Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Каждое устройство Windows поставляется со встроенной локальной учетной записью администратора, которую необходимо обезопасить и защитить для предотвращения любых атак Pass-the-Hash (PtH) и бокового обхода. Многие клиенты использовали наш автономный локальный продукт локального решения для управления паролями локального администратора (LAPS) для управления паролями локального администратора на компьютерах Windows, присоединенных к домену. Благодаря поддержке Microsoft Entra для Windows LAPS мы предоставляем согласованный интерфейс для присоединенных устройств Microsoft Entra и гибридных устройств Microsoft Entra.
Поддержка Microsoft Entra для LAPS включает следующие возможности:
- Включение Windows LAPS с помощью Microsoft Entra ID — включение политики на уровне арендатора и политики на стороне клиента для резервного копирования пароля локального администратора в Microsoft Entra ID.
- Управление паролями локального администратора . Настройте политики на стороне клиента, чтобы задать имя учетной записи, возраст пароля, длину, сложность, сброс пароля вручную и т. д.
- Восстановление пароля локального администратора . Используйте интерфейсы API и портала для восстановления паролей локального администратора.
- Перечисление всех устройств с включенной функцией Windows LAPS - Используйте API или портал, чтобы увидеть все устройства Windows, зарегистрированные в Microsoft Entra ID, с функцией Windows LAPS.
- Авторизация восстановления паролей локального администратора . Используйте политики управления доступом на основе ролей (RBAC) с пользовательскими ролями и административными единицами.
- Аудит обновления и восстановления пароля локального администратора . Используйте API журналов аудита или портал для мониторинга событий обновления и восстановления паролей.
- Политики условного доступа для восстановления паролей локального администратора. Настройка политик условного доступа для ролей каталогов с авторизацией восстановления паролей.
Примечание.
Windows LAPS с идентификатором Microsoft Entra не поддерживается для устройств Windows, зарегистрированных в Microsoft Entra.
Решение для паролей локального администратора не поддерживается на платформах, отличных от Windows.
Дополнительные сведения о Windows LAPS см. в следующих статьях документации по Windows:
- Что такое Windows LAPS? — Общие сведения о Windows LAPS и наборе документации по Windows LAPS.
- Windows LAPS CSP — просмотрите полные сведения о настройках и параметрах LAPS. Политика Intune для LAPS использует эти параметры для настройки CSP LAPS на устройствах.
- Поддержка Microsoft Intune для Windows LAPS
- Архитектура Windows LAPS
Требования
Поддерживаемые регионы Azure и дистрибутивы Windows
Эта функция сейчас доступна в следующих облаках Azure.
- Глобальная служба Azure
- Azure для государственных организаций
- Microsoft Azure под управлением 21Vianet
Обновления операционной системы
Эта функция теперь доступна на следующих платформах ОС Windows с указанным обновлением или более поздней версией:
- Обновление Windows 11 22H2 — 11 апреля 2023 г.
- Обновление Windows 11 21H2 — 11 апреля 2023 г.
- Обновление Windows 10 20H2, 21H2 и 22H2 — 11 апреля 2023 г.
- Windows Server 2022 — обновление 11 апреля 2023 г.
- Windows Server 2019 — обновление 11 2023 11, 2023 11 2023
Типы соединения
LAPS поддерживается только на устройствах, присоединенных к Microsoft Entra, или на гибридных устройствах, присоединенных к Microsoft Entra. Зарегистрированные устройства Microsoft Entra не поддерживаются.
Требования к лицензиям
LAPS доступен всем клиентам с бесплатными или более высокими лицензиями Microsoft Entra ID. Другие связанные функции, такие как административные единицы, пользовательские роли, условный доступ и Intune, имеют другие требования к лицензированию.
Обязательные роли или разрешения
Кроме встроенных ролей Microsoft Entra, таких как администратор облачных устройств и администратор Intune, которым предоставлено device.LocalCredentials.Read.All, можно использовать пользовательские роли или административные единицы Microsoft Entra для авторизации восстановления паролей локального администратора. Например:
Пользовательские роли должны иметь назначенное разрешение microsoft.directory/deviceLocalCredentials/password/read, чтобы авторизовать восстановление пароля локального администратора. Вы можете создать пользовательскую роль и предоставить разрешения с помощью Центра администрирования Microsoft Entra, API Microsoft Graph или PowerShell. После создания настраиваемой роли ее можно назначить пользователям.
Вы также можете создать административную единицу Microsoft Entra ID, добавить устройства и назначить ограниченную этой единицей роль Администратора облачных устройств для авторизации восстановления паролей локальных администраторов.
Включение WINDOWS LAPS с помощью идентификатора Microsoft Entra
Чтобы включить Windows LAPS с Microsoft Entra ID, необходимо предпринять действия в Microsoft Entra ID и на устройствах, которыми вы хотите управлять. Мы рекомендуем организациям управлять Windows LAPS с помощью Microsoft Intune. Если ваши устройства присоединены к Microsoft Entra, но не используются или не поддерживают Microsoft Intune, можно развернуть Windows LAPS для идентификатора Microsoft Entra ID вручную. Дополнительные сведения см. в статье о настройке параметров политики WINDOWS LAPS.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных устройств.
