次の方法で共有

Windows LAPS アカウント管理モード

Windows ローカル管理者パスワード ソリューション (Windows LAPS) でサポートされるさまざまなアカウント管理モードについて説明します。

重要

Windows LAPS 自動アカウント管理機能は、Windows 11 24H2、Windows Server 2025 以降のリリースでのみサポートされています。

概要

Windows LAPS の主な目的は、ローカル Windows アカウントのパスワードを定期的にローテーションすることです。 このアカウントには、あらかじめ登録された Administrator アカウントまたはカスタムの新しいアカウントを指定できます。 IT 管理者には、ターゲット アカウントを構成および管理するための 2 つの異なるモード (手動と自動) があります。 どちらの方法も、長所と短所があります。

ターゲット アカウントを管理するには、2 つの異なるモードがあります。

手動アカウント管理モードが既定のモードです。 手動モードでは、IT 管理者は、Windows LAPS が管理および制御するパスワードを除く、マネージド アカウントのすべての側面の構成を担当します。

自動アカウント管理モードはオプションとしてのモードです。 自動モードでは、Windows LAPS は、必要に応じて基本的なアカウントの作成と削除、およびアカウントのパスワードを含む、マネージド アカウントのすべての側面の構成を担当します。

手動アカウント管理モード

手動モードが既定のモードです。 IT 管理者は、あらかじめ登録された Administrator アカウントを対象にするか、カスタムの新しいアカウントを対象にするかを選択できます。 この選択は、AdministratorAccountName ポリシー設定を使用して構成されます。 AdministratorAccountName 設定が空の場合は、あらかじめ登録された Administrator アカウントが管理されます。それ以外の場合は、AdministratorAccountName によってカスタム ローカル アカウントの名前が指定されます。

カスタム ローカル アカウントが指定されている場合、IT 管理者は、Windows LAPS を有効にする前にそのアカウントを作成する責任を負います。Windows LAPS では、このモードではアカウントは作成されません。 ローカル アカウントを作成する方法は多数あります。

  • アカウント CSP の構成
  • カスタム ポリシー駆動型管理スクリプトの展開
  • ベース OS イメージへのターゲット アカウントの追加。

これらのメカニズムにより複雑さが増し、自動アカウント管理モードを使用して回避できます。

このモードでは、ターゲット アカウントのパスワードは、偶発的または不注意な改ざんから保護されます。 その他のアカウント構成の変更はすべて許可されます。

自動アカウント管理モード

自動モードは既定ではオフです。 有効にすると、IT 管理者は次の詳細構成から選択できます。

  • あらかじめ登録された Administrator アカウントをターゲットにするか、カスタムの新しいアカウントをターゲットにするか
  • アカウントの名前
  • アカウントを有効にするか無効にするか
  • アカウントの名前をランダム化するかどうか

自動アカウント構成の詳細

自動モードが有効になっている場合、マネージド アカウントは次のように構成されます。

  • このアカウントは、ローカルの Administrators グループのメンバーです
  • パスワード不要の設定が無効になっている
  • パスワードの有効期限が切れないフラグが無効になっている
  • アカウントの説明は、Windows LAPS がアカウントを制御していることを示すように変更されます

自動アカウント管理のセキュリティの強化と考慮事項

他のユーザー アカウントと同様に、Windows ローカル アカウントは攻撃者にとって潜在的な脆弱性ベクトルを表します。 この脅威は Windows LAPS で管理されるアカウントにも存在しますが、Windows LAPS によって生成 (および定期的にローテーション) される非常に複雑なパスワードによって、大幅に軽減されます。 自動アカウント管理では、脅威の高い環境に対してより多くの保証が必要な場合に、脅威をさらに軽減できる 2 つの機能強化が提供されます。

  • まず、マネージド アカウントを無効な状態に維持すると、アカウントがパスワード スプレーや同様の攻撃の対象になる可能性が完全になくなります。 ただし、マネージド アカウントを無効な状態に保つことで摩擦が発生します。アカウントを使用するには、(GPO または MDM ポリシー操作を使用して) マネージド アカウントを有効にする必要があります。

