Microsoft Intune Windows LAPS 的支援

每部 Windows 電腦都有無法刪除的內建本機系統管理員帳戶，且具有裝置的完整許可權。 保護此帳戶是保護組織的重要步驟。 Windows 裝置包含 WINDOWS 本機系統管理員密碼解決方案 (LAPS) ，這是協助管理本機系統管理員帳戶的內建解決方案。

您可以使用 Microsoft Intune 端點安全策略進行帳戶保護，以在已向 Intune 註冊的裝置上管理 LAPS。 Intune 原則可以：

• 強制執行本機系統管理員帳戶的密碼需求
• 將本機系統管理員帳戶從裝置備份到 Active Directory (AD) 或 Microsoft Entra
• 排程這些帳戶密碼的輪替，以協助保護其安全。

您也可以在 Intune 管理員 中心檢視受控本機系統管理員帳戶的詳細數據，並在排程輪替之外手動輪替其帳戶密碼。

使用 Intune LAPS 原則可協助您保護 Windows 裝置免於攻擊，這些攻擊旨在惡意探索本機用戶帳戶，例如傳遞哈希或橫向周遊攻擊。 使用 Intune 管理 LAPS 也有助於改善遠端技術支援中心案例的安全性，並復原無法存取的裝置。

Intune LAPS 原則會管理 Windows LAPS CSP 提供的設定。 Intune 使用 CSP 會取代舊版 Microsoft LAPS 或其他 LAPS 管理解決方案的使用，而 CSP 的 優先順序 高於其他 LAPS 管理來源。

Windows LAPS 的 Intune 支援包含下列功能：

• 設定密碼需求 – 定義密碼需求，包括裝置上本機系統管理員帳戶的複雜度和長度。
• 輪替密碼 – 使用原則，您可以讓裝置依排程自動輪替本機系統管理員帳戶密碼。 您也可以使用 Intune 系統管理中心，將裝置的密碼手動旋轉為裝置動作。
• 備份帳戶與密碼 – 您可以選擇讓裝置在雲端的 Microsoft Entra ID 或您的 內部部署的 Active Directory 中備份其帳戶和密碼。 密碼會使用強式加密來儲存。
• 設定後續驗證動作 – 定義裝置在本機系統管理員帳戶密碼過期時所採取的動作。 動作的範圍從重設受管理的帳戶到使用新的安全密碼、註銷帳戶，或同時執行兩者，然後關閉裝置電源。 您也可以管理裝置在密碼到期后等待多久，再採取這些動作。
• 檢視帳戶詳細數據 – 具有足夠角色型系統管理控制 (RBAC) 許可權的 Intune 系統管理員可以檢視裝置本機系統管理員帳戶及其目前密碼的相關信息。 您也可以查看上次輪替該密碼的時間， (重設) ，以及下次排程輪替的時間。
• 檢視報告 – Intune 提供密碼輪替的報告，包括過去手動和排程密碼輪替的詳細數據。

若要深入瞭解 Windows LAPS，請從 Windows 檔中的下列文章開始：

• 什麼是 Windows LAPS？ – Windows LAPS 和 Windows LAPS 檔集的簡介。
• Windows LAPS CSP – 檢視 LAPS 設定和選項的完整詳細數據。 LAPS 的 Intune 原則會使用這些設定在裝置上設定 LAPS CSP。

適用於：

• Windows 10
• Windows 11

必要條件

以下是 Intune 在租用戶中支援 Windows LAPS 的需求：

授權需求

• Intune 訂用帳戶 - Microsoft Intune 方案 1，這是基本的 Intune 訂用帳戶。 您也可以使用 Windows LAPS 搭配 Intune 的免費試用訂用帳戶。

• Microsoft Entra ID – Microsoft Entra ID Free，這是您訂閱 Intune 時所包含的免費 Microsoft Entra ID 版本。 透過 Microsoft Entra ID Free，您可以使用 LAPS 的所有功能。

