Решение для пароля локального администратора Windows в Microsoft Entra ID

Каждое устройство Windows поставляется со встроенной локальной учетной записью администратора, которую необходимо обезопасить и защитить для предотвращения любых атак Pass-the-Hash (PtH) и бокового обхода. Многие клиенты использовали наш автономный локальный продукт локального решения для управления паролями локального администратора (LAPS) для управления паролями локального администратора на компьютерах Windows, присоединенных к домену. Благодаря поддержке Microsoft Entra для Windows LAPS мы предоставляем согласованный интерфейс для присоединенных устройств Microsoft Entra и гибридных устройств Microsoft Entra.

Поддержка Microsoft Entra для LAPS включает следующие возможности:

• Включение Windows LAPS с помощью Microsoft Entra ID — включение политики на уровне арендатора и политики на стороне клиента для резервного копирования пароля локального администратора в Microsoft Entra ID.
• Управление паролями локального администратора . Настройте политики на стороне клиента, чтобы задать имя учетной записи, возраст пароля, длину, сложность, сброс пароля вручную и т. д.
• Восстановление пароля локального администратора . Используйте интерфейсы API и портала для восстановления паролей локального администратора.
• Перечисление всех устройств с включенной функцией Windows LAPS - Используйте API или портал, чтобы увидеть все устройства Windows, зарегистрированные в Microsoft Entra ID, с функцией Windows LAPS.
• Авторизация восстановления паролей локального администратора . Используйте политики управления доступом на основе ролей (RBAC) с пользовательскими ролями и административными единицами.
• Аудит обновления и восстановления пароля локального администратора . Используйте API журналов аудита или портал для мониторинга событий обновления и восстановления паролей.
• Политики условного доступа для восстановления паролей локального администратора. Настройка политик условного доступа для ролей каталогов с авторизацией восстановления паролей.

Решение для паролей локального администратора не поддерживается на платформах, отличных от Windows.

Дополнительные сведения о Windows LAPS см. в следующих статьях документации по Windows:

• Что такое Windows LAPS? — Общие сведения о Windows LAPS и наборе документации по Windows LAPS.
• Windows LAPS CSP — просмотрите полные сведения о настройках и параметрах LAPS. Политика Intune для LAPS использует эти параметры для настройки CSP LAPS на устройствах.
• Поддержка Microsoft Intune для Windows LAPS
• Архитектура Windows LAPS

Эта функция сейчас доступна в следующих облаках Azure.

• Глобальная служба Azure
• Azure для государственных организаций
• Microsoft Azure под управлением 21Vianet

Эта функция теперь доступна на следующих платформах ОС Windows с указанным обновлением или более поздней версией:

• Обновление Windows 11 22H2 — 11 апреля 2023 г.
• Обновление Windows 11 21H2 — 11 апреля 2023 г.
• Обновление Windows 10 20H2, 21H2 и 22H2 — 11 апреля 2023 г.
• Windows Server 2022 — обновление 11 апреля 2023 г.
• Windows Server 2019 — обновление 11 2023 11, 2023 11 2023

LAPS поддерживается только на устройствах, присоединенных к Microsoft Entra, или на гибридных устройствах, присоединенных к Microsoft Entra. Зарегистрированные устройства Microsoft Entra не поддерживаются.

LAPS доступен всем клиентам с бесплатными или более высокими лицензиями Microsoft Entra ID. Другие связанные функции, такие как административные единицы, пользовательские роли, условный доступ и Intune, имеют другие требования к лицензированию.

Кроме встроенных ролей Microsoft Entra, таких как администратор облачных устройств и администратор Intune, которым предоставлено device.LocalCredentials.Read.All, можно использовать пользовательские роли или административные единицы Microsoft Entra для авторизации восстановления паролей локального администратора. Например:

• Пользовательские роли должны иметь назначенное разрешение microsoft.directory/deviceLocalCredentials/password/read, чтобы авторизовать восстановление пароля локального администратора. Вы можете создать пользовательскую роль и предоставить разрешения с помощью Центра администрирования Microsoft Entra, API Microsoft Graph или PowerShell. После создания настраиваемой роли ее можно назначить пользователям.

• Вы также можете создать административную единицу Microsoft Entra ID, добавить устройства и назначить ограниченную этой единицей роль Администратора облачных устройств для авторизации восстановления паролей локальных администраторов.

