Windows LAPS とは
Windows ローカル管理者パスワード ソリューション (Windows LAPS) は、Microsoft Entra に参加しているデバイスまたは Windows Server Active Directory に参加しているデバイス上のローカル管理者アカウントのパスワードを自動的に管理し、バックアップする Windows の機能です。 また、Windows LAPS を使用して、Windows Server Active Directory ドメイン コントローラーのディレクトリ サービス復元モード (DSRM) アカウントのパスワードを自動的に管理およびバックアップすることもできます。 承認された管理者は DSRM パスワードを取得して使用できます。
Windows LAPS 対応プラットフォーム
Windows LAPS は、指定した更新プログラム以降がインストールされた次の OS プラットフォームで使用できるようになりました。
- Windows 11 22H2 - 2023 年 4 月 11 日の更新プログラム
- Windows 11 21H2 - 2023 年 4 月 11 日の更新プログラム
- Windows 10 - 2023 年 4 月 11 日の更新プログラム
- Windows Server 2022 - 2023 年 4 月 11 日の更新プログラム
- Windows Server 2019 - 2023 年 4 月 11 日の更新プログラム
上記のプラットフォームでサポートされているすべてのエディションは、LTSC エディションを含む Windows LAPS で更新されています。 Windows LAPS 機能の導入は、標準の Microsoft 製品ライフサイクル ポリシーを変更するものではありません。
Windows LAPS と Microsoft Entra ID
Microsoft Entra ID と Microsoft Intune のサポートを備えた Windows LAPS は、2023 年 10 月 23 日の時点で一般提供されています。 詳細については、「Microsoft Entra ID を使用した Windows ローカル管理者パスワード ソリューションが一般公開されました!」および「Microsoft Entra ID の Windows ローカル管理者パスワード ソリューション」を参照してください。
Windows LAPS を使用する利点
Windows LAPS を使用すると、ローカル管理者アカウントのパスワードを定期的にローテーションして管理し、次の利点を得ることができます。
- pass-the-hash と lateral-traversal の攻撃に対する保護
- リモート ヘルプ デスク シナリオのセキュリティの強化
- アクセスできないデバイスにサインインして回復できる
- Windows Server Active Directory に格納されているパスワードをセキュリティで保護するための詳細なセキュリティ モデル (アクセス制御リストとオプションのパスワード暗号化)
- Microsoft Entra ID に格納されているパスワードをセキュリティで保護するための Entra ロールベースのアクセス制御モデルのサポート
情報ビデオ
次のビデオでは、Windows LAPS 機能の詳細について説明します。
Windows Technical Takeoff プレゼンテーション (2022 年 11 月):
Windows Tackling Tech に関するディスカッション (2023 年 8 月):
Windows LAPS の主要なシナリオ
Windows LAPS は、いくつかの主要なシナリオで使用できます。
ローカル管理者アカウントのパスワードを Microsoft Entra ID にバックアップする (Microsoft Entra 参加済みデバイスの場合)
ローカル管理者アカウントのパスワードを Windows Server Active Directory にバックアップする (Windows Server Active Directory に参加済みのクライアントとサーバーの場合)
DSRM アカウントのパスワードを Windows Server Active Directory にバックアップする (Windows Server Active Directory ドメイン コントローラーの場合)
レガシ Microsoft LAPS を使用してローカル管理者アカウントのパスワードを Windows Server Active Directory にバックアップする
シナリオごとに、異なるポリシー設定を適用できます。
デバイスの参加状態の制限について
デバイスが参加しているのが Microsoft Entra ID か、Windows Server Active Directory かによって、Windows LAPS の使用方法が決まります。
Microsoft Entra ID にのみ 参加しているデバイスは、Microsoft Entra ID にのみパスワードをバックアップできます。
Windows Server Active Directory にのみ参加しているデバイスは、パスワードを Windows Server Active Directory にのみバックアップできます。
ハイブリッド参加 (Microsoft Entra ID と Windows Server Active Directory の両方に参加している) のデバイスは、パスワードを Azure Active Directory にバックアップできます。 Microsoft Entra ID と Windows Server Active Directory の両方にパスワードをバックアップすることはできません。
Windows LAPS は、Microsoft Entra ワークプレイスに参加しているクライアントをサポートしていません。
Windows LAPS ポリシーを設定する
Windows LAPS 展開のポリシーを設定および管理するには、複数のオプションがあります。
Windows LAPS の管理と監視
Windows LAPS を管理および監視するためのさまざまなオプションもあります。
Windows のオプションは次のとおりです。
- Windows Server Active Directory ユーザーとコンピューターの [プロパティ] ダイアログ
- 専用のイベント ログ チャネル
- Windows LAPS に固有の Windows PowerShell モジュール
