Решение для локального администратора Windows в идентификаторе Microsoft Entra
Каждое устройство Windows поставляется со встроенной учетной записью локального администратора, которую необходимо защитить и защитить для устранения любых атак Pass-the-Hash (PtH) и бокового обхода. Многие клиенты использовали наш автономный локальный продукт локального решения для управления паролями локального администратора (LAPS) для управления паролями локального администратора на компьютерах Windows, присоединенных к домену. Благодаря поддержке Microsoft Entra для Windows LAPS мы предоставляем согласованный интерфейс для присоединенных устройств Microsoft Entra и гибридных устройств Microsoft Entra.
Поддержка Microsoft Entra для LAPS включает следующие возможности:
- Включение Windows LAPS с помощью идентификатора Microsoft Entra— включение политики на уровне клиента и политики на стороне клиента для резервного копирования пароля локального администратора в идентификатор Microsoft Entra.
- Управление паролями локального администратора. Настройте политики на стороне клиента, чтобы задать имя учетной записи, возраст пароля, длину, сложность, сброс пароля вручную и т. д.
- Восстановление пароля локального администратора. Используйте интерфейсы API и портала для восстановления паролей локального администратора.
- Перечисление всех устройств с поддержкой Windows LAPS . Используйте интерфейсы API или портала для перечисления всех устройств Windows в идентификаторе Microsoft Entra ID с поддержкой Windows LAPS.
- Авторизация восстановления паролей локального администратора. Используйте политики управления доступом на основе ролей (RBAC) с пользовательскими ролями и административными единицами.
- Аудит обновления и восстановления пароля локального администратора. Используйте API журналов аудита или портал для мониторинга событий обновления и восстановления паролей.
- Политики условного доступа для восстановления паролей локального администратора. Настройка политик условного доступа для ролей каталогов с авторизацией восстановления паролей.
Примечание.
Windows LAPS с идентификатором Microsoft Entra не поддерживается для устройств Windows, зарегистрированных в Microsoft Entra.
Решение для паролей локального администратора не поддерживается на платформах, отличных от Windows.
Дополнительные сведения о Windows LAPS см. в следующих статьях документации по Windows:
- Что такое Windows LAPS? — Общие сведения о Windows LAPS и наборе документации по Windows LAPS.
- Windows LAPS CSP — просмотрите полные сведения о параметрах и параметрах LAPS. Политика Intune для LAPS использует эти параметры для настройки CSP LAPS на устройствах.
- Поддержка Microsoft Intune для Windows LAPS
- Архитектура Windows LAPS
Требования
Поддерживаемые регионы Azure и дистрибутивы Windows
Эта функция сейчас доступна в следующих облаках Azure.
- Глобальная служба Azure
- Azure для государственных организаций
- Microsoft Azure под управлением 21Vianet
Обновления операционной системы
Эта функция теперь доступна на следующих платформах ОС Windows с указанным обновлением или более поздней версией:
- Обновление Windows 11 22H2 — 11 апреля 2023 г.
- Обновление Windows 11 21H2 — 11 апреля 2023 г.
- Обновление Windows 10 20H2, 21H2 и 22H2 — 11 апреля 2023 г.
- Windows Server 2022 — обновление 11 апреля 2023 г.
- Windows Server 2019 — обновление 11 2023 11, 2023 11 2023
Типы соединения
LAPS поддерживается только на устройствах, присоединенных к Microsoft Entra, или на гибридных устройствах, присоединенных к Microsoft Entra. Зарегистрированные устройства Microsoft Entra не поддерживаются.
Требования к лицензиям
LAPS доступен всем клиентам с бесплатными или более высокими лицензиями Microsoft Entra ID. Другие связанные функции, такие как административные единицы, пользовательские роли, условный доступ и Intune, имеют другие требования к лицензированию.
Обязательные роли или разрешения
Кроме встроенных ролей Microsoft Entra, таких как администратор облачных устройств и администратор Intune, которым предоставлено устройство. LocalCredentials.Read.All можно использовать пользовательские роли Или административные единицы Microsoft Entra для авторизации восстановления паролей локального администратора. Например:
Пользовательские роли должны быть назначены microsoft.directory/deviceLocalCredentials/password/read , чтобы авторизовать восстановление паролей локального администратора. Вы можете создать пользовательскую роль и предоставить разрешения с помощью Центра администрирования Microsoft Entra, API Microsoft Graph или PowerShell. После создания настраиваемой роли ее можно назначить пользователям.
Вы также можете создать административную единицу идентификатора Microsoft Entra ID, добавить устройства и назначить роль администратора облачных устройств, ограниченную административной единицей, чтобы авторизовать восстановление паролей локального администратора.
Включение WINDOWS LAPS с помощью идентификатора Microsoft Entra
Чтобы включить windows LAPS с идентификатором Microsoft Entra ID, необходимо выполнить действия в идентификаторе Microsoft Entra и устройствах, которым вы хотите управлять. Мы рекомендуем организациям управлять Windows LAPS с помощью Microsoft Intune. Если ваши устройства присоединены к Microsoft Entra, но не используются или не поддерживают Microsoft Intune, можно развернуть Windows LAPS для идентификатора Microsoft Entra ID вручную. Дополнительные сведения см. в статье о настройке параметров политики WINDOWS LAPS.
Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных устройств.
Обзор параметров устройства для>удостоверений>>
Выберите "Да " для параметра "Включить решение для пароля локального администратора" (LAPS), а затем нажмите кнопку "Сохранить". Вы также можете использовать обновление API Microsoft Graph deviceRegistrationPolicy для выполнения этой задачи.
Настройте политику на стороне клиента и задайте для backUpDirectory идентификатор Microsoft Entra.
- Если вы используете Microsoft Intune для управления политиками на стороне клиента, см. статью "Управление windows LAPS с помощью Microsoft Intune"
- Если вы используете объекты групповой политики для управления политиками на стороне клиента, ознакомьтесь с групповой политикой Windows LAPS.
Восстановление метаданных пароля и пароля локального администратора
Чтобы просмотреть пароль локального администратора для устройства Windows, присоединенного к идентификатору Microsoft Entra ID, необходимо предоставить действие microsoft.directory/deviceLocalCredentials/password/read .
Чтобы просмотреть метаданные пароля локального администратора для устройства Windows, присоединенного к идентификатору Microsoft Entra, необходимо предоставить действие microsoft.directory/deviceLocalCredentials/standard/read .
Следующие встроенные роли предоставляются по умолчанию:
Встроенная роль | microsoft.directory/deviceLocalCredentials/standard/read и microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
---|---|---|
Администратор облачных устройств | Да | Да |
Администратор службы Intune | Да | Да |
Администратор службы технической поддержки | No | Да |
администратор безопасности; | No | Да |
читатель сведений о безопасности; | No | Да |
Никакие роли, не перечисленные, не предоставляются ни одно действие.
Вы также можете использовать API Microsoft Graph Get deviceLocalCredentialInfo для восстановления локального административного пароля. Если вы используете API Microsoft Graph, возвращенный пароль находится в кодировке Base64, которое необходимо декодировать перед использованием.
Вывод списка всех устройств с поддержкой Windows LAPS
Чтобы получить список всех устройств с поддержкой Windows LAPS, перейдите к обзору восстановления паролей локального администратора удостоверений>>>или используйте API Microsoft Graph.
Аудит обновления и восстановления пароля локального администратора
Чтобы просмотреть события аудита, можно перейти к журналам аудита устройств>>удостоверений>, а затем использовать фильтр действий и выполнить поиск пароля локального администратора устройства или восстановить пароль локального администратора устройства для просмотра событий аудита.
Политики условного доступа для восстановления паролей локального администратора
Политики условного доступа могут быть ограничены встроенными ролями для защиты доступа к восстановлению паролей локального администратора. Пример политики, требующей многофакторной проверки подлинности в статье, политика общего условного доступа: требовать многофакторную проверку подлинности для администраторов.
Примечание.
Другие типы ролей, включая роли с областью администрирования и пользовательские роли, не поддерживаются
Часто задаваемые вопросы
Поддерживается ли windows LAPS с конфигурацией управления Microsoft Entra с помощью объектов групповой политики (ГОП)?
Да, только для гибридных устройств, присоединенных к Microsoft Entra. См. раздел групповой политики Windows LAPS.
Поддерживается ли windows LAPS с конфигурацией управления Microsoft Entra с помощью MDM?
Да, для устройств microsoft Entra join Microsoft Entra hybrid join/ (совместно управляемых) устройств. Клиенты могут использовать Microsoft Intune или любые другие сторонние средства управления мобильными устройствами (MDM) по своему усмотрению.
Что происходит при удалении устройства в идентификаторе Microsoft Entra?
При удалении устройства в идентификаторе Microsoft Entra учетные данные LAPS, привязанные к устройству, теряются, а пароль, хранящийся в идентификаторе Microsoft Entra ID. Если у вас нет пользовательского рабочего процесса для получения паролей LAPS и их хранения во внешнем режиме, нет метода в идентификаторе Microsoft Entra для восстановления управляемого пароля LAPS для удаленного устройства.
Какие роли необходимы для восстановления паролей LAPS?
Следующие встроенные роли Microsoft Entra имеют разрешение на восстановление паролей LAPS: администратора облачных устройств и администратора Intune.
Какие роли необходимы для чтения метаданных LAPS?
Следующие встроенные роли поддерживаются для просмотра метаданных о LAPS, включая имя устройства, смену последнего пароля и следующую смену паролей: администратор облачных устройств, администратор Intune, администратор службы технической поддержки, читатель безопасности и администратор безопасности.
Поддерживаются ли пользовательские роли?
Да. Если у вас есть идентификатор Microsoft Entra ID P1 или P2, можно создать пользовательскую роль со следующими разрешениями RBAC:
- Чтение метаданных LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Чтение паролей LAPS: microsoft.directory/deviceLocalCredentials/password/read
Что происходит при изменении учетной записи локального администратора, указанной политикой?
Так как Windows LAPS может управлять только одной учетной записью локального администратора на устройстве одновременно, исходная учетная запись больше не управляется политикой LAPS. Если политика содержит резервную копию этой учетной записи, новая учетная запись резервируется и сведения о предыдущей учетной записи больше не доступны из Центра администрирования Intune или из каталога, указанного для хранения сведений об учетной записи.