Windows Local Administrator Password Solution in Microsoft Entra ID
Elk Windows-apparaat wordt geleverd met een ingebouwd lokaal beheerdersaccount dat u moet beveiligen en beveiligen om eventuele Pass-the-Hash-aanvallen (PtH) en laterale doorkruising te beperken. Veel klanten gebruiken ons zelfstandige, lokale LAPS-product (Local Administrator Password Solution) voor lokaal beheerderswachtwoordbeheer van hun windows-computers die lid zijn van hun domein. Met Microsoft Entra-ondersteuning voor Windows LAPS bieden we een consistente ervaring voor apparaten die zijn toegevoegd aan Microsoft Entra en hybride apparaten van Microsoft Entra.
Microsoft Entra-ondersteuning voor LAPS bevat de volgende mogelijkheden:
- Windows LAPS inschakelen met Microsoft Entra-id : schakel een tenantbreed beleid en een beleid aan de clientzijde in om een back-up te maken van het lokale beheerderswachtwoord naar Microsoft Entra-id.
- Lokaal beheerderswachtwoordbeheer : configureer beleidsregels aan de clientzijde om accountnaam, wachtwoordduur, lengte, complexiteit, handmatig opnieuw instellen van wachtwoorden, enzovoort in te stellen.
- Het lokale beheerderswachtwoord herstellen - API/Portal-ervaringen gebruiken voor herstel van lokale beheerderswachtwoorden.
- Alle windows LAPS-apparaten opsommen: gebruik API/portal-ervaringen om alle Windows-apparaten in Microsoft Entra ID te inventariseren die zijn ingeschakeld met Windows LAPS.
- Autorisatie van herstel van lokale beheerderswachtwoorden - Op rollen gebaseerd toegangsbeheerbeleid (RBAC) gebruiken met aangepaste rollen en beheereenheden.
- Lokale beheerderswachtwoordupdates en -herstel controleren : gebruik api-/portalervaringen voor auditlogboeken om gebeurtenissen voor wachtwoordupdates en herstel te controleren.
- Beleid voor voorwaardelijke toegang voor herstel van lokale beheerderswachtwoorden : configureer beleid voor voorwaardelijke toegang voor directoryrollen die de autorisatie van wachtwoordherstel hebben.
Notitie
Windows LAPS met Microsoft Entra ID wordt niet ondersteund voor Windows-apparaten die zijn geregistreerd bij Microsoft Entra.
Lokale beheerderswachtwoordoplossing wordt niet ondersteund op niet-Windows-platforms.
Raadpleeg de volgende artikelen in de Windows-documentatie voor meer informatie over Windows LAPS:
- Wat is Windows LAPS? – Inleiding tot Windows LAPS en de windows LAPS-documentatieset.
- Windows LAPS CSP : bekijk de volledige details voor LAPS-instellingen en -opties. Intune-beleid voor LAPS gebruikt deze instellingen om de LAPS-CSP op apparaten te configureren.
- Microsoft Intune-ondersteuning voor Windows LAPS
- Windows LAPS-architectuur
Vereisten
Ondersteunde Azure-regio's en Windows-distributies
Deze functie is nu beschikbaar in de volgende Azure-clouds:
- Azure Global
- Azure Government
- Microsoft Azure beheerd door 21Vianet
Updates van het besturingssysteem
Deze functie is nu beschikbaar op de volgende Windows-besturingssysteemplatforms waarop de opgegeven update of later is geïnstalleerd:
- Windows 11 22H2 - Update van 11 april 2023
- Windows 11 21H2 - Update van 11 april 2023
- Windows 10 20H2, 21H2 en 22H2 - Update van 11 april 2023
- Windows Server 2022 - Update van 11 april 2023
- Windows Server 2019 - 11 2023 11, 2023 11 2023 Update
Join-typen
LAPS wordt alleen ondersteund op aan Microsoft Entra gekoppelde of hybride apparaten van Microsoft Entra. Geregistreerde Microsoft Entra-apparaten worden niet ondersteund.
Licentievereisten
LAPS is beschikbaar voor alle klanten met gratis of hogere licenties voor Microsoft Entra ID. Andere gerelateerde functies, zoals beheereenheden, aangepaste rollen, voorwaardelijke toegang en Intune, hebben andere licentievereisten.
