Share via

windows LAPS ilkesini Microsoft Intune ile yönetme

  • Makale

Microsoft Intune ile yönettiğiniz Windows cihazlarında Windows Yerel Yönetici Parola Çözümünü (Windows LAPS) yönetmeye hazır olduğunuzda, bu makaledeki bilgiler Intune yönetim merkezini kullanarak şunları yapmak için yardımcı olabilir:

  • Intune LAPS ilkesi oluşturun ve cihazlara atayın.
  • Bir cihazın yerel yönetici hesabı ayrıntılarını görüntüleyin.
  • Yönetilen hesabın parolasını el ile döndürün.
  • LAPS ilkesindeki raporları kullanın.

İlkeleri oluşturmadan önce Windows LAPS için Microsoft Intune desteğindeki bilgiler hakkında bilgi sahibi olun. Bu bilgiler şunlardır:

  • Intune'un Windows LAPS ilkesine ve özelliklerine genel bakış.
  • LAPS için Intune ilkelerini kullanma önkoşulları.
  • Hesabınızın LAPS ilkesini yönetmek için sahip olması gereken rol tabanlı yönetici denetimi (RBAC) izinleri.
  • Intune LAPS ilkesini yapılandırma ve kullanma hakkında içgörü sağlayabilen sık sorulan sorular.

Şunlar için geçerlidir:

  • Windows 10
  • Windows 11

Intune LAPS ilkesi hakkında

Intune's, hesap koruması için uç nokta güvenlik ilkeleri aracılığıyla sağlanan Yerel yönetici parola çözümü (Windows LAPS) profili aracılığıyla cihazlarda Windows LAPS'yi yapılandırma desteği sağlar.

Intune ilkeleri, Windows LAPS yapılandırma hizmeti sağlayıcısını (CSP) kullanarak LAPS'yi yönetir. Windows LAPS CSP yapılandırmaları, GPO'lar veya Eski Microsoft LAPS aracı gibi diğer LAPS kaynaklarından gelen mevcut yapılandırmalardan önceliklidir ve üzerine yazılır.

Windows LAPS, cihaz başına tek bir yerel yönetici hesabının yönetimine olanak tanır. Intune ilkesi, Yönetici Hesabı Adı ilke ayarını kullanarak hangi yerel yönetici hesabına uygulanacağını belirtebilir. İlkede belirtilen hesap adı cihazda yoksa, hiçbir hesap yönetilmez. Ancak, Yönetici Hesabı Adı boş bırakıldığında, ilke varsayılan olarak iyi bilinen göreli tanımlayıcısı (RID) ile tanımlanan cihazlara yerleşik yerel yönetici hesabı olarak ayarlanır.

Not

İlke oluşturmadan önce kiracınızda Windows LAPS'yi desteklemek için Intune önkoşullarının karşılandığından emin olun.

Intune'un LAPS ilkeleri yeni hesaplar veya parolalar oluşturmaz. Bunun yerine, zaten cihazda olan bir hesabı yönetir.

LAPS ilkelerini dikkatle yapılandırın ve atayın. Windows LAPS CSP, bir cihazdaki her LAPS ayarı için tek bir yapılandırmayı destekler. Çakışan ayarlar içeren birden çok Intune ilkesi alan cihazlar ilkeyi işleyemez. Çakışmalar, yönetilen yerel yönetici hesabının ve parolasının kiracı dizininize yedeklenmesini de engelleyebilir.

Olası çakışmaları azaltmaya yardımcı olmak için, her cihaza kullanıcı grupları aracılığıyla değil cihaz grupları aracılığıyla tek bir LAPS ilkesi atamanızı öneririz. LAPS ilkesi kullanıcı grubu atamalarını desteklese de, farklı bir kullanıcı cihazda her oturum açtığında LAPS yapılandırmalarının değiştirilmesine neden olabilir. İlkelerin sık değiştirilmesi çakışmalara, gereksinimlere cihaz uyumluluğu eksikliğine neden olabilir ve şu anda bir cihazdan hangi yerel yönetici hesabının yönetildiği konusunda kafa karışıklığına neden olabilir.

LAPS ilkesi oluşturma

Önemli

Microsoft Entra Kimliğiyle Windows LAPS'yi etkinleştirme belgelerinde açıklandığı gibi Microsoft Entra'da LAPS'yi etkinleştirdiğinizden emin olun.

