Soluzione per la password dell'amministratore locale di Windows in Microsoft Entra ID.
Ogni dispositivo Windows include un account amministratore locale predefinito che è necessario proteggere e proteggere per attenuare eventuali attacchi Pass-the-Hash (PtH) e attraversamenti laterali. Molti clienti usano il prodotto la soluzione password amministratore locale (LAPS) autonomo per la gestione delle password dell'amministratore locale dei computer Windows aggiunti a un dominio. Con il supporto di Microsoft Entra per Windows LAPS, microsoft offre un'esperienza coerente per i dispositivi aggiunti a Microsoft Entra e Microsoft Entra ibridi.
Il supporto di Microsoft Entra per LAPS include le funzionalità seguenti:
- Abilitazione di Windows LAPS con Microsoft Entra ID : abilitare un criterio a livello di tenant e un criterio lato client per eseguire il backup della password dell'amministratore locale in Microsoft Entra ID.
- Gestione delle password dell'amministratore locale: configurare i criteri lato client per impostare il nome dell'account, l'età della password, la lunghezza, la complessità, la reimpostazione manuale della password e così via.
- Ripristino della password dell'amministratore locale: usare le esperienze API/portale per il ripristino delle password dell'amministratore locale.
- Enumerazione di tutti i dispositivi abilitati per Windows LAPS: usare le esperienze api/portale per enumerare tutti i dispositivi Windows in Microsoft Entra ID abilitato con Windows LAPS.
- Autorizzazione del ripristino delle password dell'amministratore locale: usare i criteri di controllo degli accessi in base al ruolo con ruoli personalizzati e unità amministrative.
- Controllo dell'aggiornamento e del ripristino delle password dell'amministratore locale: usare le esperienze api/portale dei log di controllo per monitorare gli eventi di aggiornamento e ripristino delle password.
- Criteri di accesso condizionale per il ripristino della password dell'amministratore locale: configurare i criteri di accesso condizionale nei ruoli della directory che dispongono dell'autorizzazione di ripristino delle password.
Nota
Windows LAPS con MICROSOFT Entra ID non è supportato per i dispositivi Windows registrati da Microsoft Entra.
La soluzione password amministratore locale non è supportata nelle piattaforme non Windows.
Per altre informazioni su Windows LAPS, iniziare con gli articoli seguenti nella documentazione di Windows:
- Che cos'è Windows LAPS? – Introduzione a Windows LAPS e al set di documentazione di Windows LAPS.
- Provider di servizi di configurazione Windows LAPS: visualizza i dettagli completi per le impostazioni e le opzioni di LAPS. I criteri di Intune per LAPS usano queste impostazioni per configurare il provider di servizi di configurazione LAPS nei dispositivi.
- Supporto di Microsoft Intune per Windows LAPS
- Architettura di Windows LAPS
Requisiti
Aree di Windows e distribuzioni di Linux supportate
Questa funzionalità è ora disponibile nei seguenti cloud di Azure:
- Azure Global
- Azure per enti pubblici
- Microsoft Azure gestito da 21Vianet
Aggiornamenti del sistema operativo
Questa funzionalità è ora disponibile nelle piattaforme del sistema operativo Windows seguenti con l'aggiornamento specificato o una versione successiva installata:
- Windows 11 22H2 - Aggiornamento del 11 aprile 2023
- Windows 11 21H2 - Aggiornamento del 11 aprile 2023
- Windows 10 20H2, 21H2 e 22H2 - Aggiornamento del 11 aprile 2023
- Windows Server 2022 - Aggiornamento del 11 aprile 2023
- Aggiornamento di Windows Server 2019 - 11 2023 11, 2023 11 2023
Tipi di join
LAPS è supportato solo nei dispositivi aggiunti a Microsoft Entra o aggiunti a Microsoft Entra ibrido. I dispositivi registrati Microsoft Entra non sono supportati.
