LAPS CSP
LAPS(로컬 관리자 암호 솔루션) CSP(구성 서비스 공급자)는 엔터프라이즈에서 로컬 관리자 계정 암호 백업을 관리하는 데 사용됩니다. Windows는 LAPS CSP와 완전히 별개인 LAPS 그룹 정책 개체를 지원합니다. 다양한 설정의 대부분은 LAPS GPO와 CSP 모두에서 일반적입니다(GPO는 작업 관련 설정을 지원하지 않음). CSP를 통해 하나 이상의 LAPS 설정이 구성된 한 GPO 구성 설정은 무시됩니다. 또한 Windows LAPS에 대한 정책 설정 구성을 참조하세요.
참고
Windows LAPS CSP 및 관련 기능을 사용하는 데 필요한 특정 OS 업데이트와 Microsoft Entra LAPS 시나리오의 현재 상태 대한 자세한 내용은 Windows LAPS 가용성 및 MICROSOFT ENTRA LAPS 공개 미리 보기 상태 참조하세요.
팁
이 문서에서는 LAPS CSP의 특정 기술 세부 정보를 다룹니다. LAPS CSP를 사용하는 시나리오에 대한 자세한 내용은 Windows 로컬 관리자 암호 솔루션을 참조하세요.
다음 목록에서는 LAPS 구성 서비스 공급자 노드를 보여 줍니다.
- ./Device/Vendor/MSFT/LAPS
- 조치
-
정책
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- PassphraseLength
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
조치
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Actions
LAPS CSP의 모든 작업 관련 설정에 대한 부모 내부 노드를 정의합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | node |
| 액세스 유형 | 가져오기 |
Actions/ResetPassword
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
이 설정을 사용하여 CSP에 관리되는 로컬 관리자 계정에 대한 새 암호를 즉시 생성하고 저장하도록 지시합니다.
이 작업은 PasswordLengthDays 등의 일반적인 제약 조건을 무시하고 로컬 관리자 계정 암호를 즉시 재설정합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | null |
| 액세스 유형 | Exec |
Actions/ResetPasswordStatus
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
이 설정을 사용하여 마지막으로 제출한 ResetPassword 실행 작업의 상태 쿼리합니다.
반환되는 값은 HRESULT 코드입니다.
- S_OK(0x0): 마지막으로 제출한 ResetPassword 작업이 성공했습니다.
- E_PENDING(0x8000000): 마지막으로 제출한 ResetPassword 작업이 여전히 실행 중입니다.
- 기타: 마지막으로 제출된 ResetPassword 작업에서 반환된 오류가 발생했습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 가져오기 |
| 기본 값 | 0 |
정책
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies
LAPS 정책의 루트 노드입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | node |
| 액세스 유형 | 가져오기 |
| 원자성 필요 | True |
Policies/ADEncryptedPasswordHistorySize
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
이 설정을 사용하여 Active Directory에서 기억될 이전 암호화된 암호 수를 구성합니다.
지정하지 않으면 이 설정은 기본적으로 0개의 암호(사용 안 함)로 설정됩니다.
이 설정의 최소 암호 값은 0개입니다.
이 설정의 최대 허용 값은 암호 12개입니다.
중요
ADPasswordEncryptionEnabled가 True로 구성되고 다른 모든 필수 구성 요소가 충족되지 않는 한 이 설정은 무시됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 레인지: [0-12] |
| 기본 값 | 0 |
| 종속성 [BackupDirectory] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 종속성 허용 값: 2 종속성 허용 값 형식: ENUM |
Policies/AdministratorAccountName
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
이 설정을 사용하여 관리되는 로컬 관리자 계정의 이름을 구성합니다.
지정하지 않으면 기본 제공 로컬 관리자 계정은 이름이 바뀐 경우에도 잘 알려진 SID에 의해 배치됩니다.
지정된 경우 지정된 계정의 암호가 관리됩니다.
이 설정에서 사용자 지정 관리되는 로컬 관리자 계정 이름을 지정하는 경우 다른 방법을 통해 해당 계정을 만들어야 합니다. 이 설정에서 이름을 지정해도 계정이 만들어지지는 않습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 |
chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
Policies/ADPasswordEncryptionEnabled
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
이 설정을 사용하여 Active Directory에 저장되기 전에 암호를 암호화할지 여부를 구성합니다.
