Che cos'è Windows LAPS?

Soluzione password dell'amministratore locale Windows (Windows LAPS) è una funzionalità di Windows che gestisce e esegue automaticamente il backup della password di un account amministratore locale nei dispositivi aggiunti a Microsoft Entra o aggiunti a Windows Server Active Directory. È anche possibile usare Windows LAPS per gestire e eseguire automaticamente il backup della password dell'account della modalità ripristino servizi directory (DSRM) nei controller di dominio di Windows Server Active Directory. Un amministratore autorizzato può recuperare la password DSRM e usarla.

Piattaforme con supporto per Windows LAPS

Windows LAPS ora è disponibile nelle piattaforme di sistema operativo seguenti, a condizione che sia installato l'aggiornamento specificato o uno successivo:

Tutte le edizioni supportate delle piattaforme precedenti sono state aggiornate con Windows LAPS, incluse le edizioni LTSC. L'introduzione della funzionalità Windows LAPS non modifica in alcun modo i criteri standard del ciclo di vita dei prodotti Microsoft.

Windows LAPS e Microsoft Entra ID

Windows LAPS con Microsoft Entra ID e supporto di Microsoft Intune è ora disponibile a livello generale a partire dal 23 ottobre 2023. Per maggiori informazioni, vedere la sezione Soluzione password amministratore locale Windows con Microsoft Entra ID ora disponibile. e Soluzione password amministratore locale Windows in Microsoft Entra ID.

Vantaggi dell'uso di Windows LAPS

Usare Windows LAPS per ruotare e gestire regolarmente le password degli account amministratore locali e ottenere i vantaggi seguenti:

  • Protezione dagli attacchi pass-the-hash e di attraversamento laterale
  • Maggiore sicurezza per gli scenari del supporto tecnico remoto
  • Possibilità di accedere ai dispositivi inaccessibili e ripristinarli
  • Modello di sicurezza con granularità fine (elenchi di controllo di accesso e crittografia opzionale delle password) per la protezione delle password archiviate in Windows Server Active Directory
  • Supporto per il modello di controllo degli accessi in base al ruolo Entra per la protezione delle password archiviate in Microsoft Entra ID

Video informativi

I video seguenti forniscono un metodo informativo per approfondire la funzionalità di Windows LAPS.

Presentazione Windows Technical Takeoff (novembre 2022):

Discussione tecnica di Windows (agosto 2023):

Scenari chiave di Windows LAPS

È possibile usare Windows LAPS in diversi scenari chiave:

  • Eseguire il backup delle password dell'account amministratore locale in Microsoft Entra ID (per i dispositivi aggiunti a Microsoft Entra)

  • Backup delle password dell'account amministratore locale in Windows Server Active Directory (per client e server aggiunti a Windows Server Active Directory)

  • Backup delle password dell'account DSRM in Windows Server Active Directory (per i controller di dominio Windows Server Active Directory)

  • Backup delle password dell'account amministratore locale in Windows Server Active Directory usando Microsoft LAPS legacy

In ogni scenario è possibile applicare impostazioni dei criteri diverse.

Informazioni sulle restrizioni relative allo stato di aggiunta del dispositivo

Il fatto che un dispositivo sia aggiunto a Microsoft Entra ID o Windows Server Active Directory determina la modalità di utilizzo di Windows LAPS.

I dispositivi aggiunti solo a Microsoft Entra ID possono eseguire il backup delle password solo in Microsoft Entra ID.

I dispositivi aggiunti solo a Windows Server Active Directory possono eseguire il backup delle password solo in Windows Server Active Directory.

I dispositivi aggiunti ibridi (aggiunti sia a Microsoft Entra ID che a Windows Server Active Directory) possono eseguire il backup delle password in Microsoft Entra ID o in Windows Server Active Directory. Non è possibile eseguire il backup delle password sia in Microsoft Entra ID che in Windows Server Active Directory.

Windows LAPS non supporta i client aggiunti all'area di lavoro di Microsoft Entra.

Impostare i criteri di Windows LAPS

Per configurare e gestire i criteri per la distribuzione di Windows LAPS, sono disponibili più opzioni:

Gestire e monitorare Windows LAPS

Sono disponibili anche varie opzioni per gestire e monitorare Windows LAPS.

Le opzioni per Windows includono:

  • La finestra di dialogo delle proprietà Utenti e computer di Windows Server Active Directory
  • Un canale dedicato del registro eventi
  • Un modulo di Windows PowerShell specifico per Windows LAPS

Le soluzioni di monitoraggio e creazione di report basate su Azure sono disponibili quando si esegue il backup delle password in Microsoft Entra ID.