Requisiti di licenza
LAPS è disponibile per tutti i clienti con licenze Microsoft Entra ID Free o versioni successive. Altre funzionalità correlate, ad esempio unità amministrative, ruoli personalizzati, accesso condizionale e Intune, hanno altri requisiti di licenza.
Ruoli o autorizzazioni obbligatori
Oltre ai ruoli predefiniti di Microsoft Entra, ad esempio Amministratore di dispositivi cloud e Amministratore di Intune a cui viene concesso il dispositivo. LocalCredentials.Read.All, è possibile usare ruoli personalizzati o unità amministrative di Microsoft Entra per autorizzare il ripristino delle password dell'amministratore locale. Ad esempio:
Ai ruoli personalizzati deve essere assegnata l'autorizzazione microsoft.directory/deviceLocalCredentials/password/read per autorizzare il ripristino della password dell'amministratore locale. È possibile creare un ruolo personalizzato e concedere le autorizzazioni usando l'interfaccia di amministrazione di Microsoft Entra, l'API Microsoft Graph o PowerShell. Dopo aver creato un ruolo personalizzato, è possibile assegnarlo agli utenti.
È anche possibile creare un'unità amministrativa di Microsoft Entra ID, aggiungere dispositivi e assegnare il ruolo Amministratore dispositivi cloud con ambito all'unità amministrativa per autorizzare il ripristino della password dell'amministratore locale.
Abilitazione di Windows LAPS con Microsoft Entra ID
Per abilitare Windows LAPS con Microsoft Entra ID, è necessario eseguire azioni in Microsoft Entra ID e nei dispositivi da gestire. È consigliabile che le organizzazioni gestiscono Windows LAPS usando Microsoft Intune. Se i dispositivi sono aggiunti a Microsoft Entra ma non usano o non supportano Microsoft Intune, è possibile distribuire manualmente Windows LAPS per Microsoft Entra ID. Per altre informazioni, vedere l'articolo Configurare le impostazioni dei criteri DI Windows LAPS.
Accedere all'interfaccia di amministrazione di Microsoft Entra come almeno un amministratore di dispositivi cloud.
Passare a Identity Devices Overview Device settings (Panoramica>dei dispositivi>di identità)>
Selezionare Sì per l'impostazione Abilita soluzione password amministratore locale (LAPS) e quindi selezionare Salva. È anche possibile usare deviceRegistrationPolicy dell'API Microsoft Graph Update per completare questa attività.
Configurare un criterio sul lato client e impostare BackUpDirectory come ID Microsoft Entra.
- Se si usa Microsoft Intune per gestire i criteri lato client, vedere Gestire Windows LAPS con Microsoft Intune
- Se si usano oggetti Criteri di gruppo per gestire i criteri lato client, vedere Criteri di gruppo di Windows LAPS
Ripristino della password e dei metadati della password dell'amministratore locale
Per visualizzare la password dell'amministratore locale per un dispositivo Windows aggiunto a Microsoft Entra ID, è necessario disporre dell'azione microsoft.directory/deviceLocalCredentials/password/read .
Per visualizzare i metadati della password dell'amministratore locale per un dispositivo Windows aggiunto all'ID Microsoft Entra, è necessario disporre dell'azione microsoft.directory/deviceLocalCredentials/standard/read .
Per impostazione predefinita, ai ruoli predefiniti seguenti vengono concesse queste azioni:
| Ruolo predefinito | microsoft.directory/deviceLocalCredentials/standard/read e microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Amministratore dispositivo cloud | Sì | Sì |
| Amministratore del servizio Intune | Sì | Sì |
| Amministratore di supporto tecnico | No | Sì |
| Amministratore della sicurezza | No | Sì |
| Ruolo con autorizzazioni di lettura per la sicurezza | No | Sì |
Ai ruoli non elencati non viene concessa alcuna azione.
È anche possibile usare l'API Microsoft Graph Get deviceLocalCredentialInfo per ripristinare la password amministrativa locale. Se si usa l'API Microsoft Graph, la password restituita è nel valore con codifica Base64 che è necessario decodificare prima di usarla.