암호가 현재 Microsoft Entra ID 저장되는 경우 이 설정은 무시됩니다.
이 설정은 Active Directory 도메인이 Windows Server 2016 도메인 기능 수준 이상인 경우에만 적용됩니다.
이 설정을 사용하도록 설정하고 Active Directory 도메인이 DFL 필수 조건을 충족하는 경우 Active Directory에 저장되기 전에 암호가 암호화됩니다.
이 설정을 사용하지 않도록 설정하거나 Active Directory 도메인이 DFL 필수 구성 요소를 충족하지 않는 경우 암호는 Active Directory에 지우기 텍스트로 저장됩니다.
지정하지 않으면 이 설정은 기본적으로 True로 설정됩니다.
중요
이 설정은 BackupDirectory가 Active Directory에 암호를 백업하도록 구성되고 Active Directory 도메인이 Windows Server 2016 도메인 기능 수준 이상에 있지 않으면 무시됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | bool |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | True |
| 종속성 [BackupDirectory] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 종속성 허용 값: 2 종속성 허용 값 형식: ENUM |
허용되는 값:
| 값 | 설명 |
|---|---|
| false | Active Directory에서 암호를 텍스트 지우기 형식으로 저장합니다. |
| true(기본값) | Active Directory에 암호화된 형식으로 암호를 저장합니다. |
Policies/ADPasswordEncryptionPrincipal
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
이 설정을 사용하여 Active Directory에 저장된 암호를 해독할 수 있는 사용자 또는 그룹의 이름 또는 SID를 구성합니다.
암호가 현재 Microsoft Entra ID 저장되는 경우 이 설정은 무시됩니다.
지정하지 않으면 디바이스 도메인의 Domain Admins 그룹에서 암호를 해독할 수 있습니다.
지정된 경우 지정된 사용자 또는 그룹은 Active Directory에 저장된 암호를 해독할 수 있습니다.
지정된 사용자 또는 그룹 계정이 잘못된 경우 디바이스는 디바이스의 도메인에서 Domain Admins 그룹을 사용하는 것으로 대체됩니다.
중요
ADPasswordEncryptionEnabled가 True로 구성되고 다른 모든 필수 구성 요소가 충족되지 않는 한 이 설정은 무시됩니다. 이 설정에 저장된 문자열은 문자열 형식의 SID이거나 사용자 또는 그룹의 정규화된 이름이어야 합니다. 유효한 예는 다음과 같습니다.
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
SID 또는 user\group 이름으로 식별된 보안 주체가 존재해야 하며 디바이스에서 확인할 수 있어야 합니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 |
chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 종속성 [BackupDirectory] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 종속성 허용 값: 2 종속성 허용 값 형식: ENUM |
Policies/AutomaticAccountManagementEnableAccount
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 24H2 [10.0.26100] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
이 설정을 사용하여 자동으로 관리되는 계정을 사용할지 아니면 사용하지 않도록 설정할지 여부를 구성합니다.
이 설정을 사용하도록 설정하면 대상 계정이 활성화됩니다.
이 설정을 사용하지 않도록 설정하면 대상 계정이 비활성화됩니다.
지정하지 않으면 이 설정은 기본적으로 False로 설정됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | bool |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | False |
| 종속성 [AutomaticAccountManagementEnabled] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 종속성 허용 값: true 종속성 허용 값 형식: ENUM |
허용되는 값:
| 값 | 설명 |
|---|---|
| False(기본값) | 대상 계정이 비활성화됩니다. |
| True | 대상 계정이 사용하도록 설정됩니다. |
Policies/AutomaticAccountManagementEnabled
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 24H2 [10.0.26100] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
자동 계정 관리를 사용할지 여부를 지정하려면 이 설정을 사용합니다.
이 설정을 사용하도록 설정하면 대상 계정이 자동으로 관리됩니다.
이 설정을 사용하지 않도록 설정하면 대상 계정이 자동으로 관리되지 않습니다.
지정하지 않으면 이 설정은 기본적으로 False로 설정됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | bool |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | False |
허용되는 값:
| 값 | 설명 |
|---|---|
| false(기본값) | 대상 계정은 자동으로 관리되지 않습니다. |
| true | 대상 계정은 자동으로 관리됩니다. |
Policies/AutomaticAccountManagementNameOrPrefix
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 24H2 [10.0.26100] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
이 설정을 사용하여 관리되는 로컬 관리자 계정의 이름 또는 접두사를 구성합니다.