Deprecazione del prodotto Microsoft LAPS legacy

Importante

NOTA: il prodotto Microsoft LAPS legacy è deprecato a partire da Windows 11 23 H2 e versioni successive. L'installazione del pacchetto Microsoft LAPS MSI legacy è bloccata nelle versioni più recenti del sistema operativo e Microsoft non considererà più le modifiche al codice per il prodotto Microsoft LAPS legacy.

Usare Windows LAPS, disponibile in Windows Server 2019 e versioni successive e nei client Windows 10 e Windows 11 supportati per la gestione delle password dell'account amministratore locale.

Microsoft continuerà a supportare il prodotto Microsoft LAPS legacy nelle versioni precedenti di Windows (prima di Windows 11 23 H2) in cui era supportato in precedenza. Tale supporto terminerà alla normale fine del supporto per tali sistemi operativi.

Differenze tra Windows LAPS e Microsoft LAPS legacy

Windows LAPS eredita molti concetti di progettazione da Microsoft LAPS legacy. Se si ha familiarità con Microsoft LAPS legacy, molte funzionalità di Windows LAPS sono già note. Una differenza fondamentale è che Windows LAPS è un'implementazione completamente separata, nativa di Windows. Windows LAPS aggiunge inoltre molte funzionalità che non sono disponibili in Microsoft LAPS legacy. È possibile usare Windows LAPS per eseguire il backup delle password in Azure Active Directory, crittografare le password in Windows Server Active Directory e archiviare la cronologia delle password.

Importante

Windows LAPS non richiede l'installazione di Microsoft LAPS legacy. È possibile distribuire e usare tutte le funzionalità di Windows LAPS senza installare o fare riferimento a Microsoft LAPS legacy. Tuttavia, per facilitare la migrazione di una distribuzione di Microsoft LAPS legacy esistente, Windows LAPS offre la modalità di emulazione di Microsoft LAPS legacy.

Importante

Il prodotto Microsoft LAPS legacy è deprecato nelle versioni più recenti del sistema operativo Microsoft - consultare la sezione Deprecazione del prodotto Microsoft LAPS legacy.

Dichiarazione di supporto

Microsoft ha rilasciato il prodotto Microsoft LAPS legacy nell'anno 2016 nell'Area download Microsoft. Windows LAPS è stato fornito come parte degli aggiornamenti di Windows rilasciati l'11 aprile 2023 per le piattaforme elencate in Windows LAPS e Microsoft Entra ID.

Microsoft e il suo team di supporto offrono assistenza sia per Microsoft LAPS sia per Windows LAPS, inclusa l'interoperabilità tra i due prodotti.

Importante

Il prodotto Microsoft LAPS legacy è deprecato nelle versioni più recenti del sistema operativo Microsoft - consultare la sezione Deprecazione del prodotto Microsoft LAPS legacy.

Microsoft consiglia vivamente ai clienti di iniziare a pianificare la migrazione dei sistemi compatibili con Windows LAPS, passando dall'uso di Microsoft LAPS legacy alla nuova funzionalità Windows LAPS. Windows LAPS offre numerose nuove funzionalità di sicurezza e un supporto del prodotto migliorato.

Le domande riguardanti le limitazioni e/o l'interoperabilità tra gli strumenti di gestione delle password degli account locali di terze parti e Windows LAPS dovrebbero essere indirizzate allo sviluppatore dell'applicazione di terze parti, non a Microsoft.

Requisiti di licenza

La funzionalità Windows LAPS è disponibile gratuitamente in tutte le piattaforme Windows supportate.

È possibile eseguire il backup delle password in Active Directory locale senza altri requisiti di licenza.

È possibile eseguire il backup delle password in Microsoft Entra ID con una licenza Microsoft Entra ID Free o versione successiva.

Altre funzionalità correlate ad Azure o Intune possono avere altri requisiti di licenza.

Invio dei commenti e suggerimenti in corso

Se si vuole inviare feedback, è possibile inviare domande specifiche sulla documentazione tramite i collegamenti di feedback nella parte inferiore di queste pagine.

È inoltre possibile inviare commenti e suggerimenti e altre richieste tramite la pagina della community tecnica di feedback di Windows LAPS.

Se il feedback è specifico per Microsoft Entra ID o la funzionalità LAPS correlata a Intune, è possibile inviare commenti e suggerimenti tramite il forum di feedback di Microsoft Entra.

In caso di dubbi sulla destinazione del feedback, è possibile inviarlo utilizzando una qualsiasi delle opzioni sopra elencate.

Vedi anche

Passaggi successivi