LAPS CSP
ローカル管理者パスワード ソリューション (LAPS) 構成サービス プロバイダー (CSP) は、ローカル管理者アカウント パスワードのバックアップを管理するために企業によって使用されます。 Windows では、LAPS CSP とは完全に分離された LAPS グループ ポリシー オブジェクトがサポートされています。 さまざまな設定の多くは、LAPS GPO と CSP の両方で一般的です (GPO ではアクション関連の設定はサポートされていません)。 CSP 経由で少なくとも 1 つの LAPS 設定が構成されている限り、GPO で構成された設定はすべて無視されます。 「 Windows LAPS のポリシー設定を構成する」も参照してください。
注
Windows LAPS CSP と関連する機能を使用するために必要な特定の OS 更新プログラムと、Microsoft Entra LAPS シナリオの現在の状態の詳細については、「Windows LAPS の可用性と LAPS パブリック プレビューの状態のMicrosoft Entra」を参照してください。
ヒント
この記事では、LAPS CSP の特定の技術的な詳細について説明します。 LAPS CSP を使用するシナリオの詳細については、「 Windows ローカル管理者パスワード ソリューション」を参照してください。
次の一覧は、LAPS 構成サービス プロバイダー ノードを示しています。
- ./Device/Vendor/MSFT/LAPS
- アクション
-
Policies
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- パスフレーズLength
- PasswordAgeDays
- PasswordComplexity
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
アクション
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Actions
LAPS CSP 内のすべてのアクション関連設定の親内部ノードを定義します。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | node |
アクセスの種類 | [ゲームをゲット] を選びます |
Actions/ResetPassword
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
この設定を使用して、マネージド ローカル管理者アカウントの新しいパスワードをすぐに生成して保存するように CSP に指示します。
このアクションにより、ローカル管理者アカウントのパスワードの即時リセットが呼び出され、PasswordLengthDays などの通常の制約は無視されます。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | null |
アクセスの種類 | Exec |
Actions/ResetPasswordStatus
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
この設定を使用して、最後に送信された ResetPassword 実行アクションの状態を照会します。
返される値は HRESULT コードです。
- S_OK (0x0): 最後に送信された ResetPassword アクションが成功しました。
- E_PENDING (0x8000000): 最後に送信された ResetPassword アクションがまだ実行されています。
- その他: 最後に送信された ResetPassword アクションで、返されたエラーが発生しました。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | [ゲームをゲット] を選びます |
既定値 | 0 |
Policies
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies
LAPS ポリシーのルート ノード。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | node |
アクセスの種類 | [ゲームをゲット] を選びます |
Atomic Required | True |
Policies/ADEncryptedPasswordHistorySize
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
この設定を使用して、Active Directory で記憶される以前の暗号化されたパスワードの数を構成します。
指定しない場合、この設定は既定で 0 パスワード (無効) になります。
この設定の最小値は 0 パスワードです。
この設定の最大値は 12 パスワードです。
重要
ADPasswordEncryptionEnabled が True に構成され、その他のすべての前提条件が満たされていない限り、この設定は無視されます。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
指定可能な値 | 範囲: [0-12] |
既定値 | 0 |
依存関係 [BackupDirectory] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 依存関係の許可される値: 2 依存関係の許可される値の種類: ENUM |
Policies/AdministratorAccountName
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
この設定を使用して、マネージド ローカル管理者アカウントの名前を構成します。
指定しない場合、既定の組み込みローカル管理者アカウントは既知の SID によって配置されます (名前が変更された場合でも)。
指定した場合、指定したアカウントのパスワードが管理されます。