Перейдите в раздел Entra ID>—Устройства>—Обзор>—Параметры устройства
Выберите "Да " для параметра "Включить решение для пароля локального администратора" (LAPS), а затем нажмите кнопку "Сохранить". Вы также можете использовать API Microsoft Graph Update deviceRegistrationPolicy для выполнения этой задачи.
Настройте клиентскую политику и установите для BackUpDirectory значение Microsoft Entra ID.
- Если вы используете Microsoft Intune для управления политиками на стороне клиента, см. статью "Управление windows LAPS с помощью Microsoft Intune"
- Если вы используете объекты групповой политики для управления политиками на стороне клиента, ознакомьтесь с групповой политикой Windows LAPS.
Восстановление пароля локального администратора и метаданных пароля
Чтобы просмотреть пароль локального администратора для устройства Windows, присоединенного к Microsoft Entra ID, вам должно быть предоставлено действие microsoft.directory/deviceLocalCredentials/password/read.
Чтобы просмотреть метаданные пароля локального администратора для устройства Windows, присоединенного к идентификатору Microsoft Entra, необходимо предоставить действие microsoft.directory/deviceLocalCredentials/standard/read .
Следующим встроенным ролям по умолчанию предоставляются эти действия:
| Встроенная роль | microsoft.directory/deviceLocalCredentials/standard/read и microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/учётныеДанныеУстройства/стандарт/чтение |
|---|---|---|
| Администратор облачных устройств | Да | Да |
| Администратор службы Intune | Да | Да |
| Администратор службы технической поддержки | Нет | Да |
| Администратор безопасности | Нет | Да |
| Читатель безопасности | Нет | Да |
Любые роли, не перечисленные, не предоставляются никакого действия.
Вы также можете использовать API Microsoft Graph Get deviceLocalCredentialInfo для восстановления локального административного пароля. Если вы используете API Microsoft Graph, возвращенный пароль находится в кодировке Base64, который необходимо декодировать перед использованием.
Перечислите все устройства с включенной функцией Windows LAPS.
Чтобы получить список всех устройств с поддержкой Windows LAPS, перейдите к Entra ID>Устройства>Обзор>восстановления паролей локального администратора или используйте API Microsoft Graph.
Аудит обновления и восстановления пароля локального администратора
Чтобы просмотреть события аудита, перейдите в Entra ID>Устройства>Обзор>Журналы аудита, затем используйте фильтр Действие и выполните поиск по Изменить пароль локального администратора устройства или Восстановить пароль локального администратора устройства для просмотра событий аудита.
Политики условного доступа для восстановления паролей локального администратора
Политики условного доступа могут быть ограничены встроенными ролями для защиты доступа к восстановлению паролей локального администратора. Пример политики, требующей многофакторной проверки подлинности в статье, политика общего условного доступа: требовать многофакторную проверку подлинности для администраторов.
Примечание.
Другие типы ролей, включая роли с областью администрирования и пользовательские роли, не поддерживаются
Часто задаваемые вопросы
Поддерживается ли Windows LAPS с управлением конфигурацией Microsoft Entra через объекты групповой политики (ГОП)?
Да, только для гибридных устройств, присоединенных к Microsoft Entra . См. политику группы Windows LAPS.
Поддерживается ли Windows LAPS с настройкой управления Microsoft Entra с помощью MDM?
Да, для устройств Microsoft Entra join/Microsoft Entra hybrid join (совместно управляемых) устройств. Клиенты могут использовать Microsoft Intune или любые другие сторонние средства управления мобильными устройствами (MDM) по своему усмотрению.
Что происходит при удалении устройства в идентификаторе Microsoft Entra?
При удалении устройства в Microsoft Entra ID учетные данные LAPS, привязанные к этому устройству, теряются, а пароль, хранящийся в Microsoft Entra ID, утрачивается. Если у вас нет пользовательского рабочего процесса для получения паролей LAPS и их хранения во внешнем режиме, нет метода в идентификаторе Microsoft Entra для восстановления управляемого пароля LAPS для удаленного устройства.
Какие роли необходимы для восстановления паролей LAPS?
Следующие встроенные роли Microsoft Entra имеют разрешение на восстановление паролей LAPS: администратора облачных устройств и администратора Intune.
Какие роли необходимы для чтения метаданных LAPS?
Следующие встроенные роли поддерживаются для просмотра метаданных о LAPS, включая имя устройства, смену последнего пароля и следующую смену паролей: администратор облачных устройств, администратор Intune, администратор службы технической поддержки, читатель безопасности и администратор безопасности.
Поддерживаются ли пользовательские роли?
Да. Если у вас есть идентификатор Microsoft Entra ID P1 или P2, можно создать пользовательскую роль со следующими разрешениями RBAC:
- Чтение метаданных LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Чтение паролей LAPS: microsoft.directory/deviceLocalCredentials/password/read
Что происходит при изменении учетной записи локального администратора, указанной политикой?
Так как Windows LAPS может управлять только одной учетной записью локального администратора на устройстве одновременно, исходная учетная запись больше не управляется политикой LAPS. Если политика содержит резервную копию этой учетной записи, новая учетная запись резервируется и сведения о предыдущей учетной записи больше не доступны из Центра администрирования Intune или из каталога, указанного для хранения сведений об учетной записи.