Rozwiązanie hasła administratora lokalnego systemu Windows w usłudze Microsoft Entra ID
Każde urządzenie z systemem Windows zawiera wbudowane konto administratora lokalnego, które należy zabezpieczyć i chronić, aby wyeliminować wszelkie ataki typu Pass-the-Hash (PtH) i przechodzenia bocznego. Wielu klientów korzysta z naszego autonomicznego, lokalnego produktu LapS (Local Administrator Password Solution) do lokalnego zarządzania hasłami administratora lokalnego maszyn z systemem Windows przyłączonych do domeny. Dzięki obsłudze rozwiązania Microsoft Entra dla systemu Windows LAPS zapewniamy spójne środowisko zarówno dla urządzeń dołączonych do firmy Microsoft Entra, jak i urządzeń hybrydowych dołączonych do firmy Microsoft Entra.
Obsługa rozwiązania LAPS firmy Microsoft obejmuje następujące możliwości:
- Włączanie systemu Windows LAPS przy użyciu identyfikatora Entra firmy Microsoft — włącz zasady dla całej dzierżawy i zasady po stronie klienta, aby utworzyć kopię zapasową hasła administratora lokalnego do identyfikatora Entra firmy Microsoft.
- Zarządzanie hasłami administratora lokalnego — skonfiguruj zasady po stronie klienta, aby ustawić nazwę konta, wiek hasła, długość, złożoność, ręczne resetowanie hasła itd.
- Odzyskiwanie hasła administratora lokalnego — użyj środowisk interfejsu API/portalu na potrzeby odzyskiwania hasła administratora lokalnego.
- Wyliczanie wszystkich urządzeń z systemem Windows LAPS — użyj środowisk interfejsu API/portalu, aby wyliczyć wszystkie urządzenia z systemem Windows w usłudze Microsoft Entra ID włączone w systemie Windows LAPS.
- Autoryzacja odzyskiwania haseł administratora lokalnego — użyj zasad kontroli dostępu opartej na rolach (RBAC) z rolami niestandardowymi i jednostkami administracyjnymi.
- Inspekcja aktualizacji i odzyskiwania haseł administratora lokalnego — monitorowanie zdarzeń aktualizacji haseł i odzyskiwania przy użyciu interfejsu API/portalu dzienników inspekcji.
- Zasady dostępu warunkowego na potrzeby odzyskiwania haseł administratora lokalnego — skonfiguruj zasady dostępu warunkowego w rolach katalogu, które mają autoryzację odzyskiwania haseł.
Uwaga
System Windows LAPS z identyfikatorem Entra firmy Microsoft nie jest obsługiwany w przypadku urządzeń z systemem Windows zarejestrowanych przez firmę Microsoft Entra.
Rozwiązanie hasła administratora lokalnego nie jest obsługiwane na platformach innych niż Windows.
Aby dowiedzieć się więcej o systemie Windows LAPS, zacznij od następujących artykułów w dokumentacji systemu Windows:
- Co to jest system Windows LAPS? — Wprowadzenie do systemu Windows LAPS i zestawu dokumentacji systemu Windows LAPS.
- Windows LAPS CSP — wyświetlanie pełnych szczegółów dotyczących ustawień i opcji LAPS. Zasady usługi Intune dla platformy LAPS używają tych ustawień do konfigurowania dostawcy CSP LAPS na urządzeniach.
- Obsługa rozwiązania Windows LAPS w usłudze Microsoft Intune
- Architektura systemu Windows LAPS
Wymagania
Obsługiwane regiony platformy Azure i dystrybucje systemu Windows
Ta funkcja jest teraz dostępna w następujących chmurach platformy Azure:
- Globalna platforma Azure
- Azure Government
- Platforma Microsoft Azure obsługiwana przez firmę 21Vianet
Aktualizacje systemu operacyjnego
Ta funkcja jest teraz dostępna na następujących platformach systemu operacyjnego Windows z określoną aktualizacją lub nowszą zainstalowaną:
- Windows 11 22H2 — aktualizacja z 11 kwietnia 2023 r.
- Windows 11 21H2 — aktualizacja z 11 kwietnia 2023 r.
- Windows 10 20H2, 21H2 i 22H2 — aktualizacja z 11 kwietnia 2023 r.
- Windows Server 2022 — aktualizacja z 11 kwietnia 2023 r.
- Windows Server 2019 - 11 2023 11, 2023 11 2023 Update
Typy sprzężenia
Rozwiązanie LAPS jest obsługiwane tylko na urządzeniach dołączonych hybrydową do firmy Microsoft lub dołączonych hybrydowych urządzeniach firmy Microsoft Entra. Zarejestrowane urządzenia usługi Microsoft Entra nie są obsługiwane.
