Zarządzanie zasadami laps systemu Windows za pomocą Microsoft Intune

  • Artykuł

Gdy wszystko będzie gotowe do zarządzania rozwiązaniem Windows Local Administrator Password Solution (Windows LAPS) na urządzeniach z systemem Windows zarządzanych za pomocą Microsoft Intune, informacje zawarte w tym artykule mogą ułatwić korzystanie z centrum administracyjnego usługi Intune w następujących przypadkach:

  • Tworzenie i przypisywanie zasad LAPS usługi Intune do urządzeń.
  • Wyświetl szczegóły konta administratora lokalnego urządzenia.
  • Ręcznie obróć hasło dla konta zarządzanego.
  • Korzystanie z raportów dotyczących zasad LAPS.

Przed utworzeniem zasad zapoznaj się z informacjami zawartymi w Microsoft Intune obsługi systemu Windows LAPS, w tym:

  • Omówienie zasad i możliwości laps systemu Windows usługi Intune.
  • Wymagania wstępne dotyczące korzystania z zasad usługi Intune dla usługi LAPS.
  • Uprawnienia kontroli administratora opartej na rolach (RBAC) wymagane przez konto do zarządzania zasadami LAPS.
  • Często zadawane pytania, które mogą dostarczyć szczegółowych informacji na temat konfigurowania i używania zasad LAPS usługi Intune.

Dotyczy:

  • Windows 10
  • Windows 11

Informacje o zasadach LAPS usługi Intune

Usługa Intune zapewnia obsługę konfigurowania systemu Windows LAPS na urządzeniach za pośrednictwem profilu hasła administratora lokalnego (Windows LAPS) dostępnego za pośrednictwem zasad zabezpieczeń punktu końcowego na potrzeby ochrony konta.

Zasady usługi Intune zarządzają usługą LAPS przy użyciu dostawcy usług konfiguracji systemu Windows LAPS.Intune policies manage LAPS by using the Windows LAPS configuration service provider (CSP). Konfiguracje dostawcy CSP systemu Windows LAPS mają pierwszeństwo przed wszelkimi istniejącymi konfiguracjami z innych źródeł laps, takimi jak obiekty zasad grupy lub starsze narzędzie laps firmy Microsoft .

System Windows LAPS umożliwia zarządzanie pojedynczym kontem administratora lokalnego na urządzeniu. Zasady usługi Intune mogą określać, do którego konta administratora lokalnego ma zastosowanie przy użyciu ustawienia zasad Nazwa konta administratora. Jeśli nazwa konta określona w zasadach nie jest obecna na urządzeniu, żadne konto nie jest zarządzane. Jeśli jednak nazwa konta administratora pozostanie pusta, zasady domyślnie mają wbudowane konto administratora lokalnego, które jest identyfikowane za pomocą dobrze znanego identyfikatora względnego (RID).

Uwaga

Przed utworzeniem zasad upewnij się, że wymagania wstępne usługi Intune dotyczące obsługi systemu Windows LAPS w dzierżawie są spełnione.

Zasady LAPS usługi Intune nie tworzą nowych kont ani haseł. Zamiast tego zarządzają kontem, które jest już na urządzeniu.

Dokładnie skonfiguruj i przypisz zasady LAPS. Dostawca CSP systemu Windows LAPS obsługuje pojedynczą konfigurację dla każdego ustawienia LAPS na urządzeniu. Urządzenia, które odbierają wiele zasad usługi Intune, które zawierają ustawienia powodujące konflikt, mogą nie przetwarzać zasad. Konflikty mogą również uniemożliwić tworzenie kopii zapasowej zarządzanego konta administratora lokalnego i hasła do katalogu dzierżaw.

Aby zmniejszyć potencjalne konflikty, zalecamy przypisanie jednej zasady LAPS do każdego urządzenia za pośrednictwem grup urządzeń, a nie za pośrednictwem grup użytkowników. Zasady LAPS obsługują przypisania grup użytkowników, ale mogą powodować zmianę konfiguracji laps za każdym razem, gdy inny użytkownik loguje się do urządzenia. Często zmieniające się zasady mogą wprowadzać konflikty, brak zgodności urządzeń z wymaganiami i powodować nieporozumienia dotyczące tego, które konto administratora lokalnego z urządzenia jest obecnie zarządzane.

Tworzenie zasad LAPS

Ważna

Upewnij się, że włączono usługę LAPS w Microsoft Entra, jak opisano w dokumentacji Włączanie usługi LAPS systemu Windows przy użyciu identyfikatora Microsoft Entra.

