Windows LAPS için Microsoft Intune desteği

Her Windows makinesinin silinemez ve cihaz için tam izinleri olan yerleşik bir yerel yönetici hesabı vardır. Bu hesabın güvenliğini sağlamak, kuruluşunuzun güvenliğini sağlamada önemli bir adımdır. Windows cihazları, yerel yönetici hesaplarını yönetmeye yardımcı olan yerleşik bir çözüm olan Windows Yerel Yönetici Parola Çözümü (LAPS) içerir.

Intune'a kayıtlı cihazlarda LAPS'yi yönetmek için hesap koruması için Microsoft Intune uç nokta güvenlik ilkelerini kullanabilirsiniz. Intune ilkeleri şunları yapabilir:

• Yerel yönetici hesapları için parola gereksinimlerini zorunlu kılma
• Cihazlardan Active Directory'nize (AD) veya Microsoft Entra yerel yönetici hesabını yedekleme
• Bu hesap parolalarını güvende tutmaya yardımcı olmak için bu hesap parolalarının rotasyonunu zamanlayın.

Ayrıca Intune Yönetici merkezinde yönetilen yerel yönetici hesaplarıyla ilgili ayrıntıları görüntüleyebilir ve hesap parolalarını zamanlanmış döndürme dışında el ile döndürebilirsiniz.

Intune LAPS ilkelerinin kullanılması, Windows cihazlarını karmayı geçirme veya yanal geçiş saldırıları gibi yerel kullanıcı hesaplarından yararlanmaya yönelik saldırılara karşı korumanıza yardımcı olur. LAPS'nin Intune ile yönetilmesi, uzaktan yardım masası senaryoları için güvenliği artırmaya ve erişilemeyen cihazları kurtarmaya da yardımcı olabilir.

Intune LAPS ilkesi, Windows LAPS CSP'den sağlanan ayarları yönetir. Intune'un CSP kullanımı , Eski Microsoft LAPS veya diğer LAPS yönetim çözümlerinin kullanılmasının yerini, CSP tabanlı diğer LAPS yönetim kaynaklarından önceliklidir .

Windows LAPS için Intune desteği aşağıdaki özellikleri içerir:

• Parola gereksinimlerini ayarlama – Bir cihazdaki yerel yönetici hesabı için karmaşıklık ve uzunluk da dahil olmak üzere parola gereksinimlerini tanımlayın.
• Parolaları döndürme – İlkeyle, cihazların yerel yönetici hesabı parolalarını zamanlamaya göre otomatik olarak döndürmesini sağlayabilirsiniz. Cihazın parolasını cihaz eylemi olarak el ile döndürmek için Intune yönetim merkezini de kullanabilirsiniz.
• Hesapları ve parolaları yedekleme – Cihazların buluttaki Microsoft Entra ID veya şirket içi Active Directory hesap ve parolalarını yedeklemesini seçebilirsiniz. Parolalar güçlü şifreleme kullanılarak depolanır.
• Kimlik doğrulama sonrası eylemlerini yapılandırma – Bir cihazın yerel yönetici hesabı parolasının süresi dolduğunda gerçekleştirilir eylemleri tanımlayın. Eylemler, yönetilen hesabı sıfırlamaktan yeni bir güvenli parola kullanmaya, hesabın oturumunu kapatmaya veya ikisini birden yapıp cihazı kapatmaya kadar uzanır. Ayrıca, bu eylemleri gerçekleştirmeden önce parolanın süresi dolduktan sonra cihazın ne kadar süreyle bekleyeceğini de yönetebilirsiniz.
• Hesap ayrıntılarını görüntüleme – Yeterli rol tabanlı yönetim denetimi (RBAC) izinlerine sahip Intune yöneticileri, bir cihaz yerel yönetici hesabı ve geçerli parolası hakkındaki bilgileri görüntüleyebilir. Ayrıca bu parolanın en son ne zaman döndürüldüğünü (sıfırlandığını) ve ne zaman döndürülmek üzere zamanlandığını da görebilirsiniz.
• Raporları görüntüleme – Intune, geçmişteki el ile ve zamanlanmış parola döndürmeyle ilgili ayrıntılar da dahil olmak üzere parola döndürmeyle ilgili raporlar sağlar.

