다음을 통해 공유


Windows에서 Teams 룸 LAPS 구성

이 문서에서는 LAPS, 해당 아키텍처 및 Windows에서 Teams 룸 LAPS를 구성하는 단계에 대한 개요를 제공합니다.

LAPS(Windows 로컬 관리자 암호 솔루션)는 로컬 관리자 계정의 암호를 관리하고 백업하여 Microsoft Entra 조인(Entra Joined) 또는 AD(Active Directory)로 백업하는 Windows 기능입니다. 로컬 관리자 계정 암호 공격에 대한 향상된 보호를 제공하고 Windows 디바이스에 Teams 룸 배포하기 위한 주요 고객 요구 사항을 충족합니다.

LAPS란?

LAPS는 각 Windows 디바이스에서 로컬 관리자 계정에 대한 임의 및 복잡한 암호를 자동으로 생성하고 Entra 또는 Active Directory에 안전하게 저장하는 솔루션입니다. 암호는 구성된 정책에 따라 주기적으로 변경되며 액세스가 필요한 경우 권한이 있는 사용자가 검색할 수 있습니다. LAPS는 여러 디바이스에서 동일한 로컬 관리자 암호를 악용하는 횡적 이동 및 권한 상승 공격의 위험을 줄입니다. 로컬 관리자 암호 관리를 간소화하고 수동 또는 스크립팅된 솔루션이 필요하지 않습니다.

Windows LAPS 아키텍처

LAPS는 다음 구성 요소로 구성됩니다.

  • 주기적인 백그라운드 작업은 각 Windows 디바이스에서 실행되며 암호 변경 및 백업 작업을 수행합니다.
  • 암호를 관리하고 검색하기 위한 cmdlet을 제공하는 PowerShell 모듈입니다.
  • 암호 및 관련 정보를 저장하기 위한 특성을 추가하는 AD에 대한 MICROSOFT ENTRA LAPS(로컬 관리자 암호 솔루션) 스키마 확장을 사용하도록 설정합니다.

LAPS 아키텍처 및 워크플로:

관리 디바이스, Azure Active Directory 및 Windows Server ActiveDirectory를 사용하는 Windows LAPS 아키텍처

LAPS 배포

Windows에서 Teams 룸 배포하기 전에 다음을 고려해야 합니다.

  • LAPS는 Active Directory보다 더 나은 보안 및 확장성을 제공하기 때문에 가능한 경우 Entra ID를 사용하여 배포해야 합니다.
  • 디바이스는 LAPS 배포를 계속하기 전에 Intune Entra 조인 또는 하이브리드 Entra 조인 및 관리되어야 합니다.
  • 로컬 관리자 자격 증명을 사용하여 Windows 디바이스의 Teams 룸 연결하는 주변 장치 또는 엔드포인트는 다시 부팅 또는 암호 변경 시 연결이 끊어지게 됩니다. 일부 OEM 구현에서는 이 메서드를 사용하여 회의실 컨트롤러를 연결합니다. 호환성 및 대체 솔루션에 대해 OEM을 참조해야 합니다.
  • 이 문서의 모든 지침은 OEM 빌드에 대해 구성되고 테스트되었으며 사용자 지정 이미지를 제외합니다.
  • 정책 관리 및 할당을 위해 Windows 디바이스에서 Teams 룸 위한 전용 디바이스 그룹이 있습니다. 사용할 수 없는 경우 계속 진행하기 전에 만듭니다.

참고

Crestron과 같은 일부 OEM은 터치 컨트롤러와 같은 주변 장치를 연결하려면 로컬 사용자 이름과 암호가 필요합니다. 로컬 계정 암호 변경의 영향에 대한 자세한 내용은 구현하기 전에 Crestron에 문의하세요.

Windows 디바이스에서 Teams 룸 LAPS를 배포하려면 다음이 필요합니다.

  • LAPS를 사용하도록 Entra ID 설정을 구성합니다.
  • Intune LAPS 정책 만들기 및 할당
  • 디바이스에서 암호 변경 및 백업 확인

Entra 구성

Entra ID에서 LAPS를 사용하도록 설정하려면 다음을 수행합니다.

