Intune での LAPS ポリシーのレポート

デバイスに Windows LAPS 用の Microsoft Intune ポリシーが割り当てられたら、Microsoft Intune 管理センター内からポリシーの詳細を表示できます。 LAPS のレポートには、LAPS ポリシーが割り当てられているデバイスとユーザー、成功、エラー、競合などのポリシー設定の状態、割り当てられたポリシーのデバイスステータスの送信を保留しているデバイスの詳細が含まれます。

Windows LAPS ポリシーのレポートは、アカウント保護ポリシーのエンドポイント セキュリティ ノードにあります。 Intune 管理センターの [レポート] ノードには、Windows LAPS 専用のレポートがありません。

LAPS ポリシー レポート

LAPS ポリシー レポートを使用すると、LAPS ポリシーの構成と割り当てを表示したり、デバイスがポリシーを適用できない競合の原因をドリルインして特定したりできます。

レポートを使用するには、Intune 管理センターにサインインし、[アカウント保護ポリシー] ノードに移動します。 (エンドポイント セキュリティ>アカウント保護)。 ここでは、 ローカル管理者パスワード ソリューション (Windows LAPS) プロファイルを使用する LAPS のポリシーなど、すべてのアカウント保護ポリシーの一覧を表示できます。 [ ポリシーの種類 ] 列でプロファイルを識別できます。

ポリシーの一覧から任意の行を選択すると、Intune には次のようなそのポリシーの詳細が表示されます。

• ポリシーが対象 とするデバイスの数を表示し、状態 を正常に報告したり、エラーや競合を発生させたりする、デバイスとユーザーのチェックイン状態の概要。

• [ レポートの表示] というラベルが付いたリンク。ポリシーが割り当てられている各デバイスまたはユーザーの詳細レポートが開きます。 このレポートは、ポリシーの構成を理解し、ポリシーがデバイスに適用されない可能性がある競合の原因を特定するのに役立ちます。

• 各ポリシーには、LAPS レポートの特定の側面を調査するために使用できるタイルが含まれています。

  • [デバイスの割り当ての状態 ] - このタイルを使用すると、割り当て状態のサブセットの詳細を確認するために使用できるカスタマイズされたレポートが開きます。たとえば、 状態が [成功]、[ 競合]、[デバイス] の状態が [保留中 ] で、まだ状態を報告していないデバイスなどです。

    このレポート オプションを使用するには、1 つ以上の 割り当て状態 オプションを選択し、 もう一度 [生成 ] を選択して、現在の詳細のレポートを実行します。

    表示される結果は、[ レポートの表示 ] オプションから使用できる結果のサブセットです。 このカスタム ビューには、このレポートで選択された選択した割り当て状態に関する詳細情報を表示するために、デバイスの詳細にドリルインするためのサポートが含まれています。

  • 設定の状態ごと - ポリシーの各設定を一覧表示するレポート、および設定の適用に成功したデバイスの数、エラー、または競合があるデバイスの数。 このレポート ビューでは、詳細なドリルインはサポートされていません。

次の図は、 LAPSSHTest という名前のポリシー インスタンスを表示しています。 このポリシーは、[ レポートの表示 ] ボタンを使用して詳細をドリルインすることで学習できる内容を確認するときに使用します。

ポリシーの詳細を表示するときに、[ レポートの表示 ] ボタンを選択して、ポリシーが割り当てられている各デバイスを識別する一覧を表示します。 デバイスの一覧には、次の情報が含まれています。

• デバイス名 - このポリシーが割り当てられているデバイス。

• ログインユーザー - ポリシーが最後に報告された状態の時点でデバイスにログインしたユーザーの名前を識別します。

• チェックインの状態 - デバイスのポリシーの状態。 次の例では、デバイスに [競合] の状態が表示されます。 競合は、このデバイスに割り当てられている 1 つ以上の他のポリシーが、設定に異なる構成を使用することを示します。

• Filter

• 最終レポートの変更時刻 – ポリシーが最後に更新されたとき。

次の図では、ポリシーの例が 1 つのデバイスに割り当てられていることがわかります。 このビューには、デバイスの チェックイン状態に関する競合も表示されます。

[デバイス名] 列からデバイスの 名前 を選択すると、そのデバイスに割り当てられている設定の詳細が Intune に表示されます。 次の図では、選択したデバイスに 2 つの設定が割り当てられていることがわかります。 2 つの設定のうち、[設定の状態] 列に従って パスワードの有効期間 が競合しているとして識別されます。 [設定名] 列から設定を選択すると、Intune によって [設定の詳細] ウィンドウが開き、その設定の詳細を表示できます。

次の図では、[ パスワードの有効期間] が選択されているため、競合の詳細を確認できます。

[設定の詳細] ウィンドウには、選択した設定である [パスワードの有効期間] が、 LAPSSHTest (表示されているプロファイル) という名前の 2 つのプロファイルと、 Lapsshtestapril という名前の 2 つのプロファイルによって構成されていることが表示されます。

競合している ソース プロファイル が名前で識別されたので、ポリシーの一覧に戻って 、パスワードの有効期間を表示し、それぞれから設定し、競合を解決できます。

イベントと監査ログ

Intune ポリシーを使用して Windows LAPS を管理すると、次のイベントが監査され、Microsoft Entra ID に記録されます。

• ポリシーによって管理されるパスワードの自動ローテーション
• デバイス アクションを使用した手動のパスワードローテーション。
• アカウントのパスワードの表示を要求します。

Microsoft Entra イベント ログの詳細については、「 Microsoft Entra 監査ログとは」を参照してください。

次の手順

• LAPS の Intune ポリシーの概要
• LAPS のポリシーを作成する
• Intune でのエンドポイント セキュリティのアカウント保護ポリシー