Windows LAPS に関してよく寄せられる質問

この記事では、Windows ローカル管理者パスワード ソリューション (Windows LAPS) に関してよく寄せられる多くの質問に対する回答を示します。

General

Windows LAPS とサイド バイ サイドでサード パーティのローカル アカウント パスワード マネージャー製品を実行することはサポートされていますか?

はい。このシナリオは、次の条件でサポートされています。 異なるローカル アカウントを管理するには、Windows LAPS とサード パーティ製品を構成する必要があります。 同じアカウントを管理するように両方を誤って構成した場合、Windows LAPS はサード パーティ製品によるアカウントのパスワード変更の試行を拒否します。 アカウントパスワード改ざん防止を参照してください。

Windows LAPS によって現在管理されているローカル管理者アカウントのパスワードを変更できないのはなぜですか?

Windows LAPS を使用すると、マネージド アカウントのパスワードが誤って変更されたり、誤って変更されたりするのを防ぐことができます。 この保護は、ディレクトリに格納されているパスワードがデバイスにローカルに格納されているパスワードと一致しない破損状態の状況を防ぐのに役立ちます。 アカウントパスワード改ざん防止を参照してください。

Windows LAPS PowerShell モジュールが GitHub、PowerShell ギャラリー、または同様にホストされていないのはなぜですか?

Windows LAPS PowerShell モジュールは Windows の一部であり、オペレーティング システムの外部では使用できません。

Windows LAPS PowerShell モジュールを古いオペレーティング システムにコピーするにはどうすればよいですか?

このシナリオはサポートされていません。

未回答の質問や機能要求を送信するにはどうすればよいですか?

「 フィードバックの送信」を参照してください。

Windows LAPS イベント ログにエラーが表示される - どのように修正すればよいですか?

Windows LAPS トラブルシューティング ガイダンスを参照してください。

Microsoft では、パスワードレスの戦略と方向性を推進しています。 Windows LAPS のようなパスワードベースの機能が Windows に追加されたのはなぜですか?

すべての Windows LAPS シナリオには、ヘルプ デスク タスク、デバイスの回復、およびその他のシナリオで使用するための Windows ローカル アカウントのパスワードの管理が含まれます。 Windows ではローカル アカウントのパスワード ベースの認証のみがサポートされているため、パスワード管理が必要です。

Windows LAPS と Active Directory

ドメインが古いドメイン コントローラーを実行している場合でも、Windows LAPS を展開して使用できますか?

はい。いくつかの制限があります。 ドメイン機能レベルとドメイン コントローラーのバージョン要件を参照してください。

ドメインがまだ Windows Server 2016 ドメイン機能レベルでない場合でも、Windows LAPS を展開して使用できますか?

はい。いくつかの制限があります。 ドメイン機能レベルとドメイン コントローラーのバージョン要件を参照してください。

Windows LAPS スキーマ拡張機能を使用してフォレストのスキーマを拡張するには、Windows Server 2022 または 2019 DC を展開する必要がありますか?

いいえ - Windows LAPS 機能で更新されたオペレーティング システムから Update-LapsADSchema コマンドレットを実行できます。 唯一の要件は、クライアント資格情報に Active Directory スキーマの変更が許可されていることです。 「Windows Server Active Directory スキーマの更新」を参照してください。

Windows LAPS 対応 Active Directory ユーザーとコンピューター スナップインを古いオペレーティング システムにコピーするにはどうすればよいですか?

このシナリオはサポートされていません。

RSAT をインストールしても、新しい LAPS 対応 Active Directory ユーザーとコンピューター のスナップインが表示されない場合

新しいスナップインは、サポートされている Windows LAPS プラットフォームの RSAT の Windows インボックス バージョンでのみ使用できます。 Windows LAPS スナップインの可用性を参照してください。

GPO セントラル ストアに新しい Windows LAPS ポリシーが表示されないのはなぜですか?

