Megosztás a következőn keresztül:

Windows LAPS-szabályzat kezelése Microsoft Intune

  • Cikk

Ha készen áll a Windows helyi rendszergazdai jelszómegoldás (Windows LAPS) kezelésére a Microsoft Intune által kezelt Windows-eszközökön, a jelen cikkben található információk segíthetnek a Intune Felügyeleti központban:

  • Hozzon létre és rendeljen hozzá Intune LAPS-szabályzatot az eszközökhöz.
  • Az eszköz helyi rendszergazdai fiókjának adatainak megtekintése.
  • Manuálisan forgassa el a felügyelt fiók jelszavát.
  • Jelentések használata LAPS-szabályzathoz.

A szabályzatok létrehozása előtt ismerkedjen meg a Windows LAPS Microsoft Intune támogatásával kapcsolatos információkkal, beleértve a következőket:

  • Áttekintés Intune Windows LAPS-szabályzatáról és képességeiről.
  • Az Intune-szabályzatok LAPS-hez való használatának előfeltételei.
  • A fiók szerepköralapú rendszergazdai (RBAC) engedélyeinek a LAPS-szabályzat kezeléséhez kell tartoznia.
  • Gyakori kérdések, amelyek betekintést nyújtanak Intune LAPS-szabályzat konfigurálásához és használatához.

Érintett szolgáltatás:

  • Windows 10 rendszer esetén
  • Windows 11

Tudnivalók Intune LAPS-szabályzatról

Intune támogatja a Windows LAPS konfigurálását az eszközökön a végpontbiztonsági fiókvédelmi szabályzat helyi rendszergazdai jelszómegoldási (Windows LAPS) profilján keresztül.

Intune házirendek a Laps szolgáltatást a Windows LAPS konfigurációs szolgáltató (CSP) használatával kezelik. A Windows LAPS CSP-konfigurációk elsőbbséget élveznek , és felülírják a más LAPS-forrásokból származó meglévő konfigurációkat, például a GPO-kat vagy az örökölt Microsoft LAPS eszközt.

A Windows LAPS lehetővé teszi egyetlen helyi rendszergazdai fiók felügyeletét eszközönként. Intune házirend a Rendszergazdai fiók neve házirendbeállítással megadhatja, hogy melyik helyi rendszergazdai fiókra vonatkozik. Ha a szabályzatban megadott fióknév nincs jelen az eszközön, a rendszer nem felügyeli a fiókot. Ha azonban a rendszergazdai fiók neve üres, a szabályzat alapértelmezés szerint az eszközök beépített helyi rendszergazdai fiókjára vonatkozik, amelyet az ismert relatív azonosító (RID) azonosít.

Megjegyzés:

A szabályzatok létrehozása előtt győződjön meg arról, hogy teljesülnek a windowsos LAPS-t támogató Intune előfeltételei a bérlőben.

Intune LAPS-szabályzatai nem hoznak létre új fiókokat vagy jelszavakat. Ehelyett egy olyan fiókot kezelnek, amely már megtalálható az eszközön.

Gondosan konfigurálja és rendelje hozzá a LAPS-szabályzatokat. A Windows LAPS CSP egyetlen konfigurációt támogat az eszköz minden LAPS-beállításához. Az ütköző beállításokat tartalmazó több Intune szabályzatot kapó eszközök nem tudják feldolgozni a szabályzatot. Az ütközések megakadályozhatják a felügyelt helyi rendszergazdai fiók és jelszó biztonsági mentését a bérlői címtárba.

A lehetséges ütközések csökkentése érdekében javasoljuk, hogy minden eszközhöz eszközcsoportokon, és ne felhasználói csoportokon keresztül rendeljen hozzá egyetlen LAPS-szabályzatot. Bár a LAPS-szabályzat támogatja a felhasználói csoportok hozzárendelését, a LAPS-konfigurációk módosításának ciklusát eredményezhetik minden alkalommal, amikor egy másik felhasználó jelentkezik be egy eszközre. A gyakran változó szabályzatok ütközéseket okozhatnak, az eszközök nem felelnek meg a követelményeknek, és zavart okozhatnak azzal kapcsolatban, hogy jelenleg melyik helyi rendszergazdai fiókot kezelik egy eszközről.

LAPS-szabályzat létrehozása

Fontos

Győződjön meg arról, hogy engedélyezte a LAPS-t a Microsoft Entra-ben, a Windows LAPS engedélyezése Microsoft Entra ID dokumentációban leírtak szerint.

