Microsoft Intune поддержка Windows LAPS

  • Статья

На каждом компьютере Windows есть встроенная учетная запись локального администратора, которую невозможно удалить и которая имеет полные разрешения на доступ к устройству. Защита этой учетной записи является важным шагом в обеспечении безопасности вашей организации. Устройства Windows включают решение для локального администратора (LAPS), встроенное решение для управления учетными записями локального администратора.

Вы можете использовать политики безопасности Microsoft Intune конечных точек для защиты учетных записей для управления LAPS на устройствах, зарегистрированных в Intune. Политики Intune могут:

  • Принудительное применение требований к паролям для учетных записей локального администратора
  • Резервное копирование учетной записи локального администратора с устройств в Active Directory (AD) или Microsoft Entra
  • Запланируйте смену этих паролей учетных записей, чтобы обеспечить их безопасность.

Вы также можете просмотреть сведения об учетных записях управляемых локальных администраторов в центре Администратор Intune и вручную сменить пароли учетных записей вне запланированной смены.

Использование политик Intune LAPS помогает защитить устройства с Windows от атак, направленных на использование локальных учетных записей пользователей, таких как атаки с передачей хэша или бокового обхода. Управление LAPS с помощью Intune также помогает повысить безопасность для сценариев удаленной службы технической поддержки и восстановить устройства, которые в противном случае недоступны.

Политика Intune LAPS управляет параметрами, доступными из поставщика CSP Windows LAPS. Использование CSP в Intune заменяет использование устаревшей версии Microsoft LAPS или других решений для управления LAPS, на основе CSP имеет приоритет по сравнению с другими источниками управления LAPS.

Поддержка Intune для Windows LAPS включает следующие возможности:

  • Задание требований к паролю — определите требования к паролю, включая сложность и длину для учетной записи локального администратора на устройстве.
  • Смена паролей — с помощью политики устройства могут автоматически сменить пароли учетных записей локального администратора по расписанию. Вы также можете использовать Центр администрирования Intune, чтобы вручную сменить пароль для устройства в качестве действия устройства.
  • Учетные записи резервного копирования и пароли. Устройства могут создавать резервные копии учетных записей и паролей в Microsoft Entra ID в облаке или в локальная служба Active Directory. Пароли хранятся с использованием надежного шифрования.
  • Настройка действий после проверки подлинности — определите действия, которые устройство выполняет по истечении срока действия пароля учетной записи локального администратора. Действия варьируются от сброса управляемой учетной записи до использования нового безопасного пароля, выхода из учетной записи или выполнения и того, и другого, а затем выключения устройства. Вы также можете управлять сроком ожидания устройства после истечения срока действия пароля, прежде чем выполнять эти действия.
  • Просмотр сведений об учетной записи . Администраторы Intune с достаточными разрешениями на управление на основе ролей (RBAC) могут просматривать сведения об учетной записи локального администратора устройств и ее текущем пароле. Вы также можете увидеть, когда этот пароль был в последний раз сменялся (сбрасывался) и когда он будет в следующий раз запланирован для смены.
  • Просмотр отчетов . Intune предоставляет отчеты о смене паролей, включая сведения о смене паролей вручную и по расписанию.

Чтобы узнать больше о Windows LAPS, начните со следующих статей документации по Windows:

  • Что такое Windows LAPS? — Общие сведения о Windows LAPS и наборе документации по Windows LAPS.
  • Windows LAPS CSP — просмотрите полные сведения о параметрах и параметрах LAPS. Политика Intune для LAPS использует эти параметры для настройки поставщика CSP LAPS на устройствах.

Применимо к:

  • Windows 10
  • Windows 11

Предварительные требования

Ниже приведены требования к Intune для поддержки Windows LAPS в клиенте.

Требования к лицензированию

  • Подписка - IntuneMicrosoft Intune план 1, который является базовой подпиской Intune. Вы также можете использовать Windows LAPS с бесплатной пробной подпиской для Intune.

  • Microsoft Entra IDMicrosoft Entra ID бесплатная версия Microsoft Entra ID, которая включается при подписке на Intune. С помощью Microsoft Entra ID Free вы можете использовать все функции LAPS.

Поддержка Active Directory

Политика Intune для Windows LAPS может настроить устройство для резервного копирования учетной записи локального администратора и пароля для одного из следующих типов каталогов:

Примечание.

Устройства, присоединенные к рабочему месту (WPJ), не поддерживаются Intune для LAPS.

  • Облако поддерживает резервное копирование на Microsoft Entra ID в следующих сценариях:

  • Локальная среда — локальная среда поддерживает резервное копирование до Windows Server Active Directory (локальная служба Active Directory).

    Важно!

    LaPS на устройствах с Windows можно настроить для использования одного или другого типа каталога, но не для обоих. Кроме того, учтите, что каталог резервного копирования должен поддерживаться типом присоединения устройств. Если для каталога задан локальная служба Active Directory и устройство не присоединено к домену, он примет параметры политики из Intune, но LAPS не сможет успешно использовать эту конфигурацию.

Выпуск устройства и платформа

Устройства могут иметь любой выпуск Windows, поддерживаемый Intune, но для поддержки windows LAPS CSP должны работать под управлением одной из следующих версий:

  • Windows 10 версии 22H2 (19045.2846 или более поздней) с KB5025221
  • Windows 10 версии 21H2 (19044.2846 или более поздней) с KB5025221
  • Windows 10 версии 20H2 (19042.2846 или более поздней) с KB5025221
  • Windows 11 версии 22H2 (22621.1555 или более поздней) с KB5025239
  • Windows 11 версии 21H2 (22000.1817 или более поздней) с KB5025224

Поддержка GCC High

Политика Intune для Windows LAPS поддерживается для сред GCC High.

