Windows LAPS için Microsoft Intune desteği

Her Windows makinesinin silinemez ve cihaz için tam izinleri olan yerleşik bir yerel yönetici hesabı vardır. Bu hesabın güvenliğini sağlamak, kuruluşunuzun güvenliğini sağlamada önemli bir adımdır. Windows cihazları, yerel yönetici hesaplarını yönetmeye yardımcı olan yerleşik bir çözüm olan Windows Yerel Yönetici Parola Çözümü (LAPS) içerir.

Intune kayıtlı cihazlarda LAPS'yi yönetmek için hesap koruması için Microsoft Intune uç nokta güvenlik ilkelerini kullanabilirsiniz. Intune ilkeleri şunları yapabilir:

• Yerel yönetici hesapları için parola gereksinimlerini zorunlu kılma
• Cihazlardan Active Directory'nize (AD) veya Microsoft Entra yerel yönetici hesabını yedekleme
• Bu hesap parolalarını güvende tutmaya yardımcı olmak için bu hesap parolalarının rotasyonunu zamanlayın.

Ayrıca, yönetilen yerel yönetici hesaplarıyla ilgili ayrıntıları Intune Yönetici merkezinde görüntüleyebilir ve hesap parolalarını zamanlanmış döndürme dışında el ile döndürebilirsiniz.

Intune LAPS ilkelerinin kullanılması, Windows cihazlarını karmayı geçirme veya yanal geçiş saldırıları gibi yerel kullanıcı hesaplarından yararlanmaya yönelik saldırılara karşı korumanıza yardımcı olur. LAPS'yi Intune ile yönetmek, uzaktan yardım masası senaryoları için güvenliği artırmaya ve erişilemeyen cihazları kurtarmaya da yardımcı olabilir.

Intune LAPS ilkesi, Windows LAPS CSP'den sağlanan ayarları yönetir. Intune'nin CSP kullanımı, Eski Microsoft LAPS veya diğer LAPS yönetim çözümlerinin kullanımını csp tabanlı diğer LAPS yönetim kaynaklarından öncelikli olarak değiştirir.

Windows LAPS için Intune desteği aşağıdaki özellikleri içerir:

• Parola gereksinimlerini ayarlama - Bir cihazdaki yerel yönetici hesabı için karmaşıklık ve uzunluk da dahil olmak üzere parola gereksinimlerini tanımlayın.
• Parolaları döndürme - İlkeyle, cihazların yerel yönetici hesabı parolalarını belirli bir zamanlamaya göre otomatik olarak döndürmesini sağlayabilirsiniz. Ayrıca Intune yönetim merkezini kullanarak cihazın parolasını cihaz eylemi olarak el ile döndürebilirsiniz.
• Hesapları ve parolaları yedekleme - Cihazların buluttaki Microsoft Entra ID veya şirket içi Active Directory hesap ve parolalarını yedeklemesini seçebilirsiniz. Parolalar güçlü şifreleme kullanılarak depolanır.
• Otomatik Hesap Yönetimi - (Windows 11 24H2 ve üzeri sürümlerde desteklenir) - Yerleşik yönetici hesabının veya belirttiğiniz özel hesabın yönetimini basitleştirin. Otomatik hesap yönetimi seçenekleri, belirtilen hesabın devre dışı bırakılmasını veya etkinleştirilmesini ve hesap adı veya ön ekinin rastgele olarak etkinleştirilmesini destekler. Otomatik hesap yönetiminin kullanılması, LAPS hesabı kurcalama korumasını da genişletir.
• Kimlik doğrulama sonrası eylemlerini yapılandırma - Bir cihazın yerel yönetici hesabı parolasının süresi dolduğunda gerçekleştirilir eylemleri tanımlayın. Eylemler, yönetilen hesabı sıfırlamaktan yeni bir güvenli parola kullanmaya, hesabın oturumunu kapatmaya veya ikisini birden yapıp cihazı kapatmaya kadar uzanır. Ayrıca, bu eylemleri gerçekleştirmeden önce parolanın süresi dolduktan sonra cihazın ne kadar süreyle bekleyeceğini de yönetebilirsiniz.
• Hesap ayrıntılarını görüntüleme - Yeterli rol tabanlı yönetim denetimi (RBAC) izinlerine sahip Intune yöneticiler, bir cihaz yerel yönetici hesabı ve geçerli parolası hakkındaki bilgileri görüntüleyebilir. Ayrıca bu parolanın en son ne zaman döndürüldüğünü (sıfırlandığını) ve ne zaman döndürülmek üzere zamanlandığını da görebilirsiniz.
• Raporları görüntüleme - Intune, geçmişte el ile ve zamanlanmış parola döndürmeyle ilgili ayrıntılar da dahil olmak üzere parola döndürmeyle ilgili raporlar sağlar.