この設定でカスタム管理ローカル管理者アカウント名が指定されている場合は、そのアカウントを他の方法で作成する必要があります。 この設定で名前を指定しても、アカウントは作成されません。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 |
chr (string) |
アクセスの種類 | 追加、削除、取得、置換 |
Policies/ADPasswordEncryptionEnabled
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
この設定を使用して、Active Directory に格納する前にパスワードを暗号化するかどうかを構成します。
パスワードが現在Microsoft Entra IDに格納されている場合、この設定は無視されます。
この設定は、Active Directory ドメインがドメイン機能レベル以上Windows Server 2016場合にのみ適用されます。
この設定が有効になっていて、Active Directory ドメインが DFL の前提条件を満たしている場合、Active Directory に格納される前にパスワードが暗号化されます。
この設定が無効になっている場合、または Active Directory ドメインが DFL の前提条件を満たしていない場合、パスワードは Active Directory にクリア テキストとして格納されます。
指定しない場合、この設定の既定値は True になります。
重要
この設定は、パスワードを Active Directory にバックアップするように BackupDirectory が構成されていて、Active Directory ドメインがドメイン機能レベル以上Windows Server 2016場合を除き、無視されます。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | bool |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | True |
依存関係 [BackupDirectory] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 依存関係の許可される値: 2 依存関係の許可される値の種類: ENUM |
指定可能な値
値 | 説明 |
---|---|
false | Active Directory のクリア テキスト 形式でパスワードを格納します。 |
true (既定値) | Active Directory の暗号化された形式でパスワードを格納します。 |
Policies/ADPasswordEncryptionPrincipal
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
この設定を使用して、Active Directory に格納されているパスワードの暗号化を解除できるユーザーまたはグループの名前または SID を構成します。
パスワードが現在Microsoft Entra IDに格納されている場合、この設定は無視されます。
指定しない場合、パスワードはデバイスのドメイン内の Domain Admins グループによって復号化できます。
指定した場合、指定したユーザーまたはグループは Active Directory に格納されているパスワードの暗号化を解除できます。
指定したユーザーまたはグループ アカウントが無効な場合、デバイスはデバイスのドメインで Domain Admins グループを使用するためにフォールバックします。
重要
ADPasswordEncryptionEnabled が True に構成され、その他のすべての前提条件が満たされていない限り、この設定は無視されます。 この設定に格納される文字列は、文字列形式の SID か、ユーザーまたはグループの完全修飾名である必要があります。 有効な例は次のとおりです。
S-1-5-21-2127521184-1604012920-1887927527-35197
contoso\LAPSAdmins
lapsadmins@contoso.com
特定されたプリンシパル (SID または user\group 名) が存在し、デバイスで解決できる必要があります。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 |
chr (string) |
アクセスの種類 | 追加、削除、取得、置換 |
依存関係 [BackupDirectory] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 依存関係の許可される値: 2 依存関係の許可される値の種類: ENUM |
Policies/AutomaticAccountManagementEnableAccount
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
この設定を使用して、自動的に管理されるアカウントを有効または無効にするかどうかを構成します。
この設定を有効にすると、ターゲット アカウントが有効になります。
この設定が無効になっている場合、ターゲット アカウントは無効になります。
指定しない場合、この設定の既定値は False になります。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | bool |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | False |
依存関係 [AutomaticAccountManagementEnabled] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 依存関係の許可される値: true 依存関係の許可される値の種類: ENUM |
指定可能な値
値 | 説明 |
---|---|
False (既定値) | ターゲット アカウントは無効になります。 |
True | ターゲット アカウントが有効になります。 |
Policies/AutomaticAccountManagementEnabled
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
