Windows LAPS 질문과 대답

이 문서에서는 Windows LAPS(Windows 로컬 관리자 암호 솔루션)에 대해 자주 묻는 많은 질문에 대한 답변을 제공합니다.

일반

타사 로컬 계정 암호 관리자 제품을 Windows LAPS와 함께 실행할 수 있나요?

예, 이 시나리오는 다음 조건에서 지원됩니다. 다른 로컬 계정을 관리하도록 Windows LAPS 및 타사 제품을 구성하려면 주의해야 합니다. 동일한 계정을 관리하도록 둘 다 실수로 구성하는 경우 Windows LAPS는 타사 제품에서 계정의 암호를 수정하려는 시도를 거부합니다. 계정 암호 변조 보호참조하세요.

Windows LAPS에서 현재 관리되는 로컬 관리자 계정의 암호를 변경할 수 없는 이유는 무엇인가요?

Windows LAPS는 관리되는 계정의 암호를 실수로 또는 가짜로 변경하는 것을 방지합니다. 이 보호를 사용하면 디렉터리에 저장된 암호가 디바이스에 로컬로 저장된 암호와 일치하지 않는 손상된 상태 상황을 방지할 수 있습니다. 계정 암호 변조 보호참조하세요.

Windows LAPS PowerShell 모듈이 GitHub, PowerShell 갤러리 또는 이와 유사하게 호스트되지 않는 이유는 무엇인가요?

Windows LAPS PowerShell 모듈은 Windows의 일부이며 운영 체제 외부에서는 사용할 수 없습니다.

Windows LAPS PowerShell 모듈을 이전 운영 체제에 복사하려면 어떻게 해야 하나요?

이 시나리오는 지원되지 않습니다.

답변이 없는 질문 또는 기능 요청을 제출하는 방법

피드백 제출 참조하세요.

Windows LAPS 이벤트 로그에 오류가 표시됩니다. 오류를 해결하려면 어떻게 해야 하나요?

Windows LAPS 문제 해결 지침참조하세요.

Microsoft는 암호 없는 전략 및 방향을 홍보합니다. Windows LAPS와 같은 암호 기반 기능이 Windows에 추가된 이유는 무엇인가요?

모든 Windows LAPS 시나리오에는 지원 센터 작업, 디바이스 복구 및 기타 시나리오에 사용할 Windows 로컬 계정의 암호 관리가 포함됩니다. Windows는 로컬 계정에 대한 암호 기반 인증만 지원하므로 암호 관리가 필요합니다.

Windows LAPS 및 Active Directory

내 도메인이 이전 도메인 컨트롤러를 실행하는 경우에도 Windows LAPS를 배포하고 사용할 수 있나요?

예, 몇 가지 제한 사항이 있습니다. 도메인 기능 수준 및 도메인 컨트롤러 버전 요구 사항참조하세요.

내 도메인이 Windows Server 2016 도메인 기능 수준에 아직 없는 경우에도 Windows LAPS를 배포하고 사용할 수 있나요?

예, 몇 가지 제한 사항이 있습니다. 도메인 기능 수준 및 도메인 컨트롤러 버전 요구 사항참조하세요.

Windows LAPS 스키마 확장을 사용하여 포리스트의 스키마를 확장하려면 Windows Server 2022 또는 2019 DC를 배포해야 하나요?

아니요 - Windows LAPS 기능으로 업데이트된 운영 체제에서 Update-LapsADSchema cmdlet을 실행할 수 있습니다. 유일한 요구 사항은 클라이언트 자격 증명에 Active Directory 스키마를 수정할 권한이 부여된다는 것입니다. Windows Server Active Directory 스키마업데이트 참조하세요.

Windows LAPS 지원 Active Directory 사용자 및 컴퓨터 스냅인을 이전 운영 체제에 복사하려면 어떻게 해야 하나요?

이 시나리오는 지원되지 않습니다.

RSAT를 설치했는데 아직 새 LAPS 지원 Active Directory 사용자 및 컴퓨터 스냅인이 표시되지 않나요?

새 스냅인은 지원되는 Windows LAPS 플랫폼의 Windows 기본 제공 RSAT 버전에서만 사용할 수 있습니다. Windows LAPS 스냅인 가용성참조하세요.

GPO 중앙 저장소에 새 Windows LAPS 정책이 표시되지 않는 이유는 무엇인가요?