  1. https://entra.microsoft.com(으)로 이동합니다.
  2. ID>디바이스>모든 디바이스를 클릭합니다.
  3. 디바이스 설정을 선택합니다.
  4. 로컬 관리자 암호 솔루션 Microsoft Entra 사용을예로 전환합니다.
  5. 저장을 클릭합니다.

Intune 구성

Intune LAPS 정책을 만들고 할당하려면 다음 단계를 수행해야 합니다.

  1. 의 Intune 관리 센터로https://intune.microsoft.com이동합니다.
  2. 왼쪽 탐색 영역에서 엔드포인트 보안을 선택합니다.
  3. 계정 보호를 선택합니다.
  4. 정책 만들기를 선택합니다.
  5. 플랫폼에서Windows 10 이상을 선택하고 로컬 관리자 암호 솔루션(Windows LAPS)을 프로파일합니다.
  6. 만들기를 클릭합니다.

정책 설정을 구성하려면 다음을 수행합니다.

  1. Windows LAPS 정책의 Teams 룸 같은 정책 이름을 입력합니다.
  2. 필요한 경우 설명을 입력하고 다음을 클릭합니다.
  3. 백업 디렉터리를 선택하여 Azure AD 암호만 백업합니다.
  4. 암호 사용 기간을 구성하도록 전환하고 원하는 값을 입력합니다.
  5. 관리자 계정 이름을 구성하도록 전환하고 windows 콘솔의 Teams 룸 로컬 관리자 계정의 미리 정의된 사용자 이름과 일치하도록 관리 입력합니다.
  6. 원하는 암호 복잡성 방법을 선택합니다.
  7. 암호 길이를 구성하도록 전환하고 최소 8개 및 최대 64개인 원하는 암호 길이를 입력합니다.
  8. scope 태그를 사용하지 않으면 다음을 두 번 클릭합니다.

Windows 디바이스에서 Intune 관리되는 Teams 룸 그룹에 정책을 할당하려면 다음을 수행합니다.

  1. 할당을 선택합니다.
  2. Windows 디바이스의 Teams 룸 포함하는 그룹을 선택하고 정책을 올바르게 scope. 다음을 선택합니다.
  3. 정책을 확인하고 scope 올바른지 확인한 후 만들기를 선택하여 scope 내 디바이스에 정책을 적용합니다.
  4. 정책이 적용되고 암호가 변경될 때까지 최대 1시간 동안 기다립니다.

LAPS 관리

Entra 관리 센터에서 로컬 관리자 암호를 검색하려면 다음을 수행합니다.

  1. https://entra.microsoft.com(으)로 이동합니다.
  2. ID>디바이스>모든 디바이스를 클릭합니다.
  3. 로컬 관리자 암호 복구를 선택합니다.
  4. 활성화된 디바이스를 검색하거나 미리 채워진 목록에서 선택합니다.
  5. 로컬 관리자 암호 표시를 클릭합니다.
  6. 표시를 클릭하여 암호를 표시합니다. 마지막 및 다음 회전 타임스탬프를 기록해 둡니다.

Entra에서 감사 로그를 검토하려면 다음을 수행합니다.

  1. https://entra.microsoft.com(으)로 이동합니다.
  2. ID>디바이스>모든 디바이스>감사 로그를 클릭합니다.
  3. 작업을 선택하여 디바이스 로컬 관리자 암호 업데이트 또는 Recover 디바이스 로컬 관리자 암호를 필터링하여 이벤트를 검토합니다.

요약

LAPS는 Windows 디바이스에서 Teams 룸 대한 로컬 관리자 암호의 보안 및 관리를 향상시키는 Windows 기능입니다. 암호를 자동으로 생성하고 Entra에 백업하며 필요한 경우 권한이 있는 사용자가 암호를 검색할 수 있도록 합니다. 또한 LAPS는 암호 재사용을 방지하고 암호 회전을 간소화합니다. 이 문서에서는 Entra 및 Intune 사용하여 Windows 디바이스에서 Teams 룸 위한 LAPS를 배포하고 서비스하는 단계를 제공합니다.