何謂 Windows LAPS？

Windows 本機系統管理員密碼解決方案 (Windows LAPS) 是一項 Windows 功能，可自動管理和備份加入 Azure Active Directory 或加入 Windows Server Active Directory 的裝置上本機系統管理員帳戶的密碼。 您也可以使用 Windows LAPS，在您的 Windows Server Active Directory 網域控制站上自動管理和備份目錄服務還原模式 （DSRM） 帳戶密碼。 授權的系統管理員可以擷取 DSRM 密碼並使用它。

Windows LAPS 支援的平臺

Windows LAPS 現在可在已安裝指定更新或更新版本的下列作業系統平臺上使用：

• Windows 11 22H2 - 2023 年 4 月 11 日更新
• Windows 11 21H2 - 2023 年 4 月 11 日更新
• Windows 10 - 2023 年 4 月 11 日更新
• Windows Server 2022 - 2023 年 4 月 11 日更新
• Windows Server 2019 - 2023 年 4 月 11 日更新

上述平臺的所有支援版本都已使用 Windows LAPS 更新，包括 LTSC 版本。 Windows LAPS 功能的引進不會以任何方式修改標準 Microsoft 產品生命週期原則。

從上述更新起，完全支援 Windows LAPS 內部部署的 Active Directory案例。

Windows LAPS 和 Entra 識別碼

自 2023 年 10 月 23 日起，具有 Microsoft Entra ID 和 Microsoft Intune 支援的 Windows LAPS 現已正式推出。 如需詳細資訊，請參閱 Windows Local 管理員istrator 密碼解決方案與 Microsoft Entra ID 現已正式推出！ ，以及 Microsoft Entra ID 中的 Windows Local 管理員istrator 密碼解決方案。

使用 Windows LAPS 的優點

使用 Windows LAPS 定期輪替及管理本機系統管理員帳戶密碼，並取得下列優點：

• 防範傳遞雜湊和橫向周遊攻擊
• 已改善遠端技術支援中心案例的安全性
• 能夠登入和復原無法存取的裝置
• 更細緻的安全性模型 （存取控制清單和選擇性密碼加密） 來保護儲存在 Windows Server Active Directory 中的密碼
• 支援 Entra 角色型存取控制模型來保護儲存在 Entra 識別碼中的密碼

參考影片

下列影片提供深入瞭解 Windows LAPS 功能的資訊方式。

Windows 技術起飛簡報 （2022 年 11 月）：

Windows 處理技術討論 （2023 年 8 月）：

主要 Windows LAPS 案例

您可以針對數個主要案例使用 Windows LAPS：

• 將本機系統管理員帳戶密碼備份至 Azure Active Directory（適用于已加入 Azure Active Directory 的裝置）

• 將本機系統管理員帳戶密碼備份至 Windows Server Active Directory（適用于已加入 Windows Server Active Directory 的用戶端和伺服器）

• 將 DSRM 帳戶密碼備份至 Windows Server Active Directory（適用于 Windows Server Active Directory 網域控制站）

• 使用舊版 Microsoft LAPS 將本機系統管理員帳戶密碼備份至 Windows Server Active Directory

在每個案例中，您可以套用不同的原則設定。

瞭解裝置加入狀態限制

裝置是否已加入 Azure Active Directory 或 Windows Server Active Directory，會決定如何使用 Windows LAPS。

僅 加入 Azure Active Directory 的裝置只能將密碼備份至 Azure Active Directory。

只有加入 Windows Server Active Directory 的裝置只能將密碼備份到 Windows Server Active Directory。

混合 式加入的裝置（已加入 Azure Active Directory 和 Windows Server Active Directory）可以將密碼備份至 Azure Active Directory 或 Windows Server Active Directory。 您無法將密碼備份至 Azure Active Directory 和 Windows Server Active Directory。

Windows LAPS 不支援已加入 Azure Active Directory 的用戶端。

設定 Windows LAPS 原則

若要設定和管理 Windows LAPS 部署的原則，您有多個選項：

• Windows LAPS 設定服務提供者 （CSP）
• Windows LAPS 群組原則
• 舊版 Microsoft LAPS

管理和監視 Windows LAPS

您也有各種選項來管理和監視 Windows LAPS。

Windows 的選項包括：

• [Windows Server Active Directory 消費者和電腦屬性] 對話方塊
• 專用事件記錄檔通道
• Windows LAPS 專屬的 Windows PowerShell 模組