LAPS ilkesi oluşturmak veya yönetmek için hesabınızın Güvenlik temeli kategorisinden geçerli haklara sahip olması gerekir. Varsayılan olarak, bu izinler yerleşik Endpoint Security Manager rolüne dahil edilir. Özel rolleri kullanmak için özel rolün Güvenlik temelleri kategorisindeki hakları içerdiğinden emin olun. Bkz. LAPS için rol tabanlı erişim denetimleri.

İlke oluşturmadan önce Windows LAPS CSP belgelerinde kullanılabilir ayarlarla ilgili ayrıntıları gözden geçirebilirsiniz.

  1. Microsoft Intune yönetim merkezinde oturum açın ve Uç nokta güvenlik>Hesabı koruması'na gidin ve İlke Oluştur'u seçin.

    Yönetim merkezinde laps ilkesi oluşturduğunuz yeri gösteren ekran görüntüsü.

    Platform'uWindows 10 ve üzeri, Profil'iYerel yönetici parolası çözümü (Windows LAPS) olarak ayarlayın ve oluştur'u seçin.

  2. Temel Bilgiler'de aşağıdaki özellikleri girin:

    • Ad: Profil için açıklayıcı bir ad girin. Profilleri daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  3. Yapılandırma ayarlarında, Yerel yönetici hesabını yedeklemek için kullanılacak Dizin türünü tanımlamak üzere Yedekleme Dizini için bir seçenek yapılandırın. Ayrıca bir hesabı ve parolayı yedeklememeyi de seçebilirsiniz. Dizin türü, bu ilkede hangi ek ayarların kullanılabilir olduğunu da belirler.

    Yedekleme Dizini ayarının seçeneklerini gösteren ekran görüntüsü.

    Önemli

    İlkeyi yapılandırırken, ilkedeki yedekleme dizini türünün ilkenin atandığı cihazın birleştirme türü tarafından desteklenmesi gerektiğini unutmayın. Örneğin, dizini Active Directory olarak ayarlarsanız ve cihaz etki alanına katılmamışsa (ancak Microsoft Entra üyesiyse), cihaz intune'dan ilke ayarlarını hatasız uygulayabilir, ancak cihazdaki LAPS hesabı yedeklemek için bu yapılandırmayı başarıyla kullanamaz.

    Yedekleme Dizini'ni yapılandırdıktan sonra, kuruluşunuzun gereksinimlerini karşılamak için kullanılabilir ayarları gözden geçirin ve yapılandırın.

  4. Kapsam etiketleri sayfasında, uygulamak istediğiniz kapsam etiketlerini seçin ve ardından İleri'yi seçin.

  5. Atamalar için bu ilkeyi alacak grupları seçin. Cihaz gruplarına LAPS ilkesi atamanızı öneririz. Kullanıcı gruplarına atanan ilkeler, bir kullanıcıyı cihazdan cihaza izler. Bir cihazın kullanıcısı değiştiğinde, cihaza yeni bir ilke uygulanabilir ve cihazın hangi hesabı yedeklediği veya yönetilen hesaplar parolasının bir sonraki döndürüldüğünde dahil tutarsız davranışlara neden olabilir.

    Not

    Tüm Intune ilkelerinde olduğu gibi, bir cihaza yeni bir ilke uygulandığında, Intune ilkeyi iade edip işlemesi için bu cihazı bilgilendirmeye çalışır.

    Bir cihaz Intune ile başarılı bir şekilde oturum açıp LAPS ilkesini başarıyla işleyene kadar, yönetilen yerel yönetici hesabıyla ilgili veriler yönetim merkezi içinden görüntülenemez veya yönetilemez.

    Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama.

  6. Gözden geçir + oluştur bölümünde ayarlarınızı gözden geçirin ve oluştur'u seçin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, ilke listesinde de gösterilir.

Cihaz eylemleri durumunu görüntüleme

Hesabınız, Uç nokta güvenlik iş yükündeki tüm ilke şablonlarına hak veren Güvenlik temelleri izinlerine eşdeğer izinlere sahipse, cihaz için istenen cihaz eylemlerinin durumunu görüntülemek için Intune yönetim merkezini kullanabilirsiniz.

Daha fazla bilgi için bkz. LAPS için rol tabanlı erişim denetimleri.

  1. Microsoft Intune yönetim merkezindeCihazlar>Tüm cihazlar'a gidin ve yerel yönetici hesabını yedekleyen LAPS ilkesine sahip bir cihaz seçin. Intune bu cihazlara Genel Bakış bölmesini görüntüler.

