Microsoft Entra ID 中的 Windows 本機管理員密碼解決方案
每個 Windows 裝置都隨附內建的本機系統管理員帳戶,您必須保護該帳戶,以減輕任何傳遞哈希 (PtH) 和橫向周遊攻擊的風險。 許多客戶一直在使用我們的獨立內部部署本機 管理員 istrator 密碼解決方案 (LAPS) 產品,以管理其已加入網域的 Windows 機器的本機系統管理員密碼管理。 透過 Windows LAPS 的 Microsoft Entra 支援,我們為加入 Microsoft Entra 和 Microsoft Entra 混合式已加入裝置提供一致的體驗。
LAPS 的 Microsoft Entra 支援包含下列功能:
- 使用 Microsoft Entra 識別符 啟用 Windows LAPS - 啟用租使用者寬原則和客戶端原則,將本機系統管理員密碼備份至 Microsoft Entra ID。
- 本機系統管理員密碼管理 - 設定客戶端原則以設定帳戶名稱、密碼存留期、長度、複雜度、手動密碼重設等等。
- 復原本機系統管理員密碼 - 使用 API/入口網站體驗進行本機系統管理員密碼復原。
- 列舉所有已啟用 Windows LAPS 的裝置 - 使用 API/入口網站體驗列舉使用 Windows LAPS 啟用的 Microsoft Entra 識別碼中的所有 Windows 裝置。
- 本機系統管理員密碼復原 的授權 - 使用角色型訪問控制 (RBAC) 原則搭配自定義角色和系統管理單位。
- 稽核本機系統管理員密碼更新和復原 - 使用稽核記錄 API/入口網站體驗來監視密碼更新和復原事件。
- 本機系統管理員密碼復原 的條件式存取原則 - 在具有密碼復原授權的目錄角色上設定條件式存取原則。
注意
已註冊 Microsoft Entra 的 Windows 裝置不支援具有 Microsoft Entra 識別符的 Windows LAPS。
非 Windows 平臺上不支援本機 管理員 istrator 密碼解決方案。
若要深入瞭解 Windows LAPS,請從 Windows 檔中的下列文章開始:
- 何謂 Windows LAPS? – Windows LAPS 和 Windows LAPS 檔集簡介。
- Windows LAPS CSP – 檢視 LAPS 設定和選項的完整詳細數據。 LAPS 的 Intune 原則會使用這些設定在裝置上設定 LAPS CSP。
- Windows LAPS 的 Microsoft Intune 支援
- Windows LAPS 架構
需求
支援的 Azure 區域和 Windows 散發套件
這項功能現在可在下列 Azure 雲端中使用:
- Azure 全域
- Azure Government
- 由 21Vianet 營運的 Microsoft Azure
作業系統更新
這項功能現在可在下列已安裝指定更新或更新版本的 Windows OS 平臺上使用:
- Windows 11 22H2 - 2023 年 4 月 11 日更新
- Windows 11 21H2 - 2023 年 4 月 11 日更新
- Windows 10 20H2、21H2 和 22H2 - 2023 年 4 月 11 日更新
- Windows Server 2022 - 2023 年 4 月 11 日更新
- Windows Server 2019 - 11 2023 11, 2023 11 2023 Update
聯結類型
僅支援已加入 Microsoft Entra 或 Microsoft Entra 混合式已加入裝置的 LAPS。 不支援已註冊 Microsoft Entra 的裝置。
授權需求
LAPS 適用於所有具有 Microsoft Entra ID 免費或更高授權的客戶。 其他相關功能,例如系統管理單位、自定義角色、條件式存取和 Intune,都有其他授權需求。
必要的角色或許可權
除了內建的 Microsoft Entra 角色,例如已授與裝置的雲端裝置 管理員 istrator 和 Intune 管理員 istrator。LocalCredentials.Read.All,您可以使用 Microsoft Entra 自定義角色或系統管理單位來授權本機系統管理員密碼復原。 例如:
必須指派 自定義角色 microsoft.directory/deviceLocalCredentials/password/read 許可權,以授權本機系統管理員密碼復原。 您可以使用 Microsoft Entra 系統管理中心、Microsoft Graph API 或 PowerShell 來建立自定義角色並授與許可權。 建立自訂角色之後,您可以將它指派給使用者。
您也可以建立 Microsoft Entra ID 管理單位、新增裝置,並將範圍設定為系統管理單位的雲端裝置 管理員 istrator 角色,以授權本機系統管理員密碼復原。
使用 Microsoft Entra 識別符啟用 Windows LAPS
若要使用 Microsoft Entra 識別符啟用 Windows LAPS,您必須在 Microsoft Entra ID 和您想要管理的裝置中採取動作。 我們建議組織 使用 Microsoft Intune 管理 Windows LAPS。 如果您的裝置已加入 Microsoft Entra,但不支援 Microsoft Intune,您可以手動部署適用於 Microsoft Entra 標識符的 Windows LAPS。 如需詳細資訊,請參閱設定 Windows LAPS 原則設定一文。
以至少雲端裝置 管理員 istrator 身分登入 Microsoft Entra 系統管理中心。
