Windows LAPS のMicrosoft Intuneサポート

  • [アーティクル]

すべての Windows マシンには、削除できないローカル管理者アカウントが組み込まれており、デバイスに対する完全なアクセス許可を持っています。 このアカウントのセキュリティ保護は、organizationをセキュリティで保護するための重要な手順です。 Windows デバイスには、ローカル管理者アカウントの管理に役立つ組み込みソリューションである Windows ローカル管理者パスワード ソリューション (LAPS) が含まれています。

アカウント保護にはMicrosoft Intuneエンドポイント セキュリティ ポリシーを使用して、Intune に登録されているデバイスの LAPS を管理できます。 Intune ポリシーでは、次のことができます。

  • ローカル管理者アカウントにパスワード要件を適用する
  • デバイスから Active Directory (AD) またはMicrosoft Entraにローカル管理者アカウントをバックアップする
  • アカウント パスワードを安全に保つために、それらのアカウント パスワードのローテーションをスケジュールします。

また、Intune 管理 センターでマネージド ローカル管理者アカウントに関する詳細を表示したり、スケジュールされたローテーションの外部で自分のアカウント パスワードを手動でローテーションしたりできます。

Intune LAPS ポリシーを使用すると、パス ザ ハッシュや横トラバーサル攻撃などのローカル ユーザー アカウントを悪用することを目的とした攻撃から Windows デバイスを保護できます。 Intune で LAPS を管理すると、リモート ヘルプ デスクのシナリオのセキュリティを向上させ、それ以外の場合はアクセスできないデバイスを回復することもできます。

Intune LAPS ポリシーは、Windows LAPS CSP から使用できる設定を管理します。 Intune で CSP を使用すると、 従来の Microsoft LAPS または他の LAPS 管理ソリューションの使用が、他の LAPS 管理ソースよりも 優先される CSP に置き換えられます。

Windows LAPS の Intune サポートには、次の機能が含まれています。

  • パスワード要件の設定 – デバイス上のローカル管理者アカウントの複雑さと長さを含むパスワード要件を定義します。
  • パスワードのローテーション – ポリシーを使用すると、デバイスがスケジュールに従ってローカル管理者アカウントのパスワードを自動的にローテーションさせることができます。 Intune 管理センターを使用して、デバイスアクションとしてデバイスのパスワードを手動でローテーションすることもできます。
  • アカウントとパスワードのバックアップ – クラウド内のMicrosoft Entra IDまたはオンプレミスの Active Directoryで、デバイスに自分のアカウントとパスワードをバックアップさせることができます。 パスワードは、強力な暗号化を使用して格納されます。
  • 認証後のアクションの構成 – ローカル管理者アカウントのパスワードの有効期限が切れたときにデバイスが実行するアクションを定義します。 アクションの範囲は、マネージド アカウントをリセットして新しいセキュリティで保護されたパスワードを使用する、アカウントをログオフする、または両方を実行してからデバイスの電源を切るなどです。 また、これらのアクションを実行する前に、パスワードの有効期限が切れた後にデバイスが待機する時間を管理することもできます。
  • アカウントの詳細を表示 する – 十分なロールベースの管理制御 (RBAC) アクセス許可を持つ Intune 管理者は、デバイスのローカル管理者アカウントとその現在のパスワードに関する情報を表示できます。 また、そのパスワードが最後にローテーションされたタイミング (リセット) と、次回ローテーションがスケジュールされているタイミングも確認できます。
  • レポートの表示 – Intune は、過去の手動およびスケジュールされたパスワードローテーションに関する詳細を含む、パスワードローテーションに関するレポートを提供します。

Windows LAPS の詳細については、Windows ドキュメントの次の記事を参照してください。

  • Windows LAPS とは – Windows LAPS と Windows LAPS ドキュメント セットの概要。
  • Windows LAPS CSP – LAPS の設定とオプションの詳細を表示します。 LAPS の Intune ポリシーでは、これらの設定を使用してデバイスで LAPS CSP を構成します。

適用対象:

  • Windows 10
  • Windows 11

前提条件

テナントで Windows LAPS をサポートするための Intune の要件を次に示します。

ライセンスの要件

  • Intune サブスクリプション - Microsoft Intuneプラン 1。これは基本的な Intune サブスクリプションです。 Intune の無料試用版サブスクリプションで Windows LAPS を使用することもできます。

  • Microsoft Entra IDMicrosoft Entra ID無料。これは、Intune をサブスクライブするときに含まれるMicrosoft Entra IDの無料バージョンです。 Microsoft Entra ID無料で、LAPS のすべての機能を使用できます。

