每台 Windows 機器都有內建的本地管理員帳號,無法刪除,且擁有裝置的完整權限。 確保這個帳戶是保障你組織安全的重要一步。 Windows 裝置包含 Windows 本地管理員密碼解決方案 (LAPS) ,這是一款內建解決方案,用以協助管理本地管理員帳號。
你可以使用 Microsoft Intune 的端點安全政策來保護帳號,來管理已註冊 Intune 裝置的 LAPS。 Intune 政策可以:
- 強制本地管理員帳號的密碼要求
- 將裝置的本地管理員帳號備份到 Active Directory (AD) 或Microsoft Entra
- 安排這些帳號密碼的輪換,以幫助保護它們的安全。
你也可以在Intune 管理員中心查看本地管理帳號的詳細資料,並在排程輪替之外手動更換帳號密碼。
使用 Intune LAPS 政策,有助於保護 Windows 裝置免受針對本地使用者帳號的攻擊,如傳遞雜湊或橫向穿越攻擊。 使用 Intune 管理 LAPS 也能提升遠端客服情境的安全性,並恢復原本無法存取的裝置。
Intune LAPS 政策管理 Windows LAPS CSP 提供的設定。 Intune 使用 CSP 取代了舊有的 Microsoft LAPS 或其他 LAPS 管理解決方案,基於 CSP 的管理優先於其他 LAPS 管理來源。
Intune 對 Windows LAPS 的支援包含以下功能:
- 設定密碼要求 - 定義本地管理員帳號的密碼需求,包括複雜度與長度。
- 更換密碼 - 透過政策,你可以讓裝置自動在排程中更換本地管理員帳號密碼。 你也可以用 Intune 管理中心手動更換裝置密碼,作為裝置操作。
- 備份帳號與密碼——你可以選擇讓裝置備份帳號和密碼,無論是在雲端Microsoft Entra ID或內部部署的 Active Directory。 密碼是透過強加密儲存的。
- 自動帳號管理 - (支援 Windows 11 24H2 及以後版本的) - 簡化內建管理員帳號或您指定的自訂帳號管理。 自動帳號管理選項支援 停用或啟用指定帳號,並隨機化帳號名稱或前綴。 自動帳戶管理的使用也擴大了 LAPS 帳戶竄改的防護。
- 設定發帖認證動作 - 定義裝置在本地管理員帳號密碼到期時所採取的行動。 操作範圍包括重設受管理帳號以使用新的安全密碼、登出帳號,或兩者都做完後再關機。 你也可以管理裝置在密碼到期後等待的時間長短,然後才會採取這些動作。
- 查看帳號詳情 - Intune擁有足夠基於角色的管理控制 (RBAC) 權限的管理員,可以查看裝置本地管理員帳號及其目前密碼的資訊。 你也可以看到該密碼最後一次更換的時間 (重置) 以及下一次輪換的時間。
- 查看報告 - Intune 提供密碼輪替報告,包括過去手動及排程密碼輪替的詳細資訊。
想更詳細了解 Windows LAPS,請參考 Windows 文件中的以下文章:
- 什麼是 Windows LAPS? - Windows LAPS 及 Windows LAPS 文件集簡介。
- Windows LAPS CSP - 查看 LAPS 設定與選項的完整細節。 Intune 的 LAPS 政策會利用這些設定來設定裝置上的 LAPS CSP。
適用於:
- Windows
必要條件
以下是 Intune 支援您的租戶 Windows LAPS 的要求:
授權需求
Intune 訂閱 - Microsoft Intune 方案 1,這是基本的 Intune 訂閱。 你也可以透過 Intune 的免費試用訂閱來使用 Windows LAPS。
Microsoft Entra IDMicrosoft - Entra ID 免費版,是訂閱 Intune 時附贈的免費版 Microsoft Entra ID。 使用 Microsoft Entra ID 免費版,您可以使用 LAPS 的所有功能。
Active Directory 支援
Windows LAPS 的 Intune 政策可設定裝置備份本地管理員帳號及密碼至以下目錄類型之一:
注意事項
工作場所連接 (WPJ) 的裝置不被 Intune for LAPS 支援。
雲端 - 雲端支援以下情境備份至 Microsoft Entra ID:
Microsoft Entra hybrid join(聯合)
Microsoft Entra join
支援 Microsoft Entra join 需要您在 Microsoft Entra ID 中啟用 LAPS。 以下步驟可以幫助你完成這個配置。 關於更廣泛的背景,請參閱 Microsoft Entra 文件中的「啟用 Windows LAPS with Microsoft Entra ID」中的這些步驟。 Microsoft Entra 混合加入不需要在 Microsoft Entra 啟用 LAPS。
