Soluzione per la password dell'amministratore locale di Windows in Microsoft Entra ID.
Ogni dispositivo Windows include un account amministratore locale predefinito che è necessario proteggere e proteggere per attenuare eventuali attacchi Pass-the-Hash (PtH) e attraversamenti laterali. Molti clienti usano il prodotto Locale Amministrazione locale locale (L piattaforma di strumenti analitici) per la gestione delle password dell'amministratore locale dei computer Windows aggiunti a un dominio. Con il supporto di Microsoft Entra per Windows L piattaforma di strumenti analitici, microsoft offre un'esperienza coerente sia per i dispositivi aggiunti a Microsoft Entra che per i dispositivi aggiunti all'ibrido Microsoft Entra.
Il supporto di Microsoft Entra per L piattaforma di strumenti analitici include le funzionalità seguenti:
- Abilitazione di Windows L piattaforma di strumenti analitici con Microsoft Entra ID: abilitare un criterio a livello di tenant e un criterio lato client per eseguire il backup della password dell'amministratore locale in Microsoft Entra ID.
- Gestione delle password dell'amministratore locale: configurare i criteri lato client per impostare il nome dell'account, l'età della password, la lunghezza, la complessità, la reimpostazione manuale della password e così via.
- Ripristino della password dell'amministratore locale: usare le esperienze API/portale per il ripristino delle password dell'amministratore locale.
- Enumerazione di tutti i dispositivi abilitati per Windows L piattaforma di strumenti analitici: usare le esperienze api/portale per enumerare tutti i dispositivi Windows in MICROSOFT Entra ID abilitato con Windows L piattaforma di strumenti analitici.
- Autorizzazione del ripristino delle password dell'amministratore locale: usare i criteri di controllo degli accessi in base al ruolo con ruoli personalizzati e unità amministrative.
- Controllo dell'aggiornamento e del ripristino delle password dell'amministratore locale: usare le esperienze api/portale dei log di controllo per monitorare gli eventi di aggiornamento e ripristino delle password.
- Criteri di accesso condizionale per il ripristino della password dell'amministratore locale: configurare i criteri di accesso condizionale nei ruoli della directory che dispongono dell'autorizzazione di ripristino delle password.
Nota
Windows L piattaforma di strumenti analitici con MICROSOFT Entra ID non è supportato per i dispositivi Windows registrati da Microsoft Entra.
La soluzione password Amministrazione istrator locale non è supportata nelle piattaforme non Windows.
Per altre informazioni su Windows L piattaforma di strumenti analitici in modo più dettagliato, iniziare con gli articoli seguenti nella documentazione di Windows:
- Che cos'è Windows LAPS? - Introduzione a Windows L piattaforma di strumenti analitici e al set di documentazione di Windows L piattaforma di strumenti analitici.
- Windows L piattaforma di strumenti analitici CSP: visualizza i dettagli completi per le impostazioni e le opzioni L piattaforma di strumenti analitici. I criteri di Intune per L piattaforma di strumenti analitici usano queste impostazioni per configurare L piattaforma di strumenti analitici CSP nei dispositivi.
- Supporto di Microsoft Intune per Windows LAPS
- Architettura di Windows L piattaforma di strumenti analitici
Requisiti
Aree di Azure supportate e distribuzioni di Windows
Questa funzionalità è ora disponibile nei cloud di Azure seguenti:
- Azure Global
- Azure Government
- Microsoft Azure gestito da 21Vianet
Aggiornamenti del sistema operativo
Questa funzionalità è ora disponibile nelle piattaforme del sistema operativo Windows seguenti con l'aggiornamento specificato o una versione successiva installata:
- Windows 11 22H2 - Aggiornamento del 11 aprile 2023
- Windows 11 21H2 - Aggiornamento del 11 aprile 2023
- Windows 10 20H2, 21H2 e 22H2 - Aggiornamento del 11 aprile 2023
- Windows Server 2022 - Aggiornamento del 11 aprile 2023
- Aggiornamento di Windows Server 2019 - 11 2023 11, 2023 11 2023
Tipi di join
L piattaforma di strumenti analitici è supportato solo nei dispositivi aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. I dispositivi registrati Microsoft Entra non sono supportati.