Windows LAPS hakkında daha ayrıntılı bilgi edinmek için Windows belgelerindeki aşağıdaki makalelerle başlayın:

• Windows LAPS nedir? – Windows LAPS ve Windows LAPS belge kümesine giriş.
• Windows LAPS CSP – LAPS ayarları ve seçenekleri için tüm ayrıntıları görüntüleyin. LAPS için Intune ilkesi, cihazlarda LAPS CSP'yi yapılandırmak için bu ayarları kullanır.

Şunlar için geçerlidir:

• Windows 10
• Windows 11

Önkoşullar

Kiracınızda Windows LAPS'yi desteklemek için Intune gereksinimleri şunlardır:

Lisans gereksinimleri

• Intune aboneliği - temel Intune aboneliği olan Plan 1'i Microsoft Intune. Windows LAPS'i Intune için ücretsiz deneme aboneliğiyle de kullanabilirsiniz.

• Microsoft Entra ID – Intune'a abone olduğunuzda dahil edilen ücretsiz Microsoft Entra ID sürümü olan Ücretsiz Microsoft Entra ID. Microsoft Entra ID Ücretsiz ile LAPS'nin tüm özelliklerini kullanabilirsiniz.

Active Directory desteği

Windows LAPS için Intune ilkesi, bir cihazı yerel yönetici hesabını ve parolasını aşağıdaki Dizin türlerinden birine yedeklemek üzere yapılandırabilir:

Not

Çalışma alanına katılmış (WPJ) cihazlar LAPS için Intune tarafından desteklenmez.

• Bulut – Bulut, aşağıdaki senaryolar için Microsoft Entra ID yedeklemeyi destekler:

  • Karma birleştirmeyi Microsoft Entra

  • Microsoft Entra katılma

    Microsoft Entra katılma desteği, Microsoft Entra ID LAPS'yi etkinleştirmenizi gerektirir. Aşağıdaki adımlar bu yapılandırmayı tamamlamanıza yardımcı olabilir. Daha büyük bir bağlam için Windows LAPS'yi Microsoft Entra ID ile etkinleştirme'deki Microsoft Entra belgelerinde bu adımları görüntüleyin. Microsoft Entra karma birleştirme için LAPS'nin Microsoft Entra etkinleştirilmesi gerekmez.

    Microsoft Entra'de LAPS'yi etkinleştirme:

    1. Microsoft Entra yönetim merkeziBulut Cihazı Yöneticisi olarak oturum açın.
    2. Kimlik>Cihazlarına>Genel Bakış>Cihaz ayarlarına göz atın.
    3. Yerel Yönetici Parola Çözümünü Etkinleştir (LAPS) ayarı için Evet'i ve ardından Kaydet'i seçin. Microsoft Graph API Update deviceRegistrationPolicy'yi de kullanabilirsiniz.

    Daha fazla bilgi için Microsoft Entra belgelerindeki Microsoft Entra ID Windows Yerel Yönetici Parola Çözümü'ne bakın.

• Şirket içi – Şirket içi, Windows Server Active Directory (şirket içi Active Directory) kadar yedeklemeyi destekler.

  Önemli

  Windows cihazlarında LAPS, bir dizin türünü veya diğerini kullanacak şekilde yapılandırılabilir, ancak ikisini birden kullanamaz. Ayrıca yedekleme dizininin cihazların katılma türü tarafından desteklenmesi gerektiğini de göz önünde bulundurun; dizini bir şirket içi Active Directory olarak ayarlarsanız ve cihaz etki alanına katılmamışsa, Intune'dan ilke ayarlarını kabul eder, ancak LAPS bu yapılandırmayı başarıyla kullanamaz.