지정된 경우 값은 관리되는 계정의 이름 또는 이름 접두사로 사용됩니다.
지정하지 않으면 이 설정은 기본적으로 "WLapsAdmin"으로 설정됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 |
chr (문자열) |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 종속성 [AutomaticAccountManagementEnabled] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 종속성 허용 값: true 종속성 허용 값 형식: ENUM |
Policies/AutomaticAccountManagementRandomizeName
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 24H2 [10.0.26100] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
이 설정을 사용하여 자동으로 관리되는 계정의 이름이 암호를 회전할 때마다 임의의 숫자 접미사를 사용하는지 여부를 구성합니다.
이 설정을 사용하도록 설정하면 대상 계정의 이름에 임의의 숫자 접미사가 사용됩니다.
이 설정이 해제된 경우 대상 계정의 이름은 임의의 숫자 접미사를 사용하지 않습니다.
지정하지 않으면 이 설정은 기본적으로 False로 설정됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | bool |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | False |
| 종속성 [AutomaticAccountManagementEnabled] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 종속성 허용 값: true 종속성 허용 값 형식: ENUM |
허용되는 값:
| 값 | 설명 |
|---|---|
| False(기본값) | 대상 계정의 이름은 임의의 숫자 접미사를 사용하지 않습니다. |
| True | 대상 계정의 이름은 임의의 숫자 접미사를 사용합니다. |
Policies/AutomaticAccountManagementTarget
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 24H2 [10.0.26100] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
이 설정을 사용하여 자동으로 관리되는 계정을 구성합니다.
허용되는 설정은 다음과 같습니다.
0=기본 제공 관리자 계정이 관리됩니다.
1=Windows LAPS에서 만든 새 계정이 관리됩니다.
지정하지 않으면 이 설정은 기본적으로 1로 설정됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 1 |
| 종속성 [AutomaticAccountManagementEnabled] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 종속성 허용 값: true 종속성 허용 값 형식: ENUM |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0 | 기본 제공 관리자 계정을 관리합니다. |
| 1(기본값) | 새 사용자 지정 관리자 계정을 관리합니다. |
Policies/BackupDirectory
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
이 설정을 사용하여 로컬 관리자 계정 암호가 백업되는 디렉터리를 구성합니다.
허용되는 설정은 다음과 같습니다.
0=사용 안 함(암호는 백업되지 않음) 1=암호를 백업하여 Microsoft Entra ID 2=Active Directory에만 암호 백업
지정하지 않으면 이 설정은 기본적으로 0으로 설정됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 0 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 0(기본값) | 사용 안 함(암호는 백업되지 않음). |
| 1 | 암호만 Microsoft Entra ID 백업합니다. |
| 2 | Active Directory에만 암호를 백업합니다. |
Policies/PassphraseLength
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅Windows 11 버전 24H2 [10.0.26100] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
이 설정을 사용하여 암호 단어 수를 구성합니다.
지정하지 않으면 이 설정은 기본적으로 6개 단어로 설정됩니다.
이 설정의 최소 허용 값은 3단어입니다.
이 설정의 최대 허용 값은 10단어입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 레인지: [3-10] |
| 기본 값 | 6 |
| 종속성 [PasswordComplexity] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity 종속성 허용 값: [6-8] 종속성 허용 값 형식: Range |
Policies/PasswordAgeDays
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
이 정책을 사용하여 관리되는 로컬 관리자 계정의 최대 암호 사용 기간을 구성합니다.
지정하지 않으면 이 설정은 기본적으로 30일로 설정됩니다.
이 설정은 암호를 온-프레미스 Active Directory 백업할 때 허용되는 최소 1일, Microsoft Entra ID 암호를 백업할 때 7일의 최소값을 가합니다.
이 설정의 최대 허용 값은 365일입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 레인지: [1-365] |
| 기본 값 | 30 |
| 종속성 [BackupDirectoryAADMode BackupDirectoryADMode] | 종속성 유형: DependsOn DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory 종속성 허용 값: 종속성 허용 값 형식: ENUM ENUM |
Policies/PasswordComplexity
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
이 설정을 사용하여 관리되는 로컬 관리자 계정의 암호 복잡성을 구성합니다.
허용되는 설정은 다음과 같습니다.
