Obsługa usługi Microsoft Intune dla systemu Windows LAPS

Każda maszyna z systemem Windows ma wbudowane konto administratora lokalnego, którego nie można usunąć i które ma pełne uprawnienia do urządzenia. Zabezpieczenie tego konta jest ważnym krokiem w zabezpieczaniu organizacji. Urządzenia z systemem Windows obejmują rozwiązanie LAPS (Local Administrator Password Solution) systemu Windows, wbudowane rozwiązanie ułatwiające zarządzanie kontami administratora lokalnego.

Zasady zabezpieczeń punktu końcowego usługi Microsoft Intune umożliwiają zarządzanie usługą LAPS na urządzeniach zarejestrowanych w usłudze Intune. Zasady usługi Intune mogą:

• Wymuszanie wymagań dotyczących haseł dla kont administratorów lokalnych
• Tworzenie kopii zapasowej konta administratora lokalnego z urządzeń w usłudze Active Directory (AD) lub microsoft Entra
• Zaplanuj rotację tych haseł kont, aby zapewnić im bezpieczeństwo.

Możesz również wyświetlić szczegółowe informacje o zarządzanych kontach administratora lokalnego w centrum administracyjnym usługi Intune i ręcznie obrócić hasła kont poza zaplanowaną rotacją.

Korzystanie z zasad LAPS usługi Intune pomaga chronić urządzenia z systemem Windows przed atakami, które mają na celu wykorzystanie kont użytkowników lokalnych, takich jak ataki typu pass-the-hash lub boczne przechodzenie. Zarządzanie usługą LAPS za pomocą usługi Intune może również pomóc zwiększyć bezpieczeństwo scenariuszy zdalnej pomocy technicznej i odzyskać urządzenia, które w przeciwnym razie są niedostępne.

Zasady laps usługi Intune zarządza ustawieniami dostępnymi w dostawcy CSP laps systemu Windows. Użycie dostawcy CSP przez usługę Intune zastępuje użycie starszej wersji usługi Microsoft LAPS lub innych rozwiązań do zarządzania LAPS, a dostawca CSP ma pierwszeństwo przed innymi źródłami zarządzania LAPS.

Obsługa usługi Intune dla systemu Windows LAPS obejmuje następujące możliwości:

• Ustawianie wymagań dotyczących haseł — zdefiniuj wymagania dotyczące haseł, w tym złożoność i długość konta administratora lokalnego na urządzeniu.
• Rotacja haseł — dzięki zasadom urządzenia mogą automatycznie obracać hasła konta administratora lokalnego w harmonogramie. Możesz również użyć centrum administracyjnego usługi Intune, aby ręcznie obrócić hasło dla urządzenia jako akcję urządzenia.
• Tworzenie kopii zapasowych kont i haseł — możesz utworzyć kopię zapasową konta i hasła w usłudze Microsoft Entra ID w chmurze lub lokalnej usłudze Active Directory. Hasła są przechowywane przy użyciu silnego szyfrowania.
• Konfigurowanie akcji uwierzytelniania po uwierzytelnieniu — zdefiniuj akcje, które urządzenie wykonuje po wygaśnięciu hasła konta administratora lokalnego. Akcje obejmują resetowanie konta zarządzanego w celu użycia nowego bezpiecznego hasła, wylogowywanie się z konta lub wykonywanie obu tych czynności, a następnie wyłączanie urządzenia. Możesz również zarządzać tym, jak długo urządzenie czeka po wygaśnięciu hasła przed wykonaniem tych akcji.
• Wyświetlanie szczegółów konta — administratorzy usługi Intune z wystarczającymi uprawnieniami kontroli administracyjnej opartej na rolach (RBAC) mogą wyświetlać informacje o lokalnym koncie administratora urządzeń i jego bieżącym haśle. Możesz również zobaczyć, kiedy to hasło zostało ostatnio obrócone (zresetowanie) i kiedy ma zostać ponownie zaplanowane.
• Wyświetlanie raportów — usługa Intune udostępnia raporty dotyczące rotacji haseł, w tym szczegółowe informacje o przeszłej ręcznej i zaplanowanej rotacji haseł.