Device Edition ve Platform

Cihazlar , Intune'un desteklediği herhangi bir Windows sürümüne sahip olabilir, ancak Windows LAPS CSP'yi desteklemek için aşağıdaki sürümlerden birinin çalıştırılması gerekir:

• Windows 10, sürüm 22H2 (19045.2846 veya üzeri) ve KB5025221
• Windows 10, sürüm 21H2 (19044.2846 veya üzeri) ve KB5025221
• Windows 10, sürüm 20H2 (19042.2846 veya üzeri) ve KB5025221
• Windows 11, sürüm 22H2 (22621.1555 veya üzeri) ve KB5025239
• Windows 11, sürüm 21H2 (22000.1817 veya üzeri) ve KB5025224

GCC Yüksek desteği

Windows LAPS için Intune ilkesi GCC High ortamları için desteklenir.

LAPS için rol tabanlı erişim denetimleri

LAPS'yi yönetmek için bir hesabın istenen görevi tamamlamak için yeterli rol tabanlı erişim denetimi (RBAC) izinlerine sahip olması gerekir. Aşağıdakiler, gerekli izinlerine sahip kullanılabilir görevlerdir:

• LAPS ilkesi oluşturma ve erişim – LAPS ilkeleriyle çalışmak ve görüntülemek için hesabınıza Güvenlik temelleri için Intune RBAC kategorisinden yeterli izinler atanmalıdır. Varsayılan olarak, bunlar yerleşik Endpoint Security Manager rolüne dahil edilir. Özel rolleri kullanmak için özel rolün Güvenlik temelleri kategorisindeki hakları içerdiğinden emin olun.

• Yerel Yönetici parolasını döndür – Bir cihaz yerel yönetici hesabı parolasını görüntülemek veya döndürmek için Intune yönetim merkezini kullanmak için hesabınıza aşağıdaki Intune izinleri atanmalıdır:

  • Yönetilen cihazlar: Okuma
  • Kuruluş: Okuma
  • Uzak görevler: Yerel Yönetici Parolasını Döndürme

• Yerel Yönetici parolasını alma – Parola ayrıntılarını görüntülemek için hesabınızın aşağıdaki Microsoft Entra izinlerinden birine sahip olması gerekir:

  • microsoft.directory/deviceLocalCredentials/password/read laps meta verilerini ve parolalarını okumak için.
  • microsoft.directory/deviceLocalCredentials/standard/read parolalar hariç LAPS meta verilerini okumak için.

  Bu izinleri verebilen özel roller oluşturmak için, Microsoft Entra belgelerindeki Microsoft Entra ID'da özel rol oluşturma ve atama konusuna bakın.

• denetim günlüklerini ve olaylarını Microsoft Entra görüntüleme – LAPS ilkeleri ve parola döndürme olayları gibi son cihaz eylemleri hakkındaki ayrıntıları görüntülemek için hesabınızın yerleşik Intune rolü Salt Okunur İşleci ile eşdeğer izinlere sahip olması gerekir.

Daha fazla bilgi için bkz. Microsoft Intune için rol tabanlı erişim denetimi.

LAPS Mimarisi

Windows LAPS mimarisi hakkında bilgi için Windows belgelerindeki Windows LAPS mimarisine bakın.

Sık Sorulan Sorular

Bir cihazdaki herhangi bir yerel yönetici hesabını yönetmek için Intune LAPS ilkesini kullanabilir miyim?