Aby utworzyć zasady LAPS lub zarządzać nimi, konto musi mieć odpowiednie prawa z kategorii Punkt odniesienia zabezpieczeń . Domyślnie te uprawnienia są uwzględniane we wbudowanej roli Endpoint Security Manager. Aby korzystać z ról niestandardowych, upewnij się, że rola niestandardowa zawiera prawa z kategorii Punkty odniesienia zabezpieczeń . Zobacz Kontrola dostępu oparta na rolach dla usługi LAPS.

Przed utworzeniem zasad możesz przejrzeć szczegółowe informacje o dostępnych ustawieniach w dokumentacji dostawcy CSP systemu Windows LAPS .

  1. Zaloguj się do centrum administracyjnego Microsoft Intune i przejdź do pozycjiOchrona kontazabezpieczeń> punktu końcowego, a następnie wybierz pozycję Utwórz zasady.

    Zrzut ekranu przedstawiający miejsce, w którym w centrum administracyjnym tworzysz zasady LAPS.

    Ustaw opcję Platforma na Windows 10 i nowsze, profil na rozwiązanie hasła administratora lokalnego (Windows LAPS), a następnie wybierz pozycję Utwórz.

  2. W obszarze Podstawy wprowadź następujące właściwości:

    • Nazwa: wprowadź opisową nazwę profilu. Profile nazw, dzięki czemu można je łatwo zidentyfikować później.
    • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

  3. W obszarze Ustawienia konfiguracji skonfiguruj wybór katalogu kopii zapasowej , aby zdefiniować typ katalogu do użycia w celu utworzenia kopii zapasowej konta administratora lokalnego. Możesz również nie tworzyć kopii zapasowych konta i hasła. Typ katalogu określa również, które dodatkowe ustawienia są dostępne w tych zasadach.

    Zrzut ekranu przedstawiający opcje ustawienia Katalog kopii zapasowej.

    Ważna

    Podczas konfigurowania zasad należy pamiętać, że typ katalogu kopii zapasowej w zasadach musi być obsługiwany przez typ sprzężenia urządzenia, do których są przypisane zasady. Jeśli na przykład ustawisz katalog na active directory i urządzenie nie jest przyłączone do domeny (ale jest członkiem Microsoft Entra), urządzenie może bez błędu zastosować ustawienia zasad z usługi Intune, ale usługa LAPS na urządzeniu nie będzie mogła pomyślnie użyć tej konfiguracji do utworzenia kopii zapasowej konta.

    Po skonfigurowaniu katalogu kopii zapasowych przejrzyj i skonfiguruj dostępne ustawienia, aby spełnić wymagania organizacji.

  4. Na stronie Tagi zakresu wybierz odpowiednie tagi zakresu do zastosowania, a następnie wybierz pozycję Dalej.

  5. W obszarze Przypisania wybierz grupy, które mają otrzymać te zasady. Zalecamy przypisanie zasad LAPS do grup urządzeń. Zasady przypisane do grup użytkowników są zgodne z użytkownikiem z urządzenia na urządzenie. Po zmianie użytkownika urządzenia nowe zasady mogą być stosowane do urządzenia i wprowadzać niespójne zachowanie, w tym konto, na którym urządzenie tworzy kopię zapasową lub gdy hasło kont zarządzanych zostanie następnie obrócone.

    Uwaga

    Podobnie jak w przypadku wszystkich zasad usługi Intune, gdy nowe zasady mają zastosowanie do urządzenia, usługa Intune próbuje powiadomić to urządzenie o zaewidencjonowaniu i przetworzeniu zasad.

    Do momentu pomyślnego zaewidencjonowania urządzenia w usłudze Intune i pomyślnego przetworzenia zasad LAPS dane dotyczące zarządzanego konta administratora lokalnego nie będą dostępne do wyświetlania lub zarządzania z poziomu centrum administracyjnego.

    Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

  6. W obszarze Przeglądanie i tworzenie przejrzyj ustawienia, a następnie wybierz pozycję Utwórz. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście zasad.

Wyświetlanie stanu akcji urządzenia

Jeśli twoje konto ma uprawnienia równoważne uprawnieniom Punkty odniesienia zabezpieczeń , które udzielają praw do wszystkich szablonów zasad w obciążeniu Zabezpieczenia punktu końcowego, możesz użyć centrum administracyjnego usługi Intune, aby wyświetlić stan akcji urządzenia, które zostały zażądane dla urządzenia.

Aby uzyskać więcej informacji, zobacz Role based access controls for LAPS (Kontrola dostępu oparta na rolach dla usługi LAPS).