  2. Cihaza Genel Bakış bölmesinde Cihaz eylemlerinin durumunu görüntüleyebilirsiniz. İsteğin saati ve eylemin başarısız olup olmadığını veya başarılı olup olmadığını içeren daha önce istenen eylemler ve bekleyen eylemler görüntülenir. Aşağıdaki örnek ekran görüntüsünde, bir cihazın Yerel Yönetici hesabı Parolası başarıyla döndürüldü.

    Bir eylemin tamamlandığı ve geçerli eylemin beklemede olduğu bir cihazın cihaz eylemleri durumunun ekran görüntüsü.

  3. Listeden bir eylem seçildiğinde Cihaz eylem durumu bölmesi açılır ve bu bölme bu eylemle ilgili ek ayrıntıları görüntüleyebilir.

Hesap ve parola ayrıntılarını görüntüleme

Hesap ve parola ayrıntılarını görüntülemek için bir hesabın aşağıdaki Microsoft Entra izinlerinden birine sahip olması gerekir:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Hesaplara bu izinleri vermek için aşağıdaki yöntemleri kullanın:

  • Aşağıdaki yerleşik Microsoft Entra rollerinden birini atayın:
    • Genel Yönetici
    • Bulut Cihazı Yönetici

Microsoft Entra kimliğinde bu izinleri veren özel bir rol oluşturun ve atayın. Microsoft Entra belgelerindeki Microsoft Entra kimliğinde özel rol oluşturma ve atama bölümüne bakın.

Daha fazla bilgi için bkz. LAPS için rol tabanlı erişim denetimleri.

  1. Microsoft Intune yönetim merkezindeCihazlar>Tüm cihazlar'a> giderek Genel Bakış bölmesini açmak için bir Windows cihazı seçin.

    Genel bakış bölmesinden cihazların Cihaz eylemleri durumunu görüntüleyebilirsiniz. Durum, parola döndürme gibi geçerli ve geçmiş eylemleri görüntüler.

  2. Cihazlara Genel Bakış bölmesinde, İzleyici'nin altında Yerel yönetici parolası'nı seçin. Hesabınızın yeterli izinleri varsa, cihazın Yerel yönetici parolası bölmesi açılır ve bu bölme Azure portal içinden kullanılabilen görünümle aynıdır.

    Windows cihazı için yerel yönetici parolası bölmesini gösteren ekran görüntüsü.

    Aşağıdaki bilgiler yönetim merkezinden görüntülenebilir. Ancak Yerel yönetici parolası yalnızca hesap Microsoft Entra yedeklendiğinde görüntülenebilir. Şirket içi Active Directory (Windows Server Active Directory) yedeklenmiş bir hesap için görüntülenemez:

    • Hesap adı – Cihazdan yedeklenen yerel yönetici hesabının adı.
    • Güvenlik Kimliği – Cihazdan yedeklenen hesabın iyi bilinen SID'si.
    • Yerel yönetici parolası – Varsayılan olarak gizlenir. Hesabınızın izni varsa, parolayı göstermek için Göster'i seçebilirsiniz. Ardından parolayı panonuza kopyalamak için Kopyala seçeneğini kullanabilirsiniz. Bu bilgiler, bir şirket içi Active Directory yedekleyen cihazlar için kullanılamaz.
    • Son parola döndürme – UTC'de, parolanın en son değiştirildiği veya ilke tarafından döndürüldiği tarih ve saat.
    • Sonraki parola döndürme – UTC'de, parolanın ilke başına döndürüleceği sonraki tarih ve saat.

Cihaz hesabını ve parola bilgilerini görüntüleme konusunda dikkat edilmesi gerekenler şunlardır:

  • Yerel yönetici hesabının parolasının alınması (görüntülenmesi) bir denetim olayını tetikler.

  • Aşağıdaki cihazlar için parola ayrıntılarını görüntüleyemezsiniz:

    • Yerel yönetici hesabı bir şirket içi Active Directory yedeklenmiş cihazlar
    • Hesap parolasını yedeklemek için Active Directory kullanacak şekilde ayarlanmış cihazlar.

Parolaları el ile döndürme

LAPS ilkesi, hesap parolalarını otomatik olarak döndürmek için bir zamanlama içerir. Zamanlanmış döndürmeye ek olarak, bir cihaz parolasını cihazlar LAPS İlkesi tarafından ayarlanan döndürme zamanlamasına göre el ile döndürmek için Yerel yönetici parolasını döndür'ün Intune cihaz eylemini kullanabilirsiniz.