1=큰 문자 2=큰 문자 + 작은 문자 3 =큰 문자 + 작은 문자 + 숫자 4 = 큰 문자 + 작은 문자 + 숫자 + 특수 문자 5 = 큰 문자 + 작은 문자 + 숫자 + 특수 문자 (향상된 가독성) 6 = 암호 (긴 단어) 7 = 암호 (짧은 단어) 8 = 암호 (고유 접두사를 가진 짧은 단어)
지정하지 않으면 이 설정은 기본적으로 4로 설정됩니다.
전자 프론티어 재단의 "심층 분석: 임의 암호를 위한 EFF의 새 Wordlists"에서 가져온 암호 목록은 CC-BY-3.0 특성 라이선스로 사용됩니다. 자세한 내용은 https://go.microsoft.com/fwlink/?linkid=2255471을 참조하세요.
중요
Windows는 이전 버전의 LAPS와의 호환성에 대해서만 낮은 암호 복잡성 설정(1, 2 및 3)을 지원합니다. 이 설정은 항상 4로 구성하는 것이 좋습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본값 | 4 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 큰 글자입니다. |
| 2 | 큰 문자 + 작은 문자. |
| 3 | 큰 문자 + 작은 문자 + 숫자. |
| 4(기본값) | 큰 문자 + 작은 문자 + 숫자 + 특수 문자. |
| 5 | 큰 문자 + 작은 문자 + 숫자 + 특수 문자 (향상된 가독성). |
| 6 | 암호(긴 단어)입니다. |
| 7 | 암호(짧은 단어). |
| 8 | 암호(고유한 접두사를 가진 짧은 단어)입니다. |
Policies/PasswordExpirationProtectionEnabled
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
이 설정을 사용하여 관리되는 로컬 관리자 계정에 대한 최대 암호 사용 기간을 추가로 적용할 수 있습니다.
이 설정을 사용하도록 설정하면 "PasswordAgeDays" 정책에서 지정한 암호 기간보다 더 큰 암호 만료가 허용되지 않습니다. 이러한 만료가 감지되면 암호가 즉시 변경되고 정책에 따라 새 암호 만료 날짜가 설정됩니다.
지정하지 않으면 이 설정은 기본적으로 True로 설정됩니다.
중요
Active Directory에 암호를 백업하도록 BackupDirectory를 구성하지 않으면 이 설정은 무시됩니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | bool |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | True |
| 종속성 [BackupDirectory] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 종속성 허용 값: 2 종속성 허용 값 형식: ENUM |
허용되는 값:
| 값 | 설명 |
|---|---|
| false | 구성된 암호 만료 타임스탬프가 최대 암호 사용 기간을 초과하도록 허용합니다. |
| true(기본값) | 구성된 암호 만료 타임스탬프가 최대 암호 사용 기간을 초과하도록 허용하지 않습니다. |
Policies/PasswordLength
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
이 설정을 사용하여 관리되는 로컬 관리자 계정의 암호 길이를 구성합니다.
지정하지 않으면 이 설정은 기본적으로 14자로 설정됩니다.
이 설정의 최소 허용 값은 8자입니다.
이 설정의 최대 허용 값은 64자입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 레인지: [8-64] |
| 기본 값 | 14 |
| 종속성 [PasswordComplexity] | 종속성 유형: DependsOn 종속성 URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity 종속성 허용 값: [1-5] 종속성 허용 값 형식: Range |
Policies/PostAuthenticationActions
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
이 설정을 사용하여 구성된 유예 기간이 만료될 때 수행할 작업을 지정할 수 있습니다.
지정하지 않으면 이 설정은 기본적으로 3(암호 재설정 및 관리 계정 로그오프)으로 설정됩니다.
중요
허용되는 인증 후 작업은 다시 설정하기 전에 LAPS 암호를 사용할 수 있는 시간을 제한하는 데 도움이 됩니다. 관리되는 계정을 로그오프하거나 디바이스를 다시 부팅하는 것은 이를 보장하는 데 도움이 되는 옵션입니다. 로그온 세션이 갑자기 종료되거나 디바이스를 다시 부팅하면 데이터가 손실될 수 있습니다.
