共用方式為

在 Windows 上的 Teams 會議室 上設定 LAPS

  • 發行項
  • 適用於:
    Microsoft Teams

本文提供 LAPS 概觀、其架構,以及在 Windows 上設定 LAPS Teams 會議室 的步驟。

LAPS) (Windows 本機系統管理員密碼解決方案是一項 Windows 功能,可管理並備份本機系統管理員帳戶的密碼,以 Microsoft Entra 加入 (Entra joined) 或 Active Directory (AD) 。 它提供防範本機系統管理員帳戶密碼攻擊的增強保護,並符合在 Windows 裝置上部署 Teams 會議室 的主要客戶需求。

什麼是 LAPS?

LAPS 是一種解決方案,會在每個 Windows 裝置上自動產生本機系統管理員帳戶的隨機和複雜密碼,並將它安全地儲存在 Entra 或 Active Directory 中。 密碼會根據設定的原則定期變更,而且授權用戶可以在需要存取時擷取密碼。 LAPS 可降低利用多個裝置上相同本機系統管理員密碼的橫向移動和許可權升級攻擊的風險。 它簡化了本機系統管理員密碼的管理,不再需要手動或腳本解決方案。

Windows LAPS 架構

LAPS 包含下列元件:

  • 定期背景工作會在每個 Windows 裝置上執行,並執行密碼變更和備份作業。
  • 提供管理及擷取密碼之 Cmdlet 的 PowerShell 模組。
  • 啟用 #D2DB7DF3DECC14DF087E498EDDFDB5F75 LOCAL Administrator Password Solution (LAPS) AD 架構擴充功能,新增儲存密碼及相關信息的屬性。

LAPS 架構和工作流程

包含受管理裝置、Azure Active Directory 和 Windows Server ActiveDirectory 的 Windows LAPS 架構。

LAPS 部署

在 Windows 上部署 Teams 會議室 之前,您應該考慮:

  • 應盡可能使用 Entra ID 部署 LAPS,因為它提供比 Active Directory 更好的安全性和擴充性。
  • 在繼續進行 LAPS 部署之前,裝置必須先加入 Entra 或混合式 Entra 並由 Intune 管理
  • 任何使用本機系統管理員認證連線到 Windows 裝置上 Teams 會議室 的介面設備或端點,都會在重新啟動或變更密碼時中斷連線。 部分 OEM 實作會使用此方法來連接會議室控制器。 建議您洽詢 OEM 以取得相容性和替代解決方案。
  • 此檔中的所有指導方針都已針對 OEM 組建進行設定和測試,並排除任何自定義影像。
  • 您在 Windows 裝置上有專屬的裝置群組供 Teams 會議室,以進行原則管理和指派。 如果無法使用,請先建立一個,然後再繼續進行。

備註

某些 OEM 例如 Cres 並需要本機使用者名稱和密碼,才能連接觸控控制器等周邊裝置。 如需變更本機帳戶密碼影響的詳細資訊,請在實作前先連絡 Cres要點。

在 Windows 裝置上部署 Teams 會議室 LAPS 需要:

  • 設定 Entra ID 設定以啟用 LAPS。
  • 在 Intune 中建立和指派 LAPS 原則。
  • 驗證裝置上的密碼變更和備份。

Entra Configuration

若要在 Entra ID 中啟用 LAPS:

  1. 移至https://entra.microsoft.com
  2. 按兩下 [識別>裝置>所有裝置]
  3. 取 [裝置設定]
  4. [啟用 Microsoft Entra 本機系統管理員密碼解決方案] 切換為 [是]
  5. 按一下 [儲存]

Intune 設定]

若要在 Intune 中建立及指派 LAPS 原則,應遵循下列步驟:

  1. 移至 Intune 管理員 中心https://intune.microsoft.com
  2. 在左側導覽中選取 [端點安全 性]。
  3. 選取 [帳戶保護]
  4. 取 [建立原則]
  5. 針對平臺,請選取 [Windows 10 及更新版本],然後在 Windows LAPS) (配置檔本機系統管理員密碼解決方案
  6. 按兩下 [建立]

若要設定原則設定:

  1. Windows LAPS 原則上輸入原則名稱,例如 Teams 會議室。
  2. 如有需要,請輸入描述,然後按 [ 下一步]
  3. 取 [備份目錄 ] 以將 密碼只備份到 Azure AD。
  4. 切換 密碼年齡天以設定 並輸入所需的值。
  5. 切換 [系統管理員帳戶名稱] 以設定並輸入 管理員,以符合 Windows 主機上 Teams 會議室 上本機系統管理員帳戶的預先定義用戶名稱。
  6. 選取所需的 密碼複雜度 方法。
  7. 切換 [密碼長度 ] 以進行設定,並輸入所需的密碼長度,最小值為 8,最大為 64。
  8. 如果您不使用範圍標籤,請按 兩次 [下一步 ]。

若要將原則指派給 Windows 裝置上由 Intune 管理的 Teams 會議室 群組:

  1. 取 [作業]
  2. 選取包含 Windows 裝置上 Teams 會議室 的群組,並正確設定原則範圍。 選取 [ 下一步]
  3. 確認原則和範圍正確后,選取 [ 建立 ] 將原則套用至範圍內的裝置。
  4. 等待最多一小時,以套用原則和變更密碼。

LAPS 管理

若要從 Entra 管理員 中心擷取本機系統管理員密碼:

  1. 移至https://entra.microsoft.com
  2. 按兩下 [識別>裝置>所有裝置]
  3. 選取 [本機系統管理員密碼復原]
  4. 搜尋啟用的裝置,或從預先填入的清單中選取。
  5. 按兩下 [顯示本機系統管理員密碼]
  6. 按兩下 [顯示] 以顯示密碼。 記下最後一個和下一個旋轉時間戳。

若要在 Entra 中檢閱稽核記錄:

  1. 移至https://entra.microsoft.com
  2. 按兩下 [身分識別>裝置>所有裝置>稽核記錄]
  3. 選取 [活動 ] 以針對 更新裝置本機系統管理員密碼 或 Recover 裝置本機系統管理員密碼 進行篩選,以檢閱事件。

總結

LAPS 是一項 Windows 功能,可加強 Windows 裝置上 Teams 會議室 本機系統管理員密碼的安全性與管理。 它會自動產生並備份 Entra 的密碼,並允許授權使用者在需要時擷取密碼。 LAPS 也會防止密碼重複使用,並簡化密碼旋轉。 此檔提供使用 Entra 和 Intune 在 Windows 裝置上部署和維修 Teams 會議室 LAPS 的步驟。