A LAPS-szabályzat létrehozásához vagy kezeléséhez a fióknak rendelkeznie kell a Biztonsági alapkonfiguráció kategóriából származó megfelelő jogosultságokkal. Alapértelmezés szerint ezek az engedélyek a beépített Endpoint Security Manager szerepkör részét képezik. Az egyéni szerepkörök használatához győződjön meg arról, hogy az egyéni szerepkör tartalmazza a Biztonsági alapkonfigurációk kategória jogosultságait . Lásd: Laps szerepköralapú hozzáférés-vezérlése.

Mielőtt létrehoz egy szabályzatot, a Windows LAPS CSP dokumentációjában áttekintheti az elérhető beállítások részleteit.

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba, lépjen a Végpontbiztonsági>fiókvédelem elemre, majd válassza a Szabályzat létrehozása lehetőséget.

    Képernyőkép arról, hogy a Felügyeleti központban hol hozhat létre LAPS-szabályzatot.

    Állítsa a Platform beállítást Windows 10 vagy újabb verzióra, a Profilbeállítást a Helyi rendszergazdai jelszómegoldás (Windows LAPS) értékre, majd válassza a Létrehozás lehetőséget.

  2. Az Alapok területen adja meg a következő tulajdonságokat:

    • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket.
    • Leírás: Itt adhatja meg a profil leírását. Ez a beállítás nem kötelező, de ajánlott.

  3. A Konfigurációs beállítások területen konfigurálja a Biztonsági mentési címtár beállítását a helyi rendszergazdai fiók biztonsági mentéséhez használandó címtár típusának meghatározásához. Dönthet úgy is, hogy nem készít biztonsági másolatot a fiókról és a jelszóról. A címtár típusa azt is meghatározza, hogy mely további beállítások érhetők el ebben a szabályzatban.

    Képernyőkép a Biztonsági mentési könyvtár beállítás beállításairól.

    Fontos

    Szabályzat konfigurálásakor ne feledje, hogy a szabályzatban szereplő biztonsági mentési könyvtár típusát annak az eszköznek az illesztési típusának kell támogatnia, amelyhez a szabályzat hozzá van rendelve. Ha például a címtárat Active Directoryra állítja, és az eszköz nem csatlakozik tartományhoz (de a Microsoft Entra tagja), az eszköz hiba nélkül alkalmazhatja Intune házirend-beállításait, de az eszközön lévő LAPS nem fogja tudni sikeresen használni ezt a konfigurációt a fiók biztonsági mentéséhez.

    A Backup Directory konfigurálása után tekintse át és konfigurálja az elérhető beállításokat, hogy megfeleljenek a szervezet követelményeinek.

  4. A Hatókörcímkék lapon válassza ki az alkalmazni kívánt hatókörcímkéket, majd válassza a Tovább gombot.

  5. A Hozzárendelések beállításnál válassza ki a szabályzatot fogadó csoportokat. Javasoljuk, hogy a LAPS-szabályzatot eszközcsoportokhoz rendelje. A felhasználói csoportokhoz rendelt szabályzatok eszközről eszközre követik a felhasználót. Amikor egy eszköz felhasználója megváltozik, egy új szabályzat vonatkozhat az eszközre, és inkonzisztens viselkedést eredményezhet, beleértve azt is, hogy az eszköz melyik fiókról készít biztonsági másolatot, vagy amikor a felügyelt fiókok jelszava legközelebb rotálva lesz.

    Megjegyzés:

    Mint minden Intune házirend esetében, amikor egy új szabályzat vonatkozik egy eszközre, Intune megpróbálja értesíteni az eszközt a szabályzat beadásáról és feldolgozásáról.

    Amíg egy eszköz sikeresen be nem jelentkezik a Intune és sikeresen feldolgozza a LAPS-szabályzatát, a felügyelt helyi rendszergazdai fiók adatai nem lesznek elérhetők a felügyeleti központban.

    További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

  6. A Felülvizsgálat + létrehozás területen tekintse át a beállításokat, majd válassza a Létrehozás lehetőséget. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A szabályzat a szabályzatlistában is megjelenik.

Eszközműveletek állapotának megtekintése

Ha a fiók rendelkezik az alapkonfigurációk biztonsági engedélyeivel egyenértékű engedélyekkel, amelyek jogosultságokat biztosítanak a végpont biztonsági tevékenységprofiljának összes szabályzatsablonjához, a Intune Felügyeleti központban megtekintheti az eszközhöz kért eszközműveletek állapotát.

További információ: Laps szerepköralapú hozzáférés-vezérlése.