Windows LAPS hakkında daha ayrıntılı bilgi edinmek için Windows belgelerindeki aşağıdaki makalelerle başlayın:

• Windows LAPS nedir? - Windows LAPS'ye ve Windows LAPS belge kümesine giriş.
• Windows LAPS CSP - LAPS ayarları ve seçenekleri için tüm ayrıntıları görüntüleyin. LAPS için Intune ilkesi, cihazlarda LAPS CSP'yi yapılandırmak için bu ayarları kullanır.

Şunlar için geçerlidir:

• Windows

Önkoşullar

Kiracınızda Windows LAPS'yi desteklemek için Intune gereksinimleri şunlardır:

Lisans gereksinimleri

• temel Intune aboneliği - olan abonelik Microsoft Intune Plan 1 Intune. Windows LAPS'i Intune için ücretsiz deneme aboneliğiyle de kullanabilirsiniz.

• - Microsoft Entra ID Microsoft Entra ID Ücretsiz, Intune abone olduğunuzda dahil edilen ücretsiz Microsoft Entra ID sürümüdür. Microsoft Entra ID Ücretsiz ile LAPS'nin tüm özelliklerini kullanabilirsiniz.

Active Directory desteği

Windows LAPS için Intune ilkesi, bir cihazı yerel yönetici hesabını ve parolasını aşağıdaki Dizin türlerinden birine yedeklemek üzere yapılandırabilir:

Not

Çalışma alanına katılmış (WPJ) cihazlar LAPS için Intune tarafından desteklenmez.

• Bulut - Bulut, aşağıdaki senaryolar için Microsoft Entra ID yedeklemeyi destekler:

  • Karma birleştirmeyi Microsoft Entra

  • Microsoft Entra katılma

    Microsoft Entra katılma desteği, Microsoft Entra ID LAPS'yi etkinleştirmenizi gerektirir. Aşağıdaki adımlar bu yapılandırmayı tamamlamanıza yardımcı olabilir. Daha büyük bir bağlam için Windows LAPS'yi Microsoft Entra ID ile etkinleştirme'deki Microsoft Entra belgelerinde bu adımları görüntüleyin. karma birleştirme Microsoft Entra laps'in Microsoft Entra etkinleştirilmesini gerektirmez.

    Microsoft Entra'de LAPS'yi etkinleştirme:

    1. Microsoft Entra yönetim merkeziBulut Cihazı Yöneticisi olarak oturum açın.
    2. Kimlik>Cihazlarına>Genel Bakış>Cihaz ayarlarına göz atın.
    3. Yerel Yönetici Parola Çözümünü Etkinleştir (LAPS) ayarı için Evet'i ve ardından Kaydet'i seçin. Microsoft Graph API Update deviceRegistrationPolicy'yi de kullanabilirsiniz.

    Daha fazla bilgi için Microsoft Entra belgelerindeki Microsoft Entra ID Windows Yerel Yönetici Parola Çözümü'ne bakın.

• Şirket içi - Şirket içi, Windows Server Active Directory (şirket içi Active Directory) kadar yedeklemeyi destekler.

  Önemli

  Windows cihazlarında LAPS, bir dizin türünü veya diğerini kullanacak şekilde yapılandırılabilir, ancak ikisini birden kullanamaz. Ayrıca, yedekleme dizininin cihazlara katılma türü tarafından desteklenmesi gerektiğini de göz önünde bulundurun. Dizini bir şirket içi Active Directory olarak ayarlarsanız ve cihaz etki alanına katılmamışsa, Intune ilke ayarlarını kabul eder, ancak LAPS bu yapılandırmayı başarıyla kullanamaz.