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Urządzenia>Wszystkie urządzenia i wybierz urządzenie z zasadami LAPS, które tworzy kopię zapasową konta administratora lokalnego. Usługa Intune wyświetla okienko Przegląd urządzeń.

  2. W okienku Przegląd urządzenia można wyświetlić stan akcji urządzenia. Wyświetlane wcześniej żądane akcje i oczekujące akcje, w tym czas żądania oraz niepowodzenie akcji lub jej pomyślne działanie. Na poniższym przykładowym zrzucie ekranu urządzenie miało pomyślnie obrócone konto Administracja lokalnego Hasło.

    Zrzut ekranu przedstawiający stan akcji urządzenia z jedną ukończoną akcją i bieżącą akcją oczekującą.

  3. Wybranie akcji z listy powoduje otwarcie okienka Stan akcji urządzenia , w którym można wyświetlić dodatkowe szczegóły dotyczące tej akcji.

Wyświetlanie szczegółów konta i hasła

Aby wyświetlić szczegóły konta i hasła, konto musi mieć jedno z następujących uprawnień Microsoft Entra:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Użyj następujących metod, aby przyznać kontom następujące uprawnienia:

  • Przypisz jedną z następujących wbudowanych ról Microsoft Entra:
    • Administrator globalny
    • Administracja urządzenia w chmurze

Utwórz i przypisz rolę niestandardową w Microsoft Entra identyfikatorze, który udziela tych uprawnień. Zobacz Tworzenie i przypisywanie roli niestandardowej w Microsoft Entra identyfikatorze w dokumentacji Microsoft Entra.

Aby uzyskać więcej informacji, zobacz Role based access controls for LAPS (Kontrola dostępu oparta na rolach dla usługi LAPS).

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Urządzenia>Wszystkie urządzenia> wybierz urządzenie z systemem Windows, aby otworzyć okienko Przegląd.

    W okienku przeglądu można wyświetlić stan akcji urządzenia. Stan wyświetla bieżące i wcześniejsze akcje, takie jak rotacja haseł.

  2. W okienku Przegląd urządzeń poniżej pozycji Monitor wybierz pozycję Hasło administratora lokalnego. Jeśli Twoje konto ma wystarczające uprawnienia, zostanie otwarte okienko Hasło administratora lokalnego dla urządzenia, czyli ten sam widok, który jest dostępny z poziomu Azure Portal.

    Zrzut ekranu przedstawiający okienko haseł administratora lokalnego dla urządzenia z systemem Windows.

    Poniższe informacje można wyświetlić z poziomu centrum administracyjnego. Jednak hasło administratora lokalnego można wyświetlić tylko wtedy, gdy utworzono kopię zapasową konta w celu Microsoft Entra. Nie można go wyświetlić dla konta, które jest kopią zapasową lokalna usługa Active Directory (Windows Server Active Directory):

    • Nazwa konta — nazwa konta administratora lokalnego, którego kopia zapasowa została utworzona z urządzenia.
    • Identyfikator zabezpieczeń — dobrze znany identyfikator SID konta, dla których kopia zapasowa jest kopia zapasowa z urządzenia.
    • Hasło administratora lokalnego — domyślnie zasłonięte. Jeśli Twoje konto ma uprawnienia, możesz wybrać pozycję Pokaż , aby wyświetlić hasło. Następnie możesz użyć opcji Kopiuj , aby skopiować hasło do schowka. Te informacje nie są dostępne dla urządzeń, które tworzą kopię zapasową lokalna usługa Active Directory.
    • Ostatnia rotacja hasła — w formacie UTC data i godzina ostatniej zmiany lub obrócenia hasła przez zasady.
    • Następna rotacja haseł — w formacie UTC następna data i godzina rotacji hasła dla zasad.

Poniżej przedstawiono zagadnienia dotyczące wyświetlania informacji o koncie urządzeń i haśle:

  • Pobieranie (wyświetlanie) hasła dla konta administratora lokalnego wyzwala zdarzenie inspekcji.

  • Nie można wyświetlić szczegółów hasła dla następujących urządzeń:

    • Urządzenia z kopią zapasową konta administratora lokalnego w lokalna usługa Active Directory
    • Urządzenia, które mają używać usługi Active Directory do tworzenia kopii zapasowych hasła konta.

Ręczne obracanie haseł

Zasady LAPS zawierają harmonogram automatycznej rotacji haseł kont. Oprócz zaplanowanej rotacji można użyć akcji urządzenia usługi Intune funkcji Obracanie hasła administratora lokalnego , aby ręcznie obrócić hasło urządzeń niezależnie od harmonogramu rotacji ustawionego przez zasady LAPS urządzeń.