  1. A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz területre, és válasszon ki egy olyan eszközt, amely helyi rendszergazdai fiók biztonsági mentésére szolgáló LAPS-szabályzattal rendelkezik. Intune megjeleníti az eszközök Áttekintés panelét.

  2. Az eszköz Áttekintés paneljén megtekintheti az Eszközműveletek állapotát. A korábban kért műveletek és függőben lévő műveletek megjelennek, beleértve a kérés időpontját, valamint azt, hogy a művelet sikertelen vagy sikeres volt-e. Az alábbi képernyőképen egy eszköz helyi Rendszergazda-fiókjának jelszava sikeresen el lett forgatva.

    Képernyőkép egy eszköz eszközműveleteinek állapotáról, egy művelettel és egy függőben lévő aktuális művelettel.

  3. Ha kiválaszt egy műveletet a listából, megnyílik az Eszközművelet állapota panel, amely további részleteket jeleníthet meg a műveletről.

Fiók és jelszó részleteinek megtekintése

A fiók és a jelszó adatainak megtekintéséhez a fióknak az alábbi Microsoft Entra engedélyek egyikével kell rendelkeznie:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Az alábbi módszerekkel adhat ilyen engedélyeket a fiókoknak:

Hozzon létre és rendeljen hozzá egy egyéni szerepkört a Microsoft Entra ID, amely megadja ezeket az engedélyeket. Lásd: Egyéni szerepkör létrehozása és hozzárendelése Microsoft Entra ID a Microsoft Entra dokumentációjában.

További információ: Laps szerepköralapú hozzáférés-vezérlése.

  1. A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz> elemre, és válasszon ki egy Windows-eszközt az Áttekintés panel megnyitásához.

    Az áttekintő panelen megtekintheti az eszközök eszközműveleteinek állapotát. Az állapot megjeleníti az aktuális és a korábbi műveleteket, például a jelszóváltást.

  2. Az eszközök Áttekintés paneljén, a Monitorozás alatt válassza a Helyi rendszergazdai jelszó lehetőséget. Ha a fiókja rendelkezik a megfelelő engedélyekkel, megnyílik az eszköz Helyi rendszergazdai jelszó panelje, amely ugyanaz a nézet, amely a Azure Portal belülről érhető el.

    Képernyőkép egy Windows-eszköz helyi rendszergazdai jelszópaneljéről.

    Az alábbi információk a felügyeleti központban tekinthetők meg. A helyi rendszergazdai jelszó azonban csak akkor tekinthető meg, ha a fiókról biztonsági másolatot készült Microsoft Entra. Nem tekinthető meg egy helyi Active Directory (Windows Server Active Directory) biztonsági mentéssel rendelkező fiók esetén:

    • Fiók neve – Annak a helyi rendszergazdai fióknak a neve, amelyről biztonsági másolatot készült az eszközről.
    • Biztonsági azonosító – Az eszközről biztonsági másolatot készítő fiók jól ismert biztonsági azonosítója.
    • Helyi rendszergazdai jelszó – Alapértelmezés szerint el van rejtve. Ha a fiókja rendelkezik engedéllyel, a Megjelenítés lehetőséget választva megjelenítheti a jelszót. Ezután a Másolás lehetőséggel átmásolhatja a jelszót a vágólapra. Ezek az információk nem érhetők el az helyi Active Directory biztonsági másolatot készítő eszközökhöz.
    • Utolsó jelszóváltoztatás – UTC-ben a jelszó legutóbbi módosításának vagy a szabályzat által történő elforgatásának dátuma és időpontja.
    • Következő jelszóváltás – UTC-ben a jelszó szabályzatonkénti elforgatásának következő dátuma és időpontja.

Az eszközök fiók- és jelszóadatainak megtekintéséhez az alábbi szempontokat kell figyelembe venni:

  • A helyi rendszergazdai fiók jelszavának beolvasása (megtekintése) naplózási eseményt vált ki.

  • A következő eszközök jelszóadatai nem tekinthetők meg:

    • Olyan eszközök, amelyek helyi rendszergazdai fiókjáról biztonsági másolatot készít egy helyi Active Directory
    • Azok az eszközök, amelyek a fiók jelszavának biztonsági mentéséhez az Active Directoryt használják.

Jelszavak manuális elforgatása

A LAPS-szabályzat a fiókjelszavak automatikus rotálásának ütemezését tartalmazza. Az ütemezett rotáció mellett a helyi rendszergazdai jelszó elforgatása Intune eszközművelettel manuálisan is elforgathatja az eszközök jelszavát az eszközök LAPS-szabályzata által beállított rotációs ütemezéstől függetlenül.

