使用 Microsoft Intune 管理 Windows LAPS 原則

  • 發行項

當您準備好在您使用 Microsoft Intune 管理的 Windows 裝置上管理 Windows 本機系統管理員密碼解決方案 (Windows LAPS) 時,本文中的資訊可協助您使用 Intune 系統管理中心來:

  • 建立 Intune LAPS 原則並將其指派給裝置。
  • 檢視裝置的本機系統管理員帳戶詳細資料。
  • 手動輪替 Managed 帳戶的密碼。
  • 使用 LAPS 原則的報告。

建立原則之前,請先熟悉windows LAPS Microsoft Intune支援中的資訊,其中包括:

  • Intune 的 Windows LAPS 原則和功能概觀。
  • 針對 LAPS 使用 Intune 原則的必要條件。
  • 角色型系統管理員控制項 (RBAC) 您帳戶管理 LAPS 原則所需的許可權。
  • 可提供深入解析以設定和使用 Intune LAPS 原則的常見問題。

適用於:

  • Windows 10
  • Windows 11

關於 Intune LAPS 原則

Intune 支援透過本機系統管理員密碼解決方案在裝置上設定 Windows LAPS (Windows LAPS) 設定檔,可透過端點安全性原則提供 帳戶保護

Intune 原則會使用 Windows LAPS 設定服務提供者 (CSP) 來管理 LAPS。 Windows LAPS CSP 設定 優先于並 覆寫來自其他 LAPS 來源的任何現有設定,例如 GPO 或 舊版 Microsoft LAPS 工具。

Windows LAPS 允許管理每個裝置的單一本機系統管理員帳戶。 Intune 原則可以使用原則設定 [系統管理員帳戶名稱] 來指定要套用的本機系統 管理員帳戶。 如果裝置上沒有原則中指定的帳號名稱,則不會管理任何帳戶。 不過,當 系統管理員帳戶名稱 保留空白時,原則會預設為以其已知的相對識別碼識別的裝置內建本機系統管理員帳戶, (RID) 。

注意事項

建立原則之前,請確定已符合 Intune 在租使用者中支援 Windows LAPS 的 必要 條件。

Intune 的 LAPS 原則不會建立新的帳戶或密碼。 相反地,他們會管理已在裝置上的帳戶。

請仔細設定並指派 LAPS 原則。 Windows LAPS CSP 針對裝置上的每個 LAPS 設定支援單一設定。 接收包含衝突設定之多個 Intune 原則的裝置可能無法處理原則。 衝突也可以防止將受控本機系統管理員帳戶和密碼備份到您的租使用者目錄。

為了協助減少潛在的衝突,建議您透過裝置群組,而不是透過使用者群組,將單一 LAPS 原則指派給每個裝置。 雖然 LAPS 原則支援使用者群組指派,但每次不同的使用者登入裝置時,可能會導致變更 LAPS 設定的迴圈。 經常變更的原則可能會導致衝突、裝置不符合需求,並造成目前管理裝置中哪個本機系統管理員帳戶的混淆。

建立 LAPS 原則

重要事項

請確定您已在Microsoft Entra中啟用 LAPS,如使用Microsoft Entra識別碼啟用 Windows LAPS檔中所述。

若要建立或管理 LAPS 原則,您的帳戶必須具有 安全性基準 類別的適用許可權。 根據預設,這些許可權會包含在內建角色 Endpoint Security Manager 中。 若要使用自訂角色,請確定自訂角色包含來自 安全性基準類別的許可權 。 請參閱 LAPS 的角色型存取控制

建立原則之前,您可以在 Windows LAPS CSP 檔中檢閱可用設定的詳細資料。

  1. 登入Microsoft Intune系統管理中心並移至[端點安全> 性帳戶保護],然後選取 [建立原則]

    此螢幕擷取畫面顯示您在系統管理中心建立 LAPS 原則的位置。

    將 [平臺] 設定為 Windows 10 及更新版本,將 [設定檔] 設定為 [本機系統管理員密碼解決方案 (Windows LAPS) ,然後選取 [建立]

  2. 在 [ 基本] 上,輸入下列屬性:

    • 名稱:輸入設定檔的描述性名稱。 名稱設定檔,讓您稍後可以輕鬆地識別它們。
    • 描述:輸入設定檔的描述。 此設定是選擇性的,但建議使用。

  3. 在 [ 組態設定] 上,設定 備份目錄 的選擇,以定義要用來備份本機系統管理員帳戶的目錄類型。 您也可以選擇不要備份帳戶和密碼。 目錄的類型也會決定此原則中可用的其他設定。