當您將密碼備份至 Azure Active Directory 時，可以使用以 Azure 為基礎的監視和報告解決方案。

淘汰舊版 Microsoft LAPS 產品

重要

注意：自 2023 年 10 月 23 日起，舊版 Microsoft LAPS 產品 已淘汰，從下一版 Windows 11 和 Windows Server 開始。 舊版 Microsoft LAPS MSI 套件的安裝在較新的作業系統版本上遭到封鎖，Microsoft 將不再考慮舊版 Microsoft LAPS 產品的程式碼變更。

請使用 Windows LAPS，適用于 Windows Server 2019 和更新版本，以及支援的 Windows 10 和 Windows 11 用戶端，以管理本機系統管理員帳戶密碼。

Microsoft 將繼續在先前支援的 OS 上支援舊版 Microsoft LAPS 產品。 該支援將結束于這些 OS 的正常終止支援。

Windows LAPS 與舊版 Microsoft LAPS

Windows LAPS 繼承了舊版 Microsoft LAPS 的許多設計概念。 如果您熟悉舊版 Microsoft LAPS，則許多 Windows LAPS 功能都很熟悉。 主要差異在於，Windows LAPS 是 Windows 原生的完全個別實作。 Windows LAPS 也會新增許多無法在舊版 Microsoft LAPS 中使用的功能。 您可以使用 Windows LAPS 將密碼備份至 Azure Active Directory、加密 Windows Server Active Directory 中的密碼，以及儲存密碼歷程記錄。

重要

Windows LAPS 不需要您安裝舊版 Microsoft LAPS。 您可以完全部署及使用所有 Windows LAPS 功能，而不需安裝或參考舊版 Microsoft LAPS。 但為了協助移轉現有的舊版 Microsoft LAPS 部署，Windows LAPS 提供 舊版 Microsoft LAPS 模擬模式 。

重要

舊版 Microsoft LAPS 產品在較新的 Microsoft OS 版本上已被取代 - 請參閱 淘汰舊版 Microsoft LAPS 產品 。

支援語句

Microsoft 在 Microsoft 下載中心 于 2016 年日曆年度發行 舊版 Microsoft LAPS 產品。 Windows LAPS 隨附于 2023 年 4 月 11 日發行的 Windows 更新，適用于 Windows LAPS 支援的平臺和 Azure AD LAPS 預覽狀態 中 所列的平臺。

Microsoft 及其支援傳遞組織提供 Microsoft LAPS 和 Windows LAPS 的協助支援，包括兩項產品的互通性。

重要

舊版 Microsoft LAPS 產品在較新的 Microsoft OS 版本上已被取代 - 請參閱 淘汰舊版 Microsoft LAPS 產品 。

Microsoft 強烈建議客戶立即開始規劃將其 Windows LAPS 支援的系統從使用舊版 Microsoft LAPS 移轉至新的 Windows LAPS 功能。 Windows LAPS 提供許多新的安全性功能和改進的產品服務。

協力廠商本機帳戶密碼管理工具與 Windows LAPS 之間的限制和或互通性考慮問題，應導向給協力廠商應用程式開發人員，而不是 Microsoft。

授權需求

Windows LAPS 功能本身可在所有支援的 Windows 平臺中免費取得。

您可以使用沒有其他授權需求，將密碼備份到您的內部部署的 Active Directory。

您可以使用 Azure AD 免費或更高的授權，將密碼備份至 Azure AD。

其他 Azure 或 Intune 相關功能可以有其他授權需求。

正在提交意見反應

想要傳送意見反應給我們嗎？ 您可以透過這些檔頁面底部的意見反應連結提交檔特定問題。

您也可以透過 Windows LAPS 意見反應 技術社群頁面提交意見反應和其他要求。

如果您的意見反應專屬於 Azure AD 或 Intune 相關的 LAPS 功能，您可以透過 Azure AD 意見反應論壇 提交意見反應。

如果您不確定意見反應的所在位置，請使用上述任何選項提交。

另請參閱

• Windows 本機管理員istrator 密碼解決方案與 Microsoft Entra ID 現已正式推出！
• Microsoft Entra ID 中的 Windows 本機管理員istrator 密碼解決方案。
• Windows LAPS 的 Microsoft Intune 支援
• Windows LAPS CSP
• Windows LAPS 疑難排解指導方針
• LAPS PowerShell 模組參考
• 舊版 Microsoft LAPS

下一步

• Windows LAPS 中的重要概念
• 開始使用適用于 Windows Server Active Directory 的 Windows LAPS
• 開始使用適用于 Azure Active Directory 的 Windows LAPS
• 在舊版 Microsoft LAPS 模擬模式中開始使用 Windows LAPS