Che cos'è Windows LAPS?
La soluzione di gestione delle password dell'amministratore locale di Windows (Windows LAPS) è una funzionalità di Windows che gestisce automaticamente e salva in backup la password di un account amministratore locale sui dispositivi connessi a Microsoft Entra o a Windows Server Active Directory. È anche possibile usare Windows LAPS per gestire ed eseguire automaticamente il backup della password dell'account della modalità ripristino servizi directory (DSRM) nei controller di dominio Active Directory di Windows Server. Un amministratore autorizzato può recuperare la password DSRM e usarla.
Piattaforme con supporto per Windows LAPS
Windows LAPS è disponibile nelle piattaforme del sistema operativo seguenti:
- Windows 11 23H2 e versioni successive del client Windows
- Windows Server 23H2 e versioni successive di Windows Server
- Windows 11 22H2 - Aggiornamento dell'11 aprile 2023 e versioni successive
- Windows 11 21H2 - Aggiornamento del 11 aprile 2023 e versioni successive
- Windows 10 - Aggiornamento del 11 aprile 2023 e versioni successive
- Windows Server 2022 - Aggiornamento di aprile 11 2023 e versioni successive
- Windows Server 2019 - Aggiornamento di aprile 11 2023 e versioni successive
Tutte le edizioni supportate di queste piattaforme sono state aggiornate con Windows LAPS, incluse le edizioni LTSC (Long-Term Servicing Channel). L'introduzione della funzionalità Windows LAPS non modifica i criteri standard del ciclo di vita dei prodotti Microsoft.
Windows LAPS e Microsoft Entra ID
Windows LAPS con Microsoft Entra ID e supporto di Microsoft Intune è disponibile a livello generale a partire dal 23 ottobre 2023. Per altre informazioni, vedere Soluzione Password Amministratore Locale di Windows con Microsoft Entra ID ora generalmente disponibile! e Soluzione Password Amministratore Locale di Windows in Microsoft Entra ID.
Vantaggi dell'uso di Windows LAPS
Usare Windows LAPS per ruotare e gestire regolarmente le password degli account amministratore locali e ottenere i vantaggi seguenti:
- Protezione dagli attacchi pass-the-hash e dagli attacchi di movimento laterale
- Maggiore sicurezza per gli scenari del supporto tecnico remoto
- Possibilità di accedere ai dispositivi inaccessibili e ripristinarli
- Modello di sicurezza con granularità fine (elenchi di controllo di accesso e crittografia opzionale delle password) per la protezione delle password archiviate in Windows Server Active Directory
- Supporto per il modello di controllo degli accessi in base al ruolo Microsoft Entra per la protezione delle password archiviate in Microsoft Entra ID
Video informativi
I video seguenti offrono un modo informativo per visualizzare altre informazioni sulla funzionalità LAPS di Windows.
Presentazione Windows Technical Takeoff (novembre 2022):
Discussione su come affrontare la tecnologia di Windows (agosto 2023):
Scenari chiave di Windows LAPS
È possibile usare Windows LAPS in diversi scenari chiave:
Eseguire il backup delle password dell'account amministratore locale in Microsoft Entra ID (per i dispositivi aggiunti a Microsoft Entra)
Backup delle password dell'account amministratore locale in Windows Server Active Directory (per client e server aggiunti a Windows Server Active Directory)
Backup delle password dell'account DSRM in Windows Server Active Directory (per i controller di dominio Windows Server Active Directory)
Backup delle password dell'account amministratore locale in Windows Server Active Directory usando Microsoft LAPS legacy
In ogni scenario è possibile applicare impostazioni dei criteri diverse.
Comprendere le restrizioni sullo stato di unione del dispositivo
Il fatto che un dispositivo sia aggiunto a Microsoft Entra ID o Windows Server Active Directory determina la modalità di utilizzo di Windows LAPS.
- I dispositivi aggiunti solo a Microsoft Entra ID possono eseguire il backup delle password solo in Microsoft Entra ID.
- I dispositivi aggiunti solo a Windows Server Active Directory possono eseguire il backup delle password solo in Windows Server Active Directory.
- I dispositivi aggiunti ibridi (aggiunti sia a Microsoft Entra ID che a Windows Server Active Directory) possono eseguire il backup delle password in Microsoft Entra ID o in Windows Server Active Directory.
Non è possibile eseguire il backup delle password sia in Microsoft Entra ID che in Windows Server Active Directory.
Windows LAPS non supporta i client collegati al luogo di lavoro di Microsoft Entra.
Impostare i criteri di Windows LAPS
Per configurare e gestire i criteri per la distribuzione di Windows LAPS, sono disponibili più opzioni:
- Provider di servizi di configurazione (CSP) di Windows LAPS
- Criteri di gruppo di Windows LAPS
- Legacy Microsoft LAPS
Gestire e monitorare Windows LAPS
Sono disponibili anche varie opzioni per gestire e monitorare Windows LAPS.
Le opzioni per Windows includono:
- Proprietà di Utenti e Computer di Active Directory di Windows Server.
- Canale del registro eventi dedicato.
- Un modulo di Windows PowerShell specifico per Windows LAPS.