Evet. Intune LAPS ilkesi, bir cihazdaki herhangi bir yerel yönetici hesabını yönetmek için kullanılabilir. Ancak LAPS, cihaz başına yalnızca bir hesabı destekler:

• İlke bir hesap adı belirtmediğinde Intune, cihazdaki geçerli adına bakılmaksızın varsayılan yerleşik yönetici hesabını yönetir.
• Intune'un cihaz için yönettiği hesabı, cihazın atanmış ilkesini değiştirerek veya geçerli ilkesini düzenleyerek farklı bir hesap belirterek değiştirebilirsiniz.
• Her ikisi de farklı bir hesap belirten bir cihaza iki ayrı ilke atanırsa, cihazın hesabının yönetilebilmesi için önce çözülmesi gereken bir çakışma oluşur.

Laps ilkesini Intune ile zaten farklı bir kaynaktan LAPS yapılandırmalarına sahip bir cihaza dağıtırsam ne olur?

Intune'un CSP tabanlı ilkesi, GPO'lar veya Eski Microsoft LAPS yapılandırması gibi LAPS ilkesinin diğer tüm kaynaklarını geçersiz kılar. Daha fazla bilgi için Windows LAPS belgelerindeki Desteklenen İlke kökleri bölümüne bakın.

Windows LAPS, LAPS ilkesi kullanılarak yapılandırılan yönetici hesabı adına göre yerel yönetici hesapları oluşturabilir mi?

Hayır. Windows LAPS yalnızca cihazda zaten var olan hesapları yönetebilir. İlke cihazda mevcut olmayan bir hesabı ada göre belirtirse, ilke uygulanır ve hata bildirmez. Ancak hiçbir hesap yedeklenmez.

Windows LAPS, Microsoft Entra'de devre dışı bırakılmış bir cihazın parolasını döndürüyor ve yedeklemiyor mu?

Hayır. Windows LAPS, parola döndürme ve yedekleme işlemlerinin uygulanabilmesi için cihazın etkin durumda olmasını gerektirir.

Microsoft Entra'da bir cihaz silindiğinde ne olur?

Bir cihaz Microsoft Entra silindiğinde, bu cihaza bağlı LAPS kimlik bilgileri kaybolur ve Microsoft Entra ID depolanan parola kaybolur. LAPS parolalarını alıp harici olarak depolamak için özel bir iş akışınız yoksa, silinmiş bir cihazın LAPS tarafından yönetilen parolasını kurtarmak için Microsoft Entra ID yöntemi yoktur.

LAPS parolalarını kurtarmak için hangi roller gereklidir?

Aşağıdaki yerleşik roller Microsoft Entra rollerin LAPS parolalarını kurtarma izni vardır: Genel Yönetici, Bulut Cihazı Yönetici ve Intune Hizmeti Yönetici.

LAPS meta verilerini okumak için hangi roller gereklidir?

Cihaz adı, son parola döndürme ve sonraki parola döndürme dahil olmak üzere LAPS ile ilgili meta verileri görüntülemek için aşağıdaki yerleşik roller desteklenir: Genel Yönetici, Bulut Cihazı Yönetici, Intune Hizmet Yönetici, Yardım Masası Yönetici, Güvenlik Okuyucusu, Güvenlik Yönetici ve Genel Okuyucu.

Yerel yönetici parolası düğmesi neden gri ve erişilemez durumda?

Şu anda bu alana erişim için Yerel Yönetici parolasını Döndürme Intune izni gerekir. Microsoft Intune için bkz. Rol tabanlı erişim denetimi.

İlke tarafından belirtilen hesap değiştirildiğinde ne olur?

Windows LAPS bir cihazda aynı anda yalnızca bir yerel yönetici hesabını yönetebileceğinden, özgün hesap artık LAPS ilkesi tarafından yönetilemez. İlke cihaz bu hesabı yedeklediyse, yeni hesap yedeklenir ve önceki hesap hakkındaki ayrıntılar artık Intune yönetim merkezinden veya hesap bilgilerini depolamak için belirtilen Dizin'den kullanılamaz.

Sonraki adımlar

• LAPS için ilke oluşturma
• LAPS raporlarını görüntüleme
• Intune'da uç nokta güvenliği için hesap koruma ilkesi