Управление доступом на основе ролей для LAPS

Для управления LAPS учетная запись должна иметь достаточные разрешения на управление доступом на основе ролей (RBAC) для выполнения требуемой задачи. Ниже перечислены доступные задачи с необходимыми разрешениями.

  • Создание политики LAPS и доступ к ним . Чтобы работать с политиками LAPS и просматривать их, вашей учетной записи должны быть назначены достаточные разрешения из категории Intune RBAC для базовых показателей безопасности. По умолчанию они включены во встроенную роль Endpoint Security Manager. Чтобы использовать настраиваемые роли, убедитесь, что пользовательская роль включает в себя права из категории Базовые показатели безопасности .

  • Смена пароля локального администратора . Чтобы использовать Центр администрирования Intune для просмотра или смены пароля учетной записи локального администратора устройства, вашей учетной записи должны быть назначены следующие разрешения Intune:

    • Управляемые устройства: чтение
    • Организация: чтение
    • Удаленные задачи: смена локального пароля Администратор

  • Получение пароля локального администратора. Чтобы просмотреть сведения о пароле, ваша учетная запись должна иметь одно из следующих разрешений Microsoft Entra:

    • microsoft.directory/deviceLocalCredentials/password/read для чтения метаданных и паролей LAPS.
    • microsoft.directory/deviceLocalCredentials/standard/read для чтения метаданных LAPS, за исключением паролей.

    Сведения о создании настраиваемых ролей, которые могут предоставить эти разрешения, см. в статье Создание и назначение настраиваемой роли в Microsoft Entra ID документации по Microsoft Entra.

  • Просмотр журналов и событий аудита Microsoft Entra. Чтобы просмотреть сведения о политиках LAPS и последних действиях устройств, таких как события смены паролей, ваша учетная запись должна иметь разрешения, эквивалентные встроенной роли Оператора Только для чтения Intune.

Дополнительные сведения см. в разделе Управление доступом на основе ролей для Microsoft Intune.

Архитектура LAPS

Сведения об архитектуре Windows LAPS см. в статье Архитектура Windows LAPS в документации по Windows.

Вопросы и ответы

Можно ли использовать политику Intune LAPS для управления любой учетной записью локального администратора на устройстве?

Да. Политику Intune LAPS можно использовать для управления любой учетной записью локального администратора на устройстве. Однако LAPS поддерживает только одну учетную запись на устройство:

  • Если в политике не указано имя учетной записи, Intune управляет встроенной учетной записью администратора по умолчанию независимо от ее текущего имени на устройстве.
  • Вы можете изменить учетную запись, управляемой Intune для устройства, изменив назначенную для устройства политику или изменив текущую политику, чтобы указать другую учетную запись.
  • Если устройству назначены две отдельные политики, которые указывают другую учетную запись, возникает конфликт, который необходимо устранить, прежде чем учетной записью устройства можно будет управлять.

Что делать, если я развертываю политику LAPS с помощью Intune на устройстве, которое уже имеет конфигурации LAPS из другого источника?

Политика на основе CSP из Intune переопределяет все другие источники политики LAPS, например из объектов групповой политики или конфигурацию из устаревшей версии Microsoft LAPS. Дополнительные сведения см. в статье Поддерживаемые корни политик в документации по Windows LAPS.

Может ли Windows LAPS создавать учетные записи локального администратора на основе имени учетной записи администратора, настроенной с помощью политики LAPS?

Нет. Windows LAPS может управлять только учетными записями, которые уже существуют на устройстве. Если политика указывает учетную запись по имени, которое не существует на устройстве, политика применяется и не сообщает об ошибке. Однако резервная копия учетной записи не создается.

Выполняет ли Windows LAPS смену и резервное копирование пароля для устройства, отключенного в Microsoft Entra?

Нет. Windows LAPS требует, чтобы устройство было в состоянии "Включено", прежде чем могут применяться операции смены паролей и резервного копирования.

Что происходит при удалении устройства в Microsoft Entra?

При удалении устройства в Microsoft Entra учетные данные LAPS, привязанные к нему, теряются, а пароль, хранящийся в Microsoft Entra ID. Если у вас нет пользовательского рабочего процесса для получения паролей LAPS и их хранения извне, в Microsoft Entra ID нет метода восстановления управляемого пароля LAPS для удаленного устройства.

Какие роли необходимы для восстановления паролей LAPS?

Следующие встроенные роли, Microsoft Entra роли имеют разрешение на восстановление паролей LAPS: глобальная Администратор, Администратор облачных устройств и служба Intune Администратор.

Какие роли необходимы для чтения метаданных LAPS?

Для просмотра метаданных о LAPS поддерживаются следующие встроенные роли, включая имя устройства, последнюю смену пароля и следующую смену паролей: глобальная Администратор, Администратор облачных устройств, Администратор службы Intune, Администратор службы технической поддержки, средство чтения безопасности, Администратор безопасности и глобальное средство чтения.

Почему кнопка "Пароль локального администратора" неактивна и недоступна?

В настоящее время для доступа к этой области требуется разрешение Intune Смена пароля локального администратора. См. раздел Управление доступом на основе ролей для Microsoft Intune.

Что происходит при изменении учетной записи, указанной политикой?

Так как Windows LAPS может одновременно управлять только одной учетной записью локального администратора на устройстве, исходная учетная запись больше не управляется политикой LAPS. Если у политики есть резервная копия этой учетной записи устройства, резервная копия новой учетной записи создается, а сведения о предыдущей учетной записи больше не доступны в Центре администрирования Intune или из каталога, указанного для хранения сведений об учетной записи.

Дальнейшие действия