Aby dowiedzieć się więcej o usłudze Windows LAPS, zacznij od następujących artykułów w dokumentacji systemu Windows:

• Co to jest windows LAPS? — Wprowadzenie do systemu Windows LAPS i zestawu dokumentacji laps systemu Windows.
• Dostawca CSP systemu Windows LAPS — wyświetl pełne szczegóły ustawień i opcji laps. Zasady usługi Intune dla usługi LAPS używają tych ustawień do konfigurowania dostawcy CSP laps na urządzeniach.

Dotyczy:

• Windows 10
• Windows 11

Wymagania wstępne

Poniżej przedstawiono wymagania dotyczące usługi Intune dotyczące obsługi systemu Windows LAPS w dzierżawie:

Wymagania dotyczące licencjonowania

• Subskrypcja - usługi IntunePlan 1 usługi Microsoft Intune, który jest podstawową subskrypcją usługi Intune. Możesz również użyć systemu Windows LAPS z bezpłatną subskrypcją wersji próbnej dla usługi Intune.

• Microsoft Entra ID — microsoft Entra ID Free, czyli bezpłatna wersja identyfikatora Entra firmy Microsoft, która jest uwzględniona podczas subskrybowania usługi Intune. Dzięki usłudze Microsoft Entra ID Free możesz korzystać ze wszystkich funkcji laps.

Obsługa usługi Active Directory

Zasady usługi Intune dla systemu Windows LAPS mogą skonfigurować urządzenie do tworzenia kopii zapasowej konta administratora lokalnego i hasła do jednego z następujących typów katalogów:

Uwaga

Urządzenia przyłączone do miejsca pracy (WPJ) nie są obsługiwane przez usługę Intune dla usługi LAPS.

• Chmura — chmura obsługuje tworzenie kopii zapasowych identyfikatora Usługi Microsoft Entra w następujących scenariuszach:

  • Przyłączanie hybrydowe do usługi Microsoft Entra

  • Dołączanie do aplikacji Microsoft Entra

    Obsługa dołączania do usługi Microsoft Entra wymaga włączenia usługi LAPS w identyfikatorze Microsoft Entra. Poniższe kroki mogą pomóc w ukończeniu tej konfiguracji. Aby uzyskać większy kontekst, zapoznaj się z tymi krokami w dokumentacji usługi Microsoft Entra w temacie Enabling Windows LAPS with Microsoft Entra ID (Włączanie systemu Windows LAPS przy użyciu identyfikatora Entra firmy Microsoft). Dołączenie hybrydowe do usługi Microsoft Entra nie wymaga włączenia usługi LAPS w usłudze Microsoft Entra.

    Włączanie usługi LAPS w usłudze Microsoft Entra:

    1. Zaloguj się do centrum administracyjnego usługi Microsoft Entra jako administrator urządzeń w chmurze.
    2. Przejdź do pozycjiUrządzenia>tożsamości>— omówienie>ustawień urządzenia.
    3. Wybierz pozycję Tak dla ustawienia Włącz rozwiązanie laps (Local Administrator Password Solution) i wybierz pozycję Zapisz. Możesz również użyć urządzenia Microsoft Graph API UpdateRegistrationPolicy.

    Aby uzyskać więcej informacji, zobacz Rozwiązanie haseł administratora lokalnego systemu Windows w identyfikatorze Entra firmy Microsoft w dokumentacji usługi Microsoft Entra.

• Lokalnie — lokalna obsługa kopii zapasowej w usłudze Active Directory systemu Windows Server (lokalnej usłudze Active Directory).

  Ważna

  Usługi LAPS na urządzeniach z systemem Windows można skonfigurować tak, aby używały jednego lub drugiego typu katalogu, ale nie obu tych typów. Należy również wziąć pod uwagę, że katalog kopii zapasowej musi być obsługiwany przez typ sprzężenia urządzeń — jeśli ustawisz katalog na lokalną usługę Active Directory, a urządzenie nie jest przyłączone do domeny, zaakceptuje ustawienia zasad z usługi Intune, ale usługa LAPS nie może pomyślnie użyć tej konfiguracji.

