Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Узнайте, как приступить к работе с решением локального администратора Windows (Windows LAPS) и идентификатором Microsoft Entra. В этой статье описаны основные процедуры использования Windows LAPS для резервного копирования паролей в идентификатор Microsoft Entra ID и способы их извлечения.
Сведения о поддерживаемых облаках см. в
Важно!
По умолчанию идентификатор Microsoft Entra не позволяет управляемым устройствам публиковать новые пароли Windows LAPS в идентификатор Microsoft Entra. Сначала ИТ-администратор должен включить эту функцию на уровне клиента Microsoft Entra. Дополнительные сведения см. в разделе "Включение WINDOWS LAPS с помощью идентификатора Microsoft Entra".
Чтобы настроить политику устройств, выполните следующие задачи:
- Выбор механизма развертывания политики
- Общие сведения о политиках, применяемых к режиму Microsoft Entra
- Настройка определенных политик
Первым шагом является выбор способа применения политики к устройствам.
Предпочтительный вариант для устройств, присоединенных к Microsoft Entra, — использовать Microsoft Intune с поставщиком службы конфигурации Windows LAPS (CSP).
Если ваши устройства связаны с Microsoft Entra, но вы не используете Microsoft Intune, вы все равно можете развернуть Windows LAPS для Microsoft Entra ID. В этом сценарии необходимо вручную развернуть политику (например, с помощью прямого изменения реестра или с помощью групповой политики локального компьютера). Дополнительные сведения см. в разделе "Настройка параметров политики Windows LAPS".
Примечание
Если ваши устройства присоединены к локальной среде Windows Server Active Directory, можно развернуть политику с помощью групповой политики Windows LAPS.
Поставщик CSP Windows LAPS и объект групповой политики Windows LAPS управляют одинаковыми параметрами, но только подмножество этих параметров применяется к Windows LAPS в режиме Azure.
При резервном копировании паролей до идентификатора Microsoft Entra применяются следующие параметры:
- BackupDirectory
- PasswordAgeDays
- Сложность пароля
- ДлинаПароля
- ИмяУчетнойЗаписиАдминистратора
- ЗадержкаСбросаПослеАутентификации
- Действия после аутентификации
Более ясно: специфические для Windows Server Active Directory параметры политики не имеют смысла и не поддерживаются при резервном копировании пароля в Microsoft Entra ID.
Как минимум, необходимо настроить параметр BackupDirectory на значение 1 (пароли резервного копирования для идентификатора Microsoft Entra).
Если параметр AdministratorAccountName не настроен, windows LAPS по умолчанию управляет встроенной учетной записью локального администратора по умолчанию. Эта встроенная учетная запись автоматически идентифицируется с помощью известного относительного идентификатора (RID) и никогда не должна быть идентифицирована с его именем. Имя встроенной учетной записи администратора зависит от языкового стандарта по умолчанию устройства.
Если вы хотите настроить пользовательскую учетную запись локального администратора, необходимо настроить параметр AdministratorAccountName с именем этой учетной записи.
Важно!
Если вы настроите Windows LAPS для управления пользовательской учетной записью локального администратора, необходимо убедиться, что эта учетная запись создана. Windows LAPS не создает учетную запись. Мы рекомендуем использовать CSP для управления учетными записями для создания аккаунта.
Вы можете настроить другие параметры, такие как PasswordLength, по мере необходимости для вашей организации.
Windows LAPS обрабатывает текущую активную политику периодически (каждый час). Чтобы избежать ожидания после применения политики, можно запустить Invoke-LapsPolicyProcessing командлет PowerShell.
Чтобы убедиться, что пароль был успешно обновлен в идентификаторе Microsoft Entra, просмотрите журнал событий для события 10029:
Получение паролей Windows LAPS, хранящихся в идентификаторе Microsoft Entra, поддерживается с помощью Microsoft Graph. Windows LAPS включает командлет PowerShell (Get-LapsAADPassword), который выступает в качестве оболочки для библиотеки Microsoft Graph PowerShell. Вы также можете использовать Microsoft Entra ID и\или порталы управления Intune для восстановления пароля с помощью интерфейса пользователя. Windows LAPS не предоставляет никаких параметров пользовательского интерфейса в Windows для получения пароля Microsoft Entra.
Остальные инструкции описывают, как использовать командлет Get-LapsAADPassword, чтобы получить пароли Windows LAPS из Microsoft Entra ID с помощью Microsoft Graph.
Первым шагом является установка библиотеки Microsoft Graph PowerShell:
Install-Module Microsoft.Graph -Scope AllUsers
Возможно, потребуется отметить репозиторий как доверенный, чтобы команда выполнилась успешно.
Set-PSRepository PSGallery -InstallationPolicy Trusted
Следующим шагом является создание приложения Microsoft Entra, настроенного с необходимыми разрешениями. Основные инструкции по созданию приложения Microsoft Entra см. в кратком руководстве: регистрация приложения с помощью платформы удостоверений Microsoft
Приложение должно быть настроено с двумя разрешениями: Device.Read.All или DeviceLocalCredential.ReadBasic.AllDeviceLocalCredential.Read.All.
DeviceManagementManagedDevices.Read.All также может потребоваться для запроса паролей для устройств с управляемым рабочим столом Майкрософт.
Важно!