新しい Windows LAPS ポリシーは、GPO セントラル ストアの一部として自動的にインストールされません。 グループ ポリシー オブジェクトのセントラル ストアを参照してください。

致命的な AD 災害シナリオ中に Windows LAPS パスワードを使用できますか?

はい。AD ドメイン コントローラーデータベースのバックアップが定期的に作成および管理されていると仮定します。 詳細については、「Active Directory ディザスター リカバリー シナリオ中にパスワードを取得する」を参照してください。

従来の Microsoft LAPS を Windows LAPS とサイド バイ サイドで実行することはサポートされていますか?

はい。このシナリオは、次の条件でサポートされています。 新しい Windows LAPS ポリシーを構成する必要があります。また、Windows LAPS とレガシ LAPS を構成して、異なるローカル アカウントを管理するように注意する必要があります。

サポートされていない値で Windows LAPS ポリシー設定を誤って構成した場合はどうなりますか?

Windows LAPS の既定のポリシー値を参照してください。

古いオペレーティング システムでは新しいパスフレーズ関連の PasswordComplexity 設定 (6- 8) がサポートされていないため、Windows 11 24H2 でのみ使用できるパスフレーズを有効にするにはどうすればよいですか?

このシナリオには 2 つのオプションがあります。 古い OS が既定の設定にフォールバックすることを許可するか、2 つのポリシーを作成します。 Windows LAPS の既定のポリシー値を参照してください。

Windows LAPS と Microsoft Entra ID

Microsoft Entra に参加しているデバイスで、パスワードを Microsoft Entra ID に投稿しようとするとエラーが発生するのはなぜですか?

これが Microsoft Entra テナントの LAPS 機能を有効にすることを忘れる最も一般的な理由です。 Microsoft Entra IDを使用した Windows LAPS の有効化 を参照してください。

Microsoft Entra ID へのパスワードのバックアップのみを計画している場合は、フォレストのスキーマを拡張する必要がありますか?

No.

Windows LAPS を使用するには Intune が必要ですか?

No. Windows LAPS は、Intune なしで Active Directory モードまたは Microsoft Entra モードで展開して使用できます。 Intune には、Windows LAPS シナリオに多くの利点があります (大規模なポリシーの展開、監視、パスワード リセット アクションのサポートなど)。

Windows LAPS を使用するには Microsoft Entra Connect が必要ですか?

No. これら 2 つの機能の間に依存関係はありません。 ハイブリッド環境 Windows LAPS と Microsoft Entra Connectを参照してください。

Microsoft Entra ID と AD の両方にパスワードをバックアップするようにハイブリッド参加済みデバイスを構成するにはどうすればよいですか?

このシナリオはサポートされていません。 パスワードは、一度に 1 つのディレクトリにのみバックアップできます。

Windows LAPS をサポートする特定の Azure クラウドはどれですか?

サポートされている特定のクラウドの詳細については、Microsoft Entra ID の Windows ローカル管理者パスワード ソリューションの と、Windows LAPS に対する Microsoft Intune のサポートを する方法に関するページを参照してください。

Microsoft Entra Domain Services は Windows LAPS をサポートしていますか?

Microsoft Entra Domain Services は現在、Windows LAPS をサポートしていません。

Microsoft Entra ID に格納されている場合、Windows LAPS パスワードはどのように保護されますか?

Windows LAPS パスワードは、マネージド デバイスからクラウドに送信されるときに、常に転送中 (https) で保護されます。 クラウドに格納されている Windows LAPS パスワードは、常に AES256 で暗号化されます。 暗号化解除キーは、ストレージやクエリ操作中などにクリア テキスト パスワードを実際に処理する技術的なニーズがある Microsoft Entra の内部サービスでのみ使用できます。 この暗号化レイヤーは Windows LAPS パスワードに固有であり、既定の Microsoft Entra データ保護メカニズムに加えて常に有効になります。Microsoft Entra データ セキュリティに関する考慮事項参照してください。

Windows Autopilot の事前プロビジョニング ワークフロー中に、イベント ログに 20000 の警告イベントが表示されます。この問題を解決するにはどうすればよいですか?

