Share via

デプロイと移行のシナリオで Windows LAPS の使用を開始する

  • [アーティクル]

Windows LAPS をデプロイしたり、レガシ LAPS から Windows LAPS に移行したりするには、多くの方法が考えられます。 この記事では、基本的なシナリオと、注意すべきヒントとテクニックについて説明します。

既存のハイブリッド参加済みのデバイスをレガシ LAPS から Windows LAPS に移行する場合は、Active Directory にパスワードを保存し続けるか、Microsoft Entra ID へのパスワードの保存に切り替えるかを選択できます。

ディレクトリの準備

このガイドの内容のほとんどは、ディレクトリ固有ではありません。 ただし、Windows LAPS デバイスをサポートするため、ディレクトリ (Active Directory または Microsoft Entra iD のいずれか) を有効にするのに必要な準備手順がいくつかあります。 この記事で説明されている他のシナリオを実装する前に、まずこれらの手順に従う必要があります。

Windows Server Active Directory の準備

マネージド アカウントのパスワードを Azure AD にバックアップするように Azure AD 参加済みまたはハイブリッド参加済みのデバイスを構成する前に、次の手順に従う必要があります。

  1. Windows LAPS をサポートするように AD スキーマを拡張します。 「Windows Server Active Directory スキーマの更新」を参照してください。
  2. GPO セントラル ストアを使用している場合は、Windows LAPS グループ ポリシー テンプレート ファイルをセントラル ストアに手動でコピーします。 GPO セントラル ストアに関するページを参照してください。
  3. デバイスのセルフ書き込みアクセス許可を割り当てます。 「パスワードを更新するアクセス許可を管理対象デバイスに付与する」を参照してください。
  4. パスワードの有効期限とパスワードの取得に対する適切な AD アクセス許可を分析、決定、構成します。 「Windows Server Active Directory のパスワード」を参照してください。
  5. パスワードの暗号化を解除するための適切な承認済みグループを分析して決定します。 「Windows Server Active Directory のパスワード」を参照してください。
  6. 前の手順で決定した適切な設定を使用して、マネージド デバイスを対象とする新しい Windows LAPS ポリシーを作成します。

ヒント

Microsoft Entra ID へのパスワードのバックアップのみを計画している場合は、AD スキーマの拡張など、これらの手順を実行する必要はありません。

Microsoft Entra ID の準備

マネージド アカウントのパスワードを Microsoft Entra ID にバックアップするように Microsoft Entra 参加済みまたはハイブリッド参加済みのデバイスを構成する前に、次の手順に従う必要があります。

  1. Microsoft Entra ID に格納されている Windows LAPS パスワードに既定でアクセスできる組み込みの Microsoft Entra ロールのメンバーシップを確認します。 既定では、これらのロールは高い権限を持っているので、この手順では驚くに当たりません。
  2. Microsoft Entra テナントで Windows LAPS パスワード バックアップをサポートできるようにします。 Microsoft Entra ID を使用した Windows LAPS の有効化

Windows LAPS ポリシーを使用した新しい OS インストール シナリオ

Windows LAPS は Windows オペレーティング システムに組み込まれています。 Windows LAPS は Windows ベースライン セキュリティ機能であり、アンインストールすることはできません。 そのため、新しい OS のインストール時に Windows LAPS ポリシーが与える可能性がある影響に注意することが重要です。

主な注意点は、Windows LAPS が常に "オン" になることです。 Windows LAPS ポリシーがデバイスに適用されると、すぐに Windows LAPS によってポリシーの適用が開始されます。 この動作は、ある時点で OS の展開ワークフローに、Windows LAPS ポリシーが有効になっている OU へのデバイスのドメイン参加が含まれている場合に中断を引き起こす可能性があります。 Windows LAPS ポリシーが、展開ワークフローがログインしているのと同じローカル アカウントを対象にしており、結果としてローカル アカウント パスワードが即座に変更されると、ワークフローが中断される可能性があります (自動サインイン中に再起動した後など)。

