Windows ローカル管理者パスワード ソリューション (Windows LAPS) は、Microsoft Entra 参加済みデバイスまたは Windows Server Active Directory 参加済みデバイス上のローカル管理者アカウントのパスワードを自動的に管理およびバックアップする Windows 機能です。 また、Windows LAPS を使用して、Windows Server Active Directory ドメイン コントローラーのディレクトリ サービス復元モード (DSRM) アカウントのパスワードを自動的に管理およびバックアップすることもできます。 承認された管理者は DSRM パスワードを取得して使用できます。
Windows LAPS でサポートされているプラットフォーム
Windows LAPS は、次の OS プラットフォームで利用できます。
Windows クライアント
- Windows 11 23H2 以降。
- 2023 年 4 月 11 日以降の更新プログラムを受け取った他のバージョンの Windows クライアントには、次のものが含まれます。
注
自動アカウント管理 CSP の設定には、Windows 11 24H2 以降が必要です。
Windows Server
- Windows Server 2025 以降。
- Windows Server Annual Channel for Containers、23H2以降。
- 2023 年 4 月 11 日以降の更新プログラムを受け取ったその他のバージョンの Windows Server には、次のものが含まれます。
これらのプラットフォームでサポートされているすべてのエディションは、長期サービス チャネル (LTSC) エディションを含め、Windows LAPS で更新されています。 Windows LAPS 機能を導入しても、標準の Microsoft 製品ライフサイクル ポリシーは変更されません。
Windows LAPS と Microsoft Entra ID
Microsoft Entra ID と Microsoft Intune のサポートを備えた Windows LAPS は、2023 年 10 月 23 日の時点で一般公開されています。 詳細については、 Microsoft Entra ID が一般公開された Windows ローカル管理者パスワード ソリューション と、 Microsoft Entra ID の Windows ローカル管理者パスワード ソリューションを参照してください。
Windows LAPS を使用する利点
Windows LAPS を使用すると、ローカル管理者アカウントのパスワードを定期的にローテーションして管理し、次の利点を得ることができます。
- pass-the-hash と lateral-traversal の攻撃に対する保護
- リモート ヘルプ デスク シナリオのセキュリティの強化
- アクセスできないデバイスにサインインして回復できる
- Windows Server Active Directory に格納されているパスワードをセキュリティで保護するための詳細なセキュリティ モデル (アクセス制御リストとオプションのパスワード暗号化)
- Microsoft Entra ID に格納されているパスワードをセキュリティで保護するための Microsoft Entra ロールベースのアクセス制御モデルのサポート
情報ビデオ
次のビデオでは、Windows LAPS 機能の詳細を確認するための有益な方法を提供します。
Windows Technical Takeoff プレゼンテーション (2022 年 11 月):
Windows Tackling Tech に関するディスカッション (2023 年 8 月):
Windows LAPS の主要なシナリオ
Windows LAPS は、いくつかの主要なシナリオで使用できます。
ローカル管理者アカウントのパスワードを Microsoft Entra ID にバックアップする (Microsoft Entra 参加済みデバイスの場合)
ローカル管理者アカウントのパスワードを Windows Server Active Directory にバックアップする (Windows Server Active Directory に参加済みのクライアントとサーバーの場合)
DSRM アカウントのパスワードを Windows Server Active Directory にバックアップする (Windows Server Active Directory ドメイン コントローラーの場合)
レガシ Microsoft LAPS を使用してローカル管理者アカウントのパスワードを Windows Server Active Directory にバックアップする
シナリオごとに、異なるポリシー設定を適用できます。
デバイスの参加状態の制限について
デバイスが参加しているのが Microsoft Entra ID か、Windows Server Active Directory かによって、Windows LAPS の使用方法が決まります。
- Microsoft Entra ID にのみ 参加しているデバイスは、Microsoft Entra ID にのみパスワードをバックアップできます。
- Windows Server Active Directory にのみ参加しているデバイスは、パスワードを Windows Server Active Directory にのみバックアップできます。
- ハイブリッド参加済み (Microsoft Entra ID と Windows Server Active Directory の両方に参加している) デバイスは、Microsoft Entra ID または Windows Server Active Directory にパスワードをバックアップできます。
Microsoft Entra ID と Windows Server Active Directory の両方にパスワードをバックアップすることはできません。
Windows LAPS は、Microsoft Entra ワークプレイスに参加しているクライアントをサポートしていません。
Windows LAPS ポリシーを設定する
Windows LAPS 展開のポリシーを設定および管理するには、複数のオプションがあります。
Windows LAPS の管理と監視
Windows LAPS を管理および監視するためのさまざまなオプションもあります。
Windows のオプションは次のとおりです。
- [Windows Server Active Directory ユーザーとコンピューターのプロパティ] ダイアログ。