Device Edition ve Platform

Cihazlar Intune destekleyen herhangi bir Windows sürümüne sahip olabilir, ancak Windows LAPS CSP'yi desteklemek için aşağıdaki sürümlerden birinin çalıştırılması gerekir:

• Windows 11, sürüm 22H2 (22621.1555 veya üzeri) ve KB5025239
• Windows 11, sürüm 21H2 (22000.1817 veya üzeri) ve KB5025224
• Windows 10, sürüm 22H2 (19045.2846 veya üzeri) ve KB5025221
• Windows 10, sürüm 21H2 (19044.2846 veya üzeri) ve KB5025221
• Windows 10, sürüm 20H2 (19042.2846 veya üzeri) ve KB5025221
• WINDOWS 10 ENTERPRISE LTSC 2019 ve üzeri LTSC sürümleri

Önemli

14 Ekim 2025'te Windows 10 destek sonuna ulaştı ve kalite ve özellik güncelleştirmelerini almayacak. Windows 10, Intune'da izin verilen bir sürümdür. Bu sürümü çalıştıran cihazlar hala Intune kaydolabilir ve uygun özellikleri kullanabilir, ancak işlevsellik garanti edilmeyecektir ve farklılık gösterebilir.

GCC Yüksek desteği

Windows LAPS için Intune ilkesi GCC High ortamları için desteklenir.

LAPS için rol tabanlı erişim denetimleri

LAPS'yi yönetmek için bir hesabın istenen görevi tamamlamak için yeterli rol tabanlı erişim denetimi (RBAC) izinlerine sahip olması gerekir. Aşağıdakiler, gerekli izinlerine sahip kullanılabilir görevlerdir:

• LAPS ilkesi oluşturma ve erişim - LAPS ilkeleriyle çalışmak ve görüntülemek için hesabınıza Güvenlik temelleri için Intune RBAC kategorisinden yeterli izinler atanmalıdır. Varsayılan olarak, bunlar Intune yerleşikEndpoint Security Manager rolüne dahil edilir. Özel Intune RBAC rollerini kullanmak için özel rolün Güvenlik temelleri kategorisindeki hakları içerdiğinden emin olun.

• Yerel Yönetici parolasını döndürme - Intune yönetim merkezini kullanarak bir cihaz yerel yönetici hesabı parolasını görüntülemek veya döndürmek için hesabınıza aşağıdaki Intune izinleri atanmalıdır:

  • Yönetilen cihazlar: Okuma

  • Kuruluş: Okuma

  • Uzak görevler: Yerel Yönetici Parolasını Döndürme

    Önemli

    Yerel Yönetici ParolasınıDöndür'ün Uzak görevler eylemi, Intune yerleşik rol veya Intune Yöneticisi'nin Microsoft Entra yerleşik rolüne dahil değildir. Bunun yerine, bu izni bu özelliğe sahip olması gereken kullanıcılara atamak için özel bir Intune rolü kullanın.

• Yerel Yönetici parolasını alma - Parola ayrıntılarını görüntülemek için hesabınızın aşağıdaki Microsoft Entra izinlerinden birine sahip olması gerekir:

  • microsoft.directory/deviceLocalCredentials/password/read laps meta verilerini ve parolalarını okumak için.
  • microsoft.directory/deviceLocalCredentials/standard/read parolalar hariç LAPS meta verilerini okumak için.

  Bu izinleri verebilen özel roller oluşturmak için, Microsoft Entra belgelerindeki Microsoft Entra ID'da özel rol oluşturma ve atama konusuna bakın.

• denetim günlüklerini ve olaylarını Microsoft Entra görüntüleme - LAPS ilkeleri ve parola döndürme olayları gibi son cihaz eylemleriyle ilgili ayrıntıları görüntülemek için hesabınızın yerleşik Intune Rolü Salt Okunur İşleç ile eşdeğer izinlere sahip olması gerekir.

Intune yerleşik rolleri ve özel rolleri hakkında daha fazla bilgi için bkz. Microsoft Intune için rol tabanlı erişim denetimi.

LAPS Mimarisi

Windows LAPS mimarisi hakkında bilgi için Windows belgelerindeki Windows LAPS mimarisine bakın.

Sık Sorulan Sorular

Bir cihazdaki herhangi bir yerel yönetici hesabını yönetmek için Intune LAPS ilkesini kullanabilir miyim?

