何謂 Windows LAPS?
Windows 本機系統管理員密碼解決方案 (Windows LAPS) 是一項 Windows 功能,可自動管理和備份加入 Microsoft Entra 或加入 Windows Server Active Directory 的裝置上本機系統管理員帳戶的密碼。 您也可以使用 Windows LAPS,在您的 Windows Server Active Directory 網域控制站上自動管理和備份目錄服務還原模式 (DSRM) 帳戶密碼。 授權的系統管理員可擷取 DSRM 密碼並加以使用。
Windows LAPS 支援的平台
Windows LAPS 現在可在安裝了指定更新或更高版本的下列作業系統平台上使用:
- Windows 11 22H2 - 2023 年 4 月 11 日更新
- Windows 11 21H2 - 2023 年 4 月 11 日更新
- Windows 10 - 2023 年 4 月 11 日更新
- Windows Server 2022 - 2023 年 4 月 11 日更新
- Windows Server 2019 - 2023 年 4 月 11 日更新
上述平台的所有支援版本都已使用 Windows LAPS 更新,包括 LTSC 版本。 Windows LAPS 功能的推出不會以任何方式影響標準 Microsoft 產品生命週期原則。
Windows LAPS 和 Microsoft Entra ID
自 2023 年 10 月 23 日起,具有 Microsoft Entra ID 和 Microsoft Intune 支援的 Windows LAPS 現已正式推出。 如需詳細資訊,請參閱 Windows Local Administrator Password Solution with Microsoft Entra ID now Generally Available! 和 Windows Local Administrator Password Solution in Microsoft Entra ID。
使用 Windows LAPS 的好處
使用 Windows LAPS 定期輪替與管理區域系統管理員帳戶密碼,並取得下列好處:
- 防範雜湊傳遞和橫向遍歷攻擊
- 改善的遠端技術支援中心案例安全性
- 可登入和復原無法存取的裝置
- 用於保護儲存在 Windows Server Active Directory 中密碼的細密安全性模型 (存取控制清單和選用的密碼加密)
- 支援 Entra 角色型存取控制模型,用於保護儲存在 Microsoft Entra ID 中的密碼
知識影片
下列影片提供了深入了解 Windows LAPS 功能的資訊性方式。
Windows 技術起飛簡報 (2022 年 11 月):
Windows 應對科技討論 (2023 年 8 月):
主要 Windows LAPS 案例
您可以針對多種主要案例使用 Windows LAPS:
將本機系統管理員帳戶密碼備份至 Microsoft Entra ID (適用於已加入 Microsoft Entra 的裝置)
將區域系統管理員帳戶密碼備份至 Windows Server Active Directory (適用於已加入 Windows Server Active Directory 的用戶端與服務)
將 DSRM 帳戶密碼備份至 Windows Server Active Directory (適用於 Windows Server Active Directory 網域控制站)
使用舊版 Microsoft LAPS 將區域系統管理員帳戶密碼備份至 Windows Server Active Directory
您可以在每個案例中套用不同的原則設定。
理解裝置加入狀態限制
裝置加入 Microsoft Entra ID 或 Windows Server Active Directory,決定了 Windows LAPS 的使用方式。
只有加入 Microsoft Entra ID 的裝置能將密碼備份到 Microsoft Entra ID。
僅加入 Windows Server Active Directory 的裝置只可將密碼備份至 Windows Server Active Directory。
混合加入 (同時加入 Microsoft Entra ID 和 Windows Server Active Directory) 的裝置可以將其密碼備份到 Microsoft Entra ID 或 Windows Server Active Directory。 您無法將密碼同時備份到 Microsoft Entra ID 和 Windows Server Active Directory。
Windows LAPS 不支援加入 Microsoft Entra 工作場所的用戶端。
設定 Windows LAPS 原則
若要設定和管理 Windows LAPS 部署的原則,您有多種選項:
管理和監視 Windows LAPS
您還有各種選項來管理和監視 Windows LAPS。
適用於 Windows 的選項包括:
- [Windows Server Active Directory 使用者和電腦] 屬性對話方塊