Active Directory のサポート

Windows LAPS の Intune ポリシーでは、ローカル管理者アカウントとパスワードを次のいずれかの種類のディレクトリにバックアップするようにデバイスを構成できます。

注:

職場に参加しているデバイス (WPJ) は、LAPS の Intune ではサポートされていません。

  • クラウド – クラウドは、次のシナリオでMicrosoft Entra IDへのバックアップをサポートします。

    • ハイブリッド結合Microsoft Entra

    • Microsoft Entra参加

      Microsoft Entra参加をサポートするには、Microsoft Entra IDで LAPS を有効にする必要があります。 次の手順は、この構成を完了するのに役立ちます。 より大きなコンテキストについては、「Microsoft Entra IDを使用した Windows LAPS の有効化」のMicrosoft Entraドキュメントでこれらの手順を参照してください。 ハイブリッド参加Microsoft Entra、Microsoft Entraで LAPS を有効にする必要はありません。

      Microsoft Entraで LAPS を有効にする:

      1. クラウド デバイス管理者としてMicrosoft Entra 管理センターにサインインします。
      2. [ID デバイスの概要>] [デバイス>設定] の順に>参照します
      3. [ローカル管理者パスワード ソリューション (LAPS) を有効にする] 設定で [はい] を選択し、[保存] を選択します。 Microsoft Graph API Update deviceRegistrationPolicy を使用することもできます。

      詳細については、Microsoft Entraドキュメントの「Microsoft Entra IDの Windows ローカル管理者パスワード ソリューション」を参照してください。

  • オンプレミス – オンプレミスでは、Windows Server Active Directory (オンプレミスの Active Directory) へのバックアップがサポートされています。

    重要

    Windows デバイス上の LAPS は、1 つのディレクトリの種類を使用するように構成できますが、両方を使用することはできません。 また、バックアップ ディレクトリはデバイスの参加の種類でサポートされている必要があります。ディレクトリをオンプレミスの Active Directoryに設定し、デバイスがドメインに参加していない場合、Intune からのポリシー設定は受け入れられますが、LAPS はその構成を正常に使用できません。

Device Edition とプラットフォーム

デバイスには Intune がサポートする任意の Windows エディションを含めることができますが、Windows LAPS CSP をサポートするには、次のいずれかのバージョンを実行する必要があります。

  • Windows 10、バージョン 22H2 (19045.2846 以降) とKB5025221
  • Windows 10、バージョン 21H2 (19044.2846 以降) とKB5025221
  • Windows 10、バージョン 20H2 (19042.2846 以降) とKB5025221
  • Windows 11、バージョン 22H2 (22621.1555 以降) とKB5025239
  • Windows 11、バージョン 21H2 (22000.1817 以降) とKB5025224

GCC の高いサポート

Windows LAPS の Intune ポリシーは、GCC High 環境でサポートされています。

LAPS のロールベースのアクセス制御

LAPS を管理するには、アカウントに必要なタスクを完了するための十分なロールベースのアクセス制御 (RBAC) アクセス許可が必要です。 必要なアクセス許可を持つ使用可能なタスクを次に示します。

  • LAPS ポリシーの作成とアクセス – LAPS ポリシー を操作して表示するには、セキュリティ ベースラインの Intune RBAC カテゴリから十分なアクセス許可がアカウントに割り当てられている必要があります。 既定では、これらは組み込みのロール Endpoint Security Manager に含まれます。 カスタム ロールを使用するには、カスタム ロールに セキュリティ ベースライン カテゴリの権限が含まれていることを確認します。

  • ローカル管理者パスワードをローテーション する – Intune 管理センターを使用してデバイスのローカル管理者アカウント のパスワードを表示またはローテーションするには、アカウントに次の Intune アクセス許可が割り当てられている必要があります。

    • マネージド デバイス: 読み取り
    • 組織: 読み取り
    • リモート タスク: ローカル 管理 パスワードをローテーションする

  • ローカル管理者パスワードを取得する – パスワードの詳細を表示するには、アカウントに次のいずれかのMicrosoft Entraアクセス許可が必要です。

    • microsoft.directory/deviceLocalCredentials/password/read LAPS メタデータとパスワードを読み取ります。
    • microsoft.directory/deviceLocalCredentials/standard/read パスワードを除く LAPS メタデータを読み取ります。

