Поделиться через


Решение для локального администратора Windows в идентификаторе Microsoft Entra

Каждое устройство Windows поставляется со встроенной учетной записью локального администратора, которую необходимо защитить и защитить для устранения любых атак Pass-the-Hash (PtH) и бокового обхода. Многие клиенты использовали наш автономный локальный продукт локального решения для управления паролями локального администратора (LAPS) для управления паролями локального администратора на компьютерах Windows, присоединенных к домену. Благодаря поддержке Microsoft Entra для Windows LAPS мы предоставляем согласованный интерфейс для присоединенных устройств Microsoft Entra и гибридных устройств Microsoft Entra.

Поддержка Microsoft Entra для LAPS включает следующие возможности:

  • Включение Windows LAPS с помощью идентификатора Microsoft Entra— включение политики на уровне клиента и политики на стороне клиента для резервного копирования пароля локального администратора в идентификатор Microsoft Entra.
  • Управление паролями локального администратора. Настройте политики на стороне клиента, чтобы задать имя учетной записи, возраст пароля, длину, сложность, сброс пароля вручную и т. д.
  • Восстановление пароля локального администратора. Используйте интерфейсы API и портала для восстановления паролей локального администратора.
  • Перечисление всех устройств с поддержкой Windows LAPS . Используйте интерфейсы API или портала для перечисления всех устройств Windows в идентификаторе Microsoft Entra ID с поддержкой Windows LAPS.
  • Авторизация восстановления паролей локального администратора. Используйте политики управления доступом на основе ролей (RBAC) с пользовательскими ролями и административными единицами.
  • Аудит обновления и восстановления пароля локального администратора. Используйте API журналов аудита или портал для мониторинга событий обновления и восстановления паролей.
  • Политики условного доступа для восстановления паролей локального администратора. Настройка политик условного доступа для ролей каталогов с авторизацией восстановления паролей.

Примечание.

Windows LAPS с идентификатором Microsoft Entra не поддерживается для устройств Windows, зарегистрированных в Microsoft Entra.

Решение для паролей локального администратора не поддерживается на платформах, отличных от Windows.

Дополнительные сведения о Windows LAPS см. в следующих статьях документации по Windows:

Требования

Поддерживаемые регионы Azure и дистрибутивы Windows

Эта функция сейчас доступна в следующих облаках Azure.

  • Глобальная служба Azure
  • Azure для государственных организаций
  • Microsoft Azure под управлением 21Vianet

Обновления операционной системы

Эта функция теперь доступна на следующих платформах ОС Windows с указанным обновлением или более поздней версией:

Типы соединения

LAPS поддерживается только на устройствах, присоединенных к Microsoft Entra, или на гибридных устройствах, присоединенных к Microsoft Entra. Зарегистрированные устройства Microsoft Entra не поддерживаются.

Требования к лицензиям

LAPS доступен всем клиентам с бесплатными или более высокими лицензиями Microsoft Entra ID. Другие связанные функции, такие как административные единицы, пользовательские роли, условный доступ и Intune, имеют другие требования к лицензированию.

Обязательные роли или разрешения

Кроме встроенных ролей Microsoft Entra, таких как администратор облачных устройств и администратор Intune, которым предоставлено устройство. LocalCredentials.Read.All можно использовать пользовательские роли Или административные единицы Microsoft Entra для авторизации восстановления паролей локального администратора. Например:

  • Пользовательские роли должны быть назначены microsoft.directory/deviceLocalCredentials/password/read , чтобы авторизовать восстановление паролей локального администратора. Вы можете создать пользовательскую роль и предоставить разрешения с помощью Центра администрирования Microsoft Entra, API Microsoft Graph или PowerShell. После создания настраиваемой роли ее можно назначить пользователям.

  • Вы также можете создать административную единицу идентификатора Microsoft Entra ID, добавить устройства и назначить роль администратора облачных устройств, ограниченную административной единицей, чтобы авторизовать восстановление паролей локального администратора.

Включение WINDOWS LAPS с помощью идентификатора Microsoft Entra

Чтобы включить windows LAPS с идентификатором Microsoft Entra ID, необходимо выполнить действия в идентификаторе Microsoft Entra и устройствах, которым вы хотите управлять. Мы рекомендуем организациям управлять Windows LAPS с помощью Microsoft Intune. Если ваши устройства присоединены к Microsoft Entra, но не используются или не поддерживают Microsoft Intune, можно развернуть Windows LAPS для идентификатора Microsoft Entra ID вручную. Дополнительные сведения см. в статье о настройке параметров политики WINDOWS LAPS.

  1. Войдите в Центр администрирования Microsoft Entra как минимум администратор облачных устройств.

  2. Обзор параметров устройства для>удостоверений>>

  3. Выберите "Да " для параметра "Включить решение для пароля локального администратора" (LAPS), а затем нажмите кнопку "Сохранить". Вы также можете использовать обновление API Microsoft Graph deviceRegistrationPolicy для выполнения этой задачи.