  • 第 2 に、(アカウント名のランダム化を使用して) デバイスごとに一意のマネージド アカウント名を維持すると、攻撃者の仕事が困難になります。 攻撃者は、すべてのデバイスでどのアカウントを攻撃するかを事前に知る代わりに、特定のターゲット デバイス上のアカウントの名前を何らかの形で見つける必要があります。 IT スタッフは、組織全体の共通のマネージド アカウント名を知ることに依存しないようにトレーニングする必要があるため、ここではさらに摩擦があります。

セキュリティクリティカルな環境で Windows LAPS を展開する IT 管理者は、これらの機能を考慮する必要があります。 これらの機能を採用することで発生する摩擦が許容できるかどうかは、Windows LAPS で管理されるアカウントを使用する必要がある頻度と、特定の IT 環境のセキュリティ要件によって異なります。

ローカル アカウント管理ポリシーとの統合

Windows では、Windows ローカル グループのメンバーシップを管理するための複数のポリシーがサポートされています。

上記の各ポリシーは、指定されたローカル グループのすべてのメンバーを強制的に削除するために使用できる構成モードをサポートしています。 上記のポリシーでは、ローカルの Administrators グループから Windows LAPS 自動管理アカウントを削除しようとしても無視されるようになりました。

アカウントの改ざん防止

アカウントの改ざん防止は自動モードで拡張されます。 Windows LAPS は、自動的に管理されるアカウントのすべての構成に関する側面を制御します。 マネージド アカウントを変更する外部の試行はブロックされます。 IT 管理者は、管理アカウントを変更しようとするポリシーやスクリプトを作成すべきではありません。

アカウントを変更しようとする予期しない試行は、Windows LAPS によって拒否され、STATUS_POLICY_CONTROLLED_ACCOUNT (0xC000A08B) エラー、または ERROR_POLICY_CONTROLLED_ACCOUNT (0x21CE\8654) エラーが発生します。 各拒否には、Windows LAPS イベント ログ チャネルに関連するイベントがあります。 イベント 10101 から 10104 は、要求された変更の種類 (基本的な変更、セキュリティ記述子の変更、削除、またはローカルの Administrators グループからの削除) に対応してログに記録されます。

モードの選択

手動モードは、ターゲット アカウントの一意の構成や詳細な構成を必要とする状況に最適です。

自動モードは、要件の詳細度が低い状況に最適です。たとえば、管理特権を持つ基本構成でマネージド アカウントを使用して使用できるようにする必要がある場合などです。 自動モードでは、カスタムの新しいアカウントの作成もサポートされます。

機能 手動モード 自動モード
Windows LAPS によって制御されるパスワード はい はい
IT 管理者はアカウントをカスタマイズ可能 はい いいえ
アカウントの自動作成をサポート いいえ はい
アカウントの自動名前付けをサポート いいえ はい
自動アカウント有効化/無効化をサポート いいえ はい
自動アカウント名のランダム化をサポート いいえ はい
ローカル アカウント ポリシーとの統合をサポート いいえ はい

重要

ターゲット管理アカウントの一意の構成を必要とする (まれな) 状況を除き、お客様は常に自動アカウント管理モードを使用することをお勧めします。 さらに、カスタム アカウントを作成\ターゲットするように自動アカウント管理モードを構成し、組み込みの管理者アカウントを未使用のままにして無効な状態に維持することをお勧めします。

ディレクトリ サービス修復モードのアカウント管理

Windows LAPS では、ドメイン コントローラーのディレクトリ サービス修復モード アカウント (DSRM) のパスワードの管理がサポートされています。 この記事で説明する手動および自動アカウント管理モードは、DSRM アカウントには適用されません。

関連項目

次のステップ

さまざまなアカウント管理モードについて理解したら、これらの他のセクションを見てみましょう。