A Windows LAPS Microsoft Intune támogatása

Minden Windows rendszerű gép rendelkezik egy beépített helyi rendszergazdai fiókkal, amely nem törölhető, és amely teljes körű engedélyekkel rendelkezik az eszközhöz. A fiók biztonságossá tétele fontos lépés a szervezet biztonságossá tételében. A Windows-eszközök közé tartozik a Windows helyi rendszergazdai jelszómegoldás (LAPS), amely egy beépített megoldás a helyi rendszergazdai fiókok kezeléséhez.

A fiókvédelemhez Microsoft Intune végpontbiztonsági szabályzatokkal kezelheti a LAPS-t az Intune regisztrált eszközökön. Intune szabályzatok a következőket tehetik:

• A helyi rendszergazdai fiókok jelszókövetelményeinek kényszerítése
• Helyi rendszergazdai fiók biztonsági mentése az eszközökről az Active Directoryba (AD) vagy Microsoft Entra
• A fiókjelszavak rotálásának ütemezése a biztonság érdekében.

A felügyelt helyi rendszergazdai fiókok adatait a Intune Rendszergazda központban is megtekintheti, és manuálisan elforgathatja a fiókjelszavakat az ütemezett rotáción kívül.

A Intune LAPS-szabályzatok használata segít megvédeni a Windows-eszközöket a helyi felhasználói fiókok, például a pass-the-hash vagy az lateral-traversal támadások elleni támadásoktól. A LAPS Intune használatával történő kezelése segíthet a távoli ügyfélszolgálati forgatókönyvek biztonságának javításában és az egyébként elérhetetlen eszközök helyreállításában.

Intune LAPS-szabályzat a Windows LAPS CSP-ből elérhető beállításokat kezeli. Intune CSP használata felváltja az örökölt Microsoft LAPS vagy más LAPS felügyeleti megoldások használatát, és a CSP elsőbbséget élvez a többi LAPS felügyeleti forrással szemben.

Intune Windows LAPS támogatása a következő képességeket tartalmazza:

• Jelszókövetelmények beállítása – Megadhatja a jelszóra vonatkozó követelményeket, beleértve az eszköz helyi rendszergazdai fiókjának összetettségét és hosszát.
• Jelszavak rotálása – A házirenddel az eszközök automatikusan, ütemezés szerint elforgathatják a helyi rendszergazdai fiók jelszavát. A Intune Felügyeleti központban manuálisan is elforgathatja az eszköz jelszavát eszközműveletként.
• Fiókok és jelszavak biztonsági mentése – Beállíthatja, hogy az eszközök biztonsági másolatot készítsenek a fiókjukról és a jelszavukról a felhőben Microsoft Entra ID vagy a helyi Active Directory. A jelszavak tárolása erős titkosítással történik.
• Hitelesítés utáni műveletek konfigurálása – Meghatározza azokat a műveleteket, amelyeket az eszköz a helyi rendszergazdai fiók jelszavának lejártakor hajt végre. A műveletek köre a felügyelt fiók alaphelyzetbe állításától az új biztonságos jelszóig, a fiók kijelentkeztetésétől, illetve az eszköz bekapcsolásától kezdve terjedhet. Azt is kezelheti, hogy az eszköz mennyi ideig várjon a jelszó lejárata után, mielőtt végrehajtja ezeket a műveleteket.
• Fiókadatok megtekintése – Intune megfelelő szerepköralapú rendszergazdai (RBAC) engedélyekkel rendelkező rendszergazdák megtekinthetik az eszközök helyi rendszergazdai fiókjával és aktuális jelszavával kapcsolatos információkat. Azt is láthatja, hogy mikor forgotta el utoljára a jelszót (alaphelyzetbe állította), és mikorra ütemezte a következő váltást.
• Jelentések megtekintése – Intune jelentéseket biztosít a jelszórotálásról, beleértve a korábbi manuális és ütemezett jelszórotálás részleteit.

A Windows LAPS szolgáltatással kapcsolatos további információkért kezdje az alábbi cikkekkel a Windows dokumentációjában:

• Mi az a Windows LAPS? – A Windows LAPS és a Windows LAPS dokumentációjának bemutatása.
• Windows LAPS CSP – A LAPS-beállítások és -beállítások teljes részleteinek megtekintése. Intune LAPS szabályzata ezeket a beállításokat használja a LAPS CSP konfigurálásához az eszközökön.

Érintett szolgáltatás:

• Windows 10 rendszer esetén
• Windows 11

Előfeltételek

A következő követelmények vonatkoznak arra, hogy Intune támogassa a Windows LAPS-t a bérlőjében:

Licencelési követelmények

• Intune előfizetés - Microsoft Intune 1-es csomag, amely az alapszintű Intune-előfizetés. A Windows LAPS-t ingyenes próba-előfizetéssel is használhatja a Intune.

• Microsoft Entra ID – Microsoft Entra ID Ingyenes, amely a Microsoft Entra ID ingyenes verziója, amelyet a Intune előfizetése tartalmaz. Az ingyenes Microsoft Entra ID az LAPS összes funkcióját használhatja.