この問題を軽減する 1 つ目の手法は、クリーン "ステージング" 組織単位 (OU) を使用することです。 ステージング OU は、必要最小限のポリシーセットを適用するデバイスのアカウントの一時的なホームと見なされるため、Windows LAPS ポリシーを適用してはなりません。 OS 展開ワークフローの終了時にのみ、デバイスのアカウントが最終的な宛先の OU に移動されます。 Microsoft では、一般的なベスト プラクティスとして、クリーン ステージング OU を使用することをお勧めします。

2 つ目の手法は、OS 展開ワークフローで使用されるアカウントとは異なるアカウントを対象にするように Windows LAPS ポリシーを構成することです。 ベスト プラクティスとして、OS 展開ワークフローの最後に不要なローカル アカウントをすべて削除する必要があります。

レガシ LAPS ポリシーを使用した新しい OS インストール シナリオ

このシナリオには、「Windows LAPS ポリシーを使用した新しい OS インストール シナリオ」と同じ基本的な懸念事項がありますが、Windows LAPS のレガシ LAPS エミュレーション モードのサポートに関連するいくつかの特殊な問題があります。

ここでも、主な注意点は、Windows LAPS が常に "オン" になることです。 レガシ LAPS ポリシーがデバイスに適用されると (レガシ LAPS エミュレーション モードの条件がすべて満たされていると仮定)、すぐに Windows LAPS によってポリシーの適用が開始されます。 この動作は、ある時点で OS の展開ワークフローに、レガシ LAPS ポリシーが有効になっている OU へのデバイスのドメイン参加が含まれている場合に中断を引き起こす可能性があります。 レガシ LAPS ポリシーが、展開ワークフローがログインしているのと同じローカル アカウントを対象にしており、結果としてローカル アカウント パスワードが即座に変更されると、ワークフローが中断される可能性があります (自動サインイン中に再起動した後など)。

この問題を軽減する 1 つ目の手法は、クリーン "ステージング" 組織単位 (OU) を使用することです。 ステージング OU は、必要最小限のポリシーセットを適用するデバイスのアカウントの一時的なホームと見なされるため、レガシ LAPS ポリシーを適用してはなりません。 OS 展開ワークフローの終了時にのみ、デバイスのアカウントが最終的な宛先の OU に移動されます。 Microsoft では、一般的なベスト プラクティスとして、クリーン ステージング OU を使用することをお勧めします。

2 つ目の手法は、OS 展開ワークフローで使用されるアカウントとは異なるアカウントを対象にするようにレガシ LAPS ポリシーを構成することです。 ベスト プラクティスとして、OS 展開ワークフローの最後に不要なローカル アカウントをすべて削除する必要があります。

3 つ目の手法は、OS 展開ワークフローの開始時にレガシ LAPS エミュレーション モードを無効にし、OS 展開ワークフローの最後で (必要に応じて) 有効にすることです。

レガシ LAPS との共存 (サイド バイ サイド) シナリオ

サイド バイ サイドのシナリオでは、Windows LAPS とレガシ LAPS の両方を使用できます。 サイド バイ サイドのシナリオを成功させるには、両方のポリシーが異なるローカル アカウントを対象にする必要があります。 ただし、長期的な目標は、レガシ LAPS から Windows LAPS に移行することです。

既存のデバイス上のレガシ LAPS から Windows LAPS への移行シナリオ

Microsoft では、レガシ LAPS から Windows LAPS への移行をお勧めします。 このセクションでは、既存のデバイスで移行を実行する手順について説明します。

使用できる基本的なアプローチは 2 つあります。 1 つ目のアプローチは即時移行ですが、2 つ目のアプローチでは、サイド バイ サイド共存の期間を利用し、その後に最終的な移行を行います。

即時移行アプローチ

次の手順を使用して、既存のデバイスでレガシ LAPS から Windows LAPS にすぐに移行できます。

  1. レガシ LAPS ポリシーを無効化または削除する
  2. Windows LAPS ポリシーを作成して適用する
  3. マネージド デバイスを監視して、正常な移行を確認する
  4. レガシ LAPS ソフトウェアを削除する

