使用 Microsoft Intune 管理 Windows LAPS 策略

  • 项目

准备好在使用 Microsoft Intune 管理的 Windows 设备上管理 Windows 本地管理员密码解决方案 (Windows LAPS) 时,本文中的信息可帮助你使用 Intune 管理中心:

  • 创建 Intune LAPS 策略并将其分配给设备。
  • 查看设备的本地管理员帐户详细信息。
  • 手动轮换托管帐户的密码。
  • 使用有关 LAPS 策略的报告。

在创建策略之前,请熟悉 windows LAPS Microsoft Intune支持中的信息,其中包括:

  • Intune 的 Windows LAPS 策略和功能的概述。
  • 将 Intune 策略用于 LAPS 的先决条件。
  • 基于角色的管理员控制 (RBAC) 帐户管理 LAPS 策略所需的权限。
  • 有关配置和使用 Intune LAPS 策略的常见问题。

应用于:

  • Windows 10
  • Windows 11

关于 Intune LAPS 策略

Intune 支持通过 本地管理员密码解决方案 (Windows LAPS) 配置文件在设备上配置 Windows LAPS,这些配置文件可通过 帐户保护的终结点安全策略获得。

Intune 策略使用 Windows LAPS 配置服务提供程序 (CSP) 来管理 LAPS。 Windows LAPS CSP 配置 优先 于来自其他 LAPS 源(如 GPO 或 旧版 Microsoft LAPS 工具)的任何现有配置,并覆盖这些配置。

Windows LAPS 允许为每个设备管理一个本地管理员帐户。 Intune 策略可以使用策略设置“管理员帐户名称”来指定应用该策略的本地 管理员帐户。 如果设备上不存在策略中指定的帐户名称,则不会管理任何帐户。 但是,当 管理员帐户名称 留空时,策略默认为设备内置本地管理员帐户,该帐户由其已知的相对标识符 (RID) 标识。

注意

在创建策略之前,请确保满足 Intune 在租户中支持 Windows LAPS 的 先决条件

Intune 的 LAPS 策略不会创建新帐户或密码。 而是管理设备上已有的帐户。

请仔细配置和分配 LAPS 策略。 Windows LAPS CSP 支持设备上每个 LAPS 设置的单个配置。 接收包含冲突设置的多个 Intune 策略的设备可能无法处理策略。 冲突还可能会阻止将托管的本地管理员帐户和密码备份到租户目录。

为了帮助减少潜在的冲突,我们建议通过设备组而不是用户组向每台设备分配单个 LAPS 策略。 虽然 LAPS 策略支持用户组分配,但每次不同的用户登录到设备时,它们可能会导致一个循环的 LAPS 配置更改。 经常更改策略可能会引发冲突、设备不符合要求,并造成当前正在管理设备的本地管理员帐户的混淆。

创建 LAPS 策略

重要

确保已在 Microsoft Entra 中启用 LAPS,如使用 Microsoft Entra ID 启用 Windows LAPS 文档中所述。

若要创建或管理 LAPS 策略,帐户必须具有 安全基线 类别中的适用权限。 默认情况下,这些权限包含在内置角色 Endpoint Security Manager 中。 若要使用自定义角色,请确保自定义角色包含 安全基线 类别中的权限。 请参阅 LAPS 的基于角色的访问控制

在创建策略之前,可以在 Windows LAPS CSP 文档中查看有关可用设置的详细信息。

  1. 登录到Microsoft Intune管理中心,转到“终结点安全>帐户保护”,然后选择“创建策略”。

    显示你在管理中心中创建 LAPS 策略的位置的屏幕截图。

    平台设置为 Windows 10 及更高版本,将“配置文件”设置为 Windows LAPS) (本地管理员密码解决方案,然后选择“创建”。

  2. “基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松识别它们。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议设置。