Vereiste rollen of machtigingen
Afgezien van de ingebouwde Microsoft Entra-rollen, zoals CloudApparaatbeheerder en Intune-beheerder die een apparaat krijgen toegewezen. LocalCredentials.Read.All, u kunt aangepaste rollen of beheereenheden van Microsoft Entra gebruiken om lokaal beheerderswachtwoordherstel te autoriseren. Voorbeeld:
Aangepaste rollen moeten worden toegewezen aan de microsoft.directory/deviceLocalCredentials/password/read-machtiging om lokaal beheerderswachtwoordherstel te autoriseren. U kunt een aangepaste rol maken en machtigingen verlenen met behulp van het Microsoft Entra-beheercentrum, Microsoft Graph API of PowerShell. Zodra u een aangepaste rol hebt gemaakt, kunt u deze toewijzen aan gebruikers.
U kunt ook een Microsoft Entra ID-beheereenheid maken, apparaten toevoegen en de rol Cloudapparaatbeheerder toewijzen aan de beheereenheid om lokaal beheerderswachtwoordherstel te autoriseren.
Windows LAPS inschakelen met Microsoft Entra-id
Als u Windows LAPS met Microsoft Entra ID wilt inschakelen, moet u acties uitvoeren in Microsoft Entra ID en de apparaten die u wilt beheren. Organisaties raden organisaties aan Windows LAPS te beheren met Microsoft Intune. Als uw apparaten lid zijn van Microsoft Entra, maar niet microsoft Intune gebruiken of niet ondersteunen, kunt u Windows LAPS voor Microsoft Entra ID handmatig implementeren. Zie het artikel Windows LAPS-beleidsinstellingen configureren voor meer informatie.
Meld u aan bij het Microsoft Entra-beheercentrum als ten minste een cloudapparaatbeheerder.
Blader naar Overzicht>apparaatinstellingen voor identiteitsapparaten>>
Selecteer Ja voor de instelling Local Administrator Password Solution (LAPS) inschakelen en selecteer Vervolgens Opslaan. U kunt ook de Microsoft Graph API Update deviceRegistrationPolicy gebruiken om deze taak te voltooien.
Configureer een beleid aan de clientzijde en stel BackUpDirectory in op Microsoft Entra-id.
- Als u Microsoft Intune gebruikt om beleidsregels aan de clientzijde te beheren, raadpleegt u Windows LAPS beheren met Microsoft Intune
- Als u groepsbeleidsobjecten (GPO's) gebruikt om beleidsregels aan de clientzijde te beheren, raadpleegt u Windows LAPS-groepsbeleid
Lokale beheerderswachtwoord en wachtwoordmetagegevens herstellen
Als u het lokale beheerderswachtwoord wilt weergeven voor een Windows-apparaat dat is gekoppeld aan Microsoft Entra-id, moet u de actie microsoft.directory/deviceLocalCredentials/password/read krijgen.
Als u de metagegevens van het lokale beheerderswachtwoord wilt weergeven voor een Windows-apparaat dat is gekoppeld aan Microsoft Entra-id, moet u de actie microsoft.directory/deviceLocalCredentials/standard/read krijgen.
Aan de volgende ingebouwde rollen worden standaard deze acties verleend:
| Ingebouwde rol | microsoft.directory/deviceLocalCredentials/standard/read en microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Cloudapparaatbeheerder | Ja | Ja |
| Intune-servicebeheerder | Ja | Ja |
| Helpdeskbeheerder | Nr. | Ja |
| Beveiligingsbeheerder | Nr. | Ja |
| Beveiligingslezer | Nr. | Ja |
Aan rollen die niet worden vermeld, worden geen van beide acties verleend.
U kunt ook Microsoft Graph API DeviceLocalCredentialInfo ophalen gebruiken om het lokale beheerderswachtwoord te herstellen. Als u de Microsoft Graph API gebruikt, is het geretourneerde wachtwoord in base64 gecodeerde waarde die u moet decoderen voordat u het gebruikt.
