登録されているデバイスの LAPS を管理できます。 Intune ポリシーでは、次のことができます。
- ローカル管理者アカウントにパスワード要件を適用する
- デバイスから Active Directory (AD) または Microsoft Entra にローカル管理者アカウントをバックアップする
- アカウント パスワードを安全に保つために、それらのアカウント パスワードのローテーションをスケジュールします。
Intune 管理センターでマネージド ローカル管理者アカウントに関する詳細を表示し、スケジュールされたローテーションの外部でアカウント パスワードを手動でローテーションすることもできます。
Intune LAPS ポリシーを使用すると、パス ザ ハッシュや横トラバーサル攻撃などのローカル ユーザー アカウントを悪用することを目的とした攻撃から Windows デバイスを保護できます。 Intune で LAPS を管理すると、リモート ヘルプ デスクのシナリオのセキュリティを向上させ、それ以外の場合はアクセスできないデバイスを回復することもできます。
Intune LAPS ポリシーは、Windows LAPS CSP から使用できる設定を管理します。 Intune で CSP を使用すると、 従来の Microsoft LAPS または他の LAPS 管理ソリューションの使用が、他の LAPS 管理ソースよりも 優先される CSP に置き換えられます。
Windows LAPS の Intune サポートには、次の機能が含まれています。
- パスワード要件の設定 – デバイス上のローカル管理者アカウントの複雑さと長さを含むパスワード要件を定義します。
- パスワードのローテーション – ポリシーを使用すると、デバイスがスケジュールに従ってローカル管理者アカウントのパスワードを自動的にローテーションさせることができます。 Intune 管理センターを使用して、デバイスアクションとしてデバイスのパスワードを手動でローテーションすることもできます。
- アカウントとパスワードのバックアップ – クラウドの Microsoft Entra ID またはオンプレミスの Active Directory で、デバイスで自分のアカウントとパスワードをバックアップするように選択できます。 パスワードは、強力な暗号化を使用して格納されます。
- 認証後のアクションの構成 – ローカル管理者アカウントのパスワードの有効期限が切れたときにデバイスが実行するアクションを定義します。 アクションの範囲は、マネージド アカウントをリセットして新しいセキュリティで保護されたパスワードを使用する、アカウントをログオフする、または両方を実行してからデバイスの電源を切るなどです。 また、これらのアクションを実行する前に、パスワードの有効期限が切れた後にデバイスが待機する時間を管理することもできます。
- アカウントの詳細を表示 する – 十分なロールベースの管理制御 (RBAC) アクセス許可を持つ Intune 管理者は、デバイスのローカル管理者アカウントとその現在のパスワードに関する情報を表示できます。 また、そのパスワードが最後にローテーションされたタイミング (リセット) と、次回ローテーションがスケジュールされているタイミングも確認できます。
- レポートの表示 – Intune は、過去の手動およびスケジュールされたパスワードローテーションに関する詳細を含む、パスワードローテーションに関するレポートを提供します。
Windows LAPS の詳細については、Windows ドキュメントの次の記事を参照してください。
- Windows LAPS とは – Windows LAPS と Windows LAPS ドキュメント セットの概要。
- Windows LAPS CSP – LAPS の設定とオプションの詳細を表示します。 LAPS の Intune ポリシーでは、これらの設定を使用してデバイスで LAPS CSP を構成します。
適用対象:
- Windows 10
- Windows 11
前提条件
テナントで Windows LAPS をサポートするための Intune の要件を次に示します。
ライセンスの要件
Intune サブスクリプション - Microsoft Intune プラン 1。これは、基本的な Intune サブスクリプションです。 Intune の無料試用版サブスクリプションで Windows LAPS を使用することもできます。
Microsoft Entra ID – Microsoft Entra ID Free。これは、Intune をサブスクライブするときに含まれる Microsoft Entra ID の無料バージョンです。 Microsoft Entra ID Free を使用すると、LAPS のすべての機能を使用できます。
Active Directory のサポート
Windows LAPS の Intune ポリシーでは、ローカル管理者アカウントとパスワードを次のいずれかの種類のディレクトリにバックアップするようにデバイスを構成できます。
注:
職場に参加しているデバイス (WPJ) は、LAPS の Intune ではサポートされていません。
クラウド – クラウドでは、次のシナリオで Microsoft Entra ID へのバックアップがサポートされています。
Microsoft Entra ハイブリッド参加
Microsoft Entra join
