Dela via


Vad är Windows LAPS?

Windows Local Administrator Password Solution (Windows LAPS) är en Windows-funktion som automatiskt hanterar och säkerhetskopierar lösenordet för ett lokalt administratörskonto på dina Microsoft Entra-anslutna eller Windows Server Active Directory-anslutna enheter. Du kan också använda Windows LAPS för att automatiskt hantera och säkerhetskopiera DSRM-kontolösenordet (Directory Services Restore Mode) på dina Windows Server Active Directory-domänkontrollanter. En auktoriserad administratör kan hämta DSRM-lösenordet och använda det.

Plattformar som stöds av Windows LAPS

Windows LAPS är tillgängligt på följande operativsystemplattformar:

Alla utgåvor som stöds av dessa plattformar har uppdaterats med Windows LAPS, inklusive ltsc-utgåvor (long-term servicing channel). Introduktionen av Windows LAPS-funktionen ändrar inte Microsofts standardpolicyer för produktlivscykel.

Windows LAPS och Microsoft Entra ID

Windows LAPS med Microsoft Entra-ID och Microsoft Intune-support är allmänt tillgängligt från och med den 23 oktober 2023. För mer information, se Lösningen för lokala administratörslösenord i Windows med Microsoft Entra ID nu allmänt tillgänglig! och Lösningen för lokala administratörslösenord i Windows i Microsoft Entra ID.

Fördelar med att använda Windows LAPS

Använd Windows LAPS för att regelbundet rotera och hantera lösenord för lokala administratörskonton och få följande fördelar:

  • Skydd mot pass-the-hash- och lateral-traverseringsattacker
  • Förbättrad säkerhet för fjärrhjälpsscenarier
  • Möjlighet att logga in på och återställa enheter som annars inte är tillgängliga
  • En detaljerad säkerhetsmodell (åtkomstkontrollistor och valfri lösenordskryptering) för att skydda lösenord som lagras i Windows Server Active Directory
  • Stöd för rollbaserad åtkomstkontrollmodell för Microsoft Entra för att skydda lösenord som lagras i Microsoft Entra-ID

Informationsvideor

Följande videor är ett informativt sätt att se mer om Windows LAPS-funktionen.

Presentation av Windows Technical Takeoff (november 2022):

Windows Tackling Tech-diskussion (augusti 2023):

Viktiga Windows LAPS-scenarier

Du kan använda Windows LAPS för flera primära scenarier:

  • Säkerhetskopiera lösenord för lokala administratörskonton till Microsoft Entra ID (för Microsoft Entra-anslutna enheter)

  • Säkerhetskopiera lösenord för det lokala administratörskontot till Windows Server Active Directory (för Windows Server Active Directory-anslutna klienter och servrar)

  • Säkerhetskopiera DSRM-kontolösenord till Windows Server Active Directory (för Windows Server Active Directory-domänkontrollanter)

  • Säkerhetskopiera lösenord för lokala administratörskonton till Windows Server Active Directory med hjälp av äldre Microsoft LAPS

I varje scenario kan du använda olika principinställningar.

Förstå begränsningar för enhetsanslutningsstatus

Om en enhet är ansluten till Microsoft Entra ID eller Windows Server Active Directory avgör hur du kan använda Windows LAPS.

  • Enheter som endast är anslutna till Microsoft Entra-ID kan endast säkerhetskopiera lösenord till Microsoft Entra-ID.
  • Enheter som endast är anslutna till Windows Server Active Directory kan endast säkerhetskopiera lösenord till Windows Server Active Directory.
  • Enheter som hybrid-anslutna (anslutna till både Microsoft Entra ID och Windows Server Active Directory) kan säkerhetskopiera sina lösenord antingen till Microsoft Entra-ID eller till Windows Server Active Directory.

Du kan inte säkerhetskopiera lösenord till både Microsoft Entra-ID och Windows Server Active Directory.

Windows LAPS stöder inte Microsoft Entra-klienter som är anslutna till arbetsplatsen.

Ange Windows LAPS-policy

Om du vill konfigurera och hantera principer för din Windows LAPS-distribution har du flera alternativ:

Hantera och övervaka Windows LAPS

Du har också olika alternativ för att hantera och övervaka Windows LAPS.

Alternativ för Windows är:

  • Dialogrutan Egenskaper för Användare och datorer i Windows Server Active Directory.
  • En dedikerad händelseloggkanal.
  • En Windows PowerShell-modul som är specifik för Windows LAPS.