この設定を使用して、自動アカウント管理を有効にするかどうかを指定します。
この設定を有効にすると、ターゲット アカウントが自動的に管理されます。
この設定が無効になっている場合、ターゲット アカウントは自動的に管理されません。
指定しない場合、この設定の既定値は False になります。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | bool |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | False |
指定可能な値
値 | 説明 |
---|---|
false (既定値) | ターゲット アカウントは自動的に管理されません。 |
true | ターゲット アカウントは自動的に管理されます。 |
Policies/AutomaticAccountManagementNameOrPrefix
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
この設定を使用して、マネージド ローカル管理者アカウントの名前またはプレフィックスを構成します。
指定した場合、値はマネージド アカウントの名前または名前プレフィックスとして使用されます。
指定しない場合、この設定は既定で "WLapsAdmin" になります。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 |
chr (string) |
アクセスの種類 | 追加、削除、取得、置換 |
依存関係 [AutomaticAccountManagementEnabled] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 依存関係の許可される値: true 依存関係の許可される値の種類: ENUM |
Policies/AutomaticAccountManagementRandomizeName
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
この設定を使用して、パスワードがローテーションされるたびに、自動的に管理されるアカウントの名前がランダムな数値サフィックスを使用するかどうかを構成します。
この設定が有効になっている場合、ターゲット アカウントの名前にはランダムな数値サフィックスが使用されます。
この設定が解除された場合、ターゲット アカウントの名前ではランダムな数値サフィックスは使用されません。
指定しない場合、この設定の既定値は False になります。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | bool |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | False |
依存関係 [AutomaticAccountManagementEnabled] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 依存関係の許可される値: true 依存関係の許可される値の種類: ENUM |
指定可能な値
値 | 説明 |
---|---|
False (既定値) | ターゲット アカウントの名前では、ランダムな数値サフィックスは使用されません。 |
True | ターゲット アカウントの名前には、ランダムな数値サフィックスが使用されます。 |
Policies/AutomaticAccountManagementTarget
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
この設定を使用して、自動的に管理されるアカウントを構成します。
許可される設定は次のとおりです。
0=組み込みの管理者アカウントが管理されます。
1=Windows LAPS によって作成された新しいアカウントが管理されます。
指定しない場合、この設定は既定で 1 になります。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | 1 |
依存関係 [AutomaticAccountManagementEnabled] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled 依存関係の許可される値: true 依存関係の許可される値の種類: ENUM |
指定可能な値
値 | 説明 |
---|---|
0 | 組み込みの管理者アカウントを管理します。 |
1 (既定値) | 新しいカスタム管理者アカウントを管理します。 |
Policies/BackupDirectory
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
この設定を使用して、ローカル管理者アカウントのパスワードをバックアップするディレクトリを構成します。
許可される設定は次のとおりです。
0=無効 (パスワードはバックアップされません) 1=パスワードをMicrosoft Entra IDにバックアップするのみ 2=Active Directory にのみパスワードをバックアップします。
指定しない場合、この設定は既定で 0 になります。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | 0 |
指定可能な値
値 | 説明 |
---|---|
0 (既定値) | 無効 (パスワードはバックアップされません)。 |
1 | パスワードを Microsoft Entra ID のみにバックアップします。 |
2 | Active Directory にのみパスワードをバックアップします。 |
Policies/PassphraseLength
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11、バージョン 24H2 [10.0.26100] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
パスフレーズ ワードの数を構成するには、この設定を使用します。