Az eszközművelet használatához a fióknak a következő három Intune engedéllyel kell rendelkeznie:

  • Felügyelt eszközök: Olvasás
  • Szervezet: Olvasás
  • Távoli feladatok: Helyi Rendszergazda jelszavának elforgatása

Lásd: Laps szerepköralapú hozzáférés-vezérlése.

Jelszó elforgatása

  1. A Microsoft Intune Felügyeleti központban lépjen az Eszközök>Minden eszköz területre, és válassza ki az elforgatni kívánt fiókot tartalmazó Windows-eszközt.

  2. Az eszköz részleteinek megtekintése közben bontsa ki a menüsáv jobb oldalán található három pontot (...) az elérhető lehetőségek megjelenítéséhez, majd válassza a Helyi rendszergazdai jelszó elforgatása lehetőséget.

    Képernyőkép az eszközműveletek kibontott menübeállításairól.

  3. Ha a Helyi rendszergazdai jelszó elforgatása lehetőséget választja, Intune figyelmeztetést jelenít meg, amely megerősítést igényel a jelszó elforgatása előtt.

    Miután megerősítette a jelszó elforgatási szándékát, Intune elindítja a folyamatot, ami eltarthat néhány percig. Ez idő alatt az eszközadatok panelen megjelenik egy szalagcím és egy Eszközműveletek állapota , amely jelzi, hogy a művelet Függőben állapotú.

A sikeres forgatás után a megerősítés Kész állapotúként jelenik meg az Eszközműveletek állapotban.

A jelszó manuális rotálásával kapcsolatos szempontok a következők:

  • A Helyi rendszergazdai jelszó elforgatása eszközművelet minden Windows-eszközön elérhető, de minden olyan eszköz, amely nem mentette sikeresen a fiókjáról és a jelszóadatairól készült biztonsági mentést, nem tud rotálási kérést végrehajtani.

  • Minden manuális rotálási kísérlet naplózási eseményt eredményez. Az ütemezett jelszóváltások naplóznak egy naplózási eseményt is.

  • A jelszó manuális rotálásakor a jelszó következő ütemezett rotálásának ideje alaphelyzetbe áll. A következő ütemezett rotáció időpontjának kezelése a LAPS-szabályzat PasswordAgeDays beállításával történik.

    Így működik: Egy eszköz március 1-jén kap egy szabályzatot, amely 10 napra állítja a PasswordAgeDays beállítást. Ennek eredményeképpen az eszköz 10 nap elteltével, március 11-én automatikusan elforgatja a jelszavát. Március 5-én egy rendszergazda manuálisan elforgatja az eszköz jelszavát, és olyan műveletet hajt végre, amely visszaállítja a PasswordAgeDays kezdő dátumát március 5-ére. Ennek eredményeképpen az eszköz 10 nappal később, március 15-én automatikusan elforgatja a jelszavát.

  • Microsoft Entra csatlakoztatott eszközök esetén az eszköznek online állapotban kell lennie a manuális rotálás kérelmezésekor. Ha az eszköz a kérés időpontjában nincs online állapotban, az hibát eredményez.

  • A jelszóváltás tömeges műveletként nem támogatott. Egyszerre csak egyetlen eszközt forgathat el.

Szabályzatütközések elkerülése

Az alábbi részletek segíthetnek elkerülni az ütközéseket, és megérteni a LAPS-szabályzattal felügyelt eszközök várható viselkedését.

Ha egy sikeres szabályzattal rendelkező eszközhöz két vagy több szabályzat van hozzárendelve, amelyek ütközést vezetnek be:

  • Az eszközön használt beállítások az utolsó beállításnál maradnak az eszközön. Mindkét szabályzat, az eredeti és az új ütközőként jelent.
  • Az ütközés feloldásához távolítsa el a szabályzat-hozzárendeléseket, amíg az ütköző szabályzat nem lép érvénybe, vagy konfigurálja újra a megfelelő szabályzatokat, hogy ugyanazt a konfigurációt állítsa be, eltávolítva az ütközést.

Ha egy olyan eszköz, amely nem rendelkezik LAPS-szabályzattal, két ütköző szabályzatot kap egyszerre:

  • A rendszer nem küldi el a beállításokat az eszköznek, és mindkét szabályzat ütközésként lesz jelentve.
  • Amíg az ütközések megmaradnak, a szabályzatok beállításai nem vonatkoznak az eszközre.

Az ütközések feloldásához el kell távolítania a szabályzat-hozzárendeléseket az eszközről, vagy újra kell konfigurálnia a beállításokat a vonatkozó szabályzatokban, amíg nem marad több ütközés.

Kapcsolódó tartalom