  3. “配置设置”中,配置 备份目录 选项,以定义用于备份本地管理员帐户的目录类型。 还可以选择不备份帐户和密码。 目录的类型还确定此策略中可用的其他设置。

    显示“备份目录”设置选项的屏幕截图。

    重要

    配置策略时,请记住,策略中的备份目录类型必须受该策略分配到的设备联接类型的支持。 例如,如果将目录设置为 Active Directory,并且设备未 (但Microsoft Entra) 成员加入域,则设备可以从 Intune 应用策略设置,而不会出错,但设备上的 LAPS 将无法成功使用该配置来备份帐户。

    配置 备份目录后,查看并配置可用设置以满足组织的要求。

  4. 在“范围标记”页上,选择要应用的任何所需范围标记,然后选择“下一步”。

  5. 对于 “分配”,请选择要接收此策略的组。 建议将 LAPS 策略分配给设备组。 分配给用户组的策略遵循从设备到设备的用户。 当设备的用户发生更改时,新策略可能会应用于设备并引入不一致的行为,包括设备备份的帐户或下次轮换托管帐户密码时。

    注意

    与所有 Intune 策略一样,当新策略应用于设备时,Intune 会尝试通知该设备检查并处理该策略。

    在设备成功签入 Intune 并成功处理其 LAPS 策略之前,有关其托管本地管理员帐户的数据将无法在管理中心内查看或管理。

    有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

  6. “查看 + 创建”中,查看设置,然后选择“ 创建”。 选择“创建”时,将保存所做的更改并分配配置文件。 策略也会显示在策略列表中。

查看设备操作状态

如果帐户的权限等效于向终结点安全工作负载中的所有策略模板授予权限 的安全基线 权限,则可以使用 Intune 管理中心查看已请求的设备操作的状态。

有关详细信息,请参阅 LAPS 的基于角色的访问控制

  1. Microsoft Intune管理中心,转到“设备>所有设备”,然后选择具有用于备份本地管理员帐户的 LAPS 策略的设备。 Intune 显示设备“概述”窗格。

  2. 在“设备概述”窗格中,可以查看 “设备操作”状态。 将显示以前请求的操作和挂起的操作,包括请求的时间以及操作是否失败或成功。 在以下示例屏幕截图中,设备已成功轮换其本地管理员帐户密码。

    设备的设备操作状态的屏幕截图,其中一个操作已完成,当前操作挂起。

  3. 从列表中选择某个操作将打开 “设备操作状态 ”窗格,其中可以显示有关该操作的其他详细信息。

查看帐户和密码详细信息

若要查看帐户和密码详细信息,帐户必须具有以下Microsoft Entra权限之一:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

使用以下方法向帐户授予这些权限:

  • 分配以下内置Microsoft Entra角色之一:
    • Global Admin
    • 云设备管理员

在授予这些权限Microsoft Entra ID 中创建并分配自定义角色。 请参阅 Microsoft Entra 文档中的在 Microsoft Entra ID 中创建和分配自定义角色

有关详细信息,请参阅 LAPS 的基于角色的访问控制

  1. Microsoft Intune管理中心,转到“设备>”“所有设备>”,选择 Windows 设备以打开其“概述”窗格。

    在概述窗格中,可以查看设备 设备操作状态。 状态显示当前和过去的操作,例如密码轮换。

  2. 在“设备概述”窗格的“ 监视 ”下,选择“ 本地管理员密码”。 如果帐户具有足够的权限,则会打开设备的“本地管理员密码”窗格,该窗格与Azure 门户中提供的视图相同。

    显示 Windows 设备的本地管理员密码窗格的屏幕截图。

    可以从管理中心内查看以下信息。 但是,仅当帐户备份到Microsoft Entra时,才能查看本地管理员密码。 无法查看备份到本地 Active Directory (Windows Server Active Directory) 的帐户:

    • 帐户名称 – 从设备备份的本地管理员帐户的名称。
    • 安全 ID – 从设备备份的帐户的已知 SID。
    • 本地管理员密码 - 默认为模糊。 如果帐户具有权限,则可以选择“ 显示 ”以显示密码。 然后,可以使用 “复制” 选项将密码复制到剪贴板。 此信息不适用于备份到本地 Active Directory的设备。
    • 上次密码轮换 – 在 UTC 中,策略上次更改或轮换密码的日期和时间。
    • 下一个密码轮换 – 在 UTC 中,每个策略轮换密码的下一个日期和时间。

以下是查看设备帐户和密码信息的注意事项:

  • 检索 (查看) 本地管理员帐户的密码会触发 审核事件

  • 无法查看以下设备的密码详细信息:

    • 将本地管理员帐户备份到本地 Active Directory
    • 设置为使用 Active Directory 备份帐户密码的设备。

手动轮换密码

LAPS 策略包括自动轮换帐户密码的计划。 除了计划轮换之外,还可以使用轮换本地管理员密码的 Intune 设备操作手动轮换设备密码,而不依赖于设备 LAPS 策略设置的轮换计划。

若要使用此设备操作,你的帐户必须具有以下三个 Intune 权限:

  • 托管设备: 读取
  • 组织: 读取
  • 远程任务:轮换本地管理员密码

请参阅 LAPS 的基于角色的访问控制

轮换密码

  1. Microsoft Intune管理中心,转到“设备>所有设备”,然后选择具有要轮换的帐户的 Windows 设备。

  2. 查看设备详细信息时,展开菜单栏右侧的省略号 (...) 以显示可用选项,然后选择“轮换本地管理员密码”。

    设备操作的展开菜单选项的屏幕截图。

  3. 选择“ 轮换本地管理员密码”时,Intune 会显示一条警告,要求在轮换密码之前进行确认。

    确认轮换密码的意图后,Intune 会启动该过程,此过程可能需要几分钟才能完成。 在此期间,设备详细信息窗格会显示一个横幅和设备 操作状态 ,指示该操作为 “挂起”。

轮换成功后,确认将在“设备操作”状态显示为 “完成”。

下面是手动密码轮换的注意事项:

  • 轮换本地管理员密码设备操作适用于所有 Windows 设备,但未成功备份其帐户和密码数据的任何设备都无法完成轮换请求。

  • 每次手动轮换尝试都会导致 审核事件。 计划的密码轮换也会记录审核事件。

  • 手动轮换密码时,将重置到下一个计划的密码轮换的时间。 下一次计划轮换的时间是通过 LAPS 策略中的 PasswordAgeDays 设置管理的。

    其工作原理如下:设备在 3 月 1 日收到一个策略,该策略将 PasswordAgeDays 设置为 10 天。 结果是设备将在 3 月 11 日 10 天后自动轮换其密码。 3 月 5 日,管理员手动轮换该设备的密码,以及将 PasswordAgeDays 的开始日期重置为 3 月 5 日的操作。 因此,设备现在将在 10 天后(3 月 15 日)自动轮换其密码。

  • 对于已加入Microsoft Entra的设备,设备必须在请求手动轮换时处于联机状态。 如果设备在发出请求时未联机,则会导致失败。

  • 不支持将密码轮换作为 批量操作。 一次只能旋转单个设备。

避免策略冲突

以下详细信息可帮助你避免冲突,并了解 LAPS 策略管理的设备的预期行为。

当为具有成功策略的设备分配两个或更多个引入冲突的策略时:

  • 设备上正在使用的设置将保留在设备上最后设置的值。 这两个策略(原始策略和新策略)都报告为冲突。
  • 若要解决冲突,请删除策略分配,直到冲突策略不适用,或重新配置适用的策略以设置相同的配置,从而消除冲突。

当没有 LAPS 策略的设备同时收到两个冲突的策略时:

  • 设置不会发送到设备,并且这两个策略都报告为存在冲突。
  • 虽然冲突仍然存在,但策略中的设置不适用于设备。

若要解决冲突,必须从设备中删除策略分配,或者在适用策略中重新配置设置,直到不再存在冲突。

后续步骤