Wymagania dotyczące licencji
Rozwiązanie LAPS jest dostępne dla wszystkich klientów korzystających z licencji Microsoft Entra ID Free lub wyższych. Inne powiązane funkcje, takie jak jednostki administracyjne, role niestandardowe, dostęp warunkowy i usługa Intune mają inne wymagania dotyczące licencjonowania.
Wymagane role lub uprawnienia
Inne niż wbudowane role firmy Microsoft Entra, takie jak Administrator urządzeń w chmurze i Administrator usługi Intune, którym przyznano urządzenie. LocalCredentials.Read.All możesz użyć ról niestandardowych firmy Microsoft lub jednostek administracyjnych do autoryzowania odzyskiwania haseł administratora lokalnego. Na przykład:
Role niestandardowe muszą być przypisane do uprawnienia microsoft.directory/deviceLocalCredentials/password/read , aby autoryzować odzyskiwanie haseł administratora lokalnego. Możesz utworzyć rolę niestandardową i udzielić uprawnień przy użyciu centrum administracyjnego firmy Microsoft Entra, interfejsu API programu Microsoft Graph lub programu PowerShell. Po utworzeniu roli niestandardowej można ją przypisać do użytkowników.
Możesz również utworzyć jednostkę administracyjną microsoft Entra ID, dodać urządzenia i przypisać rolę Administratora urządzeń w chmurze o zakresie do jednostki administracyjnej, aby autoryzować odzyskiwanie haseł administratora lokalnego.
Włączanie usługi Windows LAPS przy użyciu identyfikatora Entra firmy Microsoft
Aby włączyć system Windows LAPS z identyfikatorem Microsoft Entra ID, musisz wykonać akcje w identyfikatorze Entra firmy Microsoft i urządzeniach, którymi chcesz zarządzać. Zalecamy organizacjom zarządzanie systemem Windows LAPS przy użyciu usługi Microsoft Intune. Jeśli twoje urządzenia są przyłączone do firmy Microsoft Entra, ale nie są używane lub nie obsługują usługi Microsoft Intune, możesz ręcznie wdrożyć rozwiązanie Windows LAPS for Microsoft Entra ID. Aby uzyskać więcej informacji, zobacz artykuł Konfigurowanie ustawień zasad systemu Windows LAPS.
Zaloguj się do centrum administracyjnego firmy Microsoft Entra co najmniej jako administrator urządzeń w chmurze.
Przejdź do pozycji Przegląd urządzeń>>tożsamości>Ustawienia urządzenia
Wybierz pozycję Tak dla ustawienia Włącz rozwiązanie do haseł administratora lokalnego (LAPS ), a następnie wybierz pozycję Zapisz. Aby wykonać to zadanie, możesz również użyć funkcji DeviceRegistrationPolicy aktualizacji interfejsu API programu Microsoft Graph.
Skonfiguruj zasady po stronie klienta i ustaw dla klasy BackUpDirectory wartość Microsoft Entra ID.
- Jeśli używasz usługi Microsoft Intune do zarządzania zasadami po stronie klienta, zobacz Zarządzanie systemem Windows LAPS przy użyciu usługi Microsoft Intune
- Jeśli używasz obiektów zasad grupy (GPO) do zarządzania zasadami po stronie klienta, zobacz Zasady grupy LAPS systemu Windows
Odzyskiwanie hasła i hasła administratora lokalnego
Aby wyświetlić hasło administratora lokalnego dla urządzenia z systemem Windows dołączonego do identyfikatora Entra firmy Microsoft, musisz udzielić akcji microsoft.directory/deviceLocalCredentials/password/read .
Aby wyświetlić metadane hasła administratora lokalnego dla urządzenia z systemem Windows dołączonego do identyfikatora Entra firmy Microsoft, należy udzielić akcji microsoft.directory/deviceLocalCredentials/standard/read .
Następujące wbudowane role są domyślnie przyznawane następującym akcjom:
| Rola wbudowana | microsoft.directory/deviceLocalCredentials/standard/read i microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Administrator urządzeń w chmurze | Tak | Tak |
| Administrator usługi Intune | Tak | Tak |
| Administrator pomocy technicznej | Nie. | Tak |
| Administrator zabezpieczeń | Nie. | Tak |
| Czytelnik zabezpieczeń | Nie. | Tak |
Żadne role, których nie ma na liście, nie są przyznawane ani żadnej akcji.