- Используется
DeviceLocalCredential.ReadBasic.Allдля предоставления разрешений на чтение нечувствительных метаданных о сохраненных паролях Windows LAPS. Примеры включают время резервного копирования пароля в Azure и ожидаемое время истечения срока действия пароля. Этот уровень разрешений подходит для приложений отчетов и соответствия требованиям. - Используйте
DeviceLocalCredential.Read.Allдля предоставления полных разрешений для чтения всех сохраненных паролей Windows LAPS, включая пароли с четким текстом. Этот уровень разрешений учитывается и следует тщательно использовать.
Осталось совсем немного! Сначала войдите в Microsoft Graph. Затем используйте Get-LapsAADPassword командлет для получения пароля.
Чтобы войти в Microsoft Graph, выполните командлет Connect-MgGraph. Необходимо знать идентификатор клиента Azure и идентификатор приложения Microsoft Entra, созданного ранее. Выполните командлет один раз, чтобы войти. Рассмотрим пример.
PS C:\> Connect-MgGraph -Environment Global -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -ClientId 00001111-aaaa-2222-bbbb-3333cccc4444
Welcome To Microsoft Graph!
Совет
Для успешного выполнения командлета Connect-MgGraph может потребоваться изменить политику выполнения PowerShell. Например, вам может потребоваться для первого запуска Set-ExecutionPolicy -ExecutionPolicy Unrestricted.
Теперь, когда вы вошли в Microsoft Graph, вы можете получить пароль.
Сначала вызовите Get-LapsAADPassword командлет и передайте имя устройства:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice
DeviceName DeviceId PasswordExpirationTime
---------- -------- ----------------------
myAzureDevice be8ab291-6307-42a2-8fda-2f4ee78e51c8 7/31/2022 11:34:39 AM
Совет
Передайте параметр -Verbose, чтобы увидеть подробные сведения о том, что делает командлет Get-LapsAADPassword (или любой другой командлет в модуле Windows LAPS PowerShell).
В предыдущем примере требуется, чтобы клиенту были предоставлены DeviceLocalCredential.Read.Basic разрешения. Чтобы использовать следующие примеры, клиенту необходимо предоставить DeviceLocalCredential.Read.All разрешения.
Затем вызовите Get-LapsAADPassword командлет, чтобы запросить возврат фактического пароля:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : System.Security.SecureString
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime : 7/1/2022 11:34:39 AM
Пароль, возвращаемый в объекте SecureString .
Наконец, для тестирования или нерегламентированных целей можно запросить, что пароль отображается в виде ясного текста с помощью -AsPlainText параметра:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : xzYVg,;rqQ+rkXEM0B29l3z!Ez.}T9rY8%67i1#TUk
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime : 7/1/2022 11:34:39 AM
Windows LAPS локально запоминает, когда истекает срок действия последнего сохраненного пароля, и он автоматически сменяет пароль при истечении срока действия пароля. В некоторых ситуациях (например, после нарушения безопасности или для нерегламентированного тестирования) может потребоваться сменить пароль рано. Чтобы вручную принудительно изменить пароль, можно использовать Reset-LapsPassword командлет. Рассмотрим пример.
PS C:\> Reset-LapsPassword
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : &HK%tbA+k7,vcrI387k9([f+%w)9VZz98;,(@+Ai6b
PasswordExpirationTime : 7/31/2022 12:16:16 PM
PasswordUpdateTime : 7/1/2022 12:16:16 PM
Важно!
- Идентификатор Microsoft Entra не поддерживает истечение срока действия текущего сохраненного пароля устройства с помощью изменения метки времени истечения срока действия пароля в идентификаторе Microsoft Entra ID. Это конструктивное отличие от Windows LAPS на базе Windows Server Active Directory.
- Избегайте чрезмерного частого использования командлета
Reset-LapsPassword. Если обнаружено, активность может ограничиваться.
Windows LAPS не зависит от Microsoft Entra Connect, и между этими двумя технологиями нет зависимостей. Управляемые устройства Windows LAPS, которые резервного копирования паролей в идентификатор Microsoft Entra id делают это напрямую через https, без какой-либо зависимости от синхронизации данных.
Кроме того, идентификатор Microsoft Entra и порталы управления устройствами Intune могут просматривать только пароли, которые были созданы непосредственно с устройства Windows LAPS. Настройка Microsoft Entra Connect для синхронизации локальных атрибутов Windows LAPS с идентификатором Microsoft Entra не является тестируемым сценарием. Синхронизация атрибутов LAPS Active Directory Windows в локальной среде с Microsoft Entra ID не приведет к отображению этих атрибутов на порталах управления устройствами Microsoft Entra ID или Intune.
Хотя для работы Windows LAPS это не обязательно, рекомендуется при расширении локальной схемы Active Directory также обновить схему каталога Microsoft Entra Connect. См. схему каталога обновления.
- Знакомство с решением для пароля локального администратора Windows с идентификатором Microsoft Entra
- Решение для пароля локального администратора Windows в Microsoft Entra ID
- Microsoft Intune
- Поддержка Microsoft Intune для Windows LAPS
- Windows LAPS CSP
- Краткое руководство: Регистрация приложения с помощью платформы идентификации Microsoft
- Руководство по устранению неполадок Windows LAPS