Active Directory-támogatás

Intune Windows LAPS szabályzata konfigurálhat egy eszközt egy helyi rendszergazdai fiók és jelszó biztonsági mentésére az alábbi címtártípusok egyikére:

• Felhő – A felhő a következő esetekben támogatja a biztonsági mentést a Microsoft Entra ID:

  • hibrid csatlakozás Microsoft Entra

  • Microsoft Entra csatlakozás

    A Microsoft Entra csatlakozás támogatásához engedélyeznie kell az LAPS-t a Microsoft Entra ID. Az alábbi lépések segíthetnek a konfiguráció végrehajtásában. A nagyobb kontextus érdekében tekintse meg ezeket a lépéseket a Windows LAPS engedélyezése Microsoft Entra ID című Microsoft Entra dokumentációjában. Microsoft Entra hibrid csatlakozáshoz nincs szükség a LAPS engedélyezésére Microsoft Entra.

    LAPS engedélyezése Microsoft Entra:

    1. Jelentkezzen be a Microsoft Entra felügyeleti központfelhőeszköz-rendszergazdaként.
    2. Lépjen az Identitáseszközök>>áttekintő>eszközbeállítások területre.
    3. Válassza az Igen lehetőséget a Helyi rendszergazdai jelszómegoldás (LAPS) beállításnál , majd válassza a Mentés lehetőséget. A Microsoft Graph API Update deviceRegistrationPolicy parancsot is használhatja.

    További információ: Windows helyi rendszergazdai jelszómegoldás a Microsoft Entra dokumentációjában Microsoft Entra ID.

• Helyszíni – A helyszíni rendszer támogatja az Windows Server Active Directory (helyi Active Directory) biztonsági mentését.

  Fontos

  A Windows-eszközökön futó LAPS konfigurálható úgy, hogy az egyik címtártípust vagy a másikat használja, de mindkettőt nem. Azt is vegye figyelembe, hogy a biztonsági mentési könyvtárat az eszközök csatlakoztatási típusának kell támogatnia – ha a címtárat egy helyi Active Directory állítja be, és az eszköz nincs tartományhoz csatlakoztatva, akkor az elfogadja a Intune házirend-beállításait, de az LAPS nem tudja sikeresen használni ezt a konfigurációt.

Eszköz kiadása és platformja

Az eszközök bármilyen windowsos kiadással rendelkezhetnek, amelyet Intune támogatnak, de a Windows LAPS CSP támogatásához az alábbi verziók egyikét kell futtatniuk:

• Windows 10, 22H2-es verzió (19045.2846-os vagy újabb) KB5025221
• Windows 10, 21H2-es verzió (19044.2846-os vagy újabb) KB5025221
• Windows 10, 20H2-es verzió (19042.2846-os vagy újabb) KB5025221
• Windows 11, 22H2-es verzió (22621.1555-ös vagy újabb) KB5025239
• Windows 11, 21H2-es verzió (22000.1817-es vagy újabb) KB5025224

GCC Magas szintű támogatás

Intune Windows LAPS-szabályzat a GCC High-környezetekben támogatott.

Szerepköralapú hozzáférés-vezérlés LAPS-hez

A LAPS kezeléséhez a fióknak megfelelő szerepköralapú hozzáférés-vezérlési (RBAC) engedélyekkel kell rendelkeznie a kívánt feladat elvégzéséhez. A következő feladatok érhetők el a szükséges engedélyekkel:

• LAPS-szabályzat létrehozása és elérése – A LAPS-szabályzatok használatához és megtekintéséhez a fióknak megfelelő engedélyeket kell hozzárendelnie a biztonsági alapkonfigurációk Intune RBAC-kategóriájához. Alapértelmezés szerint ezek a Intune beépített Endpoint Security Manager szerepkör részét képezik. Az egyéni szerepkörök használatához győződjön meg arról, hogy az egyéni szerepkör tartalmazza a Biztonsági alapkonfigurációk kategória jogosultságait .

• Helyi rendszergazdai jelszó rotálása – Ha a Intune Felügyeleti központot szeretné használni az eszközök helyi rendszergazdai fiók jelszavának megtekintéséhez vagy elforgatásához, a fiókjához a következő Intune engedélyeket kell hozzárendelni:

  • Felügyelt eszközök: Olvasás
  • Szervezet: Olvasás
  • Távoli feladatok: Helyi Rendszergazda jelszavának elforgatása

• Helyi rendszergazdai jelszó lekérése – A jelszó részleteinek megtekintéséhez a fióknak az alábbi Microsoft Entra engedélyek egyikével kell rendelkeznie:

  • microsoft.directory/deviceLocalCredentials/password/read laps metaadatok és jelszavak olvasásához.
  • microsoft.directory/deviceLocalCredentials/standard/read az LAPS metaadatainak olvasásához a jelszavak kivételével.

  Az engedélyek megadására jogosult egyéni szerepkörök létrehozásához lásd: Egyéni szerepkör létrehozása és hozzárendelése Microsoft Entra ID a Microsoft Entra dokumentációjában.