パスワードを Microsoft Entra ID にバックアップすると、Azure ベースの監視およびレポート ソリューションが利用可能になります。
従来の Microsoft LAPS 製品の非推奨化
重要
注: 従来の Microsoft LAPS 製品 は、Windows 11 23 H2 以降では非推奨となりました。 従来の Microsoft LAPS MSI パッケージのインストールは、新しい OS バージョンではブロックされ、Microsoft は従来の Microsoft LAPS 製品のコード変更を考慮しなくなります。
ローカル管理者アカウントのパスワードを管理するために、Windows Server 2019 以降、サポートされている Windows 10 および Windows 11 クライアントで使用できる Windows LAPS を使用してください。
Microsoft は、以前にサポートされていた Windows の旧バージョン (Windows 11 23 H2 以前のバージョン) で従来の Microsoft LAPS 製品を引き続きサポートします。 そのサポートは、これらの OS の通常のサポート終了時に終了します。
Windows LAPS とレガシ Microsoft LAPS の比較
Windows LAPS は、レガシ Microsoft LAPS から多くの設計概念を継承しています。 レガシ Microsoft LAPS に精通していれば、多くの Windows LAPS 機能にも精通しているでしょう。 主な違いは、Windows LAPS は、Windows にネイティブな完全に独立した実装であるということです。 Windows LAPS には、レガシ Microsoft LAPS では使用できない多くの機能も追加されています。 Windows LAPS を使用すると、Azure Active Directory にパスワードをバックアップし、Windows Server Active Directory でパスワードを暗号化し、パスワード履歴を保存できます。
重要
Windows LAPS では、レガシ Microsoft LAPS をインストールする必要はありません。 レガシ Microsoft LAPS をインストールしたり参照したりすることなく、すべての Windows LAPS 機能を完全に展開して使用できます。 ただし、既存のレガシ Microsoft LAPS 展開の移行に役立つように、Windows LAPS には、レガシ Microsoft LAPS エミュレーション モードが用意されています。
重要
従来の Microsoft LAPS 製品は、新しい Microsoft OS バージョンでは非推奨です。「従来の Microsoft LAPS 製品の非推奨化」を参照してください。
サポートに関する声明
Microsoft は 2016 年に Microsoft ダウンロード センターで、Microsoft LAPS のレガシ製品をリリースしました。 Windows LAPS と Microsoft Entra ID に記載されている プラットフォーム用として 2023 年 4 月 11 日にリリースされた Windows 更新プログラムの一部として Windows LAPS はリリースされました。
Microsoft とそのサポート配信組織では、Microsoft LAPS と Windows LAPS の両方 (この 2 つの製品間の相互運用を含む) のサポートを提供しています。
重要
従来の Microsoft LAPS 製品は、新しい Microsoft OS バージョンでは非推奨です。「従来の Microsoft LAPS 製品の非推奨化」を参照してください。
Microsoft は、Windows LAPS 対応システムを、従来の Microsoft LAPS から新しい Windows LAPS 機能に移行する計画を開始することを強くお勧めします。 Windows LAPS には、多くの新しいセキュリティ機能と改善された製品サービスが用意されています。
サード パーティのローカル アカウント パスワード管理ツールと Windows LAPS の間の制限事項や相互運用性に関する問題については、Microsoft ではなくサード パーティのアプリケーション開発者に問い合わせてください。
ライセンスの要件
Windows LAPS 機能自体は、サポートされているすべての Windows プラットフォームで無料で利用できます。
パスワードは、他のライセンス要件なしでオンプレミスの Active Directory にバックアップできます。
Microsoft Entra ID Free 以上のライセンスを使用して、Microsoft Entra ID にパスワードをバックアップできます。
その他の Azure または Intune 関連の機能に、他のライセンス要件がある場合があります。
フィードバックの送信
弊社に対するフィードバックを歓迎いたします。 これらのドキュメント ページの下部にあるフィードバック リンクから、ドキュメント固有の質問を自由に送信してください。
また、Windows LAPS フィードバック Tech Community ページから、フィードバックやその他のリクエストを送信することもできます。
フィードバックが Microsoft Entra ID または Intune 関連の LAPS 機能に固有の事柄の場合は、Microsoft Entra フィードバック フォーラムを通じてフィードバックを送信できます。
フィードバックの送信先がわからない場合は、上記のいずれかのオプションを使用して送信してください。
関連項目
- Microsoft Entra ID での Windows Local Administrator Password Solution
- Microsoft Entra ID での Windows Local Administrator Password Solution
- Microsoft Entra ID を使用した Windows ローカル管理者パスワード ソリューションが一般公開されました!
- Microsoft Entra ID の Windows ローカル管理者パスワード ソリューション。
- Windows LAPS の Microsoft Intune サポート
- Windows LAPS CSP
- Windows LAPS のトラブルシューティング ガイダンス
- LAPS PowerShell モジュールの参照
- レガシ Microsoft LAPS