Apa itu Windows LAPS?

Windows Local Administrator Password Solution (Windows LAPS) adalah fitur Windows yang secara otomatis mengelola dan mencadangkan kata sandi akun administrator lokal pada perangkat yang bergabung dengan Microsoft Entra atau Windows Server Active Directory. Anda juga dapat menggunakan Windows LAPS untuk mengelola dan mencadangkan kata sandi akun Mode Pemulihan Layanan Direktori (DSRM) secara otomatis pada pengontrol domain Direktori Aktif Windows Server Anda. Administrator yang berwenang dapat mengambil kata sandi DSRM dan menggunakannya.

Platform yang didukung Windows LAPS

Windows LAPS sekarang tersedia pada platform OS berikut dengan pembaruan yang ditentukan atau yang lebih baru diinstal:

• Windows 11 22H2 - Pembaruan 11 April 2023
• Windows 11 21H2 - Pembaruan 11 April 2023
• Windows 10 - Pembaruan 11 April 2023
• Windows Server 2022 - Pembaruan 11 April 2023
• Windows Server 2019 - Pembaruan 11 April 2023

Semua edisi platform di atas yang didukung telah diperbarui dengan Windows LAPS, termasuk edisi LTSC. Pengenalan fitur Windows LAPS tidak memodifikasi dengan cara apa pun kebijakan siklus hidup produk Microsoft standar.

WINDOWS LAPS dan ID Microsoft Entra

Windows LAPS dengan ID Microsoft Entra dan dukungan Microsoft Intune sekarang dalam Ketersediaan Umum per 23 Oktober 2023. Untuk informasi selengkapnya, lihat Solusi Kata Sandi Administrator Lokal Windows dengan ID Microsoft Entra sekarang Tersedia Secara Umum!, dan Solusi Kata Sandi Administrator Lokal Windows di ID Microsoft Entra.

Manfaat menggunakan Windows LAPS

Gunakan Windows LAPS untuk memutar dan mengelola kata sandi akun administrator lokal secara teratur dan mendapatkan manfaat berikut:

• Perlindungan terhadap serangan pass-the-hash dan lateral-traversal
• Peningkatan keamanan untuk skenario meja bantuan jarak jauh
• Kemampuan untuk masuk dan memulihkan perangkat yang tidak dapat diakses
• Model keamanan terperindeks (daftar kontrol akses dan enkripsi kata sandi opsional) untuk mengamankan kata sandi yang disimpan di Direktori Aktif Windows Server
• Dukungan untuk model kontrol akses berbasis peran Entra untuk mengamankan kata sandi yang disimpan di ID Microsoft Entra

Video informasi

Video berikut menawarkan cara informatif untuk mempelajari selengkapnya tentang fitur Windows LAPS.

Presentasi Windows Technical Takeoff (November 2022):

Diskusi Windows Tackling Tech (Agustus 2023):

Skenario KEY Windows LAPS

Anda dapat menggunakan Windows LAPS untuk beberapa skenario utama:

• Mencadangkan kata sandi akun administrator lokal ke ID Microsoft Entra (untuk perangkat yang bergabung dengan Microsoft Entra)

• Mencadangkan kata sandi akun administrator lokal ke Windows Server Active Directory (untuk klien dan server yang bergabung dengan Windows Server Active Directory)

• Mencadangkan kata sandi akun DSRM ke Windows Server Active Directory (untuk pengontrol domain Windows Server Active Directory)

• Mencadangkan kata sandi akun administrator lokal ke Windows Server Active Directory dengan menggunakan Microsoft LAPS warisan

Dalam setiap skenario, Anda dapat menerapkan pengaturan kebijakan yang berbeda.

Memahami pembatasan status gabungan perangkat

Apakah perangkat bergabung ke MICROSOFT Entra ID atau Windows Server Active Directory menentukan bagaimana Anda dapat menggunakan Windows LAPS.

Perangkat yang bergabung hanya ke ID Microsoft Entra hanya dapat mencadangkan kata sandi ke ID Microsoft Entra.

Perangkat yang digabungkan hanya ke Windows Server Active Directory hanya dapat mencadangkan kata sandi ke Windows Server Active Directory.

Perangkat yang bergabung dengan hibrid (digabungkan ke ID Microsoft Entra dan Windows Server Active Directory) dapat mencadangkan kata sandi mereka baik ke ID Microsoft Entra atau ke Direktori Aktif Windows Server. Anda tidak dapat mencadangkan kata sandi ke ID Microsoft Entra dan Windows Server Active Directory.

Windows LAPS tidak mendukung klien yang bergabung dengan tempat kerja Microsoft Entra.

Mengatur kebijakan Windows LAPS

Untuk menyiapkan dan mengelola kebijakan untuk penyebaran Windows LAPS, Anda memiliki beberapa opsi:

• Penyedia layanan konfigurasi (CSP) Windows LAPS
• Kebijakan Grup Windows LAPS
• Warisan Microsoft LAPS

Mengelola dan memantau Windows LAPS

Anda juga memiliki berbagai opsi untuk mengelola dan memantau Windows LAPS.

Opsi untuk Windows meliputi:

• Dialog properti Pengguna dan Komputer Windows Server Active Directory
• Saluran log peristiwa khusus
• Modul Windows PowerShell yang khusus untuk Windows LAPS

Solusi pemantauan dan pelaporan berbasis Azure tersedia saat Anda mencadangkan kata sandi ke ID Microsoft Entra.