最初の 2 つの手順は、同時に (または可能な限りそれに近いかたちで) 実行する必要があります。

Windows LAPS ポリシーを構成する最も簡単な方法は、レガシ LAPS ポリシーで以前に対象とされていたのと同じアカウントを対象にすることです。 別のアカウントを対象にすることを選択した場合は、Windows LAPS ポリシーを適用する前に新しいアカウントを作成する必要があります。 不要になった場合は、最初のアカウントを削除する必要があります。

Windows LAPS ポリシーは、レガシ LAPS ソフトウェアでは使用できなかった機能 (Microsoft Entra ID へのバックアップ、AD パスワード暗号化の有効化) を使用するよう構成することもできます。

Windows LAPS ポリシーが最初に適用されると、マネージド デバイスではローカル アカウント パスワードの即時ローテーションが実行されます。 マネージド デバイスを監視して、移行が正常に完了したことを確認する必要があります。

移行が完了したら、最後の手順として、マネージド デバイスからレガシ LAPS ソフトウェアを削除する必要があります。

一時的なサイド バイ サイド共存アプローチ

レガシ LAPS から Windows LAPS へのより段階的な移行手順を実行する必要がある場合があります。 既存のデバイスでこの移行を実行する基本的な手順は次のとおりです。

  1. 2 つ目のローカル アカウントを使用してマネージド デバイスを構成する
  2. Windows LAPS ポリシーを作成して適用する
  3. マネージド デバイスを監視して、Windows LAPS ポリシーの正常なアプリケーションを確認する
  4. レガシ LAPS ポリシーを無効化または削除する
  5. レガシ LAPS ソフトウェアを削除する
  6. 余分なアカウントを削除する

この方法では、Windows LAPS ポリシーと、同じアカウントを対象とするレガシ LAPS ポリシーの両方の所有はサポートされていないため、2 つ目のローカル アカウントを作成する必要があります。

Windows LAPS が正常に動作していることを確認したら、移行手順の残りの部分を実行するまでの必要な期間、マネージド デバイスをこの状態のままにすることができます。

正常な移行の監視

マネージド デバイスを Windows LAPS ポリシーに移行した後、成功した結果を監視するには、複数の方法があります。

  • マネージド デバイスの Windows LAPS イベント ログ チャネルを監視して、成功したパスワード更新イベント (Microsoft Entra ID または AD のいずれか) を確認できます。 ここでは、一元化されたイベント ログ収集ソリューションが役立つ場合があります。
  • Active Directory にパスワードを格納する場合は、マネージド デバイスの AD コンピューター オブジェクトで、新しい/更新された msLAPS-PasswordExpirationTime 属性の外観を検索できます。 Get-LapsADPassword PowerShell コマンドレットを使用して、この分析を自動化できます。
  • Microsoft Entra ID にパスワードを格納する場合は、Microsoft Entra ID または Intune の管理ポータルをチェックして、デバイスがパスワードを更新したことを確認できます。 Get-LapsAADPassword PowerShell コマンドレットを使用して、この分析を自動化できます。

マネージド デバイスからレガシ LAPS ソフトウェアを削除する

マネージド デバイスからレガシ LAPS ソフトウェアを削除するために必要な具体的な手順は、そのソフトウェアが最初にインストールされた方法によって異なります。

MSI インストーラー パッケージを使用してレガシ LAPS をインストールした場合

この場合、アドホック管理シナリオのコントロール パネルからレガシ LAPS ソフトウェアを手動でアンインストールできます。

または、マネージド デバイスでサイレント MSI アンインストール コマンドを実行して、このプロセスを自動化することもできます。

C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

レガシ LAPS CSE dll を手動でコピー、登録してレガシ LAPS をインストールした場合

この場合、手動で登録を解除してから、レガシ LAPS CSE dll を削除する必要があります。

regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll

必要に応じて、レガシ LAPS CSE バイナリがコピーされた場所をレジストリから照会できます。次に例を示します。

C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    DllName    REG_EXPAND_SZ    C:\windows\system32\AdmPwd.dll

関連項目

次のステップ