在 Microsoft Entra 啟用 LAPS:
- 以雲端裝置管理員身份登入 Microsoft Entra 系統管理中心。
- 瀏覽至 識別>裝置>總覽>裝置設定。
- 選擇「啟用本地管理員密碼解決方案」 (LAPS) 設定,並選擇「儲存」。 你也可以使用 Microsoft 圖形 API 更新 deviceRegistrationPolicy。
欲了解更多資訊,請參閱 Microsoft Entra 文件中的 Windows 本地管理員密碼解決方案(Microsoft Entra ID)。
本地部署 - 本地支援支援最高支援Windows Server Active Directory (內部部署的 Active Directory) 。
重要事項
Windows 裝置上的 LAPS 可以設定為使用其中一種目錄類型,但不能同時使用兩種。 另外要考慮,備份目錄必須由裝置的加入類型支援——如果你把資料夾設為內部部署的 Active Directory,而裝置沒有加入網域,它會接受 Intune 的政策設定,但 LAPS 無法成功使用該設定。
裝置版本與平台
裝置可使用Intune支援的任何Windows版本,但必須執行以下任一版本才能支援Windows LAPS CSP:
- Windows 11,22H2 版本 (22621.1555 或更新版本) KB5025239
- Windows 11,版本 21H2 (22000.1817 或更新版本 ) KB5025224
- Windows 10,22H2 版本 (19045.2846 或更新版本) KB5025221
- Windows 10,版本 21H2 (19044.2846 或更新版本) KB5025221
- Windows 10,20H2 版本 (19042.2846 或更新版本) KB5025221
- Windows 10 企業版 LTSC 2019 及後續版本
重要事項
2025 年 10 月 14 日,Windows 10 支援結束,將不再獲得品質與功能更新。 Windows 10 是 Intune 允許的版本。 運行此版本的裝置仍可註冊 Intune 並使用符合資格的功能,但功能無法保證,且可能有所變動。
GCC 高支援
Windows LAPS 的 Intune 政策支援 GCC 高環境。
LAPS 角色基礎存取控制
管理 LAPS 時,帳號必須具備足夠的基於角色的存取控制 (RBAC) 權限,以完成期望的任務。 以下是可用的任務及其所需權限:
建立並存取 LAPS 政策 - 若要使用及查看 LAPS 政策,您的帳號必須從 Intune RBAC 類別中獲得足夠的安全基線權限。 預設情況下,這些會包含在 Intune 內建的角色Endpoint Security Manager 中。 若要使用自訂的 Intune RBAC 角色,請確保自訂角色包含安全基準線類別的權利。
更換本地管理員密碼 - 若要使用 Intune 管理中心查看或更換裝置本機管理員帳號密碼,您的帳號必須被賦予以下 Intune 權限:
受管理裝置: Read
組織: Read
遠端任務:更換本地管理員密碼
重要事項
Rotate Local 管理員密碼的遠端任務動作,並未被任何 Intune 內建角色或 Microsoft Entra 內建的 Intune 管理員角色包含。 相反地,請使用自訂的 Intune 角色,將此權限指派給應該具備此功能的使用者。
取得本地管理員密碼 - 要查看密碼細節,您的帳號必須擁有以下 Microsoft Entra 權限之一:
-
microsoft.directory/deviceLocalCredentials/password/read讀取 LAPS 的元資料與密碼。 -
microsoft.directory/deviceLocalCredentials/standard/read讀取排除密碼的 LAPS 元資料。
要建立可授予這些權限的自訂角色,請參閱 Microsoft Entra 文件中的「建立並指派 Microsoft Entra ID 中的自訂角色」。
-
查看 Microsoft Entra 稽核日誌與事件 - 要查看 LAPS 政策細節及近期裝置動作(如密碼輪換事件),您的帳號必須擁有與內建 Intune 角色「唯讀操作員」相當的權限。
欲了解更多關於 Intune 內建角色與自訂角色的資訊,請參閱 Microsoft Intune 的角色基礎存取控制。
LAPS 架構
關於 Windows LAPS 架構的資訊,請參閱 Windows 文件中的 Windows LAPS 架構 。
常見問題集
我可以用 Intune 的 LAPS 政策來管理裝置上的任何本地管理員帳號嗎?