Requisiti di licenza
L piattaforma di strumenti analitici è disponibile per tutti i clienti con licenze Microsoft Entra ID Free o versioni successive. Altre funzionalità correlate, ad esempio unità amministrative, ruoli personalizzati, accesso condizionale e Intune, hanno altri requisiti di licenza.
Ruoli o autorizzazioni obbligatori
Oltre ai ruoli predefiniti di Microsoft Entra, ad esempio Cloud Device Amministrazione istrator e Intune Amministrazione istrator concessi al dispositivo. LocalCredentials.Read.All, è possibile usare ruoli personalizzati o unità amministrative di Microsoft Entra per autorizzare il ripristino delle password dell'amministratore locale. Ad esempio:
Ai ruoli personalizzati deve essere assegnata l'autorizzazione microsoft.directory/deviceLocalCredentials/password/read per autorizzare il ripristino della password dell'amministratore locale. È possibile creare un ruolo personalizzato e concedere le autorizzazioni usando l'interfaccia di amministrazione di Microsoft Entra, l'APIMicrosoft Graph o PowerShell. Dopo aver creato un ruolo personalizzato, è possibile assegnarlo agli utenti.
È anche possibile creare un'unità amministrativa di Microsoft Entra ID, aggiungere dispositivi e assegnare il ruolo Amministrazione istrator del dispositivo cloud con ambito all'unità amministrativa per autorizzare il ripristino della password dell'amministratore locale.
Abilitazione di Windows L piattaforma di strumenti analitici con Microsoft Entra ID
Per abilitare Windows L piattaforma di strumenti analitici con Microsoft Entra ID, è necessario eseguire azioni in Microsoft Entra ID e nei dispositivi da gestire. È consigliabile che le organizzazioni gestiscono Windows L piattaforma di strumenti analitici usando Microsoft Intune. Se i dispositivi sono aggiunti a Microsoft Entra ma non usano o non supportano Microsoft Intune, è possibile distribuire manualmente Windows L piattaforma di strumenti analitici per Microsoft Entra ID. Per altre informazioni, vedere l'articolo Configurare le impostazioni dei criteri di Windows L piattaforma di strumenti analitici.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un dispositivo cloud Amministrazione istrator.
Passare a Identity Devices Overview Device settings (Panoramica>dei dispositivi>di identità)>
Selezionare Sì per l'impostazione Enable Local Amministrazione istrator Password Solution (L piattaforma di strumenti analitici) e quindi selezionare Salva. È anche possibile usare deviceRegistrationPolicy dell'API Microsoft Graph Update per completare questa attività.
Configurare un criterio sul lato client e impostare BackUpDirectory come ID Microsoft Entra.
- Se si usa Microsoft Intune per gestire i criteri lato client, vedere Gestire Windows L piattaforma di strumenti analitici con Microsoft Intune
- Se si usano oggetti Criteri di gruppo per gestire i criteri lato client, vedere Criteri di gruppo di Windows L piattaforma di strumenti analitici
Ripristino della password e dei metadati della password dell'amministratore locale
Per visualizzare la password dell'amministratore locale per un dispositivo Windows aggiunto a Microsoft Entra ID, è necessario disporre dell'azione microsoft.directory/deviceLocalCredentials/password/read .
Per visualizzare i metadati della password dell'amministratore locale per un dispositivo Windows aggiunto all'ID Microsoft Entra, è necessario disporre dell'azione microsoft.directory/deviceLocalCredentials/standard/read .
Per impostazione predefinita, ai ruoli predefiniti seguenti vengono concesse queste azioni:
Ruolo predefinito | microsoft.directory/deviceLocalCredentials/standard/read e microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
---|---|---|
Amministratore dispositivo cloud | Sì | Sì |
Intune Service Amministrazione istrator | Sì | Sì |
Amministratore supporto tecnico | No | Sì |
Amministratore della sicurezza | No | Sì |
Ruolo con autorizzazioni di lettura per la sicurezza | No | Sì |
Ai ruoli non elencati non viene concessa alcuna azione.
È anche possibile usare l'API Microsoft Graph Get deviceLocalCredentialInfo per ripristinare la password amministrativa locale. Se si usa l'API Microsoft Graph, la password restituita è nel valore con codifica Base64 che è necessario decodificare prima di usarla.