Aby użyć tej akcji urządzenia, twoje konto musi mieć następujące trzy uprawnienia usługi Intune:

  • Urządzenia zarządzane: odczyt
  • Organizacja: Odczyt
  • Zadania zdalne: obracanie hasła Administracja lokalnego

Zobacz Kontrola dostępu oparta na rolach dla usługi LAPS.

Aby obrócić hasło

  1. W centrum administracyjnym Microsoft Intune przejdź do pozycji Urządzenia>Wszystkie urządzenia i wybierz urządzenie z systemem Windows przy użyciu konta, które chcesz obrócić.

  2. Podczas wyświetlania szczegółów urządzenia rozwiń wielokropek (...) po prawej stronie paska menu, aby wyświetlić dostępne opcje, a następnie wybierz pozycję Obróć hasło administratora lokalnego.

    Zrzut ekranu przedstawiający rozwinięte opcje menu dla akcji urządzenia.

  3. Po wybraniu pozycji Obróć hasło administratora lokalnego usługa Intune wyświetla ostrzeżenie, które wymaga potwierdzenia, zanim hasło zostanie obrócone.

    Po potwierdzeniu zamiaru rotacji hasła usługa Intune inicjuje proces, który może potrwać kilka minut. W tym czasie w okienku szczegółów urządzenia jest wyświetlany baner i stan akcji Urządzenia wskazujący, że akcja jest oczekująca.

Po pomyślnym obrocie potwierdzenie będzie widoczne w stanie Akcje urządzenia jako Ukończone.

Poniżej przedstawiono zagadnienia dotyczące ręcznej rotacji haseł:

  • Akcja Obróć hasło administratora lokalnego jest dostępna dla wszystkich urządzeń z systemem Windows, ale każde urządzenie, które nie utworzyło pomyślnie kopii zapasowej konta i danych haseł, nie może ukończyć żądania rotacji.

  • Każda próba rotacji ręcznej powoduje zdarzenie inspekcji. Zaplanowane rotacje haseł również rejestrują zdarzenie inspekcji.

  • Po ręcznym obróceniu hasła czas następnego zaplanowanego obrotu hasła jest resetowany. Czas następnego zaplanowanego obrotu jest zarządzany za pomocą ustawienia PasswordAgeDays w zasadach LAPS.

    Oto jak to działa: urządzenie otrzymuje zasady 1 marca, które ustawiają wartość PasswordAgeDays na 10 dni. W rezultacie urządzenie automatycznie zmieni swoje hasło po 10 dniach, 11 marca. 5 marca administrator ręcznie obraca hasło tego urządzenia i akcję, która resetuje datę rozpoczęcia passwordagedays do 5 marca. W związku z tym urządzenie będzie teraz automatycznie obracać swoje hasło 10 dni później, 15 marca.

  • W przypadku urządzeń przyłączonych Microsoft Entra urządzenie musi być w trybie online w momencie żądania ręcznego obrotu. Jeśli urządzenie nie jest w trybie online w momencie żądania, powoduje to niepowodzenie.

  • Rotacja haseł nie jest obsługiwana jako akcja zbiorcza. Jednocześnie można obracać tylko jedno urządzenie.

Unikanie konfliktów zasad

Poniższe szczegóły mogą pomóc uniknąć konfliktów i zrozumieć oczekiwane zachowanie urządzeń zarządzanych przez zasady LAPS.

Gdy do urządzenia z pomyślnym użyciem zasad przypisano co najmniej dwie zasady, które wprowadzają konflikt:

  • Ustawienia, które były używane na urządzeniu, pozostają na urządzeniu przy wartości ostatniego zestawu. Zarówno zasady, oryginalne, jak i nowe, zgłaszają, że są w konflikcie.
  • Aby rozwiązać konflikt, usuń przypisania zasad, dopóki zasady powodujące konflikt nie zostaną zastosowane, lub ponownie skonfiguruj odpowiednie zasady, aby ustawić tę samą konfigurację, usuwając konflikt.

Jeśli urządzenie, które nie ma zasad LAPS, otrzymuje jednocześnie dwie zasady powodujące konflikt:

  • Ustawienia nie są wysyłane do urządzenia, a obie zasady są zgłaszane jako powodujące konflikty.
  • Mimo że konflikt pozostaje, ustawienia zasad nie mają zastosowania do urządzenia.

Aby rozwiązać konflikty, należy usunąć przypisania zasad z urządzenia lub ponownie skonfigurować ustawienia w odpowiednich zasadach, dopóki nie pozostaną żadne kolejne konflikty.

Następne kroki