새 Windows LAPS 정책은 GPO 중앙 저장소의 일부로 자동으로 설치되지 않습니다. 그룹 정책 개체 중앙 저장소참조하세요.

치명적인 AD 재해 시나리오 중에 Windows LAPS 암호를 사용할 수 있나요?

예, AD 도메인 컨트롤러 데이터베이스 백업이 정기적으로 수행되고 유지 관리되고 있다고 가정합니다. 자세한 내용은 AD 재해 복구 시나리오 중 암호 검색 참조하세요.

레거시 Microsoft LAPS를 Windows LAPS와 함께 실행할 수 있나요?

예, 이 시나리오는 다음 조건에서 지원됩니다. 새 Windows LAPS 정책을 구성해야 하며 Windows LAPS 및 레거시 LAPS를 구성하여 다른 로컬 계정을 관리해야 합니다.

지원되지 않는 값으로 Windows LAPS 정책 설정을 실수로 구성하면 어떻게 되나요?

windows LAPS 기본 정책 값참조하세요.

이전 운영 체제에서 새 암호 관련 PasswordComplexity 설정(6-8)을 지원하지 않으므로 Windows 11 24H2에서만 사용할 수 있는 암호를 사용하도록 설정하려면 어떻게 해야 하나요?

이 시나리오에는 두 가지 옵션이 있습니다. 이전 OS가 기본 설정으로 대체되도록 허용하거나 두 개의 정책을 만듭니다. windows LAPS 기본 정책 값참조하세요.

Windows LAPS 및 Microsoft Entra ID

Microsoft Entra ID에 암호를 게시하려고 할 때 Microsoft Entra 조인 디바이스에 오류가 발생하는 이유는 무엇인가요?

Microsoft Entra 테넌트에 LAPS 기능을 사용하도록 설정하는 것을 잊어버린 가장 일반적인 이유입니다. Microsoft Entra ID사용하여 Windows LAPS를 사용하도록 설정하는 참조하세요.

Microsoft Entra ID에 암호만 백업하려는 경우 포리스트의 스키마를 확장해야 하나요?

아니요.

Windows LAPS를 사용하려면 Intune이 필요한가요?

아니요. Intune 없이 Active Directory 또는 Microsoft Entra 모드에서 Windows LAPS를 배포하고 사용할 수 있습니다. Intune은 Windows LAPS 시나리오(예: 대규모 정책 배포, 모니터링 및 암호 재설정 작업 지원)에 많은 이점을 제공합니다.

Windows LAPS를 사용하려면 Microsoft Entra Connect가 필요한가요?

아니요. 이러한 두 기능 사이에는 종속성이 없습니다. 하이브리드 환경Windows LAPS 및 Microsoft Entra Connect 참조하세요.

Microsoft Entra ID와 AD 모두에 암호를 백업하도록 하이브리드 조인 디바이스를 구성하려면 어떻게 해야 하나요?

이 시나리오는 지원되지 않습니다. 한 번에 하나의 디렉터리에만 암호를 백업할 수 있습니다.

Windows LAPS를 지원하는 특정 Azure 클라우드는 무엇입니까?

지원되는 특정 클라우드에 대한 자세한 내용은 Microsoft Entra ID 및 windows LAPS 대한 Microsoft Intune 지원 Windows 로컬 관리자 암호 솔루션을 참조하세요.

Microsoft Entra Domain Services에서 Windows LAPS를 지원하나요?

Microsoft Entra Domain Services 현재 Windows LAPS를 지원하지 않습니다.

Microsoft Entra ID에 저장할 때 Windows LAPS 암호는 어떻게 보호되나요?

Windows LAPS 암호는 관리되는 디바이스에서 클라우드로 전송될 때 항상 전송 중(https)으로 보호됩니다. 클라우드에 저장된 Windows LAPS 암호는 항상 AES256으로 암호화됩니다. 암호 해독 키는 스토리지 또는 쿼리 작업 중처럼 일반 텍스트 암호를 실제로 처리해야 하는 기술적 요구 사항이 있는 내부 Microsoft Entra 서비스에서만 사용할 수 있습니다. 이 암호화 계층은 Windows LAPS 암호와 관련이 있으며 항상 기본 Microsoft Entra 데이터 보호 메커니즘 외에 사용하도록 설정됩니다. Microsoft Entra Data Security 고려 사항참조하세요.