• Microsoft Entra auditnaplók és események megtekintése – Az LAPS-szabályzatokkal és a legutóbbi eszközműveletekkel, például a jelszóváltási eseményekkel kapcsolatos részletek megtekintéséhez a fióknak a beépített Intune szerepkörrel megegyező engedélyekkel kell rendelkeznie.

További információ Intune beépített szerepköreiről és egyéni szerepköreiről: Szerepköralapú hozzáférés-vezérlés Microsoft Intune.

LAPS-architektúra

A Windows LAPS architektúrával kapcsolatos további információkért tekintse meg a Windows dokumentációjának Windows LAPS architektúráját ismertető szakaszát.

Gyakori kérdések

Használhatom Intune LAPS-szabályzatot bármely helyi rendszergazdai fiók kezelésére egy eszközön?

Igen, Intune LAPS-szabályzattal az eszköz bármely helyi rendszergazdai fiókját kezelheti. Az LAPS azonban eszközönként csak egy fiókot támogat:

• Ha egy szabályzat nem ad meg fióknevet, Intune az eszköz aktuális nevétől függetlenül kezeli az alapértelmezett beépített rendszergazdai fiókot.
• Módosíthatja az eszközhöz Intune által kezelt fiókot az eszköz hozzárendelt szabályzatának módosításával, vagy az aktuális szabályzat módosításával egy másik fiók megadásához.
• Ha két külön szabályzat van hozzárendelve egy másik fiókot meghatározó eszközhöz, ütközés lép fel, amelyet fel kell oldani az eszköz fiókjának kezelése előtt.

Mi történik, ha Intune laps szabályzatot telepítek egy olyan eszközre, amely már rendelkezik LAPS-konfigurációkkal egy másik forrásból?

Az Intune CSP-alapú szabályzata felülbírálja a LAPS-házirend minden más forrását, például a csoportházirend-objektumokból vagy a régi Microsoft LAPS konfigurációjából. További információ: A támogatott szabályzatgyökerek a Windows LAPS dokumentációjában.

A Windows LAPS létrehozhat helyi rendszergazdai fiókokat a LAPS-szabályzattal konfigurált rendszergazdai fiók neve alapján?

Nem. A Windows LAPS csak az eszközön már létező fiókokat tudja kezelni. Ha egy szabályzat olyan fiókot ad meg név szerint, amely nem létezik az eszközön, a szabályzat érvényes lesz, és nem jelent hibát. A fiókról azonban nem készül biztonsági mentés.

A Windows LAPS elforgatja és biztonsági másolatot készít egy Microsoft Entra letiltott eszköz jelszavával?

Nem. A Windows LAPS megköveteli, hogy az eszköz engedélyezett állapotban legyen, mielőtt a jelszóváltási és biztonsági mentési műveletek alkalmazhatók lennének.

Mi történik, ha egy eszközt törölnek a Microsoft Entra?

Amikor töröl egy eszközt Microsoft Entra, az eszközhöz kapcsolódó LAPS-hitelesítő adatok elvesznek, és a Microsoft Entra ID tárolt jelszó elveszik. Hacsak nincs egyéni munkafolyamata a LAPS-jelszavak lekéréséhez és külső tárolásához, a Microsoft Entra ID nem tudja helyreállítani a LAPS által kezelt jelszót egy törölt eszközhöz.

Milyen szerepkörök szükségesek a LAPS-jelszavak helyreállításához?

A következő beépített Microsoft Entra szerepkörök jogosultak a LAPS-jelszavak helyreállítására: felhőeszköz-rendszergazda és Intune rendszergazda.

Milyen szerepkörök szükségesek a LAPS-metaadatok olvasásához?

Az alábbi beépített Microsoft Entra szerepkörök támogatottak az LAPS metaadatainak megtekintéséhez, beleértve az eszköz nevét, az utolsó jelszó rotálását és a következő jelszóváltást:

• Biztonsági olvasó

A következő szerepköröket is használhatja:

• Felhőeszköz-rendszergazda
• Intune rendszergazda
• Ügyfélszolgálati rendszergazda
• Biztonsági rendszergazda

Miért szürkén jelennek meg és nem érhetők el a Helyi rendszergazda jelszava gomb?

Jelenleg ehhez a területhez való hozzáféréshez helyi rendszergazdai jelszó rotálása Intune engedély szükséges. Lásd: Szerepköralapú hozzáférés-vezérlés Microsoft Intune.

Mi történik a szabályzat által megadott fiók módosításakor?

Mivel a Windows LAPS egyszerre csak egy helyi rendszergazdai fiókot képes kezelni egy eszközön, az eredeti fiókot már nem kezeli a LAPS-szabályzat. Ha a szabályzat biztonsági másolatot készít az eszközről az adott fiókról, az új fiókról biztonsági másolatot készít, és az előző fiók adatai már nem érhetők el a Intune Felügyeleti központban vagy a fiókadatok tárolásához megadott címtárban.

Következő lépések

• Szabályzat létrehozása LAPS-hez
• LAPS-jelentések megtekintése
• Fiókvédelmi szabályzat a végpontbiztonsághoz a Intune