Penghentian produk Microsoft LAPS warisan

Penting

CATATAN: Produk Microsoft LAPS warisan warisan tidak digunakan lagi pada Windows 11 23 H2 dan yang lebih baru. Penginstalan paket MSI Microsoft LAPS warisan diblokir pada versi OS yang lebih baru, dan Microsoft tidak akan lagi mempertimbangkan perubahan kode untuk produk Microsoft LAPS warisan.

Silakan gunakan Windows LAPS, tersedia di Windows Server 2019 ke atas, dan pada klien Windows 10 dan Windows 11 yang didukung, untuk mengelola kata sandi akun administrator lokal.

Microsoft akan terus mendukung produk Microsoft LAPS warisan pada versi Windows yang lebih lama (sebelum Windows 11 23 H2) yang sebelumnya didukung. Dukungan tersebut akan berakhir pada Akhir Dukungan normal untuk OS tersebut.

Windows LAPS vs. Microsoft LAPS warisan

Windows LAPS mewarisi banyak konsep desain dari Microsoft LAPS warisan. Jika Anda terbiasa dengan Microsoft LAPS warisan, banyak fitur Windows LAPS yang sudah tidak asing lagi. Perbedaan utamanya adalah bahwa Windows LAPS adalah implementasi yang sepenuhnya terpisah yang asli untuk Windows. Windows LAPS juga menambahkan banyak fitur yang tidak tersedia di Microsoft LAPS warisan. Anda dapat menggunakan Windows LAPS untuk mencadangkan kata sandi ke Azure Active Directory, mengenkripsi kata sandi di Direktori Aktif Windows Server, dan menyimpan riwayat kata sandi Anda.

Penting

Windows LAPS tidak mengharuskan Anda menginstal Microsoft LAPS warisan. Anda dapat sepenuhnya menyebarkan dan menggunakan semua fitur Windows LAPS tanpa menginstal atau merujuk ke Microsoft LAPS warisan. Tetapi untuk membantu memigrasikan penyebaran Microsoft LAPS warisan yang ada, Windows LAPS menawarkan mode emulasi Microsoft LAPS warisan.

Penting

Produk Microsoft LAPS warisan tidak digunakan lagi pada versi Microsoft OS yang lebih baru - lihat Penghentian produk Microsoft LAPS warisan.

Pernyataan dukungan

Microsoft merilis produk Microsoft LAPS warisan pada tahun kalender 2016 di Pusat Unduhan Microsoft. Windows LAPS dikirim sebagai bagian dari Pembaruan Windows yang dirilis pada 11 April 2023 untuk platform yang tercantum di Windows LAPS dan ID Microsoft Entra.

Microsoft dan organisasi pengiriman dukungannya menawarkan dukungan terbantu untuk Microsoft LAPS dan Windows LAPS termasuk interoperabilitas antara kedua produk.

Penting

Produk Microsoft LAPS warisan tidak digunakan lagi pada versi Microsoft OS yang lebih baru - lihat Penghentian produk Microsoft LAPS warisan.

Microsoft sangat menyarankan agar pelanggan mulai merencanakan sekarang untuk memigrasikan sistem berkemampuan Windows LAPS mereka dari menggunakan Microsoft LAPS warisan ke fitur Windows LAPS baru. Windows LAPS menawarkan banyak fitur keamanan baru dan layanan produk yang ditingkatkan.

Pertanyaan tentang keterbatasan dan\atau masalah interoperabilitas antara alat manajemen kata sandi akun lokal pihak ke-3 dan Windows LAPS harus diarahkan ke pengembang aplikasi pihak ke-3 bukan Microsoft.

Persyaratan lisensi

Fitur Windows LAPS itu sendiri tersedia secara gratis di semua platform Windows yang didukung.

Anda dapat mencadangkan kata sandi ke Active Directory lokal Tanpa persyaratan lisensi lainnya.

Anda dapat mencadangkan kata sandi ke ID Microsoft Entra dengan Microsoft Entra ID Gratis atau lisensi yang lebih tinggi.

Fitur terkait Azure atau Intune lainnya dapat memiliki persyaratan lisensi lainnya.

Mengirimkan umpan balik

Ingin mengirimi kami umpan balik? Jangan ragu untuk mengirimkan pertanyaan khusus dokumen melalui tautan Umpan Balik di bagian bawah halaman dokumen ini.

Anda juga dapat mengirimkan umpan balik dan permintaan lain melalui halaman Komunitas Teknologi umpan balik Windows LAPS.

Jika umpan balik Anda khusus untuk fungsionalitas LAPS terkait Microsoft Entra ID atau Intune, Anda dapat mengirimkan umpan balik melalui forum umpan balik Microsoft Entra.

Jika Anda tidak yakin ke mana umpan balik Anda harus pergi, kirimkan menggunakan salah satu opsi di atas.

Lihat juga

• Memperkenalkan Solusi Kata Sandi Administrator Lokal Windows dengan ID Microsoft Entra
• Solusi Kata Sandi Administrator Lokal Windows di ID Microsoft Entra
• Solusi Kata Sandi Administrator Lokal Windows dengan ID Microsoft Entra sekarang Tersedia Secara Umum!
• Solusi Kata Sandi Administrator Lokal Windows di ID Microsoft Entra.
• Dukungan Microsoft Intune untuk Windows LAPS
• Windows LAPS CSP
• Panduan Pemecahan Masalah Windows LAPS
• Referensi modul LAPS PowerShell
• Warisan Microsoft LAPS

Langkah berikutnya

• Konsep utama di Windows LAPS
• Mulai menggunakan Windows LAPS untuk Windows Server Active Directory
• Mulai menggunakan Windows LAPS untuk ID Microsoft Entra
• Mulai menggunakan Windows LAPS dalam mode emulasi Microsoft LAPS warisan