Microsoft Entra 参加をサポートするには、Microsoft Entra ID で LAPS を有効にする必要があります。 次の手順は、この構成を完了するのに役立ちます。 より大きなコンテキストについては、「Microsoft Entra ID を使用して Windows LAPS を有効にする」の Microsoft Entra ドキュメントでこれらの手順を参照してください。 Microsoft Entra ハイブリッド参加 では、Microsoft Entra で LAPS を有効にする必要はありません。
Microsoft Entra で LAPS を有効にする:
- クラウド デバイス管理者として Microsoft Entra 管理センターにサインインします。
- [Identity>Devices>Overview>Device の設定] を参照します。
- [ローカル管理者パスワード ソリューション (LAPS) を有効にする] 設定で [はい] を選択し、[保存] を選択します。 Microsoft Graph API Update deviceRegistrationPolicy を使用することもできます。
詳細については、 Microsoft Entra ドキュメントの「Microsoft Entra ID の Windows ローカル管理者パスワード ソリューション 」を参照してください。
オンプレミス – オンプレミスでは、Windows Server Active Directory (オンプレミス Active Directory) へのバックアップがサポートされています。
重要
Windows デバイス上の LAPS は、1 つのディレクトリの種類を使用するように構成できますが、両方を使用することはできません。 また、バックアップ ディレクトリはデバイスの参加の種類でサポートされている必要があります。ディレクトリをオンプレミスの Active Directory に設定し、デバイスがドメインに参加していない場合、Intune のポリシー設定は受け入れられますが、LAPS ではその構成を正常に使用できません。
Device Edition とプラットフォーム
デバイスには Intune がサポートする任意の Windows エディションを含めることができますが、Windows LAPS CSP をサポートするには、次のいずれかのバージョンを実行する必要があります。
- Windows 10 バージョン 22H2 (19045.2846 以降) とKB5025221
- Windows 10 バージョン 21H2 (19044.2846 以降) とKB5025221
- Windows 10 バージョン 20H2 (19042.2846 以降) とKB5025221
- Windows 11 バージョン 22H2 (22621.1555 以降) とKB5025239
- Windows 11 バージョン 21H2 (22000.1817 以降) とKB5025224
GCC の高いサポート
Windows LAPS の Intune ポリシーは、GCC High 環境でサポートされています。
LAPS のロールベースのアクセス制御
LAPS を管理するには、アカウントに必要なタスクを完了するための十分なロールベースのアクセス制御 (RBAC) アクセス許可が必要です。 必要なアクセス許可を持つ使用可能なタスクを次に示します。
LAPS ポリシーの作成とアクセス – LAPS ポリシー を操作して表示するには、セキュリティ ベースラインの Intune RBAC カテゴリから十分なアクセス許可がアカウントに割り当てられている必要があります。 既定では、これらは組み込みのロール Endpoint Security Manager に含まれます。 カスタム ロールを使用するには、カスタム ロールに セキュリティ ベースライン カテゴリの権限が含まれていることを確認します。
ローカル管理者パスワードをローテーション する – Intune 管理センターを使用してデバイスのローカル管理者アカウント のパスワードを表示またはローテーションするには、アカウントに次の Intune アクセス許可が割り当てられている必要があります。
- マネージド デバイス: 読み取り
- 組織: 読み取り
- リモート タスク: ローカル管理者パスワードをローテーションする
ローカル管理者パスワードを取得 する – パスワードの詳細を表示するには、アカウントに次のいずれかの Microsoft Entra アクセス許可が必要です。
-
microsoft.directory/deviceLocalCredentials/password/read
LAPS メタデータとパスワードを読み取ります。 -
microsoft.directory/deviceLocalCredentials/standard/read
パスワードを除く LAPS メタデータを読み取ります。
これらのアクセス許可を付与できるカスタム ロールを作成するには、 Microsoft Entra ドキュメントの「Microsoft Entra ID でカスタム ロールを作成して割り当てる 」を参照してください。
-
Microsoft Entra 監査ログとイベントを表示 する – LAPS ポリシーとパスワード ローテーション イベントなどの最近のデバイス アクションの詳細を表示するには、組み込みの Intune ロール の読み取り専用オペレーターと同等のアクセス許可がアカウントに必要です。
詳細については、「 Microsoft Intune のロールベースのアクセス制御」を参照してください。
LAPS アーキテクチャ
Windows LAPS アーキテクチャの詳細については、Windows ドキュメントの 「Windows LAPS アーキテクチャ 」を参照してください。
よく寄せられる質問
Intune LAPS ポリシーを使用して、デバイス上のローカル管理者アカウントを管理できますか?