Bu cihaz eylemini kullanmak için hesabınızın aşağıdaki üç Intune iznine sahip olması gerekir:

  • Yönetilen cihazlar: Okuma
  • Kuruluş: Okuma
  • Uzak görevler: Yerel Yönetici Parolasını Döndürme

Bkz. LAPS için rol tabanlı erişim denetimleri.

Parolayı döndürmek için

  1. Microsoft Intune yönetim merkezindeCihazlar>Tüm cihazlar'a gidin ve döndürmek istediğiniz hesapla Windows cihazını seçin.

  2. Cihaz ayrıntılarını görüntülerken, menü çubuğunun sağ tarafındaki üç noktayı (...) genişleterek kullanılabilir seçenekleri görüntüleyin ve ardından Yerel yönetici parolasını döndür'ü seçin.

    Cihaz eylemleri için genişletilmiş menü seçeneklerinin ekran görüntüsü.

  3. Yerel yönetici parolasını döndür'ü seçtiğinizde, Intune parola döndürülmeden önce onay gerektiren bir uyarı görüntüler.

    Parolayı döndürme amacını onayladıktan sonra, Intune işlemi başlatır ve bu işlemin tamamlanması birkaç dakika sürebilir. Bu süre boyunca cihaz ayrıntıları bölmesinde, eylemin Beklemede olduğunu belirten bir başlık ve Cihaz eylemleri durumu görüntülenir.

Döndürme başarılı olduktan sonra onay, Cihaz eylemleri durumunda Tamamlandı olarak görünür.

El ile parola döndürme konusunda dikkat edilmesi gerekenler şunlardır:

  • Yerel yönetici parolasını döndür cihazı eylemi tüm Windows cihazları için kullanılabilir, ancak hesabını ve parola verilerini başarıyla yedeklememiş tüm cihazlar döndürme isteğini tamamlayamaz.

  • Her el ile döndürme denemesi bir denetim olayına neden olur. Zamanlanmış parola döndürmeleri bir denetim olayını da günlüğe kaydeder.

  • Parola el ile döndürüldüğünde, bir sonraki zamanlanmış parola döndürme süresi sıfırlanır. Bir sonraki zamanlanmış döndürme zamanı LAPS ilkesindeki PasswordAgeDays ayarı aracılığıyla yönetilir.

    Bu işlem şu şekilde çalışır: Cihaz, 1 Mart'ta PasswordAgeDays'i 10 güne ayarlayan bir ilke alır. Sonuç olarak cihaz, 11 Mart'ta 10 gün sonra parolasını otomatik olarak döndürür. 5 Mart'ta bir yönetici bu cihazın parolasını ve PasswordAgeDays başlangıç tarihini 5 Mart'a sıfırlayan eylemi el ile döndürür. Sonuç olarak cihaz, 15 Mart'ta 10 gün sonra parolasını otomatik olarak döndürecektir.

  • Katılmış Microsoft Entra cihaz için, el ile döndürme istenildiğinde cihazın çevrimiçi olması gerekir. Cihaz istek sırasında çevrimiçi değilse bir hatayla sonuçlanırsa.

  • Parola döndürme toplu eylem olarak desteklenmez. Tek seferde yalnızca tek bir cihazı döndürebilirsiniz.

İlke çakışmalarını önleme

Aşağıdaki ayrıntılar çakışmaları önlemenize ve LAPS ilkesi tarafından yönetilen cihazlardan beklenen davranışı anlamanıza yardımcı olabilir.

Başarılı ilkeye sahip bir cihaza çakışmaya neden olan iki veya daha fazla ilke atandığında:

  • Cihazda kullanımda olan ayarlar, cihazda son ayarlanan değerde kalır. Hem özgün hem de yeni ilkeler çakışıyor olarak bildirir.
  • Çakışmayı çözmek için çakışan ilke uygulanmayana kadar ilke atamalarını kaldırın veya aynı yapılandırmayı ayarlamak için geçerli ilkeleri yeniden yapılandırarak çakışmayı kaldırın.

LAPS ilkesi olmayan bir cihaz aynı anda iki çakışan ilke aldığında:

  • Ayarlar cihaza gönderilmez ve her iki ilke de çakışma olduğu bildirilir.
  • Çakışma devam ederken, ilkelerdeki ayarlar cihaza uygulanmaz.

Çakışmaları çözmek için cihazdan ilke atamalarını kaldırmanız veya başka çakışma kalmayıncaya kadar geçerli ilkelerdeki ayarları yeniden yapılandırmanız gerekir.

Sonraki adımlar