Windows LAPS のイベント ログを使用する
Windows ローカル管理者パスワード ソリューション (Windows LAPS) には、専用のイベント ログ チャネルがあります。 すべての Windows LAPS 操作は、豊富なイベント処理で追跡されます。 主要なイベントとログを表示する方法について説明します。
イベント ログの表示
Windows LAPS イベント ログ チャネルを表示するには、Windows Server イベント ビューアーで、[アプリケーションとサービス]>[ログ]>[Microsoft]>[Windows]>[LAPS]>[操作] の順に移動します。
主要なイベント
いくつかの主要な Windows LAPS イベントと、それらをイベント ログで表示する方法に注意することが重要です。
- ポリシー処理の開始および終了イベント
- ポリシー構成の詳細
- パスワード更新の確認イベント
- ブロックされた外部パスワード変更要求
- 認証後アクションに関連するイベント
ポリシー処理サイクルの開始と終了
Windows LAPS によりバックグラウンド ポリシー処理サイクルが開始されると、操作の進行状況がイベント ログで追跡されます。 各サイクルの開始と終了を示す特定のイベントを把握すると、イベント ログを簡単に読み取り、イベントを理解することができます。
各バックグラウンド ポリシー処理サイクルは、10003 イベントで始まります。
LAPS policy processing is now starting.
各 10003 イベントの後には、何が起こっているのかを説明する他のいくつかのイベントが続きます。 サイクルが完了すると、最後のイベントによって操作が成功または失敗としてマークされます。
成功したサイクルは、10004 イベントで追跡されます。 以下に 10004 イベントの例を示します。
LAPS policy processing succeeded.
失敗したサイクルは、10005 イベントで追跡されます。 以下に 10005 イベントの例を示します。
LAPS policy processing failed with the error code below.
Error code: 80070032
エラーが発生した場合は、エラー コードを使用してトラブルシューティングを行うことができます。 また、途中のイベントを参照して詳細な情報を得ることもできます。
ポリシー構成の詳細
パスワード バックアップを有効にすると、Windows LAPS のバックグラウンド ポリシー処理サイクルごとにポリシー構成イベントが生成されます。 このイベントは、各サイクル イテレーションについて特定のポリシー設定値をログします。
パスワードを Windows Server Active Directory にバックアップするようにポリシーを構成すると、10021 イベントがログされます。 以下に 10021 イベントの例を示します。
The current LAPS policy is configured as follows:
Policy source: GPO
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 14
Password expiration protection enabled: 1
Password encryption enabled: 1
Password encryption target principal: LapsAdministrators@contoso.com
Password encrypted history size: 12
Backup DSRM password on domain controllers: 0
Post authentication grace period (hours): 8
Post authentication actions: 1
パスワードを Microsoft Entra ID にバックアップするようにポリシーを構成すると、10022 イベントがログに記録されます。 以下に 10022 イベントの例を示します。
The current LAPS policy is configured as follows:
Policy source: CSP
Backup directory: Azure AD
Local administrator account name: ContosoLocalAdminAccount
Password age in days: 7
Password complexity: 4
Password length: 64
Post authentication grace period (hours): 8
Post authentication actions: 3
Windows LAPS が従来の Microsoft LAPS ポリシーを使用するように構成されている場合、10023 イベントがログされます。 以下に 10023 イベントの例を示します。
The current LAPS policy is configured as follows:
Policy source: Legacy LAPS
Backup directory: Active Directory
Local administrator account name:
Password age in days: 30
Password complexity: 4
Password length: 8
Password expiration protection enabled: 0
これらの特定のポリシー設定値は例であり、推奨事項とは見なさないでください。
パスワード更新の確認イベント
構成済みのディレクトリ (Windows Server Active Directory または Microsoft Entra ID) が Windows LAPS によって新しいパスワードで正常に更新されると、成功イベントがログに記録されます。Windows Server Active Directory のパスワード更新は 10018、Microsoft Entra ID のパスワード更新は 10029 です。
以下に 10018 イベントの例を示します。
LAPS successfully updated Active Directory with the new password.
以下に 10029 イベントの例を示します。
LAPS successfully updated Azure Active Directory with the new password.
ディレクトリが新しいパスワードで更新されると、Windows LAPS によってマネージド ローカル アカウントも更新されます。 10020 イベントは成功時にログされます。
以下に 10020 イベントの例を示します。
LAPS successfully updated the local admin account with the new password.
Account name: ContosoLocalAdminAccount
Account RID: 1087
ブロックされた外部パスワード変更要求
Windows LAPS が有効になっている場合、指定されたマネージド アカウントのパスワードが Windows LAPS 以外のエンティティによって変更されないように保護されます。 パスワードの変更が試行され、ブロックされると 10031 イベントがログされます。
以下に 10031 イベントの例を示します。
LAPS blocked an external request that tried to modify the password of the current managed account.
Account name: ContosoLocalAdminAccount
Account RID: 1087
認証後のアクション イベント
認証後のアクションが構成されている場合、Windows LAPS により、指定されたマネージド アカウントによる認証の成功が監視されます。 認証が検出されると、10041 イベントがログされます。
以下に 10041 イベントの例を示します。
LAPS detected a successful authentication for the currently managed account. A background task has been scheduled to execute the configured post-authentication actions after the configured grace period has expired.%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset timer deadline: %3%n
10041 イベントに記載されている期限に達すると、Windows LAPS によって 10042 イベントがログされます。
The post-authentication grace period has expired per policy. The configured post-authentication actions will now be executed.
Account name: ContosoLocalAdminAccount
Account RID: 1087
その後、Windows LAPS によりパスワードのローテーションが試行され、指定された認証後のアクションが実行されます。 パスワードのローテーションが成功すると、10044 イベントがログされます。
以下に 10044 イベントの例を示します。
LAPS successfully reset the password for the currently managed account and completed all configured post-authentication actions.%n
%n
Account name: ContosoLocalAdminAccount
Account RID: 1087
パスワードのローテーションに失敗すると、10043 イベントがログされます。 以下に 10043 イベントの例を示します。
LAPS failed to reset the password for the currently managed account. The password is considered expired due to an authentication event. LAPS will continue retrying the password reset operation until it succeeds.
Account name: ContosoLocalAdminAccount
Account RID: 1087
Password reset retry count: 1
Error code: 80070032
クライアント イベント ログと AD ドメイン コントローラーのイベント ログ
Windows LAPS イベント ログ チャネルには、クライアントとして機能するローカル コンピューターに関連するイベントが含まれています。 Active Directory ドメイン コントローラー上の Windows LAPS イベント ログ チャネルには、ローカル DSRM アカウントの管理に関連するイベント (有効な場合) のみが含まれており、ドメイン参加済みクライアントの動作に関連するイベントが含まれていることはありません。