是。 Intune LAPS 政策可用於管理裝置上的任何本地管理員帳號。 然而,LAPS 每台裝置只支援一個帳號:
- 當政策未指定帳號名稱時,Intune 會管理預設內建的管理員帳號,不論該帳號目前在裝置上的名字是什麼。
- 你可以透過更改裝置的分配政策或編輯其目前的政策來指定不同帳號,來更改 Intune 為裝置管理的帳號。
- 如果兩個不同的政策都被指派給同一裝置,且各自指定不同的帳號,就會發生衝突,必須先解決,才能管理該裝置的帳號。
如果我用 Intune 部署 LAPS 政策到已經有其他來源 LAPS 設定的裝置上,會怎樣?
Intune 基於 CSP 的政策覆蓋所有其他 LAPS 政策來源,例如來自 GPO 或 Legacy Microsoft LAPS 的設定。 欲了解更多資訊,請參閱 Windows LAPS 文件中的支援政策根。
Windows LAPS 能否根據使用 LAPS 政策設定的管理員帳號名稱建立本地管理員帳號?
從 Windows 11 24H2 開始,你可以使用新的自動帳號管理模式設定 Windows LAPS,來管理內建的本地管理員帳號,或建立一個新的自訂帳號,由它來管理。 在較低階的 Windows 版本中,Windows LAPS 只能管理裝置上已存在的帳號。
注意事項
當你在運行 Windows 11 23H2 或更早版本的裝置上使用手動帳號管理模式或 Windows LAPS 時,指定裝置上不存在的帳號名稱不會產生任何影響,也不會產生錯誤。
Windows LAPS 會輪換並備份在 Microsoft Entra 中被停用的裝置的密碼嗎?
不能。 Windows LAPS 要求裝置必須處於啟用狀態,才能進行密碼輪換和備份操作。
當裝置在 Microsoft Entra 中被刪除會發生什麼事?
當裝置在 Microsoft Entra 中被刪除時,綁定在該裝置上的 LAPS 憑證會遺失,且儲存在 Microsoft Entra ID 中的密碼也會遺失。 除非你有自訂工作流程來取得 LAPS 密碼並將其儲存到外部,否則 Microsoft Entra ID 裡沒有方法可以為已刪除的裝置恢復 LAPS 管理的密碼。
要恢復 LAPS 密碼需要哪些角色?
以下內建Microsoft Entra角色有權恢復 LAPS 密碼:雲端裝置管理員與Intune管理員。
讀取 LAPS 元資料需要哪些角色?
以下內建的 Microsoft Entra 角色角色支援以查看 LAPS 的元資料,包括裝置名稱、最後密碼輪換及下一組密碼輪換:
- 安全性讀取者
你也可以使用以下角色:
- 雲端裝置管理員
- Intune 管理員
- 客服台管理員
- 安全性系統管理員
為什麼本地管理員密碼按鈕會變成灰色且無法存取?
目前,存取此區域需要 Rotate 本地管理員密碼 Intune 權限。 請參見 Microsoft Intune 的角色基礎存取控制。
當政策指定的帳戶被更改時會發生什麼事?
由於 Windows LAPS 一次只能管理一個裝置上的本地管理員帳號,原本的帳號不再由 LAPS 政策管理。 如果政策讓裝置備份該帳號,新帳號就會被備份,且 Intune 管理中心或指定的帳號資訊目錄中無法取得舊帳號的詳細資訊。