Microsoft Intune-stöd för Windows LAPS

Varje Windows-dator har ett inbyggt lokalt administratörskonto som inte kan tas bort och som har fullständig behörighet till enheten. Att skydda det här kontot är ett viktigt steg för att skydda din organisation. Windows-enheter innehåller Windows Local Administrator Password Solution (LAPS), en inbyggd lösning för att hantera lokala administratörskonton.

Du kan använda Microsoft Intune-slutpunktssäkerhetsprinciper för kontoskydd för att hantera LAPS på enheter som har registrerats med Intune. Intune-principer kan:

• Framtvinga lösenordskrav för lokala administratörskonton
• Säkerhetskopiera ett lokalt administratörskonto från enheter till din Active Directory (AD) eller Microsoft Entra
• Schemalägg rotation av dessa kontolösenord för att skydda dem.

Du kan också visa information om de hanterade lokala administratörskontona i Intune-administrationscentret och manuellt rotera sina kontolösenord utanför en schemalagd rotation.

Användning av Intune LAPS-principer hjälper dig att skydda Windows-enheter från attacker som syftar till att utnyttja lokala användarkonton som pass-the-hash- eller lateral-traverseringsattacker. Att hantera LAPS med Intune kan också bidra till att förbättra säkerheten för fjärrhjälpsscenarier och återställa enheter som annars inte är tillgängliga.

Intune LAPS-principen hanterar de inställningar som är tillgängliga från Windows LAPS CSP. Intunes användning av CSP ersätter användningen av äldre Microsoft LAPS eller andra LAPS-hanteringslösningar, med CSP som har företräde framför andra LAPS-hanteringskällor.

Intune-stöd för Windows LAPS innehåller följande funktioner:

• Ange lösenordskrav – Definiera lösenordskrav, inklusive komplexitet och längd för det lokala administratörskontot på en enhet.
• Rotera lösenord – Med principen kan du låta enheter automatiskt rotera lösenorden för det lokala administratörskontot enligt ett schema. Du kan också använda Administrationscenter för Intune för att manuellt rotera lösenordet för en enhet som en enhetsåtgärd.
• Säkerhetskopieringskonton och lösenord – Du kan välja att låta enheter säkerhetskopiera sina konton och lösenord i antingen Microsoft Entra-ID i molnet eller din lokala Active Directory. Lösenord lagras med stark kryptering.
• Konfigurera åtgärder efter autentisering – Definiera åtgärder som en enhet vidtar när lösenordet för det lokala administratörskontot upphör att gälla. Åtgärderna sträcker sig från att återställa det hanterade kontot till att använda ett nytt säkert lösenord, logga ut kontot eller göra båda och sedan stänga av enheten. Du kan också hantera hur länge enheten väntar efter att lösenordet upphör att gälla innan du vidtar dessa åtgärder.
• Visa kontoinformation – Intune-administratörer med tillräcklig behörighet för rollbaserad administrativ kontroll (RBAC) kan visa information om ett lokalt administratörskonto för enheter och dess aktuella lösenord. Du kan också se när lösenordet senast roterades (återställs) och när det är nästa schemalagt att rotera.
• Visa rapporter – Intune innehåller rapporter om lösenordsrotation, inklusive information om tidigare manuell och schemalagd lösenordsrotation.

Om du vill veta mer om Windows LAPS kan du börja med följande artiklar i Windows-dokumentationen:

• Vad är Windows LAPS? – Introduktion till Windows LAPS och Windows LAPS-dokumentationsuppsättningen.
• Windows LAPS CSP – Visa fullständig information om LAPS-inställningar och alternativ. Intune-principen för LAPS använder de här inställningarna för att konfigurera LAPS CSP på enheter.

Gäller för:

• Windows 10
• Windows 11

Förhandskrav

Följande är krav för att Intune ska ha stöd för Windows LAPS i din klientorganisation:

Licensieringskrav

• Intune-prenumeration - Microsoft Intune Plan 1, som är den grundläggande Intune-prenumerationen. Du kan också använda Windows LAPS med en kostnadsfri utvärderingsprenumeration för Intune.

• Microsoft Entra ID – Microsoft Entra ID Free, som är den kostnadsfria versionen av Microsoft Entra ID som ingår när du prenumererar på Intune. Med Microsoft Entra ID Free kan du använda alla funktioner i LAPS.