    顯示 [備份目錄] 設定選項的螢幕擷取畫面。

    重要事項

    設定原則時,請記住,原則中的備份目錄類型必須受指派原則的裝置聯結類型支援。 例如,如果您將目錄設定為 Active Directory,且裝置未加入網域 (而是Microsoft Entra) 的成員,則裝置可以從 Intune 套用原則設定,而不會發生錯誤,但裝置上的 LAPS 將無法成功使用該組態來備份帳戶。

    設定 備份目錄之後,請檢閱並設定可用的設定,以符合您組織的需求。

  4. 在 [ 範圍標籤] 頁面上,選取要套用的任何所需範圍標籤,然後選取 [ 下一步]

  5. 針對 [指派],選取要接收此原則的群組。 建議您將 LAPS 原則指派給裝置群組。 指派給使用者群組的原則會遵循使用者從裝置到裝置。 當裝置的使用者變更時,新的原則可能會套用至裝置,並導入不一致的行為,包括裝置備份的帳戶,或下次輪替受管理帳戶密碼時。

    注意事項

    如同所有 Intune 原則,當新原則套用至裝置時,Intune 會嘗試通知該裝置簽入並處理原則。

    在裝置成功使用 Intune 簽入並成功處理其 LAPS 原則之前,有關其受控本機系統管理員帳戶的資料將無法從系統管理中心內檢視或管理。

    如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

  6. 在 [ 檢閱 + 建立]中,檢閱您的設定,然後選取 [ 建立]。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在原則清單中。

檢視裝置動作狀態

當您的帳戶具有相當於將許可權授與端點安全性工作負載中所有原則範本 之安全性基準 許可權的許可權時,您可以使用 Intune 系統管理中心來檢視已要求裝置的裝置動作狀態。

如需詳細資訊,請 參閱 LAPS 的角色型存取控制

  1. Microsoft Intune 系統管理中心,移至 [所有>裝置] ,然後選取具有 LAPS 原則的裝置,以備份本機系統管理員帳戶。 Intune 會顯示該裝置的 [概觀] 窗格。

  2. 在 [裝置概觀] 窗格中,您可以檢視 [裝置動作狀態]。 先前要求的動作和擱置中的動作會顯示,包括要求的時間,以及動作失敗或成功時。 在下列範例螢幕擷取畫面中,裝置已成功輪替其本機管理員帳戶密碼。

    裝置的裝置動作狀態螢幕擷取畫面,其中一個動作已完成,且目前動作暫止。

  3. 從清單中選取動作會開啟 [ 裝置動作狀態 ] 窗格,其中可以顯示該動作的其他詳細資料。

檢視帳戶和密碼詳細資料

若要檢視帳戶和密碼詳細資料,帳戶必須具有下列其中一個Microsoft Entra許可權:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

使用下列方法來授與帳戶這些許可權:

  • 指派下列其中一個內建Microsoft Entra角色:
    • Global Admin
    • 雲端裝置管理員

在授與這些許可權的Microsoft Entra識別碼中建立和指派自訂角色。 請參閱Microsoft Entra檔中的在Microsoft Entra識別碼中建立和指派自訂角色

如需詳細資訊,請 參閱 LAPS 的角色型存取控制

  1. Microsoft Intune系統管理中心,移至 [裝置>][所有裝置> ] 選取 Windows 裝置以開啟其 [概觀] 窗格。

    從 [概觀] 窗格中,您可以檢視裝置裝置 動作狀態。 狀態會顯示目前和過去的動作,例如密碼輪替。

  2. 在 [裝置概觀] 窗格的 [ 監視] 下方,選取 [ 本機系統管理員密碼]。 如果您的帳戶有足夠的許可權,則會開啟裝置的 [本機系統管理員密碼] 窗格,這是從Azure 入口網站內取得的相同檢視。

    顯示 Windows 裝置本機系統管理員密碼窗格的螢幕擷取畫面。

    您可以從系統管理中心內檢視下列資訊。 不過,只有當帳戶備份至Microsoft Entra時,才能檢視本機系統管理員密碼。 無法檢視備份至內部部署的 Active Directory (Windows Server Active Directory) 的帳戶:

    • 帳戶名稱 – 從裝置備份的本機系統管理員帳戶名稱。
    • 安全性識別碼 – 從裝置備份之帳戶的已知 SID。
    • 本機系統管理員密碼 – 預設會遮蔽。 如果您的帳戶具有許可權,您可以選取 [顯示 ] 以顯示密碼。 然後,您可以使用 [複製] 選項,將密碼複製到剪貼簿。 此資訊不適用於備份至內部部署的 Active Directory的裝置。
    • 上次密碼輪替 – 在 UTC 中,密碼上次變更或由原則旋轉的日期和時間。
    • 下一次密碼輪替 – 在 UTC 中,每個原則都會輪替密碼的下一個日期和時間。

以下是檢視裝置帳戶和密碼資訊的考慮:

  • 擷取 (檢視) 本機系統管理員帳戶的密碼會觸發 稽核事件

  • 您無法檢視下列裝置的密碼詳細資料:

    • 其本機系統管理員帳戶備份至內部部署的 Active Directory
    • 設定為使用 Active Directory 來備份帳戶密碼的裝置。

手動輪替密碼

LAPS 原則包含自動輪替帳戶密碼的排程。 除了排程的輪替之外,您還可以使用旋轉本機系統管理員密碼的 Intune裝置動作,手動旋轉裝置密碼,而不受裝置 LAPS 原則所設定的輪替排程影響。

若要使用此裝置動作,您的帳戶必須具有下列三個 Intune 許可權:

  • 受控裝置: 讀取
  • 組織: 讀取
  • 遠端工作:輪替本機管理員密碼

請參閱 LAPS 的角色型存取控制

若要輪替密碼

  1. Microsoft Intune系統管理中心,移至 [所有>裝置],然後選取具有您要輪替之帳戶的 Windows 裝置。

  2. 檢視裝置詳細資料時,展開功能表列右側的省略號 (...) 以顯示可用的選項,然後選取 [旋轉本機系統管理員密碼]。

    裝置動作展開功能表選項的螢幕擷取畫面。

  3. 當您選取 [輪替本機系統管理員密碼] 時,Intune 會顯示在密碼輪替之前需要確認的警告。

    確認要輪替密碼的意圖之後,Intune 會起始此程式,這可能需要幾分鐘的時間才能完成。 在此期間,裝置詳細資料窗格會顯示橫幅和 裝置動作狀態 ,指出動作為 [擱置中]

成功輪替之後,確認會顯示在 [裝置動作] 狀態中為 [ 完成]

以下是手動密碼輪替的考慮:

  • 輪替本機系統管理員密碼裝置動作適用于所有 Windows 裝置,但任何尚未成功備份其帳戶和密碼資料的裝置都無法完成輪替要求。

  • 每次手動輪替嘗試都會產生 稽核事件。 排程的密碼輪替也會記錄稽核事件。

  • 手動輪替密碼時,會重設下一次排程密碼輪替的時間。 下一次排程輪替的時間是透過 LAPS 原則中的 PasswordAgeDays 設定來管理。

    運作方式如下:裝置會在 3 月 1 日收到原則,將 PasswordAgeDays 設定為 10 天。 結果是裝置會在 3 月 11 日 10 天后自動輪替其密碼。 在 3 月 5 日,系統管理員手動旋轉該裝置的密碼,並將 PasswordAgeDays 的開始日期重設為 3 月 5 日的動作。 因此,裝置現在會在 3 月 15 日 10 天后自動輪替其密碼。

  • 針對已加入Microsoft Entra裝置,裝置必須在要求手動輪替時上線。 如果裝置在要求時未上線,則會導致失敗。

  • 密碼輪替不支援大量 動作。 您一次只能旋轉單一裝置。

避免原則衝突

下列詳細資料可協助您避免衝突,並瞭解來自 LAPS 原則所管理裝置的預期行為。

當具有成功原則的裝置獲指派兩個或多個原則,以產生衝突時:

  • 裝置上使用的設定會保留在裝置上的最後一個設定值。 原始原則和新的 這兩個原則都會回報為發生衝突。
  • 若要解決衝突,請在衝突的原則未套用之前移除原則指派,或重新設定適用的原則以設定相同的設定,以移除衝突。

當沒有 LAPS 原則的裝置同時收到兩個衝突的原則時:

  • 設定不會傳送至裝置,而且這兩個原則都會回報為發生衝突。
  • 當衝突持續發生時,原則中的設定不會套用至裝置。

若要解決衝突,您必須從裝置移除原則指派,或重新設定適用原則中的設定,直到不再有衝突為止。

後續步驟