- 専用のイベント ログ チャネル。
- Windows LAPS に固有の Windows PowerShell モジュール。
Microsoft Entra ID にパスワードをバックアップするときに、Entra ベースの監視およびレポート ソリューションを使用できます。
従来の Microsoft LAPS 製品の廃止
Important
従来の Microsoft LAPS 製品は、Windows 11 23H2 以降では非推奨となっています。 従来の Microsoft LAPS Microsoft Installer (MSI) パッケージのインストールは、新しい OS バージョンではブロックされ、Microsoft は従来の Microsoft LAPS 製品のコード変更を考慮しなくなりました。
Windows LAPS を使用して、ローカル管理者アカウントのパスワードを管理します。 Windows LAPS は、Windows Server 2019 以降、およびサポートされている Windows 10 および Windows 11 クライアントで使用できます。
Microsoft は、以前にサポートされていた古いバージョンの Windows (Windows 11 23H2 より前) で、従来の Microsoft LAPS 製品を引き続きサポートします。 そのサポートは、これらの OS バージョンの通常のサポートが終了した時点で終了します。
Windows LAPS とレガシ Microsoft LAPS の比較
Windows LAPS は、レガシ Microsoft LAPS から多くの設計概念を継承しています。 レガシ Microsoft LAPS に精通していれば、多くの Windows LAPS 機能にも精通しているでしょう。 主な違いは、Windows LAPS は、Windows にネイティブな完全に独立した実装であるということです。 Windows LAPS には、レガシ Microsoft LAPS では使用できない多くの機能も追加されています。 Windows LAPS を使用すると、Microsoft Entra ID へのパスワードのバックアップ、Windows Server Active Directory でのパスワードの暗号化、パスワード履歴の保存を行うことができます。
Important
Windows LAPS では、レガシ Microsoft LAPS をインストールする必要はありません。 レガシ Microsoft LAPS をインストールしたり参照したりすることなく、すべての Windows LAPS 機能を完全に展開して使用できます。 ただし、既存のレガシ Microsoft LAPS 展開の移行に役立つように、Windows LAPS には、レガシ Microsoft LAPS エミュレーション モードが用意されています。
Important
従来の Microsoft LAPS 製品は、新しい Microsoft OS バージョンでは非推奨となっています。 詳細については、「 従来の Microsoft LAPS 製品の廃止」を参照してください。
サポート に関する声明
Microsoft は 2016 年に Microsoft ダウンロード センターで、Microsoft LAPS のレガシ製品をリリースしました。 Windows LAPS は、2023 年 4 月 11 日にリリースされた Windows 更新プログラムの一部として、 Windows LAPS と Microsoft Entra ID に記載されているプラットフォーム用に出荷されています。
Microsoft とそのサポート配信組織は、2 つの製品間の相互運用性を含め、Microsoft LAPS と Windows LAPS の両方のサポートを提供しています。
Important
従来の Microsoft LAPS 製品は、新しい Microsoft OS バージョンでは非推奨となっています。 詳細については、「 従来の Microsoft LAPS 製品の廃止」を参照してください。
Windows LAPS 対応システムを従来の Microsoft LAPS から Windows LAPS 機能に移行する計画を今すぐ開始することを強くお勧めします。 Windows LAPS には、多くの新しいセキュリティ機能と改善された製品サービスが用意されています。
サード パーティのローカル アカウントのパスワード管理ツールと Windows LAPS の間の制限事項と相互運用性に関する問題については、Microsoft ではなく、サード パーティのアプリケーション開発者に問い合わせてください。
ライセンス要件
Windows LAPS 機能自体は、サポートされているすべての Windows プラットフォームで無料で利用できます。
他のライセンス要件なしで、Windows Server Active Directory にパスワードをバックアップできます。
Microsoft Entra ID Free 以上のライセンスを使用して、Microsoft Entra ID にパスワードをバックアップできます。
その他の Entra 関連または Intune 関連の機能には、他のライセンス要件があります。
フィードバックの送信
弊社に対するフィードバックを歓迎いたします。 このページの下部にあるフィードバック リンクから、ドキュメント固有の質問を自由に送信できます。
また、Windows LAPS フィードバック Tech Community ページから、フィードバックやその他のリクエストを送信することもできます。
フィードバックが Microsoft Entra ID 関連または Intune 関連の LAPS 機能に固有の場合は、 Microsoft Entra フィードバック フォーラムからフィードバックを送信できます。
フィードバックの送信先がわからない場合は、次のいずれかのオプションを使用して送信してください。
こちらも参照ください
- Microsoft Entra ID での Windows Local Administrator Password Solution
- Microsoft Entra ID における Windows Local Administrator Password Solution
- Microsoft Entra ID を使用した Windows ローカル管理者パスワード ソリューションが一般公開されました。
- Windows LAPS の Microsoft Intune サポート
- LAPS CSP
- Windows LAPS のトラブルシューティング ガイダンス
- LAPS PowerShell モジュールの参照
- レガシ Microsoft LAPS