Evet. Intune LAPS ilkesi, bir cihazdaki herhangi bir yerel yönetici hesabını yönetmek için kullanılabilir. Ancak LAPS, cihaz başına yalnızca bir hesabı destekler:

• İlke bir hesap adı belirtmediğinde Intune cihazdaki geçerli adına bakılmaksızın varsayılan yerleşik yönetici hesabını yönetir.
• Intune tarafından yönetilen hesabı, cihazın atanmış ilkesini değiştirerek veya geçerli ilkesini düzenleyerek farklı bir hesap belirterek değiştirebilirsiniz.
• Her ikisi de farklı bir hesap belirten bir cihaza iki ayrı ilke atanırsa, cihazın hesabının yönetilebilmesi için önce çözülmesi gereken bir çakışma oluşur.

LAPS ilkesini Intune ile zaten farklı bir kaynaktan LAPS yapılandırmaları olan bir cihaza dağıtırsam ne olur?

Intune CSP tabanlı ilke, GPO'lar veya Eski Microsoft LAPS yapılandırması gibi LAPS ilkesinin diğer tüm kaynaklarını geçersiz kılar. Daha fazla bilgi için Windows LAPS belgelerindeki Desteklenen İlke kökleri bölümüne bakın.

Windows LAPS, LAPS ilkesi kullanılarak yapılandırılan yönetici hesabı adına göre yerel yönetici hesapları oluşturabilir mi?

Windows 11 24H2'den başlayarak, yerleşik yerel Yönetici hesabını yönetmek için yeni otomatik hesap yönetim modunu kullanarak Windows LAPS'yi yapılandırabilir veya daha sonra yönetebileceği yeni, özel bir hesap oluşturabilirsiniz. Windows LAPS, alt düzey Windows sürümlerinde yalnızca cihazda zaten var olan hesapları yönetebilir.

Not

23H2 veya önceki bir sürümü Windows 11 çalıştıran cihazlarda el ile hesap yönetimi modunu veya Windows LAPS'yi kullandığınızda, cihazda bulunmayan bir hesap adı belirtmenizin hiçbir etkisi olmaz ve hata oluşturmaz.

Windows LAPS, Microsoft Entra'de devre dışı bırakılmış bir cihazın parolasını döndürüyor ve yedeklemiyor mu?

Hayır. Windows LAPS, parola döndürme ve yedekleme işlemlerinin uygulanabilmesi için cihazın etkin durumda olmasını gerektirir.

Microsoft Entra'da bir cihaz silindiğinde ne olur?

Bir cihaz Microsoft Entra silindiğinde, bu cihaza bağlı LAPS kimlik bilgileri kaybolur ve Microsoft Entra ID depolanan parola kaybolur. LAPS parolalarını alıp harici olarak depolamak için özel bir iş akışınız yoksa, silinmiş bir cihazın LAPS tarafından yönetilen parolasını kurtarmak için Microsoft Entra ID yöntemi yoktur.

LAPS parolalarını kurtarmak için hangi roller gereklidir?

Aşağıdaki yerleşik Microsoft Entra rolleri LAPS parolalarını kurtarma iznine sahiptir: Bulut Cihazı Yöneticisi ve Intune Yöneticisi.

LAPS meta verilerini okumak için hangi roller gereklidir?

Cihaz adı, son parola döndürme ve sonraki parola döndürme dahil olmak üzere LAPS hakkındaki meta verileri görüntülemek için aşağıdaki yerleşik Microsoft Entra rolleri desteklenir:

• Güvenlik Okuyucusu

Aşağıdaki rolleri de kullanabilirsiniz:

• Bulut Cihazı Yöneticisi
• Intune Yöneticisi
• Yardım Masası Yöneticisi
• Güvenlik Yöneticisi

Yerel yönetici parolası düğmesi neden gri ve erişilemez durumda?

Şu anda bu alana erişim için Yerel Yönetici parolasını döndür Intune izni gerekir. Microsoft Intune için bkz. Rol tabanlı erişim denetimi.

İlke tarafından belirtilen hesap değiştirildiğinde ne olur?

Windows LAPS bir cihazda aynı anda yalnızca bir yerel yönetici hesabını yönetebileceğinden, özgün hesap artık LAPS ilkesi tarafından yönetilemez. İlke cihaz bu hesabı yedeklediyse, yeni hesap yedeklenir ve önceki hesap hakkındaki ayrıntılar artık Intune yönetim merkezinden veya hesap bilgilerini depolamak için belirtilen Dizin'den kullanılamaz.

Sonraki adımlar

• LAPS için ilke oluşturma
• LAPS raporlarını görüntüleme
• Intune'de uç nokta güvenliği için hesap koruma ilkesi