Active Directory-stöd

Intune-principen för Windows LAPS kan konfigurera en enhet för att säkerhetskopiera ett lokalt administratörskonto och lösenord till någon av följande katalogtyper:

Obs!

Enheter som är anslutna till arbetsplatsen (WPJ) stöds inte av Intune för LAPS.

• Cloud – Cloud stöder säkerhetskopiering till ditt Microsoft Entra-ID för följande scenarier:

  • Microsoft Entra-hybridanslutning

  • Microsoft Entra-anslutning

    Stöd för Microsoft Entra-anslutning kräver att du aktiverar LAPS i ditt Microsoft Entra-ID. Följande steg kan hjälpa dig att slutföra den här konfigurationen. Om du vill ha en större kontext kan du se de här stegen i Microsoft Entra-dokumentationen i Aktivera Windows LAPS med Microsoft Entra-ID. Microsoft Entra-hybridanslutning kräver inte att LAPS är aktiverat i Microsoft Entra.

    Aktivera LAPS i Microsoft Entra:

    1. Logga in på administrationscentret för Microsoft Entra som molnenhetsadministratör.
    2. Bläddra till IdentityDevices OverviewDevice settings (Enhetsinställningar> föridentitetsenheter>>).
    3. Välj Ja för inställningen Aktivera lokal administratörslösenordslösning (LAPS) och välj Spara. Du kan också använda Microsoft Graph API Update deviceRegistrationPolicy.

    Mer information finns i Windows Local Administrator Password Solution in Microsoft Entra ID (Windows Local Administrator Password Solution in Microsoft Entra ID ) i Microsoft Entra-dokumentationen.

• Lokalt – Lokalt har stöd för säkerhetskopiering till Windows Server Active Directory (lokal Active Directory).

  Viktigt

  LAPS på Windows-enheter kan konfigureras att använda en katalogtyp eller en annan, men inte båda. Tänk också på att säkerhetskopieringskatalogen måste stödjas av enhetsanslutningstypen – om du ställer in katalogen på en lokal Active Directory och enheten inte är domänansluten kommer den att acceptera principinställningarna från Intune, men LAPS kan inte använda den konfigurationen.

Enhetsutgåva och plattform

Enheter kan ha valfri Windows-utgåva som Intune stöder, men måste köras av någon av följande versioner för att stödja Windows LAPS CSP:

• Windows 10 version 22H2 (19045.2846 eller senare) med KB5025221
• Windows 10 version 21H2 (19044.2846 eller senare) med KB5025221
• Windows 10 version 20H2 (19042.2846 eller senare) med KB5025221
• Windows 11, version 22H2 (22621.1555 eller senare) med KB5025239
• Windows 11 version 21H2 (22000.1817 eller senare) med KB5025224

Stöd för GCC High

Intune-principen för Windows LAPS stöds för GCC High-miljöer.

Rollbaserade åtkomstkontroller för LAPS

För att kunna hantera LAPS måste ett konto ha tillräcklig behörighet för rollbaserad åtkomstkontroll (RBAC) för att slutföra en önskad uppgift. Följande är de tillgängliga uppgifterna med de behörigheter som krävs:

• Skapa och komma åt LAPS-princip – Om du vill arbeta med och visa LAPS-principer måste ditt konto tilldelas tillräckliga behörigheter från Intune RBAC-kategorin för säkerhetsbaslinjer. Som standard ingår dessa i den inbyggda rollen Endpoint Security Manager. Om du vill använda anpassade roller kontrollerar du att den anpassade rollen innehåller rättigheterna från kategorin Säkerhetsbaslinjer .

• Rotera lokalt administratörslösenord – Om du vill använda Administrationscenter för Intune för att visa eller rotera lösenord för ett lokalt administratörskonto för enheter måste ditt konto tilldelas följande Intune-behörigheter:

  • Hanterade enheter: Läsa
  • Organisation: Läsa
  • Fjärruppgifter: Rotera lösenord för lokal administratör

• Hämta lokalt administratörslösenord – Om du vill visa lösenordsinformation måste ditt konto ha någon av följande Microsoft Entra-behörigheter:

  • microsoft.directory/deviceLocalCredentials/password/read för att läsa LAPS-metadata och lösenord.
  • microsoft.directory/deviceLocalCredentials/standard/read för att läsa LAPS-metadata exklusive lösenord.

  Information om hur du skapar anpassade roller som kan bevilja dessa behörigheter finns i Skapa och tilldela en anpassad roll i Microsoft Entra-ID i Microsoft Entra-dokumentationen.