Чтобы включить Windows LAPS с Microsoft Entra ID, необходимо предпринять действия в Microsoft Entra ID и на устройствах, которыми вы хотите управлять. Мы рекомендуем организациям управлять Windows LAPS с помощью Microsoft Intune. Если ваши устройства присоединены к Microsoft Entra, но не используются или не поддерживают Microsoft Intune, можно развернуть Windows LAPS для идентификатора Microsoft Entra ID вручную. Дополнительные сведения см. в статье о настройке параметров политики WINDOWS LAPS.

1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных устройств.

2. Перейдите в раздел Entra ID>—Устройства>—Обзор>—Параметры устройства

3. Выберите "Да " для параметра "Включить решение для пароля локального администратора" (LAPS), а затем нажмите кнопку "Сохранить". Вы также можете использовать API Microsoft Graph Update deviceRegistrationPolicy для выполнения этой задачи.

4. Настройте клиентскую политику и установите для BackUpDirectory значение Microsoft Entra ID.

   • Если вы используете Microsoft Intune для управления политиками на стороне клиента, см. статью "Управление windows LAPS с помощью Microsoft Intune"
   • Если вы используете объекты групповой политики для управления политиками на стороне клиента, ознакомьтесь с групповой политикой Windows LAPS.

Чтобы просмотреть пароль локального администратора для устройства Windows, присоединенного к Microsoft Entra ID, вам должно быть предоставлено действие microsoft.directory/deviceLocalCredentials/password/read.

Чтобы просмотреть метаданные пароля локального администратора для устройства Windows, присоединенного к идентификатору Microsoft Entra, необходимо предоставить действие microsoft.directory/deviceLocalCredentials/standard/read .

Следующим встроенным ролям по умолчанию предоставляются эти действия:

Любые роли, не перечисленные, не предоставляются никакого действия.

Вы также можете использовать API Microsoft Graph Get deviceLocalCredentialInfo для восстановления локального административного пароля. Если вы используете API Microsoft Graph, возвращенный пароль находится в кодировке Base64, который необходимо декодировать перед использованием.

Чтобы получить список всех устройств с поддержкой Windows LAPS, перейдите к Entra ID>Устройства>Обзор>восстановления паролей локального администратора или используйте API Microsoft Graph.

Чтобы просмотреть события аудита, перейдите в Entra ID>Устройства>Обзор>Журналы аудита, затем используйте фильтр Действие и выполните поиск по Изменить пароль локального администратора устройства или Восстановить пароль локального администратора устройства для просмотра событий аудита.

Политики условного доступа могут быть ограничены встроенными ролями для защиты доступа к восстановлению паролей локального администратора. Пример политики, требующей многофакторной проверки подлинности в статье, политика общего условного доступа: требовать многофакторную проверку подлинности для администраторов.

Да, только для гибридных устройств, присоединенных к Microsoft Entra . См. политику группы Windows LAPS.

Да, для устройств Microsoft Entra join/Microsoft Entra hybrid join (совместно управляемых) устройств. Клиенты могут использовать Microsoft Intune или любые другие сторонние средства управления мобильными устройствами (MDM) по своему усмотрению.

При удалении устройства в Microsoft Entra ID учетные данные LAPS, привязанные к этому устройству, теряются, а пароль, хранящийся в Microsoft Entra ID, утрачивается. Если у вас нет пользовательского рабочего процесса для получения паролей LAPS и их хранения во внешнем режиме, нет метода в идентификаторе Microsoft Entra для восстановления управляемого пароля LAPS для удаленного устройства.

Следующие встроенные роли Microsoft Entra имеют разрешение на восстановление паролей LAPS: администратора облачных устройств и администратора Intune.

Следующие встроенные роли поддерживаются для просмотра метаданных о LAPS, включая имя устройства, смену последнего пароля и следующую смену паролей: администратор облачных устройств, администратор Intune, администратор службы технической поддержки, читатель безопасности и администратор безопасности.

Да. Если у вас есть идентификатор Microsoft Entra ID P1 или P2, можно создать пользовательскую роль со следующими разрешениями RBAC:

• Чтение метаданных LAPS: microsoft.directory/deviceLocalCredentials/standard/read
• Чтение паролей LAPS: microsoft.directory/deviceLocalCredentials/password/read

Так как Windows LAPS может управлять только одной учетной записью локального администратора на устройстве одновременно, исходная учетная запись больше не управляется политикой LAPS. Если политика содержит резервную копию этой учетной записи, новая учетная запись резервируется и сведения о предыдущей учетной записи больше не доступны из Центра администрирования Intune или из каталога, указанного для хранения сведений об учетной записи.

• Выбор идентификации устройства
• Поддержка Microsoft Intune для Windows LAPS
• Создание политики для LAPS
• Просмотр отчетов для LAPS
• Политика защиты учетных записей для безопасности конечных устройств в Intune