- 專用的事件記錄檔通道
- Windows LAPS 專屬的 Windows PowerShell 模組
將密碼備份到 Microsoft Entra ID 時,可以使用 Azure 型監視和報告解決方案。
舊版 Microsoft LAPS 產品已遭淘汰
重要
注意:從 Windows 11 23 H2 和更新版本起,舊版Microsoft LAPS 產品 已被取代。 在較新的作業系統版本上已封鎖舊版 Microsoft LAPS MSI 套件的安裝,Microsoft 不會再考慮舊版 Microsoft LAPS 產品的程式碼變更。
請使用 Windows LAPS,其適用於 Windows Server 2019 和更新版本,以及支援的 Windows 10 和 Windows 11 用戶端,可用於管理本機系統管理員帳戶密碼。
Microsoft 將繼續在先前支援的舊版 Windows (在 Windows 11 23 H2 之前) 上支援舊版 Microsoft LAPS 產品。 這些 OS 的正常支援一旦終止,該支援也一併終止。
Windows LAPS 與舊版 Microsoft LAPS 的比較
Windows LAPS 繼承了舊版 Microsoft LAPS 的許多設計概念。 如果您熟悉舊版 Microsoft LAPS,則會對許多 Windows LAPS 功能感到很熟悉。 主要差異在於 Windows LAPS 是 Windows 原生的完全個別實作。 Windows LAPS 還新增了許多舊版 Microsoft LAPS 中沒有提供的功能。 您可以使用 Windows LAPS 將密碼備份至 Azure Active Directory、在 Windows Server Active Directory 中加密密碼,以及儲存您的密碼歷程記錄。
重要
Windows LAPS 不需要您安裝舊版 Microsoft LAPS。 您可以完全部署及使用所有 Windows LAPS 功能,而不需安裝或參考舊版 Microsoft LAPS。 但為了協助移轉現有的舊版 Microsoft LAPS 部署,Windows LAPS 提供了舊版 Microsoft LAPS 模擬模式。
重要
舊版 Microsoft LAPS 產品在較新的 Microsoft OS 版本上已遭淘汰 - 請參閱 舊版 Microsoft LAPS 產品已遭淘汰。
支援聲明
Microsoft 於 2016 年日曆年度在 Microsoft 下載中心發行了舊版 Microsoft LAPS 產品。 Windows LAPS 作為 2023 年 4 月 11 日針對 Windows LAPS 和 Microsoft Entra ID中列出的平台發布的 Windows 更新的一部分提供。
Microsoft 與其支援交付組織為 Microsoft LAPS 和 Windows LAPS (包括兩項產品的互通性) 提供協助支援。
重要
舊版 Microsoft LAPS 產品在較新的 Microsoft OS 版本上已遭淘汰 - 請參閱 舊版 Microsoft LAPS 產品已遭淘汰。
Microsoft 強烈建議客戶立即開始規劃,將其支援 Windows LAPS 的系統從使用舊版 Microsoft LAPS 移轉至新的 Windows LAPS 功能。 Windows LAPS 提供許多新的安全性功能和改進的產品服務。
有關第三方區域帳戶密碼管理工具與 Windows LAPS 之間限制和\或互通性疑慮的問題,應直接洽詢第三方應用程式開發人員,而非 Microsoft。
授權需求
Windows LAPS 功能本身可在所有支援的 Windows 平台中免費取得。
您可以將密碼備份至您的內部部署 Active Directory,而不需要其他授權需求。
您可以使用 Microsoft Entra ID 免費或更高的授權,將密碼備份至 Microsoft Entra ID。
其他與 Azure 或 Intune 相關的功能,可能具有其他許可要求。
正在提交意見反應
是否要傳送意見反應給我們? 隨時歡迎您透過這些文件頁面底部的意見反應連結提交文件特定的問題。
您還可以透過 Windows LAPS 回饋技術社區頁面提交意見回饋和其他要求。
如果您的回饋特屬於 Microsoft Entra ID 或與 Intune 相關的 LAPS 功能,則可以透過 Microsoft Entra 回饋論壇提交回饋。
如果您不確定意見反應提交至何處,請藉由任何上述選項加以提交。
另請參閱
- 使用 Microsoft Entra ID 的 Windows 本機管理員密碼解決方案簡介
- Microsoft Entra ID 中的 Windows 本機管理員密碼解決方案
- 具有 Microsoft Entra ID 的 Windows 本機管理員密碼解決方案現已正式推出!
- Microsoft Entra ID 中的 Windows 本機管理員密碼解決方案。
- Windows LAPS 的 Microsoft Intune 支援
- Windows LAPS CSP
- Windows LAPS 疑難排解指導方針
- LAPS PowerShell 模組參考
- 舊版 Microsoft LAPS