Entra-baserade övervaknings- och rapporteringslösningar är tillgängliga när du säkerhetskopierar lösenord till Microsoft Entra-ID.

Utfasning av den äldre Microsoft LAPS-produkten

Viktig

Den äldre Microsoft LAPS-produkten är inaktuell från och med Windows 11 23H2 och senare. Installationen av det äldre Microsoft LAPS Microsoft Installer-paketet (MSI) blockeras i nyare OS-versioner och Microsoft tar inte längre hänsyn till kodändringar för den äldre Microsoft LAPS-produkten.

Använd Windows LAPS för att hantera lösenord för lokala administratörskonton. Windows LAPS är tillgängligt på Windows Server 2019 och senare och på Windows 10- och Windows 11-klienter som stöds.

Microsoft kommer att fortsätta att stödja den äldre Microsoft LAPS-produkten i äldre versioner av Windows (tidigare än Windows 11 23H2) som den tidigare stöddes på. Det stödet upphör vid det normala slutet av supporten för dessa OS-versioner.

Windows LAPS jämfört med äldre Microsoft LAPS

Windows LAPS ärver många designkoncept från äldre Microsoft LAPS. Om du är bekant med äldre Microsoft LAPS är många Windows LAPS-funktioner bekanta. En viktig skillnad är att Windows LAPS är en helt separat implementering som är inbyggd i Windows. Windows LAPS lägger också till många funktioner som inte är tillgängliga i äldre Microsoft LAPS. Du kan använda Windows LAPS för att säkerhetskopiera lösenord till Microsoft Entra-ID, kryptera lösenord i Windows Server Active Directory och lagra din lösenordshistorik.

Viktig

Windows LAPS kräver inte att du installerar äldre Microsoft LAPS. Du kan distribuera och använda alla Windows LAPS-funktioner helt utan att installera eller referera till äldre Microsoft LAPS. Men för att migrera en befintlig äldre Microsoft LAPS-distribution erbjuder Windows LAPS äldre Microsoft LAPS-emuleringsläge.

Viktig

Den äldre Microsoft LAPS-produkten är inaktuell i nyare Microsoft OS-versioner. Mer information finns i Utfasning av den äldre Microsoft LAPS-produkten.

Uttalande om support

Microsoft släppte den äldre Microsoft LAPS-produkten under kalenderåret 2016 på Microsoft Download Center. Windows LAPS levereras som en del av Windows-uppdateringar som släpptes den 11 april 2023 för de plattformar som anges i Windows LAPS och Microsoft Entra ID.

Microsoft och dess supportleveransorganisation erbjuder assisterad support för både Microsoft LAPS och Windows LAPS, inklusive samverkan mellan de två produkterna.

Viktig

Den äldre Microsoft LAPS-produkten är inaktuell i nyare Microsoft OS-versioner. Mer information finns i Utfasning av den äldre Microsoft LAPS-produkten.

Vi rekommenderar starkt att du börjar planera nu för att migrera dina Windows LAPS-kompatibla system från att använda äldre Microsoft LAPS till Windows LAPS-funktionen. Windows LAPS erbjuder många nya säkerhetsfunktioner och förbättrad produktservice.

Frågor om begränsningar och samverkan mellan lösenordshanteringsverktyg från tredje part och Windows LAPS bör riktas till programutvecklaren från tredje part, inte Microsoft.

Licenskrav

Själva Windows LAPS-funktionen är tillgänglig kostnadsfritt på alla Windows-plattformar som stöds.

Du kan säkerhetskopiera lösenord till Windows Server Active Directory utan några andra licenskrav.

Du kan säkerhetskopiera lösenord till Microsoft Entra-ID med en kostnadsfri eller högre Licens för Microsoft Entra-ID.

Andra Entra-relaterade eller Intune-relaterade funktioner kan ha andra licensieringskrav.

Skicka feedback

Vill du skicka feedback till oss? Skicka gärna dokumentspecifika frågor via feedbacklänkarna längst ned på den här sidan.

Du kan också skicka feedback och andra förfrågningar via Windows LAPS-feedback Tech Community-sidan.

Om din feedback är specifik för Microsoft Entra ID-relaterade eller Intune-relaterade LAPS-funktioner kan du skicka feedback via Microsoft Entra-feedbackforumet.

Om du inte är säker på vart din feedback ska gå skickar du den med något av dessa alternativ.

Se även

Nästa steg