指定しない場合、この設定は既定で 6 ワードになります。
この設定の最小値は 3 ワードです。
この設定の最大値は 10 ワードです。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
指定可能な値 | 範囲: [3-10] |
既定値 | 6 |
依存関係 [PasswordComplexity] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity 依存関係の許可される値: [6-8] 依存関係の許可される値の種類: Range |
Policies/PasswordAgeDays
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
このポリシーを使用して、マネージド ローカル管理者アカウントの最大パスワードの有効期間を構成します。
指定しない場合、この設定は既定で 30 日になります。
この設定の最小値は、パスワードをオンプレミスの Active Directoryにバックアップする場合は 1 日、パスワードをMicrosoft Entra IDにバックアップする場合は 7 日間です。
この設定の最大値は 365 日です。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
指定可能な値 | 範囲: [1-365] |
既定値 | 30 |
依存関係 [BackupDirectoryAADMode BackupDirectoryADMode] | 依存関係の種類: DependsOn DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory 依存関係の許可される値: 依存関係の許可される値の種類: ENUM ENUM |
Policies/PasswordComplexity
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
この設定を使用して、マネージド ローカル管理者アカウントのパスワードの複雑さを構成します。
許可される設定は次のとおりです。
1=大きい文字 2=大きい文字 + 小さい文字 3=大きい文字 + 小文字 + 数字 4=大文字 + 数字 + 特殊文字 5=大文字 + 小文字 + 数字 + 特殊文字 (読みやすさの向上) 6=パスフレーズ (長い単語) 7=パスフレーズ (短い単語) 8=パスフレーズ (一意のプレフィックスを持つ短い単語)
指定しない場合、この設定は既定で 4 になります。
電子フロンティア財団の「ランダムパスフレーズのためのEFFの新しいワードリスト」から取得され、CC-BY-3.0帰属ライセンスで使用されるパスフレーズリスト。 詳細については、「https://go.microsoft.com/fwlink/?linkid=2255471」を参照してください。
重要
Windows では、以前のバージョンの LAPS との下位互換性のためにのみ、パスワードの複雑さの低い設定 (1、2、3) がサポートされています。 Microsoft では、この設定を常に 4 に構成することをお勧めします。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | 4 |
指定可能な値
値 | 説明 |
---|---|
1 | 大きな文字。 |
2 | 大きな文字 + 小さな文字。 |
3 | 大きな文字 + 小さな文字 + 数字。 |
4 (既定値) | 大きな文字 + 小さな文字 + 数字 + 特殊文字。 |
5 | 大きな文字 + 小文字 + 数字 + 特殊文字 (読みやすさの向上)。 |
6 | パスフレーズ (長い単語)。 |
7 | パスフレーズ (短い単語)。 |
8 | パスフレーズ (一意のプレフィックスを持つ短い単語)。 |
Policies/PasswordExpirationProtectionEnabled
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
この設定を使用して、マネージド ローカル管理者アカウントの最大パスワード有効期間の追加適用を構成します。
この設定を有効にすると、"PasswordAgeDays" ポリシーで指定されたパスワードの有効期間を超える予定パスワードの有効期限は許可されません。 このような有効期限が検出されると、パスワードはすぐに変更され、ポリシーに従って新しいパスワードの有効期限が設定されます。
指定しない場合、この設定の既定値は True になります。
重要
この設定は、BackupDirectory が Active Directory にパスワードをバックアップするように構成されていない限り無視されます。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | bool |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | True |
依存関係 [BackupDirectory] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/BackupDirectory 依存関係の許可される値: 2 依存関係の許可される値の種類: ENUM |
指定可能な値
値 | 説明 |
---|---|
false | 構成されたパスワードの有効期限のタイムスタンプが最大パスワードの有効期間を超えることを許可します。 |
true (既定値) | 構成されたパスワードの有効期限のタイムスタンプが最大パスワードの有効期間を超えることを許可しないでください。 |
Policies/PasswordLength
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
この設定を使用して、マネージド ローカル管理者アカウントのパスワードの長さを構成します。
指定しない場合、この設定は既定で 14 文字になります。
この設定の最小値は 8 文字です。
この設定の最大値は 64 文字です。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