Alle Windows LAPS-apparaten weergeven
Als u alle windows LAPS-apparaten wilt weergeven, kunt u bladeren naar Overzicht>van lokale beheerderswachtwoordherstel voor identiteitsapparaten>>of de Microsoft Graph API gebruiken.
Het bijwerken en herstellen van lokale beheerderswachtwoorden controleren
Als u controlegebeurtenissen wilt bekijken, kunt u bladeren naar >auditlogboeken voor identiteitsapparaten>>, vervolgens het activiteitenfilter gebruiken en zoeken naar het wachtwoord van de lokale beheerder van het apparaat bijwerken of het lokale beheerderswachtwoord van het apparaat herstellen om de controlegebeurtenissen weer te geven.
Beleid voor voorwaardelijke toegang voor herstel van lokale beheerderswachtwoorden
Beleidsregels voor voorwaardelijke toegang kunnen worden afgestemd op de ingebouwde rollen om de toegang te beveiligen voor het herstellen van lokale beheerderswachtwoorden. U vindt een voorbeeld van een beleid waarvoor meervoudige verificatie is vereist in het artikel Algemeen beleid voor voorwaardelijke toegang: MFA vereisen voor beheerders.
Notitie
Andere roltypen, waaronder rollen binnen het bereik van een beheereenheid en aangepaste rollen, worden niet ondersteund
Veelgestelde vragen
Wordt Windows LAPS ondersteund met microsoft Entra-beheerconfiguratie met groepsbeleidsobjecten (GPO's)?
Ja, alleen voor hybride apparaten van Microsoft Entra. Zie Windows LAPS-groepsbeleid.
Wordt Windows LAPS ondersteund met microsoft Entra-beheerconfiguratie met MDM?
Ja, voor Apparaten met/Microsoft Entra hybrid join (co-managed) van Microsoft Entra. Klanten kunnen Microsoft Intune of andere MDM(Mobile Device Management) van derden van hun keuze gebruiken.
Wat gebeurt er wanneer een apparaat wordt verwijderd in Microsoft Entra ID?
Wanneer een apparaat wordt verwijderd in Microsoft Entra ID, gaat de LAPS-referentie die aan dat apparaat is gekoppeld verloren en gaat het wachtwoord dat is opgeslagen in Microsoft Entra ID verloren. Tenzij u een aangepaste werkstroom hebt om LAPS-wachtwoorden op te halen en deze extern op te slaan, is er geen methode in Microsoft Entra-id om het beheerde LAPS-wachtwoord voor een verwijderd apparaat te herstellen.
Welke rollen zijn nodig om LAPS-wachtwoorden te herstellen?
De volgende ingebouwde rollen van Microsoft Entra zijn gemachtigd om LAPS-wachtwoorden te herstellen: Cloudapparaatbeheerder en Intune-beheerder.
Welke rollen zijn nodig om LAPS-metagegevens te lezen?
De volgende ingebouwde rollen worden ondersteund om metagegevens over LAPS weer te geven, waaronder de apparaatnaam, de rotatie van laatste wachtwoorden en de volgende wachtwoordrotatie: Cloudapparaatbeheerder, Intune-beheerder, Helpdeskbeheerder, Beveiligingslezer en Beveiligingsbeheerder.
Worden aangepaste rollen ondersteund?
Ja. Als u Microsoft Entra ID P1 of P2 hebt, kunt u een aangepaste rol maken met de volgende RBAC-machtigingen:
- Laps-metagegevens lezen: microsoft.directory/deviceLocalCredentials/standard/read
- LAPS-wachtwoorden lezen: microsoft.directory/deviceLocalCredentials/password/read
Wat gebeurt er wanneer het lokale beheerdersaccount dat is opgegeven door beleid wordt gewijzigd?
Omdat Windows LAPS slechts één lokaal beheerdersaccount tegelijk op een apparaat kan beheren, wordt het oorspronkelijke account niet meer beheerd door LAPS-beleid. Als het beleid een back-up van dat account heeft, wordt er een back-up van het nieuwe account gemaakt en zijn details over het vorige account niet meer beschikbaar vanuit het Intune-beheercentrum of vanuit de directory die is opgegeven om de accountgegevens op te slaan.