• Visa Microsoft Entra-granskningsloggar och händelser – Om du vill visa information om LAPS-principer och de senaste enhetsåtgärderna, till exempel lösenordsrotationshändelser, måste ditt konto ha behörigheter som motsvarar den inbyggda Intune-rollen Skrivskyddad operatör.

Mer information finns i Rollbaserad åtkomstkontroll för Microsoft Intune.

LAPS-arkitektur

Information om Windows LAPS-arkitektur finns i Windows LAPS-arkitektur i Windows-dokumentationen.

Vanliga frågor och svar

Kan jag använda Intune LAPS-principen för att hantera ett lokalt administratörskonto på en enhet?

Ja. Intune LAPS-principen kan användas för att hantera alla lokala administratörskonton på en enhet. LAPS stöder dock bara ett konto per enhet:

• När en princip inte anger något kontonamn hanterar Intune det inbyggda standardadministratörskontot oavsett dess aktuella namn på enheten.
• Du kan ändra det konto som Intune hanterar för en enhet genom att ändra enhetens tilldelade princip eller redigera dess aktuella princip för att ange ett annat konto.
• Om två separata principer tilldelas till en enhet som båda anger ett annat konto uppstår en konflikt som måste lösas innan enhetens konto kan hanteras.

Vad händer om jag distribuerar LAPS-principer med Intune till en enhet som redan har LAPS-konfigurationer från en annan källa?

Den CSP-baserade principen från Intune åsidosätter alla andra källor till LAPS-principen, till exempel från grupprincipobjekt eller en konfiguration från äldre Microsoft LAPS. Mer information finns i Principrötter som stöds i Windows LAPS-dokumentationen.

Kan Windows LAPS skapa lokala administratörskonton baserat på administratörskontonamnet som har konfigurerats med laps-principen?

Nej. Windows LAPS kan bara hantera konton som redan finns på enheten. Om en princip anger ett konto efter namn som inte finns på enheten gäller principen och rapporterar inget fel. Inget konto säkerhetskopieras dock.

Roterar och säkerhetskopierar Windows LAPS lösenordet för en enhet som är inaktiverad i Microsoft Entra?

Nej. Windows LAPS kräver att enheten är i ett aktiverat tillstånd innan lösenordsrotation och säkerhetskopieringsåtgärder kan tillämpas.

Vad händer när en enhet tas bort i Microsoft Entra?

När en enhet tas bort i Microsoft Entra går LAPS-autentiseringsuppgifterna som var knutna till enheten förlorade och lösenordet som lagras i Microsoft Entra-ID går förlorat. Såvida du inte har ett anpassat arbetsflöde för att hämta LAPS-lösenord och lagra dem externt finns det ingen metod i Microsoft Entra-ID för att återställa det LAPS-hanterade lösenordet för en borttagen enhet.

Vilka roller behövs för att återställa LAPS-lösenord?

Följande inbyggda Microsoft Entra-roller har behörighet att återställa LAPS-lösenord: Molnenhetsadministratör och Intune-administratör.

Vilka roller behövs för att läsa LAPS-metadata?

Följande inbyggda Microsoft Entra-roller stöds för att visa metadata om LAPS, inklusive enhetsnamn, rotering av senaste lösenord och nästa lösenordsrotation:

• Säkerhetsläsare

Du kan också använda följande roller:

• Molnenhetsadministratör
• Intune-administratör
• Supportadministratör
• Säkerhetsadministratör

Varför är knappen Lokalt administratörslösenord nedtonad och otillgänglig?

För närvarande kräver åtkomst till det här området behörigheten Rotera lokalt administratörslösenord för Intune. Se Rollbaserad åtkomstkontroll för Microsoft Intune.

Vad händer när kontot som anges av principen ändras?

Eftersom Windows LAPS bara kan hantera ett lokalt administratörskonto på en enhet i taget hanteras inte längre det ursprungliga kontot av LAPS-principen. Om principen har enheten som säkerhetskopierar kontot säkerhetskopieras det nya kontot och information om det tidigare kontot inte längre är tillgänglig från Intune-administrationscentret eller från den katalog som har angetts för att lagra kontoinformationen.

Nästa steg

• Skapa princip för LAPS
• Visa rapporter för LAPS
• Kontoskyddsprincip för slutpunktssäkerhet i Intune