Możesz również użyć interfejsu API programu Microsoft Graph Get deviceLocalCredentialInfo w celu odzyskania lokalnego hasła administracyjnego. Jeśli używasz interfejsu API programu Microsoft Graph, zwrócone hasło jest wartością zakodowaną w formacie Base64, którą należy zdekodować przed jego użyciem.
Wyświetlanie listy wszystkich urządzeń z systemem Windows LAPS
Aby wyświetlić listę wszystkich urządzeń z włączoną usługą Windows LAPS, możesz przejść do pozycji Przegląd urządzeń>tożsamości>Odzyskiwanie>hasła administratora lokalnego lub użyć interfejsu API programu Microsoft Graph.
Inspekcja aktualizacji i odzyskiwania haseł administratora lokalnego
Aby wyświetlić zdarzenia inspekcji, możesz przejść do pozycji Dzienniki inspekcji przeglądu>urządzeń>tożsamości>, a następnie użyć filtru Działania i wyszukać hasło Aktualizuj hasło administratora lokalnego urządzenia lub Odzyskaj hasło administratora lokalnego urządzenia, aby wyświetlić zdarzenia inspekcji.
Zasady dostępu warunkowego na potrzeby odzyskiwania haseł administratora lokalnego
Zasady dostępu warunkowego mogą być ograniczone do wbudowanych ról w celu ochrony dostępu w celu odzyskania haseł administratora lokalnego. Przykład zasad wymagających uwierzytelniania wieloskładnikowego można znaleźć w artykule Typowe zasady dostępu warunkowego: Wymagaj uwierzytelniania wieloskładnikowego dla administratorów.
Uwaga
Inne typy ról, w tym role w zakresie jednostki administracyjnej i role niestandardowe, nie są obsługiwane
Często zadawane pytania
Czy system Windows LAPS z konfiguracją zarządzania entra firmy Microsoft jest obsługiwany przy użyciu obiektów zasad grupy (GPO)?
Tak, tylko w przypadku urządzeń dołączonych hybrydowych firmy Microsoft Entra. Zobacz Zasady grupy systemu Windows LAPS.
Czy system Windows LAPS z konfiguracją zarządzania firmy Microsoft Entra jest obsługiwany przy użyciu rozwiązania MDM?
Tak, w przypadku urządzeń dołączonych hybrydowo/do firmy Microsoft Entra firmy Microsoft (współzarządzanych). Klienci mogą używać usługi Microsoft Intune lub innej innej firmy do zarządzania urządzeniami przenośnymi (MDM) wybranej przez siebie.
Co się stanie po usunięciu urządzenia w identyfikatorze Entra firmy Microsoft?
Gdy urządzenie zostanie usunięte w usłudze Microsoft Entra ID, poświadczenie LAPS powiązane z tym urządzeniem zostanie utracone, a hasło przechowywane w identyfikatorze Entra firmy Microsoft zostanie utracone. Jeśli nie masz niestandardowego przepływu pracy do pobierania haseł LAPS i przechowywania ich zewnętrznie, nie ma metody w usłudze Microsoft Entra ID w celu odzyskania hasła zarządzanego przez usługę LAPS dla usuniętego urządzenia.
Jakie role są potrzebne do odzyskania haseł LAPS?
Następujące wbudowane role firmy Microsoft entra mają uprawnienia do odzyskiwania haseł LAPS: Administrator urządzeń w chmurze i Administrator usługi Intune.
Jakie role są potrzebne do odczytywania metadanych LAPS?
Następujące wbudowane role są obsługiwane do wyświetlania metadanych dotyczących rozwiązania LAPS, w tym nazwy urządzenia, ostatniej rotacji haseł i kolejnej rotacji haseł: Administrator urządzeń w chmurze, Administrator usługi Intune, Administrator pomocy technicznej, Czytelnik zabezpieczeń i Administrator zabezpieczeń.
Czy role niestandardowe są obsługiwane?
Tak. Jeśli masz identyfikator Microsoft Entra ID P1 lub P2, możesz utworzyć rolę niestandardową z następującymi uprawnieniami RBAC:
- Aby odczytać metadane LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Aby odczytać hasła LAPS: microsoft.directory/deviceLocalCredentials/password/read
Co się stanie po zmianie konta administratora lokalnego określonego przez zasady?
Ponieważ system Windows LAPS może zarządzać tylko jednym kontem administratora lokalnego na urządzeniu w danym momencie, oryginalne konto nie jest już zarządzane przez zasady LAPS. Jeśli zasady mają kopię zapasową tego konta, nowe konto jest tworzone i szczegóły dotyczące poprzedniego konta nie są już dostępne w centrum administracyjnym usługi Intune lub w katalogu określonym w celu przechowywania informacji o koncie.