중요
보안 관점에서 유효한 LAPS 암호를 사용하여 디바이스에서 관리 권한을 획득하는 악의적인 사용자는 이러한 메커니즘을 방지하거나 우회할 수 있는 궁극적인 기능을 갖습니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 기본 값 | 3 |
허용되는 값:
| 값 | 설명 |
|---|---|
| 1 | 암호 재설정: 유예 기간이 만료되면 관리되는 계정 암호가 다시 설정됩니다. |
| 3(기본값) | 암호를 재설정하고 관리되는 계정을 로그오프합니다. 유예 기간이 만료되면 관리되는 계정 암호가 재설정되고 관리 계정을 사용하는 대화형 로그온 세션이 종료됩니다. |
| 5 | 암호 재설정 및 다시 부팅: 유예 기간이 만료되면 관리되는 계정 암호가 다시 설정되고 관리되는 디바이스가 즉시 다시 부팅됩니다. |
| 11 | 암호를 재설정하고, 관리 계정을 로그오프하고, 나머지 프로세스를 종료합니다. 유예 기간이 만료되면 관리 계정 암호가 재설정되고, 관리되는 계정을 사용하는 대화형 로그온 세션이 로그오프되고, 나머지 프로세스가 종료됩니다. |
Policies/PostAuthenticationResetDelay
| 범위 | 에디션 | 적용 가능한 OS |
|---|---|---|
|
✅ 장치 ❌ 사용자 |
✅ 프로 ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise/IoT Enterprise LTSC |
✅ [10.0.20348.1663] 이상 ✅ [10.0.25145] 이상 ✅Windows 10, 버전 1809 [10.0.17763.4244] 이상 ✅Windows 10 버전 2004 [10.0.19041.2784] 이상 ✅Windows 11 버전 21H2 [10.0.22000.1754] 이상 ✅Windows 11 버전 22H2 [10.0.22621.1480] 이상 |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
이 설정을 사용하여 지정된 인증 후 작업을 실행하기 전에 인증 후 대기할 시간(시간)을 지정합니다.
지정하지 않으면 이 설정은 기본적으로 24시간으로 설정됩니다.
이 설정의 최소 허용 값은 0시간입니다(인증 후 모든 작업을 사용하지 않도록 설정).
이 설정의 최대 허용 값은 24시간입니다.
설명 프레임워크 속성:
| 속성 이름 | 속성 값 |
|---|---|
| 형식 | int |
| 액세스 유형 | 추가, 삭제, 가져오기, 바꾸기 |
| 허용되는 값 | 레인지: [0-24] |
| 기본 값 | 24 |
설정 적용 가능성
LAPS CSP는 Microsoft Entra ID 조인되거나 Microsoft Entra ID 및 Active Directory(하이브리드 조인)에 조인된 디바이스를 관리하는 데 사용할 수 있습니다. LAPS CSP는 Microsoft Entra 전용 및 AD 전용 설정의 혼합을 관리합니다. AD 전용 설정은 하이브리드 조인 디바이스에만 적용되며 BackupDirectory가 2로 설정된 경우에만 적용됩니다.
| 설정 이름 | Azure 조인 | 하이브리드 조인 |
|---|---|---|
| BackupDirectory | 예 | 예 |
| PasswordAgeDays | 예 | 예 |
| PasswordLength | 예 | 예 |
| PasswordComplexity | 예 | 예 |
| PasswordExpirationProtectionEnabled | 아니오 | 예 |
| AdministratorAccountName | 예 | 예 |
| ADPasswordEncryptionEnabled | 아니오 | 예 |
| ADPasswordEncryptionPrincipal | 아니오 | 예 |
| ADEncryptedPasswordHistorySize | 아니오 | 예 |
| PostAuthenticationResetDelay | 예 | 예 |
| PostAuthenticationActions | 예 | 예 |
| ResetPassword | 예 | 예 |
| ResetPasswordStatus | 예 | 예 |
SyncML 예제
다음 예제는 올바른 형식을 표시하기 위해 제공되며 권장 사항으로 간주해서는 안 됩니다.
Azure 조인 디바이스 백업 암호를 Microsoft Entra ID
이 예제에서는 암호를 Microsoft Entra ID 백업하도록 Azure 조인 디바이스를 구성하는 방법을 보여줍니다.
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Active Directory에 대한 하이브리드 조인 디바이스 백업 암호
이 예제에서는 암호 암호화를 사용하도록 설정된 Active Directory에 암호를 백업하도록 하이브리드 디바이스를 구성하는 방법을 보여 줍니다.
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>