Device Edition i Platforma

Urządzenia mogą mieć dowolną wersję systemu Windows obsługiwaną przez usługę Intune, ale muszą uruchamiać jedną z następujących wersji, aby obsługiwać dostawca CSP systemu Windows LAPS:

• Windows 10 w wersji 22H2 (19045.2846 lub nowszej) z KB5025221
• Windows 10 w wersji 21H2 (19044.2846 lub nowszej) z KB5025221
• Windows 10 w wersji 20H2 (19042.2846 lub nowszej) z KB5025221
• Windows 11 w wersji 22H2 (22621.1555 lub nowszej) z KB5025239
• Windows 11 w wersji 21H2 (22000.1817 lub nowszej) z KB5025224

Obsługa GCC High

Zasady usługi Intune dla systemu Windows LAPS są obsługiwane w środowiskach GCC High.

Kontrola dostępu oparta na rolach dla usługi LAPS

Aby zarządzać usługą LAPS, konto musi mieć wystarczające uprawnienia kontroli dostępu na podstawie ról (RBAC), aby wykonać żądane zadanie. Poniżej przedstawiono dostępne zadania z wymaganymi uprawnieniami:

• Tworzenie zasad LAPS i uzyskiwanie do nich dostępu — aby pracować z zasadami LAPS i wyświetlać je, twoje konto musi mieć przypisane wystarczające uprawnienia z kategorii RBAC usługi Intune dla punktów odniesienia zabezpieczeń. Domyślnie są one uwzględniane we wbudowanej roli Endpoint Security Manager. Aby korzystać z ról niestandardowych, upewnij się, że rola niestandardowa zawiera prawa z kategorii Punkty odniesienia zabezpieczeń .

• Obróć hasło administratora lokalnego — aby użyć centrum administracyjnego usługi Intune do wyświetlania lub obracania hasła konta administratora lokalnego urządzeń, konto musi mieć przypisane następujące uprawnienia usługi Intune:

  • Urządzenia zarządzane: odczyt
  • Organizacja: Odczyt
  • Zadania zdalne: obracanie hasła administratora lokalnego

• Pobieranie hasła administratora lokalnego — aby wyświetlić szczegóły hasła, konto musi mieć jedno z następujących uprawnień usługi Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read w celu odczytania metadanych i haseł laps.
  • microsoft.directory/deviceLocalCredentials/standard/read w celu odczytania metadanych LAPS z wyłączeniem haseł.

  Aby utworzyć role niestandardowe, które mogą udzielić tych uprawnień, zobacz Tworzenie i przypisywanie roli niestandardowej w identyfikatorze Entra firmy Microsoft w dokumentacji usługi Microsoft Entra.

• Wyświetlanie dzienników inspekcji i zdarzeń usługi Microsoft Entra — aby wyświetlić szczegółowe informacje o zasadach LAPS i ostatnich akcjach urządzenia, takich jak zdarzenia rotacji haseł, twoje konto musi mieć uprawnienia równoważne wbudowanej roli usługi Intune Tylko do odczytu.

Aby uzyskać więcej informacji, zobacz Kontrola dostępu oparta na rolach dla usługi Microsoft Intune.

Architektura LAPS

Aby uzyskać informacje o architekturze systemu Windows LAPS, zobacz Architektura laps systemu Windows w dokumentacji systemu Windows.

Często zadawane pytania

Czy mogę używać zasad LAPS usługi Intune do zarządzania dowolnym kontem administratora lokalnego na urządzeniu?

Tak. Zasady LAPS usługi Intune mogą służyć do zarządzania dowolnym kontem administratora lokalnego na urządzeniu. Jednak usługa LAPS obsługuje tylko jedno konto na urządzenie:

• Jeśli zasady nie określają nazwy konta, usługa Intune zarządza domyślnym wbudowanym kontem administratora niezależnie od jego bieżącej nazwy na urządzeniu.
• Konto zarządzane przez usługę Intune dla urządzenia można zmienić, zmieniając przypisane zasady urządzenia lub edytując jego bieżące zasady, aby określić inne konto.
• Jeśli do urządzenia są przypisane dwie oddzielne zasady, które określają inne konto, występuje konflikt, który należy rozwiązać, zanim będzie można zarządzać kontem urządzenia.

