Поделиться через

Настройка LAPS в Комнаты Teams в Windows

  • Статья
  • Применяется к:
    Microsoft Teams

В этой статье содержится обзор LAPS, его архитектуры и действий по настройке LAPS для Комнаты Teams в Windows.

Решение для паролей локального администратора Windows (LAPS) — это функция Windows, которая управляет паролем учетной записи локального администратора и резервирует его для Microsoft Entra присоединенных (присоединено к Entra) или Active Directory (AD). Он обеспечивает расширенную защиту от атак с использованием паролей учетной записи локального администратора и отвечает основным требованиям клиентов для развертывания Комнаты Teams на устройствах Windows.

Что такое LAPS?

LAPS — это решение, которое автоматически создает случайный и сложный пароль для учетной записи локального администратора на каждом устройстве Windows и безопасно сохраняет его в Entra или Active Directory. Пароль периодически изменяется в соответствии с настроенной политикой и может быть получен авторизованными пользователями при необходимости доступа. LAPS снижает риск атак бокового перемещения и эскалации привилегий, которые используют один и тот же пароль локального администратора на нескольких устройствах. Это упрощает управление паролями локального администратора и устраняет необходимость в ручных решениях или решениях с помощью скриптов.

Архитектура Windows LAPS

LAPS состоит из следующих компонентов:

  • Периодическая фоновая задача выполняется на каждом устройстве с Windows и выполняет операции изменения пароля и резервного копирования.
  • Модуль PowerShell, предоставляющий командлеты для администрирования и получения паролей.
  • Включите расширение схемы Microsoft Entra локального администратора (LAPS) для AD, которое добавляет атрибут для хранения пароля и связанных сведений.

Архитектура и рабочий процесс LAPS:

Архитектура Windows LAPS с управляемым устройством, Azure Active Directory и Windows Server ActiveDirectory.

Развертывание LAPS

Перед развертыванием в Комнаты Teams в Windows следует рассмотреть следующие аспекты:

  • LAPS следует развертывать с использованием Идентификатора Entra, где это возможно, так как он обеспечивает лучшую безопасность и масштабируемость, чем Active Directory.
  • Перед развертыванием LAPS устройства должны быть присоединены к Entra или Гибридное присоединение к Entra и управлять ими Intune.
  • Все периферийные устройства или конечные точки, которые подключаются к Комнаты Teams на устройстве Windows с помощью учетных данных локального администратора, потеряют подключение после перезагрузки или изменения пароля. Некоторые реализации OEM используют этот метод для подключения контроллеров помещений. Необходимо обратиться к изготовителю оборудования для обеспечения совместимости и альтернативных решений.
  • Все рекомендации, приведенные в этом документе, были настроены и протестированы для сборок OEM и исключают все пользовательские образы.
  • У вас есть выделенная группа устройств для Комнаты Teams на устройствах Windows для управления политиками и назначения. Если он недоступен, создайте его, прежде чем продолжить.

Примечание.

Некоторым изготовителям оборудования, таким как Crestron, требуется локальное имя пользователя и пароль для подключения периферийных устройств, таких как сенсорные контроллеры. Для получения дополнительных сведений о последствиях изменения пароля локальной учетной записи перед реализацией обратитесь к Crestron.

Развертывание LAPS для Комнаты Teams на устройствах Windows требует следующего:

  • Настройка параметров идентификатора Entra для включения LAPS.
  • Создание и назначение политики LAPS в Intune.
  • Проверка изменения пароля и резервного копирования на устройствах.

Конфигурация Entra

Чтобы включить LAPS в Entra ID, выполните следующие действия:

  1. Перейдите на сайт https://entra.microsoft.com.
  2. Щелкните Удостоверять>устройства>Все устройства.
  3. Выберите Параметры устройства.
  4. Установите переключатель Включить Microsoft Entra решения паролей локального администратора значение Да.
  5. Нажмите кнопку Сохранить.

Конфигурация Intune

Чтобы создать и назначить политику LAPS в Intune, необходимо выполнить следующие действия:

  1. Перейдите в центр Intune Администратор по адресу https://intune.microsoft.com.
  2. Выберите Безопасность конечных точек в области навигации слева.
  3. Выберите Защита учетных записей.
  4. Выберите Создать политику.
  5. В поле Платформа выберите Windows 10 и более поздних версий и профилирование решения для пароля локального администратора (Windows LAPS).
  6. Нажмите Создать.

Чтобы настроить параметры политики, выполните следующие действия:

  1. Введите имя политики, например Комнаты Teams в политике Windows LAPS.
  2. При необходимости введите описание и нажмите кнопку Далее.
  3. Выберите Каталог резервного копирования, чтобы иметь значение Резервное копирование пароля только для Azure AD.
  4. Переключите параметр "Дни возраста пароля" для настройки и введите нужное значение.
  5. Переключите имя учетной записи администратора, чтобы настроить, и введите Администратор, чтобы соответствовать предварительно определенному имени пользователя учетной записи локального администратора в Комнаты Teams консоли Windows.
  6. Выберите требуемый метод сложности пароля .
  7. Переключите параметр Длина пароля , чтобы настроить, и введите нужную длину пароля с 8 минимальной и 64 максимальной.
  8. Дважды нажмите кнопку Далее, если вы не используете теги область.

Чтобы назначить политику группе управляемых Intune Комнаты Teams на устройствах Windows:

  1. Выберите Назначения.
  2. Выберите группу, содержащую Комнаты Teams на устройствах Windows, и область политику правильно. Выберите Далее.
  3. Убедившись в правильности политики и область, нажмите кнопку Создать, чтобы применить политику к область устройствам.
  4. Подождите до часа, пока политика не будет применена, а пароль будет изменен.

Управление LAPS

Чтобы получить пароль локального администратора из Центра Администратор Entra, выполните следующие действия.

  1. Перейдите на сайт https://entra.microsoft.com.
  2. Щелкните Удостоверять>устройства>Все устройства.
  3. Выберите Восстановление паролей локального администратора.
  4. Найдите устройство с включенным параметром или выберите из списка предварительно заполненных устройств.
  5. Щелкните Показать пароль локального администратора.
  6. Нажмите кнопку Показать, чтобы открыть пароль. Запишите метки времени последней и следующей смены.

Чтобы просмотреть журналы аудита в Entra, выполните следующие действия.

  1. Перейдите на сайт https://entra.microsoft.com.
  2. Щелкните Identity Devices All DevicesAudit logs (Удостоверять>устройства>Все устройства> Журналы аудита).
  3. Выберите Действие , чтобы отфильтровать пароль локального администратора устройства илипароль локального администратора устройства ecover для проверки событий.

Заключение

LAPS — это функция Windows, которая повышает безопасность и управление паролями локального администратора для Комнаты Teams на устройствах Windows. Он автоматически создает и создает резервные копии паролей в Entra и позволяет авторизованным пользователям получать их при необходимости. LAPS также предотвращает повторное использование паролей и упрощает смену паролей. В этом документе приведены шаги по развертыванию и обслуживанию LAPS для Комнаты Teams на устройствах Windows с помощью Entra и Intune.