  4. Настройте политику на стороне клиента и задайте для backUpDirectory идентификатор Microsoft Entra.

Восстановление метаданных пароля и пароля локального администратора

Чтобы просмотреть пароль локального администратора для устройства Windows, присоединенного к идентификатору Microsoft Entra ID, необходимо предоставить действие microsoft.directory/deviceLocalCredentials/password/read .

Чтобы просмотреть метаданные пароля локального администратора для устройства Windows, присоединенного к идентификатору Microsoft Entra, необходимо предоставить действие microsoft.directory/deviceLocalCredentials/standard/read .

Следующие встроенные роли предоставляются по умолчанию:

Встроенная роль microsoft.directory/deviceLocalCredentials/standard/read и microsoft.directory/deviceLocalCredentials/password/read microsoft.directory/deviceLocalCredentials/standard/read
Администратор облачных устройств Да Да
Администратор службы Intune Да Да
Администратор службы технической поддержки No Да
администратор безопасности; No Да
читатель сведений о безопасности; No Да

Никакие роли, не перечисленные, не предоставляются ни одно действие.

Вы также можете использовать API Microsoft Graph Get deviceLocalCredentialInfo для восстановления локального административного пароля. Если вы используете API Microsoft Graph, возвращенный пароль находится в кодировке Base64, которое необходимо декодировать перед использованием.

Вывод списка всех устройств с поддержкой Windows LAPS

Чтобы получить список всех устройств с поддержкой Windows LAPS, перейдите к обзору восстановления паролей локального администратора удостоверений>>>или используйте API Microsoft Graph.

Аудит обновления и восстановления пароля локального администратора

Чтобы просмотреть события аудита, можно перейти к журналам аудита устройств>>удостоверений>, а затем использовать фильтр действий и выполнить поиск пароля локального администратора устройства или восстановить пароль локального администратора устройства для просмотра событий аудита.

Политики условного доступа для восстановления паролей локального администратора

Политики условного доступа могут быть ограничены встроенными ролями для защиты доступа к восстановлению паролей локального администратора. Пример политики, требующей многофакторной проверки подлинности в статье, политика общего условного доступа: требовать многофакторную проверку подлинности для администраторов.

Примечание.

Другие типы ролей, включая роли с областью администрирования и пользовательские роли, не поддерживаются

Часто задаваемые вопросы

Поддерживается ли windows LAPS с конфигурацией управления Microsoft Entra с помощью объектов групповой политики (ГОП)?

Да, только для гибридных устройств, присоединенных к Microsoft Entra. См. раздел групповой политики Windows LAPS.

Поддерживается ли windows LAPS с конфигурацией управления Microsoft Entra с помощью MDM?

Да, для устройств microsoft Entra join Microsoft Entra hybrid join/ (совместно управляемых) устройств. Клиенты могут использовать Microsoft Intune или любые другие сторонние средства управления мобильными устройствами (MDM) по своему усмотрению.

Что происходит при удалении устройства в идентификаторе Microsoft Entra?

При удалении устройства в идентификаторе Microsoft Entra учетные данные LAPS, привязанные к устройству, теряются, а пароль, хранящийся в идентификаторе Microsoft Entra ID. Если у вас нет пользовательского рабочего процесса для получения паролей LAPS и их хранения во внешнем режиме, нет метода в идентификаторе Microsoft Entra для восстановления управляемого пароля LAPS для удаленного устройства.

Какие роли необходимы для восстановления паролей LAPS?

Следующие встроенные роли Microsoft Entra имеют разрешение на восстановление паролей LAPS: администратора облачных устройств и администратора Intune.

Какие роли необходимы для чтения метаданных LAPS?

Следующие встроенные роли поддерживаются для просмотра метаданных о LAPS, включая имя устройства, смену последнего пароля и следующую смену паролей: администратор облачных устройств, администратор Intune, администратор службы технической поддержки, читатель безопасности и администратор безопасности.

Поддерживаются ли пользовательские роли?

Да. Если у вас есть идентификатор Microsoft Entra ID P1 или P2, можно создать пользовательскую роль со следующими разрешениями RBAC:

  • Чтение метаданных LAPS: microsoft.directory/deviceLocalCredentials/standard/read
  • Чтение паролей LAPS: microsoft.directory/deviceLocalCredentials/password/read

Что происходит при изменении учетной записи локального администратора, указанной политикой?

Так как Windows LAPS может управлять только одной учетной записью локального администратора на устройстве одновременно, исходная учетная запись больше не управляется политикой LAPS. Если политика содержит резервную копию этой учетной записи, новая учетная запись резервируется и сведения о предыдущей учетной записи больше не доступны из Центра администрирования Intune или из каталога, указанного для хранения сведений об учетной записи.

Следующие шаги