Active Directory 支援

適用於 Windows LAPS 的 Intune 原則可以設定裝置，將本機系統管理員帳戶和密碼備份至下列其中一種目錄類型：

注意事項

Intune for LAPS 不支援已加入工作地點 (WPJ) 的裝置。

• 雲端 – 針對下列案例，雲端支持備份至您的 Microsoft Entra ID：

  • Microsoft Entra 混合式聯結

  • Microsoft Entra 聯結

    若要支援 Microsoft Entra 加入，您必須在 Microsoft Entra ID 中啟用 LAPS。 下列步驟可協助您完成此設定。 如需較大型的內容，請在使用 Microsoft Entra ID 啟用 Windows LAPS Microsoft Entra 檔中檢視這些步驟。 Microsoft Entra 混合式聯結不需要在 Microsoft Entra 中啟用LAPS。

    在 Microsoft Entra 中開啟 LAPS：

    1. 以雲端裝置系統管理員身分登入 Microsoft Entra 系統管理中心。
    2. 流覽至 [ 身分識別>裝置>概觀>裝置設定]。
    3. 針對 [啟用本機系統管理員密碼解決方案 (LAPS) 設定選取 [是]，然後選取 [儲存]。 您也可以使用 Microsoft 圖形 API Update deviceRegistrationPolicy。

    如需詳細資訊，請參閱 Microsoft Entra 檔中 Microsoft Entra ID 中的 Windows 本機系統管理員密碼解決方案。

• 內部部署 – 內部部署支援備份至 Windows Server Active Directory (內部部署的 Active Directory) 。

  重要事項

  Windows 裝置上的 LAPS 可以設定為使用一個目錄類型或另一個目錄類型，但不能同時使用兩者。 另請考慮，裝置加入類型必須支援備份目錄 – 如果您將目錄設定為 內部部署的 Active Directory，且裝置未加入網域，則會接受來自 Intune 的原則設定，但 LAPS 無法成功使用該設定。

Device Edition 和 Platform

裝置可以有 Intune 支援的任何 Windows 版本，但必須執行下列其中一個版本才能支援 Windows LAPS CSP：

• Windows 10 版本 22H2 (19045.2846 或更新版本，) KB5025221
• Windows 10 版本 21H2 (19044.2846 或更新版本，) KB5025221
• Windows 10 版本 20H2 (19042.2846 或更新版本 ) KB5025221
• Windows 11 版本 22H2 (22621.1555 或更新版本 ) KB5025239
• Windows 11 版本 21H2 (22000.1817 或更新版本 ) KB5025224

GCC High 支援

GCC High 環境支援適用於 Windows LAPS 的 Intune 原則。

LAPS 的角色型訪問控制

若要管理 LAPS，帳戶必須有足夠的角色型訪問控制 (RBAC) 許可權，才能完成所需的工作。 以下是具有必要權限的可用工作：

• 建立和存取 LAPS 原則 – 若要使用和檢視 LAPS 原則，您的帳戶必須從 Intune RBAC 類別指派足夠的許可權，才能使用 安全性基準。 根據預設，這些會包含在內建角色 Endpoint Security Manager 中。 若要使用自定義角色，請確定自定義角色包含來自 安全性基準類別的許可權 。

• 輪替本機系統管理員密碼 – 若要使用 Intune 系統管理中心來檢視或輪替裝置本機系統管理員帳戶密碼，您的帳戶必須獲指派下列 Intune 許可權：

  • 受控裝置： 讀取
  • 組織： 讀取
  • 遠端工作：輪替本機 管理員 密碼

• 擷取本機系統管理員密碼 – 若要檢視密碼詳細數據，您的帳戶必須具有下列其中一個 Microsoft Entra 許可權：

  • microsoft.directory/deviceLocalCredentials/password/read 讀取 LAPS 元數據和密碼。
  • microsoft.directory/deviceLocalCredentials/standard/read 表示讀取 LAPS 元數據，但不包括密碼。

