Windows 本機系統管理員密碼解決方案(Windows LAPS)是一項 Windows 功能,用於自動管理及備份加入 Microsoft Entra 或 Windows Server Active Directory 的裝置上的本機系統管理員帳戶密碼。 您也可以使用 Windows LAPS,在您的 Windows Server Active Directory 網域控制站上自動管理和備份目錄服務還原模式 (DSRM) 帳戶密碼。 授權的系統管理員可擷取 DSRM 密碼並加以使用。
Windows LAPS 支援的平台
Windows LAPS 可在下列 OS 平臺上使用:
- Windows 11 23H2 和更新版本的 Windows 用戶端版本
- Windows Server 23H2 和更新的 Windows Server 版本
- Windows 11 22H2 - 2023 年 4 月 11 日更新 及後續版本
- Windows 11 21H2 - 2023 年 4 月 11 日更新 以及更高版本
- Windows 10 - 2023 年 4 月 11 日更新及其後續版本
- Windows Server 2022 - 2023 年 4 月 11 日更新及後續版本
- Windows Server 2019 - 2023 年 4 月 11 日更新 及之後的版本
這些平台的所有支援版本都已更新為 Windows LAPS,包括長期服務通道 (LTSC) 版本。 Windows LAPS 功能的引進不會修改標準Microsoft產品生命周期原則。
Windows LAPS 和 Microsoft Entra ID
自 2023 年 10 月 23 日起,已正式推出具有 Microsoft Entra 標識符和 Microsoft Intune 支援的 Windows LAPS。 如需詳細資訊,請參閱 windows 本機系統管理員密碼解決方案,其中包含Microsoft Entra ID 現已正式推出! 和 Microsoft Entra ID 中的 Windows 本機系統管理員密碼解決方案。
使用 Windows LAPS 的好處
使用 Windows LAPS 定期輪替與管理區域系統管理員帳戶密碼,並取得下列好處:
- 防範雜湊傳遞和橫向遍歷攻擊
- 改善遠端客服情境的安全性
- 可登入和復原無法存取的裝置
- 用於保護儲存在 Windows Server Active Directory 中密碼的細密安全性模型 (存取控制清單和選用的密碼加密)
- 支援 Microsoft Entra 的角色型存取控制模型,以保護儲存在 Microsoft Entra ID 中的密碼。
知識影片
下列影片提供了了解 Windows LAPS 功能詳情的有用方法。
Windows 技術起飛簡報 (2022 年 11 月):
Windows 應對科技討論 (2023 年 8 月):
主要 Windows LAPS 案例
您可以針對多種主要案例使用 Windows LAPS:
將本機系統管理員帳戶密碼備份至 Microsoft Entra ID (適用於已加入 Microsoft Entra 的裝置)
將區域系統管理員帳戶密碼備份至 Windows Server Active Directory (適用於已加入 Windows Server Active Directory 的用戶端與服務)
將 DSRM 帳戶密碼備份至 Windows Server Active Directory (適用於 Windows Server Active Directory 網域控制站)
使用舊版 Microsoft LAPS 將區域系統管理員帳戶密碼備份至 Windows Server Active Directory
您可以在每個案例中套用不同的原則設定。
理解裝置加入狀態限制
是否將裝置加入 Microsoft Entra ID 或 Windows Server Active Directory 決定了您如何使用 Windows LAPS。
- 只有加入 Microsoft Entra ID 的裝置能將密碼備份到 Microsoft Entra ID。
- 僅加入 Windows Server Active Directory 的裝置只可將密碼備份至 Windows Server Active Directory。
- 混合加入 (同時加入 Microsoft Entra ID 和 Windows Server Active Directory) 的裝置可以將其密碼備份到 Microsoft Entra ID 或 Windows Server Active Directory。
您無法將密碼同時備份到 Microsoft Entra ID 和 Windows Server Active Directory。
Windows LAPS 不支援加入 Microsoft Entra 工作場所的用戶端。
設定 Windows LAPS 原則
若要設定和管理 Windows LAPS 部署的原則,您有多種選項:
管理與監視 Windows LAPS
您還有各種選項來管理和監視 Windows LAPS。
適用於 Windows 的選項包括:
- [Windows Server Active Directory 使用者和計算機] 屬性對話框。
- 專用事件記錄檔通道。
- Windows LAPS 專屬的 Windows PowerShell 模組。
當您將密碼備份至 Microsoft Entra ID 時,可以使用基於 Entra 的監視和報告解決方案。
淘汰舊版 Microsoft LAPS 產品
重要
舊版Microsoft LAPS產品已從 Windows 11 23H2 和更新版本起淘汰。 較新的作系統版本會封鎖舊版MICROSOFT LAPS Microsoft安裝程式 (MSI) 套件的安裝,Microsoft不再考慮舊版 MICROSOFT LAPS 產品的程式代碼變更。
使用 Windows LAPS 來管理本機系統管理員帳戶密碼。 Windows LAPS 適用於 Windows Server 2019 和更新版本,以及支援的 Windows 10 和 Windows 11 用戶端。
Microsoft將繼續支援舊版 Windows 上的舊版 Microsoft LAPS 產品(早於先前支援的 Windows 11 23H2)。 該支援會在這些 OS 版本正常支援期結束時隨之終止。
Windows LAPS 與舊版 Microsoft LAPS 的比較
Windows LAPS 繼承了舊版 Microsoft LAPS 的許多設計概念。 如果您熟悉舊版 Microsoft LAPS,則會對許多 Windows LAPS 功能感到很熟悉。 主要差異在於 Windows LAPS 是 Windows 原生的完全個別實作。 Windows LAPS 還新增了許多舊版 Microsoft LAPS 中沒有提供的功能。 您可以使用 Windows LAPS 來備份密碼以Microsoft Entra ID、加密 Windows Server Active Directory 中的密碼,以及儲存密碼歷程記錄。
重要
Windows LAPS 不需要您安裝舊版 Microsoft LAPS。 您可以完全部署及使用所有 Windows LAPS 功能,而不需安裝或參考舊版 Microsoft LAPS。 但為了協助移轉現有的舊版 Microsoft LAPS 部署,Windows LAPS 提供了舊版 Microsoft LAPS 模擬模式。
重要
舊版Microsoft LAPS 產品在較新的Microsoft作系統版本上已被取代。 如需詳細資訊,請參閱 淘汰舊版 Microsoft LAPS 產品。
支援聲明
Microsoft 於 2016 年日曆年度在 Microsoft 下載中心發行了舊版 Microsoft LAPS 產品。 Windows LAPS 隨附於 2023 年 4 月 11 日發行的 Windows Update,適用於 Windows LAPS 和 Microsoft Entra ID 中列出的平臺。
Microsoft及其支援服務組織提供Microsoft LAPS和Windows LAPS的協助支援,包括這兩項產品的相容性。
重要
舊版Microsoft LAPS 產品在較新的Microsoft作系統版本上已被取代。 如需詳細資訊,請參閱 淘汰舊版 Microsoft LAPS 產品。
強烈建議您立即開始規劃將支援 Windows LAPS 的系統從使用舊版Microsoft LAPS 移轉至 Windows LAPS 功能。 Windows LAPS 提供許多新的安全性功能和改進的產品服務。
第三方本機帳戶密碼管理工具與 Windows LAPS 之間的限制和互作性考慮問題,應導向給第三方應用程式開發人員,而不是Microsoft。
授權需求
Windows LAPS 功能本身可在所有支援的 Windows 平台中免費取得。
您可以備份密碼到 Windows Server Active Directory,而不需要其他授權需求。
您可以使用 Microsoft Entra ID 免費或更高的授權,將密碼備份至 Microsoft Entra ID。
其他 Entra 相關或 Intune 相關功能可以有其他授權需求。
提交意見反應
是否要傳送意見反應給我們? 您可以透過此頁面底部的意見反應連結提交檔特定問題。
您還可以透過 Windows LAPS 回饋技術社區頁面提交意見回饋和其他要求。
如果您的意見反應專屬於 Microsoft Entra ID 相關或 Intune 相關的 LAPS 功能,您可以透過 Microsoft Entra 意見反應論壇提交意見反應。
如果您不確定您的意見反應應該去哪裡,請使用上述任何選項來提交。
另請參閱
- 使用 Microsoft Entra ID 的 Windows 本機管理員密碼解決方案簡介
- Microsoft Entra ID 中的 Windows 本機管理員密碼解決方案
- 具有 Microsoft Entra ID 的 Windows 本機系統管理員密碼解決方案現已正式推出!
- Windows LAPS 的 Microsoft Intune 支援
- LAPS CSP
- Windows LAPS 疑難解答指引
- LAPS PowerShell 模組參考
- 舊版 Microsoft LAPS