はい。 Intune LAPS ポリシーを使用して、デバイス上のローカル管理者アカウントを管理できます。 ただし、LAPS では、デバイスごとに 1 つのアカウントのみがサポートされます。
- ポリシーでアカウント名が指定されていない場合、Intune は、デバイス上の現在の名前に関係なく、既定の組み込み管理者アカウントを管理します。
- デバイスに対して Intune が管理するアカウントを変更するには、デバイスに割り当てられたポリシーを変更するか、現在のポリシーを編集して別のアカウントを指定します。
- 両方で別のアカウントを指定する 2 つの個別のポリシーがデバイスに割り当てられている場合、デバイスのアカウントを管理する前に解決する必要がある競合が発生します。
別のソースからの LAPS 構成が既に存在するデバイスに、Intune で LAPS ポリシーを展開した場合はどうなりますか?
Intune の CSP ベースのポリシーは、GPO や 従来の Microsoft LAPS からの構成など、LAPS ポリシーの他のすべてのソースをオーバーライドします。 詳細については、Windows LAPS ドキュメントの 「サポートされているポリシー ルート」を参照してください。
Windows LAPS は、LAPS ポリシーを使用して構成された管理者アカウント名に基づいてローカル管理者アカウントを作成できますか?
いいえ。 Windows LAPS では、デバイスに既に存在するアカウントのみを管理できます。 ポリシーで、デバイスに存在しないアカウントを名前で指定した場合、ポリシーは適用され、エラーは報告されません。 ただし、アカウントはバックアップされません。
Windows LAPS は、Microsoft Entra で無効になっているデバイスのパスワードをローテーションしてバックアップしますか?
いいえ。 Windows LAPS では、パスワードのローテーションとバックアップ操作を適用する前に、デバイスが有効な状態である必要があります。
Microsoft Entra でデバイスが削除されるとどうなりますか?
Microsoft Entra でデバイスが削除されると、そのデバイスに関連付けられた LAPS 資格情報が失われ、Microsoft Entra ID に格納されているパスワードが失われます。 LAPS パスワードを取得して外部に保存するカスタム ワークフローがない限り、削除されたデバイスの LAPS 管理パスワードを回復する方法は Microsoft Entra ID にありません。
LAPS パスワードを回復するために必要なロールは何ですか?
次 の組み込みの Microsoft Entra ロール には、LAPS パスワードを回復するためのアクセス許可があります: クラウド デバイス管理者、 Intune 管理者。
LAPS メタデータを読み取るために必要なロールは何ですか?
デバイス名、最後のパスワードローテーション、次のパスワードローテーションなど、LAPS に関するメタデータを表示するには、次の 組み込みの Microsoft Entra ロール がサポートされています。
- セキュリティ閲覧者
次のロールを使用することもできます。
- クラウド デバイス管理者
- Intune 管理者
- ヘルプデスク管理者
- セキュリティ管理者
[ローカル管理者パスワード] ボタンが灰色表示され、アクセスできないのはなぜですか?
現時点では、この領域へのアクセスには、ローカル管理者パスワードのローテーション Intune アクセス許可が必要です。 「Microsoft Intune のロールベースのアクセス制御」を参照してください。
ポリシーで指定されたアカウントが変更された場合はどうなりますか?
Windows LAPS では一度に 1 つのデバイス上のローカル管理者アカウントのみを管理できるため、元のアカウントは LAPS ポリシーによって管理されなくなります。 ポリシーにデバイスがそのアカウントをバックアップしている場合、新しいアカウントがバックアップされ、前のアカウントの詳細は Intune 管理センター内またはアカウント情報を格納するために指定されたディレクトリから使用できなくなります。