Windows Autopilot 사전 프로비저닝 워크플로 중에 이벤트 로그에 20000 경고 이벤트가 표시됩니다. 이 문제를 해결하려면 어떻게 해야 하나요?

Windows LAPS CSP는 디바이스가 조인되지 않은 것처럼 보이면 MDM 구성 지시문을 거부합니다. CSP는 이 조건이 발생할 때 Windows LAPS 운영 이벤트 로그에 이벤트 ID 20000을 기록합니다. Autopilot이 Microsoft Entra에서 디바이스를 조인 해제할 때 Autopilot 사전 프로비저닝 워크플로의 기술자 흐름 단계에서 이러한 이벤트 중 하나 이상이 표시될 수 있습니다.

이 상황은 디바이스가 Microsoft Entra에 다시 가입될 때 Autopilot 프로비저닝의 이후 사용자 흐름 단계에서 해결됩니다. 이 시점에서 Windows LAPS는 완벽하게 작동하며 Microsoft Entra에 암호를 백업하기 시작합니다.

이 문제는 사전 프로비전 외에 다른 Autopilot 시나리오에는 영향을 주지 않습니다. 앞에서 설명한 대로 Autopilot 사전 프로비저닝 워크플로에 표시된 경우 CSP 경고 이벤트를 무시해야 합니다.

Intune사전 프로비전된 배포 Microsoft Entra 조인에 대한 Windows Autopilot에 대한 단계별 자습서를 참조하세요.

다음 단계

Windows LAPS에 대해 자세히 알아보려면 몇 가지 추가 리소스를 참조하세요.

• Windows Server Active Directory 대한 Windows LAPS 스키마 및 권한 확장
• Windows LAPS 이벤트 로그 사용
• 레거시 Microsoft LAPS

이 문서에서는 Windows LAPS(Windows 로컬 관리자 암호 솔루션)에 대해 자주 묻는 많은 질문에 대한 답변을 제공합니다.

예, 이 시나리오는 다음 조건에서 지원됩니다. 다른 로컬 계정을 관리하도록 Windows LAPS 및 타사 제품을 구성하려면 주의해야 합니다. 동일한 계정을 관리하도록 둘 다 실수로 구성하는 경우 Windows LAPS는 타사 제품에서 계정의 암호를 수정하려는 시도를 거부합니다. 계정 암호 변조 보호참조하세요.

Windows LAPS는 관리되는 계정의 암호를 실수로 또는 가짜로 변경하는 것을 방지합니다. 이 보호를 사용하면 디렉터리에 저장된 암호가 디바이스에 로컬로 저장된 암호와 일치하지 않는 손상된 상태 상황을 방지할 수 있습니다. 계정 암호 변조 보호참조하세요.

Windows LAPS PowerShell 모듈은 Windows의 일부이며 운영 체제 외부에서는 사용할 수 없습니다.

이 시나리오는 지원되지 않습니다.

피드백 제출 참조하세요.

Windows LAPS 문제 해결 지침참조하세요.

모든 Windows LAPS 시나리오에는 지원 센터 작업, 디바이스 복구 및 기타 시나리오에 사용할 Windows 로컬 계정의 암호 관리가 포함됩니다. Windows는 로컬 계정에 대한 암호 기반 인증만 지원하므로 암호 관리가 필요합니다.

예, 몇 가지 제한 사항이 있습니다. 도메인 기능 수준 및 도메인 컨트롤러 버전 요구 사항참조하세요.

예, 몇 가지 제한 사항이 있습니다. 도메인 기능 수준 및 도메인 컨트롤러 버전 요구 사항참조하세요.

아니요 - Windows LAPS 기능으로 업데이트된 운영 체제에서 Update-LapsADSchema cmdlet을 실행할 수 있습니다. 유일한 요구 사항은 클라이언트 자격 증명에 Active Directory 스키마를 수정할 권한이 부여된다는 것입니다. Windows Server Active Directory 스키마업데이트 참조하세요.

이 시나리오는 지원되지 않습니다.

새 스냅인은 지원되는 Windows LAPS 플랫폼의 Windows 기본 제공 RSAT 버전에서만 사용할 수 있습니다. Windows LAPS 스냅인 가용성참조하세요.