Co zrobić, jeśli wdrożę zasady LAPS w usłudze Intune na urządzeniu, które ma już konfiguracje laps z innego źródła?

Zasady oparte na programie CSP z usługi Intune przesłaniają wszystkie inne źródła zasad LAPS, na przykład z obiektów zasad grupy lub konfiguracji starszej wersji usługi Microsoft LAPS. Aby uzyskać więcej informacji, zobacz Obsługiwane katalogi główne zasad w dokumentacji systemu Windows LAPS.

Czy usługa Windows LAPS może tworzyć konta administratora lokalnego na podstawie nazwy konta administratora skonfigurowanej przy użyciu zasad LAPS?

L.p. Usługa WINDOWS LAPS może zarządzać tylko kontami, które już istnieją na urządzeniu. Jeśli zasady określają konto według nazwy, które nie istnieje na urządzeniu, zasady mają zastosowanie i nie zgłaszają błędu. Kopia zapasowa konta nie jest jednak kopią zapasową.

Czy usługa Windows LAPS obraca i tworzy kopię zapasową hasła dla urządzenia wyłączonego w usłudze Microsoft Entra?

L.p. System Windows LAPS wymaga, aby urządzenie było w stanie włączonym przed zastosowaniem operacji rotacji haseł i tworzenia kopii zapasowych.

Co się stanie, gdy urządzenie zostanie usunięte w usłudze Microsoft Entra?

Po usunięciu urządzenia w usłudze Microsoft Entra poświadczenia LAPS powiązane z tym urządzeniem zostaną utracone, a hasło przechowywane w identyfikatorze Entra firmy Microsoft zostanie utracone. Jeśli nie masz niestandardowego przepływu pracy do pobierania haseł LAPS i przechowywania ich na zewnątrz, w identyfikatorze Microsoft Entra nie ma metody odzyskiwania hasła zarządzanego przez usługę LAPS dla usuniętego urządzenia.

Jakie role są potrzebne do odzyskania haseł LAPS?

Następujące wbudowane role usługi Microsoft Entra mają uprawnienia do odzyskiwania haseł LAPS: administrator urządzeń w chmurze i administrator usługi Intune.

Jakie role są potrzebne do odczytu metadanych LAPS?

Następujące wbudowane role Entra firmy Microsoft są obsługiwane w celu wyświetlania metadanych dotyczących usługi LAPS, w tym nazwy urządzenia, ostatniej rotacji haseł i następnej rotacji haseł:

• Czytelnik zabezpieczeń

Można również użyć następujących ról:

• Administrator urządzeń w chmurze
• Intune Administrator
• Administrator pomocy technicznej
• Administrator zabezpieczeń

Dlaczego przycisk hasła administratora lokalnego jest wyszarzone i niedostępne?

Obecnie dostęp do tego obszaru wymaga uprawnienia Rotacja hasła administratora lokalnego w usłudze Intune. Zobacz Kontrola dostępu oparta na rolach dla usługi Microsoft Intune.

Co się stanie po zmianie konta określonego przez zasady?

Ponieważ usługa Windows LAPS może jednocześnie zarządzać tylko jednym kontem administratora lokalnego na urządzeniu, oryginalne konto nie jest już zarządzane przez zasady LAPS. Jeśli zasady mają kopię zapasową tego konta, nowe konto jest kopią zapasową, a szczegóły dotyczące poprzedniego konta nie są już dostępne w centrum administracyjnym usługi Intune lub w katalogu określonym do przechowywania informacji o koncie.

Następne kroki

• Tworzenie zasad dla usługi LAPS
• Wyświetlanie raportów dla usługi LAPS
• Zasady ochrony konta dla zabezpieczeń punktu końcowego w usłudze Intune