Le soluzioni di monitoraggio e creazione di report basate su entra sono disponibili quando si esegue il backup delle password in Microsoft Entra ID.
Deprecazione del prodotto Microsoft LAPS legacy
Importante
Il prodotto Microsoft LAPS legacy è obsoleto da Windows 11 23H2 e versioni successive. L'installazione del pacchetto microsoft LAPS Microsoft Installer (MSI) legacy è bloccata nelle versioni più recenti del sistema operativo e Microsoft non considera più le modifiche al codice per il prodotto Microsoft LAPS legacy.
Usare Windows LAPS per la gestione delle password dell'account amministratore locale. Windows LAPS è disponibile in Windows Server 2019 e versioni successive e nei client Windows 10 e Windows 11 supportati.
Microsoft continuerà a supportare il prodotto Microsoft LAPS legacy nelle versioni precedenti di Windows (precedenti a Windows 11 23H2) in cui era supportato in precedenza. Tale supporto terminerà alla fine normale del supporto per tali versioni del sistema operativo.
Differenze tra Windows LAPS e Microsoft LAPS legacy
Windows LAPS eredita molti concetti di progettazione da Microsoft LAPS legacy. Se si ha familiarità con Microsoft LAPS legacy, molte funzionalità di Windows LAPS sono già note. Una differenza fondamentale è che Windows LAPS è un'implementazione completamente separata, nativa di Windows. Windows LAPS aggiunge inoltre molte funzionalità che non sono disponibili in Microsoft LAPS legacy. Puoi usare Windows LAPS per eseguire il backup delle password in Microsoft Entra ID, crittografare le password in Windows Server Active Directory e archiviare la cronologia delle password.
Importante
Windows LAPS non richiede l'installazione di Microsoft LAPS legacy. È possibile distribuire e usare tutte le funzionalità di Windows LAPS senza installare o fare riferimento a Microsoft LAPS legacy. Tuttavia, per facilitare la migrazione di una distribuzione di Microsoft LAPS legacy esistente, Windows LAPS offre la modalità di emulazione di Microsoft LAPS legacy.
Importante
Il prodotto Microsoft LAPS legacy è deprecato nelle versioni più recenti del sistema operativo Microsoft. Per ulteriori informazioni, vedere abbandono del vecchio prodotto Microsoft LAPS.
Dichiarazione di supporto
Microsoft ha rilasciato il prodotto Microsoft LAPS versione classica nel calendario 2016 sul Centro download Microsoft. Windows LAPS è stato distribuito come parte degli aggiornamenti di Windows rilasciati l'11 aprile 2023, per i seguenti sistemi elencati in Windows LAPS e Microsoft Entra ID.
Microsoft e la sua organizzazione di distribuzione di supporto offrono supporto assistito per Microsoft LAPS e Windows LAPS, inclusa l'interoperabilità tra i due prodotti.
Importante
Il prodotto Microsoft LAPS legacy è deprecato nelle versioni più recenti del sistema operativo Microsoft. Per altre informazioni, vedere deprecazione del prodotto Microsoft LAPS legacy.
È consigliabile iniziare a pianificare ora di eseguire la migrazione dei sistemi con supporto per Windows LAPS dall'uso di Microsoft LAPS legacy alla funzionalità LAPS di Windows. Windows LAPS offre numerose nuove funzionalità di sicurezza e un supporto del prodotto migliorato.
Le domande sulle limitazioni e sull'interoperabilità tra gli strumenti di gestione delle password degli account locali di terze parti e Windows LAPS devono essere indirizzate allo sviluppatore di applicazioni di terze parti, non a Microsoft.
Requisiti di licenza
La funzionalità Windows LAPS è disponibile gratuitamente in tutte le piattaforme Windows supportate.
È possibile eseguire il backup delle password in Windows Server Active Directory senza altri requisiti di licenza.
È possibile eseguire il backup delle password in Microsoft Entra ID con una licenza Microsoft Entra ID Free o versione successiva.
Altre funzionalità correlate a Entra o correlate a Intune possono avere altri requisiti di licenza.
Invia commenti
Se si vuole inviare feedback, È possibile inviare domande specifiche del documento tramite i collegamenti di feedback nella parte inferiore di questa pagina.
È inoltre possibile inviare commenti e suggerimenti e altre richieste tramite la pagina della community tecnica di feedback di Windows LAPS.
Se il feedback è specifico per la funzionalità LAPS correlata a Microsoft Entra ID o correlata a Intune, è possibile inviare commenti e suggerimenti tramite il forum di feedback di Microsoft Entra .
Se non si è certi della posizione in cui devono essere inviati i commenti e suggerimenti, inviarli usando una di queste opzioni.
Vedi anche
- Presentazione della soluzione per la password dell'amministratore locale di Windows con Microsoft Entra ID
- Soluzione per la password dell'amministratore locale di Windows in Microsoft Entra ID.
- Soluzione Password Amministratore Locale di Windows con Microsoft Entra ID ora generalmente disponibile!
- Supporto di Microsoft Intune per Windows LAPS
- LAPS CSP
- guida alla risoluzione dei problemi di Windows LAPS
- Riferimento al modulo PowerShell LAPS
- Legacy di Microsoft LAPS