分享方式:


Microsoft Entra ID 中的 Windows 本機管理員密碼解決方案

每個 Windows 裝置都隨附內建的本機系統管理員帳戶,您必須保護該帳戶,以減輕任何雜湊傳遞 (PtH) 和橫向周遊攻擊的風險。 許多客戶一直使用我們的獨立內部部署區域系統管理員密碼解決方案 (LAPS) 產品,以管理其已加入網域 Windows 機器的本機系統管理員密碼。 透過 Windows LAPS Microsoft Entra 支援,我們為已加入 Microsoft Entra 和已加入混合式 Microsoft 裝置提供一致的體驗。

Microsoft Entra 對 LAPS 的支援包含下列功能:

  • 使用 Microsoft Entra ID 啟用 Windows LAPS - 啟用租用戶範圍原則和用戶端原則,將本機系統管理員密碼備份至 Microsoft Entra ID。
  • 本機系統管理員密碼管理 - 設定用戶端原則以設定帳戶名稱、密碼存留期、長度、複雜度、手動密碼重設等等。
  • 復原本機系統管理員密碼 - 使用 API/入口網站體驗進行本機系統管理員密碼復原。
  • 列舉所有已啟用 Windows LAPS 的裝置 - 使用 API/入口網站體驗來列舉已啟用 Windows LAPS 的 Microsoft Entra ID 中的所有 Windows 裝置。
  • 本機系統管理員密碼復原的授權 - 使用角色型存取控制 (RBAC) 原則搭配自訂角色和系統管理單位。
  • 稽核本機系統管理員密碼更新和復原 - 使用稽核記錄 API/入口網站體驗來監視密碼更新和復原事件。
  • 本機系統管理員密碼復原的條件式存取原則 - 在具有密碼復原授權的目錄角色上設定條件式存取原則。

注意

Microsoft Entra ID 的 Windows LAPS 不支援已註冊 Microsoft Entra 的 Windows 裝置。

非 Windows 平台上不支援區域系統管理員密碼解決方案。

若要深入了解 Windows LAPS,請從 Windows 文件中的下列文章開始:

需求

支援的 Azure 區域和 Windows 發行版

這項功能現已在下列 Azure 雲端中提供:

  • Azure 全域
  • Azure Government
  • 由 21Vianet 營運的 Microsoft Azure

作業系統更新

這項功能現在可在下列已安裝指定更新或更新版本的 Windows OS 平台上使用:

聯結類型

只有已加入 Microsoft Entra 或已加入 Microsoft Entra 混合式裝置上才支援 LAPS。 不支援已註冊 Microsoft Entra 的裝置。

授權需求

LAPS 適用於所有具有 Microsoft Entra ID 免費或更高授權的客戶。 其他相關功能,例如系統管理單位、自訂角色、條件式存取和 Intune,都有其他授權需求。

必要的角色或權限

除了諸如雲端裝置管理員,以及授與 device.LocalCredentials.Read.AllIntune 管理員等內建的 Microsoft Entra 角色之外,您還可以使用 Microsoft Entra 自訂角色或系統管理單位來授權本機系統管理員密碼復原。 例如:

  • 必須向自訂角色指派 microsoft.directory/deviceLocalCredentials/password/read 權限,以授權本機系統管理員密碼復原。 您可以使用 Microsoft Entra 系統管理中心Microsoft Graph APIPowerShell 來建立自訂角色並授與權限。 建立自訂角色之後,您可以將其指派給使用者。

  • 您也可以建立 Microsoft Entra ID 管理單位、新增裝置,並將範圍設定為管理單位的雲端裝置管理員角色,以授權本機系統管理員密碼復原。

使用 Microsoft Entra ID 啟用 Windows LAPS

若要啟用具有 Microsoft Entra ID 的 Windows LAPS,您必須在 Microsoft Entra ID 和您想要管理的裝置中採取動作。 我們建議組織使用 Microsoft Intune 來管理 Windows LAPS。 如果您的裝置已加入 Microsoft Entra,但並非使用或不支援 Microsoft Intune,您可以手動部署 Microsoft Entra ID 的 Windows LAPS。 如需詳細資訊,請參閱設定 Windows LAPS 原則設定一文。

  1. 以不低於 [雲端裝置管理員] 的身分登入 [Microsoft Entra 系統管理中心]

  2. 瀏覽至 [身分識別]>[裝置]>[概觀]>[裝置設定]

  3. 針對 [啟用區域系統管理員密碼解決方案 (LAPS)] 設定選取 [是],然後選取 [儲存]。 您也可以使用 Microsoft Graph API 更新 deviceRegistrationPolicy 來完成這項工作。