Elencare tutti i dispositivi con abilitazione di Windows LAPS
Per elencare tutti i dispositivi abilitati per Windows LAPS, è possibile passare a Panoramica dei dispositivi>>identità>Ripristino password amministratore locale o usare l'API Microsoft Graph.
Controllo dell'aggiornamento e del ripristino della password dell'amministratore locale
Per visualizzare gli eventi di controllo, è possibile passare a Identity Devices Overview Audit logs (Panoramica>dei dispositivi>di identità>), quindi usare il filtro Attività e cercare Update device local administrator password (Aggiorna password amministratore locale del dispositivo) o Recover device local administrator password (Ripristina password amministratore locale del dispositivo) per visualizzare gli eventi di controllo.
Criteri di accesso condizionale per il ripristino delle password dell'amministratore locale
I criteri di accesso condizionale possono essere limitati ai ruoli predefiniti per proteggere l'accesso per ripristinare le password degli amministratori locali. È possibile trovare un esempio di criteri che richiedono l'autenticazione a più fattori nell'articolo Criteri di accesso condizionale comuni: Richiedere l'autenticazione a più fattori per gli amministratori.
Nota
Altri tipi di ruolo, inclusi i ruoli con ambito unità amministrativa e i ruoli personalizzati, non sono supportati
Domande frequenti
Windows LAPS con la configurazione di gestione di Microsoft Entra è supportata tramite oggetti Criteri di gruppo?
Sì, solo per i dispositivi aggiunti all'ibrido Microsoft Entra. Vedi Criteri di gruppo di Windows LAPS.
Windows LAPS con la configurazione di gestione di Microsoft Entra è supportata tramite MDM?
Sì, per i dispositivi microsoft Entra join/ ibrido (co-gestiti) di Microsoft Entra. I clienti possono usare Microsoft Intune o qualsiasi altra gestione di dispositivi mobili di terze parti preferita.
Cosa accade quando un dispositivo viene eliminato in Microsoft Entra ID?
Quando un dispositivo viene eliminato in Microsoft Entra ID, le credenziali LAPS associate a tale dispositivo vengono perse e la password archiviata in Microsoft Entra ID viene persa. A meno che non si disponga di un flusso di lavoro personalizzato per recuperare le password LAPS e archiviarle esternamente, non esiste alcun metodo in Microsoft Entra ID per recuperare la password gestita LAPS per un dispositivo eliminato.
Quali ruoli sono necessari per ripristinare le password LAPS?
I ruoli predefiniti seguenti di Microsoft Entra dispongono dell'autorizzazione per ripristinare le password LAPS: Amministratore di dispositivi cloud e Amministratore di Intune.
Quali ruoli sono necessari per leggere i metadati LAPS?
I ruoli predefiniti seguenti sono supportati per visualizzare i metadati relativi a LAPS, tra cui il nome del dispositivo, la rotazione dell'ultima password e la successiva rotazione delle password: Amministratore di dispositivi cloud, Amministratore di Intune, Amministratore supporto tecnico, Ruolo con autorizzazioni di lettura per la sicurezza e Amministratore della sicurezza.
I ruoli personalizzati sono supportati?
Sì. Se si dispone di Microsoft Entra ID P1 o P2, è possibile creare un ruolo personalizzato con le autorizzazioni di controllo degli accessi in base al ruolo seguenti:
- Per leggere i metadati LAPS: microsoft.directory/deviceLocalCredentials/standard/read
- Per leggere le password LAPS: microsoft.directory/deviceLocalCredentials/password/read
Cosa accade quando viene modificato l'account amministratore locale specificato dai criteri?
Poiché Windows LAPS può gestire un solo account amministratore locale in un dispositivo alla volta, l'account originale non è più gestito dai criteri LAPS. Se il dispositivo esegue il backup dell'account, viene eseguito il backup del nuovo account e i dettagli sull'account precedente non sono più disponibili dall'interfaccia di amministrazione di Intune o dalla directory specificata per archiviare le informazioni sull'account.