瀏覽至 [身分識別裝置概>觀>裝置>設定]
針對 [啟用本機 管理員 istrator 密碼解決方案 (LAPS) 設定選取 [是],然後選取 [儲存]。 您也可以使用 Microsoft Graph API Update deviceRegistrationPolicy 來完成這項工作。
設定客戶端原則,並將BackUpDirectory設定為 Microsoft Entra ID。
- 如果您使用 Microsoft Intune 來管理客戶端原則,請參閱 使用 Microsoft Intune 管理 Windows LAPS
- 如果您使用組策略物件 (GPO) 來管理客戶端原則,請參閱 Windows LAPS 組策略
復原本機系統管理員密碼和密碼元數據
若要檢視已加入 Microsoft Entra ID 之 Windows 裝置的本機系統管理員密碼,您必須獲得 microsoft.directory/deviceLocalCredentials/password/read 動作。
若要檢視已加入 Microsoft Entra ID 之 Windows 裝置的本機系統管理員密碼元數據,您必須獲得 microsoft.directory/deviceLocalCredentials/standard/read 動作。
根據預設,下列內建角色會授與這些動作:
| 內建角色 | microsoft.directory/deviceLocalCredentials/standard/read 和 microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| 雲端裝置 管理員 istrator | Yes | Yes |
| Intune Service 管理員 istrator | Yes | Yes |
| 服務台系統管理員 | No | Yes |
| 安全性系統管理員 | No | Yes |
| 安全性讀取者 | No | Yes |
未列出的任何角色都不會被授與任何動作。
您也可以使用 Microsoft Graph API Get deviceLocalCredentialInfo 來復原本機系統管理密碼。 如果您使用 Microsoft Graph API,傳回的密碼會位於 Base64 編碼的值中,您必須在使用它之前譯碼。
列出所有 Windows LAPS 啟用裝置
若要列出所有已啟用 Windows LAPS 的裝置,您可以流覽至身分識別>裝置>概觀>本機系統管理員密碼復原或使用 Microsoft Graph API。
稽核本機系統管理員密碼更新和復原
若要檢視稽核事件,您可以流覽至 [身分>識別裝置>>概觀稽核記錄],然後使用 [活動] 篩選並搜尋 [更新裝置本機系統管理員密碼] 或 [復原裝置本機系統管理員密碼] 來檢視稽核事件。
本機系統管理員密碼復原的條件式存取原則
條件式存取原則可以限定為內建角色,以保護復原本機系統管理員密碼的存取權。 您可以在一般條件式存取原則:系統管理員需要 MFA 一文中找到需要多重要素驗證的原則範例。
注意
不支援其他角色類型,包括系統管理單位範圍角色和自定義角色
常見問題集
Windows LAPS 是否支援使用組策略物件 (GPO) 的 Microsoft Entra 管理設定?
是, 僅適用於 Microsoft Entra 混合式已加入裝置 。 請參閱 Windows LAPS 組策略。
Windows LAPS 是否支援使用 MDM 的 Microsoft Entra 管理設定?
是,對於 Microsoft Entra 加入/Microsoft Entra 混合式聯結 (共同管理)裝置。 客戶可以使用 Microsoft Intune 或任何其他選擇的第三方行動裝置管理(MDM)。
在 Microsoft Entra ID 中刪除裝置時,會發生什麼事?
當裝置在 Microsoft Entra ID 中刪除時,系結至該裝置的 LAPS 認證會遺失,且儲存在 Microsoft Entra ID 中的密碼會遺失。 除非您有自定義工作流程可擷取 LAPS 密碼並將其儲存在外部,否則 Microsoft Entra ID 中沒有方法可復原已刪除裝置的 LAPS 受控密碼。
復原 LAPS 密碼需要哪些角色?
下列內建角色 Microsoft Entra 角色有權復原 LAPS 密碼:雲端裝置 管理員 istrator 和 Intune 管理員 istrator。
讀取 LAPS 元數據需要哪些角色?
支援下列內建角色來檢視有關 LAPS 的元數據,包括裝置名稱、上次密碼輪替,以及下一個密碼輪替:雲端裝置 管理員 istrator、Intune 管理員 istrator、Helpdesk 管理員 istrator、Security Reader and Security 管理員 istrator。
是否支援自定義角色?
是。 如果您有 Microsoft Entra ID P1 或 P2,您可以使用下列 RBAC 許可權建立自定義角色:
- 若要讀取 LAPS 元數據: microsoft.directory/deviceLocalCredentials/standard/read
- 若要讀取 LAPS 密碼: microsoft.directory/deviceLocalCredentials/password/read
原則指定的本機系統管理員帳戶變更時,會發生什麼事?
因為 Windows LAPS 一次只能管理裝置上的一個本機系統管理員帳戶,因此原始帳戶不再由 LAPS 原則管理。 如果原則有裝置備份該帳戶,則會備份新帳戶,而且從Intune系統管理中心內或從指定用來儲存帳戶信息的目錄,不再提供先前帳戶的詳細數據。