デバイスが参加していないと思われる場合、Windows LAPS CSP は MDM 構成ディレクティブを拒否します。 この状態が発生すると、CSP は Windows LAPS 操作イベント ログにイベント ID 20000 を記録します。 Autopilot が Microsoft Entra からデバイスの参加を解除すると、Autopilot の事前プロビジョニング ワークフローの技術者フロー フェーズ中に、これらのイベントの 1 つ以上が表示されることがあります。

この状況は、デバイスが Microsoft Entra に再び参加するときに、Autopilot プロビジョニングの後のユーザー フロー フェーズ中に解決されます。 その時点で、Windows LAPS は完全に機能し、Microsoft Entra へのパスワードのバックアップを開始します。

この問題は、事前プロビジョニング以外の他の Autopilot シナリオには影響しません。 前述のように、Autopilot の事前プロビジョニング ワークフローで表示される場合、CSP 警告イベントは無視する必要があります。

Intuneでの事前プロビジョニングされた展開の Microsoft Entra 参加については、Windows Autopilot の ステップ バイ ステップ チュートリアルを参照してください。

Next steps

Windows LAPS の詳細については、その他のリソースをいくつか紹介します。

• Windows Server Active Directory の Windows LAPS スキーマと権限拡張機能を する
• Windows LAPS イベント ログ を使用する
• 従来の Microsoft LAPS を する

この記事では、Windows ローカル管理者パスワード ソリューション (Windows LAPS) に関してよく寄せられる多くの質問に対する回答を示します。

はい。このシナリオは、次の条件でサポートされています。 異なるローカル アカウントを管理するには、Windows LAPS とサード パーティ製品を構成する必要があります。 同じアカウントを管理するように両方を誤って構成した場合、Windows LAPS はサード パーティ製品によるアカウントのパスワード変更の試行を拒否します。 アカウントパスワード改ざん防止を参照してください。

Windows LAPS を使用すると、マネージド アカウントのパスワードが誤って変更されたり、誤って変更されたりするのを防ぐことができます。 この保護は、ディレクトリに格納されているパスワードがデバイスにローカルに格納されているパスワードと一致しない破損状態の状況を防ぐのに役立ちます。 アカウントパスワード改ざん防止を参照してください。

Windows LAPS PowerShell モジュールは Windows の一部であり、オペレーティング システムの外部では使用できません。

このシナリオはサポートされていません。

「 フィードバックの送信」を参照してください。

Windows LAPS トラブルシューティング ガイダンスを参照してください。

すべての Windows LAPS シナリオには、ヘルプ デスク タスク、デバイスの回復、およびその他のシナリオで使用するための Windows ローカル アカウントのパスワードの管理が含まれます。 Windows ではローカル アカウントのパスワード ベースの認証のみがサポートされているため、パスワード管理が必要です。

はい。いくつかの制限があります。 ドメイン機能レベルとドメイン コントローラーのバージョン要件を参照してください。

はい。いくつかの制限があります。 ドメイン機能レベルとドメイン コントローラーのバージョン要件を参照してください。

いいえ - Windows LAPS 機能で更新されたオペレーティング システムから Update-LapsADSchema コマンドレットを実行できます。 唯一の要件は、クライアント資格情報に Active Directory スキーマの変更が許可されていることです。 「Windows Server Active Directory スキーマの更新」を参照してください。

このシナリオはサポートされていません。

新しいスナップインは、サポートされている Windows LAPS プラットフォームの RSAT の Windows インボックス バージョンでのみ使用できます。 Windows LAPS スナップインの可用性を参照してください。