새 Windows LAPS 정책은 GPO 중앙 저장소의 일부로 자동으로 설치되지 않습니다. 그룹 정책 개체 중앙 저장소참조하세요.

예, AD 도메인 컨트롤러 데이터베이스 백업이 정기적으로 수행되고 유지 관리되고 있다고 가정합니다. 자세한 내용은 AD 재해 복구 시나리오 중 암호 검색 참조하세요.

예, 이 시나리오는 다음 조건에서 지원됩니다. 새 Windows LAPS 정책을 구성해야 하며 Windows LAPS 및 레거시 LAPS를 구성하여 다른 로컬 계정을 관리해야 합니다.

windows LAPS 기본 정책 값참조하세요.

이 시나리오에는 두 가지 옵션이 있습니다. 이전 OS가 기본 설정으로 대체되도록 허용하거나 두 개의 정책을 만듭니다. windows LAPS 기본 정책 값참조하세요.

Microsoft Entra 테넌트에 LAPS 기능을 사용하도록 설정하는 것을 잊어버린 가장 일반적인 이유입니다. Microsoft Entra ID사용하여 Windows LAPS를 사용하도록 설정하는 참조하세요.

아니요.

아니요. Intune 없이 Active Directory 또는 Microsoft Entra 모드에서 Windows LAPS를 배포하고 사용할 수 있습니다. Intune은 Windows LAPS 시나리오(예: 대규모 정책 배포, 모니터링 및 암호 재설정 작업 지원)에 많은 이점을 제공합니다.

아니요. 이러한 두 기능 사이에는 종속성이 없습니다. 하이브리드 환경Windows LAPS 및 Microsoft Entra Connect 참조하세요.

이 시나리오는 지원되지 않습니다. 한 번에 하나의 디렉터리에만 암호를 백업할 수 있습니다.

지원되는 특정 클라우드에 대한 자세한 내용은 Microsoft Entra ID 및 windows LAPS 대한 Microsoft Intune 지원 Windows 로컬 관리자 암호 솔루션을 참조하세요.

Microsoft Entra Domain Services 현재 Windows LAPS를 지원하지 않습니다.

Windows LAPS 암호는 관리되는 디바이스에서 클라우드로 전송될 때 항상 전송 중(https)으로 보호됩니다. 클라우드에 저장된 Windows LAPS 암호는 항상 AES256으로 암호화됩니다. 암호 해독 키는 스토리지 또는 쿼리 작업 중처럼 일반 텍스트 암호를 실제로 처리해야 하는 기술적 요구 사항이 있는 내부 Microsoft Entra 서비스에서만 사용할 수 있습니다. 이 암호화 계층은 Windows LAPS 암호와 관련이 있으며 항상 기본 Microsoft Entra 데이터 보호 메커니즘 외에 사용하도록 설정됩니다. Microsoft Entra Data Security 고려 사항참조하세요.

Windows LAPS CSP는 디바이스가 조인되지 않은 것처럼 보이면 MDM 구성 지시문을 거부합니다. CSP는 이 조건이 발생할 때 Windows LAPS 운영 이벤트 로그에 이벤트 ID 20000을 기록합니다. Autopilot이 Microsoft Entra에서 디바이스를 조인 해제할 때 Autopilot 사전 프로비저닝 워크플로의 기술자 흐름 단계에서 이러한 이벤트 중 하나 이상이 표시될 수 있습니다.

이 상황은 디바이스가 Microsoft Entra에 다시 가입될 때 Autopilot 프로비저닝의 이후 사용자 흐름 단계에서 해결됩니다. 이 시점에서 Windows LAPS는 완벽하게 작동하며 Microsoft Entra에 암호를 백업하기 시작합니다.

이 문제는 사전 프로비전 외에 다른 Autopilot 시나리오에는 영향을 주지 않습니다. 앞에서 설명한 대로 Autopilot 사전 프로비저닝 워크플로에 표시된 경우 CSP 경고 이벤트를 무시해야 합니다.

Intune사전 프로비전된 배포 Microsoft Entra 조인에 대한 Windows Autopilot에 대한 단계별 자습서를 참조하세요.

다음 단계

Windows LAPS에 대해 자세히 알아보려면 몇 가지 추가 리소스를 참조하세요.

• Windows Server Active Directory 대한 Windows LAPS 스키마 및 권한 확장
• Windows LAPS 이벤트 로그 사용
• 레거시 Microsoft LAPS