    これらのアクセス許可を付与できるカスタム ロールを作成するには、Microsoft Entraドキュメントの「Microsoft Entra IDでカスタム ロールを作成して割り当てる」を参照してください。

  • 監査ログとイベントMicrosoft Entra表示する – LAPS ポリシーとパスワード ローテーション イベントなどの最近のデバイス アクションの詳細を表示するには、組み込みの Intune ロールの読み取り専用オペレーターと同等のアクセス許可がアカウントに必要です。

詳細については、「Microsoft Intuneのロールベースのアクセス制御」を参照してください。

LAPS アーキテクチャ

Windows LAPS アーキテクチャの詳細については、Windows ドキュメントの 「Windows LAPS アーキテクチャ 」を参照してください。

よく寄せられる質問

Intune LAPS ポリシーを使用して、デバイス上のローカル管理者アカウントを管理できますか?

はい。 Intune LAPS ポリシーを使用して、デバイス上のローカル管理者アカウントを管理できます。 ただし、LAPS では、デバイスごとに 1 つのアカウントのみがサポートされます。

  • ポリシーでアカウント名が指定されていない場合、Intune は、デバイス上の現在の名前に関係なく、既定の組み込み管理者アカウントを管理します。
  • デバイスに対して Intune が管理するアカウントを変更するには、デバイスに割り当てられたポリシーを変更するか、現在のポリシーを編集して別のアカウントを指定します。
  • 両方で別のアカウントを指定する 2 つの個別のポリシーがデバイスに割り当てられている場合、デバイスのアカウントを管理する前に解決する必要がある競合が発生します。

別のソースからの LAPS 構成が既に存在するデバイスに、Intune で LAPS ポリシーを展開した場合はどうなりますか?

Intune の CSP ベースのポリシーは、GPO や 従来の Microsoft LAPS からの構成など、LAPS ポリシーの他のすべてのソースをオーバーライドします。 詳細については、Windows LAPS ドキュメントの 「サポートされているポリシー ルート」を参照してください。

Windows LAPS は、LAPS ポリシーを使用して構成された管理者アカウント名に基づいてローカル管理者アカウントを作成できますか?

いいえ。 Windows LAPS では、デバイスに既に存在するアカウントのみを管理できます。 ポリシーで、デバイスに存在しないアカウントを名前で指定した場合、ポリシーは適用され、エラーは報告されません。 ただし、アカウントはバックアップされません。

Windows LAPS は、Microsoft Entraで無効になっているデバイスのパスワードをローテーションしてバックアップしますか?

いいえ。 Windows LAPS では、パスワードのローテーションとバックアップ操作を適用する前に、デバイスが有効な状態である必要があります。

Microsoft Entraでデバイスが削除されるとどうなりますか?

Microsoft Entraでデバイスが削除されると、そのデバイスに関連付けられた LAPS 資格情報が失われ、Microsoft Entra IDに格納されているパスワードが失われます。 LAPS パスワードを取得して外部に保存するカスタム ワークフローがない限り、削除されたデバイスの LAPS 管理パスワードを回復する方法はMicrosoft Entra IDにありません。

LAPS パスワードを回復するために必要なロールは何ですか?

次の組み込みロールMicrosoft Entraロールには、LAPS パスワードを回復するためのアクセス許可があります。グローバル 管理、Cloud Device 管理、Intune Service 管理。

LAPS メタデータを読み取るために必要なロールは何ですか?

デバイス名、最後のパスワード ローテーション、次のパスワード ローテーションなど、LAPS に関するメタデータを表示するには、グローバル 管理、Cloud Device 管理、Intune Service 管理、ヘルプデスク 管理、セキュリティ リーダー、セキュリティ 管理、グローバル リーダーなどの組み込みロールがサポートされています。

[ローカル管理者パスワード] ボタンが灰色表示され、アクセスできないのはなぜですか?

現時点では、この領域へのアクセスには、ローカル管理者パスワードのローテーション Intune アクセス許可が必要です。 Microsoft Intuneについては、「ロールベースのアクセス制御」を参照してください。

ポリシーで指定されたアカウントが変更された場合はどうなりますか?

Windows LAPS では一度に 1 つのデバイス上のローカル管理者アカウントのみを管理できるため、元のアカウントは LAPS ポリシーによって管理されなくなります。 ポリシーにデバイスがそのアカウントをバックアップしている場合、新しいアカウントがバックアップされ、前のアカウントの詳細は Intune 管理センター内またはアカウント情報を格納するために指定されたディレクトリから使用できなくなります。

次の手順