新しい Windows LAPS ポリシーは、GPO セントラル ストアの一部として自動的にインストールされません。 グループ ポリシー オブジェクトのセントラル ストアを参照してください。

はい。AD ドメイン コントローラーデータベースのバックアップが定期的に作成および管理されていると仮定します。 詳細については、「Active Directory ディザスター リカバリー シナリオ中にパスワードを取得する」を参照してください。

はい。このシナリオは、次の条件でサポートされています。 新しい Windows LAPS ポリシーを構成する必要があります。また、Windows LAPS とレガシ LAPS を構成して、異なるローカル アカウントを管理するように注意する必要があります。

Windows LAPS の既定のポリシー値を参照してください。

このシナリオには 2 つのオプションがあります。 古い OS が既定の設定にフォールバックすることを許可するか、2 つのポリシーを作成します。 Windows LAPS の既定のポリシー値を参照してください。

これが Microsoft Entra テナントの LAPS 機能を有効にすることを忘れる最も一般的な理由です。 Microsoft Entra IDを使用した Windows LAPS の有効化 を参照してください。

No.

No. Windows LAPS は、Intune なしで Active Directory モードまたは Microsoft Entra モードで展開して使用できます。 Intune には、Windows LAPS シナリオに多くの利点があります (大規模なポリシーの展開、監視、パスワード リセット アクションのサポートなど)。

No. これら 2 つの機能の間に依存関係はありません。 ハイブリッド環境 Windows LAPS と Microsoft Entra Connectを参照してください。

このシナリオはサポートされていません。 パスワードは、一度に 1 つのディレクトリにのみバックアップできます。

サポートされている特定のクラウドの詳細については、Microsoft Entra ID の Windows ローカル管理者パスワード ソリューションの と、Windows LAPS に対する Microsoft Intune のサポートを する方法に関するページを参照してください。

Microsoft Entra Domain Services は現在、Windows LAPS をサポートしていません。

Windows LAPS パスワードは、マネージド デバイスからクラウドに送信されるときに、常に転送中 (https) で保護されます。 クラウドに格納されている Windows LAPS パスワードは、常に AES256 で暗号化されます。 暗号化解除キーは、ストレージやクエリ操作中などにクリア テキスト パスワードを実際に処理する技術的なニーズがある Microsoft Entra の内部サービスでのみ使用できます。 この暗号化レイヤーは Windows LAPS パスワードに固有であり、既定の Microsoft Entra データ保護メカニズムに加えて常に有効になります。Microsoft Entra データ セキュリティに関する考慮事項参照してください。

デバイスが参加していないと思われる場合、Windows LAPS CSP は MDM 構成ディレクティブを拒否します。 この状態が発生すると、CSP は Windows LAPS 操作イベント ログにイベント ID 20000 を記録します。 Autopilot が Microsoft Entra からデバイスの参加を解除すると、Autopilot の事前プロビジョニング ワークフローの技術者フロー フェーズ中に、これらのイベントの 1 つ以上が表示されることがあります。

この状況は、デバイスが Microsoft Entra に再び参加するときに、Autopilot プロビジョニングの後のユーザー フロー フェーズ中に解決されます。 その時点で、Windows LAPS は完全に機能し、Microsoft Entra へのパスワードのバックアップを開始します。

この問題は、事前プロビジョニング以外の他の Autopilot シナリオには影響しません。 前述のように、Autopilot の事前プロビジョニング ワークフローで表示される場合、CSP 警告イベントは無視する必要があります。

Intuneでの事前プロビジョニングされた展開の Microsoft Entra 参加については、Windows Autopilot の ステップ バイ ステップ チュートリアルを参照してください。

Next steps

Windows LAPS の詳細については、その他のリソースをいくつか紹介します。

• Windows Server Active Directory の Windows LAPS スキーマと権限拡張機能を する
• Windows LAPS イベント ログ を使用する
• 従来の Microsoft LAPS を する