  若要建立可授與這些許可權的自定義角色，請參閱 Microsoft Entra 檔中的在 Microsoft Entra ID 中建立和指派自定義角色。

• 檢視 Microsoft Entra 稽核記錄和事件 – 若要檢視有關 LAPS 原則和最近的裝置動作的詳細數據，例如密碼輪替事件，您的帳戶必須具有相當於內建 Intune 角色只讀操作員的許可權。

如需詳細資訊，請參閱 Microsoft Intune 的角色型訪問控制。

LAPS 架構

如需 Windows LAPS 架構的相關信息，請參閱 Windows 檔中的 Windows LAPS 架構。

常見問題集

我可以使用 Intune LAPS 原則來管理裝置上的任何本機系統管理員帳戶嗎？

是的。 Intune LAPS 原則可用來管理裝置上的任何本機系統管理員帳戶。 不過，LAPS 僅支援每個裝置一個帳戶：

• 當原則未指定帳戶名稱時，Intune 會管理預設的內建系統管理員帳戶，而不論其在裝置上的目前名稱為何。
• 您可以變更裝置的指派原則，或編輯其目前的原則來指定不同的帳戶，以變更 Intune 為裝置管理的帳戶。
• 如果將兩個不同的原則指派給同時指定不同帳戶的裝置，則必須先解決衝突，才能管理裝置的帳戶。

如果我使用 Intune 將 LAPS 原則部署到已經有來自不同來源之 LAPS 設定的裝置，該怎麼辦？

Intune 的 CSP 型原則會覆寫 LAPS 原則的所有其他來源，例如來自 GPO 或來自 舊版 Microsoft LAPS 的設定。 如需詳細資訊，請參閱 Windows LAPS 檔中 的支持原則根 目錄。

Windows LAPS 是否可以根據使用 LAPS 原則設定的系統管理員帳戶名稱來建立本機系統管理員帳戶？

不能。 Windows LAPS 只能管理裝置上已存在的帳戶。 如果原則依名稱指定裝置上不存在的帳戶，則會套用原則，且不會報告錯誤。 不過，不會備份任何帳戶。

Windows LAPS 是否針對在 Microsoft Entra 中停用的裝置輪替和備份密碼？

不能。 Windows LAPS 要求裝置必須處於啟用狀態，才能套用密碼輪替和備份作業。

在 Microsoft Entra 中刪除裝置時，會發生什麼事？

在 Microsoft Entra 中刪除裝置時，系結至該裝置的 LAPS 認證會遺失，而儲存在 Microsoft Entra ID 中的密碼將會遺失。 除非您有自定義工作流程可擷取 LAPS 密碼並將其儲存在外部，否則 Microsoft Entra ID 中沒有任何方法可復原已刪除裝置的 LAPS 受控密碼。

復原 LAPS 密碼需要哪些角色？

下列內建角色 Microsoft Entra 角色具有復原 LAPS 密碼的許可權：全域 管理員、雲端裝置 管理員 和 Intune 服務 管理員。

需要哪些角色才能讀取 LAPS 元數據？

支援下列內建角色來檢視 LAPS 的相關元數據，包括裝置名稱、上次密碼輪替和下一個密碼輪替：全域 管理員、雲端裝置 管理員、Intune 服務 管理員、技術服務 管理員、安全性讀取者、安全性 管理員 和全局讀取者。

為什麼 [本機系統管理員密碼] 按鈕呈現灰色且無法存取？

目前，存取此區域需要輪替本機系統管理員密碼 Intune 許可權。 如需 Microsoft Intune，請參閱角色型訪問控制。

當原則指定的帳戶變更時，會發生什麼事？

由於 Windows LAPS 一次只能在裝置上管理一個本機系統管理員帳戶，因此原始帳戶不再由 LAPS 原則管理。 如果原則有裝置備份該帳戶，則會備份新帳戶，且無法再從 Intune 系統管理中心或指定用來儲存帳戶資訊的目錄取得先前帳戶的詳細數據。

後續步驟

• 建立 LAPS 的原則
• 檢視 LAPS 的報告
• Intune 中端點安全性的帳戶保護原則