  4. 設定用戶端原則,並將 BackUpDirectory 設定為 Microsoft Entra ID。

復原本機系統管理員密碼和密碼中繼資料

若要針對已加入 Microsoft Entra ID 的 Windows 裝置檢視本機系統管理員密碼,您必須獲授與 microsoft.directory/deviceLocalCredentials/password/read 動作。

若要針對已加入 Microsoft Entra ID 的 Windows 裝置檢視本機系統管理員密碼中繼資料,您必須獲授與 microsoft.directory/deviceLocalCredentials/password/read 動作。

根據預設,會向下列內建角色授與這些動作:

內建角色 microsoft.directory/deviceLocalCredentials/standard/read 和 microsoft.directory/deviceLocalCredentials/password/read microsoft.directory/deviceLocalCredentials/standard/read
雲端裝置管理員 Yes Yes
Intune 服務管理員 Yes Yes
服務台系統管理員 No Yes
安全性系統管理員 No Yes
安全性讀取者 No Yes

未列出的任何角色都不會獲授與任何動作。

您也可以使用 Microsoft Graph API Get deviceLocalCredentialInfo 來復原本機系統管理密碼。 如果您使用 Microsoft Graph API,傳回的密碼會使用 Base64 編碼的值,您必須在使用之前將其進行解碼。

列出所有 Windows LAPS 啟用裝置

若要列出所有已啟用 Windows LAPS 的裝置,您可以瀏覽至 [身分識別]>[裝置]>[概觀]>[本機系統管理員密碼復原],或使用 Microsoft Graph API。

稽核本機系統管理員密碼更新和復原

若要檢視稽核事件,您可以瀏覽至 [身分識別]>[裝置]>[概觀]>[稽核記錄],然後使用 [活動] 篩選並搜尋 [更新裝置本機系統管理員密碼] 或 [復原裝置本機系統管理員密碼] 以檢視稽核事件。

本機系統管理員密碼復原的條件式存取原則

條件式存取原則的範圍可以設定為內建角色,以保護復原本機系統管理員密碼的存取權。 您可以在常見的條件式存取原則:要求管理員都使用多重要素驗證一文中找到需要多重要素驗證的原則範例。

注意

不支援其他角色類型,包括系統管理單位範圍的角色和自訂角色

常見問題集

是否可使用群組原則物件 (GPO) 支援 Microsoft Entra 管理設定的 Windows LAPS?

是,僅適用於 已加入 Microsoft Entra 混合式裝置。 請參閱 Windows LAPS 群組原則

是否可使用 MDM 支援 Microsoft Entra 管理設定的 Windows LAPS?

是,適用於加入 Microsoft Entra/加入 Microsoft Entra 混合式 (共同管理) 裝置。 客戶可以使用 Microsoft Intune 或其所選擇任何其他第三方行動裝置管理 (MDM)。

在 Microsoft Entra ID 中刪除裝置時,會發生什麼事?

當裝置在 Microsoft Entra ID 中刪除時,繫結至該裝置的 LAPS 認證會遺失,且儲存在 Microsoft Entra ID 中的密碼會遺失。 除非您有自訂工作流程可擷取 LAPS 密碼並將其儲存在外部,否則在 Microsoft Entra ID 中沒有方法可復原已刪除裝置的 LAPS 受控密碼。

復原 LAPS 密碼需要哪些角色?

下列內建角色 Microsoft Entra 角色具有復原 LAPS 密碼的權限:雲端裝置管理員和 Intune 管理員。

讀取 LAPS 中繼資料需要哪些角色?

支援下列內建角色來檢視有關 LAPS 的中繼資料,包括裝置名稱、上次密碼變換,以及下一個密碼變換:雲端裝置管理員、Intune 管理員、服務台管理員、安全性讀取者和安全性系統管理員。

是否支援自訂角色?

是。 如果您有 Microsoft Entra ID P1 或 P2,您可以建立具有下列 RBAC 權限的自訂角色:

  • 若要讀取 LAPS 中繼資料:microsoft.directory/deviceLocalCredentials/standard/read
  • 若要讀取 LAPS 密碼:microsoft.directory/deviceLocalCredentials/password/read

原則指定的本機系統管理員帳戶變更時,會發生什麼事?

因為 Windows LAPS 一次只能管理裝置上的一個本機系統管理員帳戶,因此原始帳戶不再由 LAPS 原則管理。 如果原則有裝置備份該帳戶,則會備份新帳戶,而且從 Intune 系統管理中心內或從指定用來儲存帳戶資訊的目錄,不再提供先前帳戶的詳細資料。

下一步