Elencare tutti i dispositivi Windows L piattaforma di strumenti analitici abilitare
Per elencare tutti i dispositivi abilitati per Windows L piattaforma di strumenti analitici, è possibile passare a Identity Devices Overview Local administrator password recovery (Panoramica>dei dispositivi>identità>) o usare l'API Microsoft Graph.
Controllo dell'aggiornamento e del ripristino della password dell'amministratore locale
Per visualizzare gli eventi di controllo, è possibile passare a Identity Devices Overview Audit logs (Panoramica>dei dispositivi>di identità>), quindi usare il filtro Attività e cercare Update device local administrator password (Aggiorna password amministratore locale del dispositivo) o Recover device local administrator password (Ripristina password amministratore locale del dispositivo) per visualizzare gli eventi di controllo.
Criteri di accesso condizionale per il ripristino delle password dell'amministratore locale
I criteri di accesso condizionale possono essere limitati ai ruoli predefiniti per proteggere l'accesso per ripristinare le password degli amministratori locali. È possibile trovare un esempio di criteri che richiedono l'autenticazione a più fattori nell'articolo Criteri di accesso condizionale comuni: Richiedere l'autenticazione a più fattori per gli amministratori.
Nota
Altri tipi di ruolo, inclusi i ruoli con ambito unità amministrativa e i ruoli personalizzati, non sono supportati
Domande frequenti
Windows L piattaforma di strumenti analitici con la configurazione di gestione di Microsoft Entra è supportata tramite oggetti Criteri di gruppo?
Sì, solo per i dispositivi aggiunti all'ibrido Microsoft Entra. Vedi Windows L piattaforma di strumenti analitici Criteri di gruppo.
Windows L piattaforma di strumenti analitici con la configurazione di gestione di Microsoft Entra è supportata tramite MDM?
Sì, per i dispositivi microsoft Entra join/ ibrido (co-gestiti) di Microsoft Entra. I clienti possono usare Microsoft Intune o qualsiasi altra gestione di dispositivi mobili di terze parti preferita.
Cosa accade quando un dispositivo viene eliminato in Microsoft Entra ID?
Quando un dispositivo viene eliminato in Microsoft Entra ID, la credenziale L piattaforma di strumenti analitici associata a tale dispositivo viene persa e la password archiviata in Microsoft Entra ID viene persa. A meno che non si disponga di un flusso di lavoro personalizzato per recuperare le password L piattaforma di strumenti analitici e archiviarle esternamente, non esiste alcun metodo in Microsoft Entra ID per recuperare la password gestita L piattaforma di strumenti analitici per un dispositivo eliminato.
Quali ruoli sono necessari per ripristinare le password L piattaforma di strumenti analitici?
I ruoli predefiniti seguenti di Microsoft Entra hanno l'autorizzazione per ripristinare le password L piattaforma di strumenti analitici: Cloud Device Amministrazione istrator e Intune Amministrazione istrator.
Quali ruoli sono necessari per leggere i metadati L piattaforma di strumenti analitici?
I ruoli predefiniti seguenti sono supportati per visualizzare i metadati relativi a L piattaforma di strumenti analitici inclusi il nome del dispositivo, l'ultima rotazione delle password e la successiva rotazione delle password: Cloud Device Amministrazione istrator, Intune Amministrazione istrator, Helpdesk Amministrazione istrator, Security Reader and Security Amministrazione istrator.
I ruoli personalizzati sono supportati?
Sì. Se si dispone di Microsoft Entra ID P1 o P2, è possibile creare un ruolo personalizzato con le autorizzazioni di controllo degli accessi in base al ruolo seguenti:
- Per leggere i metadati L piattaforma di strumenti analitici: microsoft.directory/deviceLocalCredentials/standard/read
- Per leggere le password L piattaforma di strumenti analitici: microsoft.directory/deviceLocalCredentials/password/read
Cosa accade quando viene modificato l'account amministratore locale specificato dai criteri?
Poiché Windows L piattaforma di strumenti analitici può gestire un solo account amministratore locale in un dispositivo alla volta, l'account originale non è più gestito dal criterio L piattaforma di strumenti analitici. Se il dispositivo esegue il backup dell'account, viene eseguito il backup del nuovo account e i dettagli sull'account precedente non sono più disponibili dall'interfaccia di amministrazione di Intune o dalla directory specificata per archiviare le informazioni sull'account.