指定可能な値 | 範囲: [8-64] |
既定値 | 14 |
依存関係 [PasswordComplexity] | 依存関係の種類: DependsOn 依存関係 URI: Vendor/MSFT/LAPS/Policies/PasswordComplexity 依存関係の許可される値: [1-5] 依存関係の許可される値の種類: Range |
Policies/PostAuthenticationActions
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
この設定を使用して、構成された猶予期間の有効期限が切れる場合に実行するアクションを指定します。
指定しない場合、この設定は既定で 3 になります (パスワードをリセットし、マネージド アカウントをログオフします)。
重要
許可される認証後のアクションは、リセットされる前に LAPS パスワードを使用できる時間を制限することを目的としています。 マネージド アカウントのログオフ (またはデバイスの再起動) は、これを確実に行うのに役立つオプションです。 ログオン セッションが突然終了したり、デバイスを再起動したりすると、データが失われる可能性があります。
重要
セキュリティの観点から見ると、有効な LAPS パスワードを使用してデバイスの管理特権を取得する悪意のあるユーザーは、これらのメカニズムを防止または回避する究極の能力を持っています。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
既定値 | 3 |
指定可能な値
値 | 説明 |
---|---|
1 | パスワードのリセット: 猶予期間の有効期限が切れた時点で、マネージド アカウントのパスワードがリセットされます。 |
3 (既定値) | パスワードをリセットし、マネージド アカウントをログオフします。猶予期間が終了すると、マネージド アカウントのパスワードがリセットされ、マネージド アカウントを使用するすべての対話型ログオン セッションが終了します。 |
5 | パスワードをリセットして再起動する: 猶予期間の有効期限が切れた時点で、マネージド アカウントのパスワードがリセットされ、マネージド デバイスが直ちに再起動されます。 |
11 | パスワードをリセットし、マネージド アカウントをログオフし、残りのプロセスを終了します。猶予期間が終了すると、マネージド アカウントのパスワードがリセットされ、マネージド アカウントを使用するすべての対話型ログオン セッションがログオフされ、残りのプロセスはすべて終了します。 |
Policies/PostAuthenticationResetDelay
適用範囲 | エディション | 対象となる OS |
---|---|---|
✅ デバイス ❌ ユーザー |
✅ Pro ✅ Enterprise ✅ Education ✅ Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] 以降 ✅ [10.0.25145] 以降 ✅Windows 10 Version 1809 [10.0.17763.4244] 以降 ✅Windows 10バージョン 2004 [10.0.19041.2784] 以降 ✅Windows 11バージョン 21H2 [10.0.22000.1754] 以降 ✅Windows 11バージョン 22H2 [10.0.22621.1480] 以降 |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
この設定を使用して、認証後に指定した認証後のアクションを実行するまでに待機する時間 (時間単位) を指定します。
指定しない場合、この設定は既定で 24 時間になります。
この設定の最小値は 0 時間です (これにより、認証後のすべてのアクションが無効になります)。
この設定の最大値は 24 時間です。
説明フレームワークのプロパティ:
プロパティ名 | プロパティ値 |
---|---|
形式 | int |
アクセスの種類 | 追加、削除、取得、置換 |
指定可能な値 | 範囲: [0-24] |
既定値 | 24 |
設定の適用性
LAPS CSP を使用して、Microsoft Entra IDに参加するか、Microsoft Entra IDと Active Directory の両方に参加している (ハイブリッド参加済み) デバイスを管理できます。 LAPS CSP は、Microsoft Entra専用設定と AD 専用設定の組み合わせを管理します。 AD のみの設定は、ハイブリッド参加済みデバイスにのみ適用され、BackupDirectory が 2 に設定されている場合にのみ適用されます。
設定名 | Azure 参加済み | ハイブリッド参加済み |
---|---|---|
BackupDirectory | はい | はい |
PasswordAgeDays | はい | はい |
PasswordLength | はい | はい |
PasswordComplexity | はい | はい |
PasswordExpirationProtectionEnabled | なし | はい |
AdministratorAccountName | はい | はい |
ADPasswordEncryptionEnabled | なし | はい |
ADPasswordEncryptionPrincipal | なし | はい |
ADEncryptedPasswordHistorySize | なし | はい |
PostAuthenticationResetDelay | はい | はい |
PostAuthenticationActions | はい | はい |
ResetPassword | はい | はい |
ResetPasswordStatus | はい | はい |
SyncML の例
次の例は、正しい形式を示すために提供されており、推奨事項と見なすべきではありません。
Azure 参加済みデバイスのバックアップ パスワードをMicrosoft Entra IDまで
この例では、パスワードをMicrosoft Entra IDにバックアップするように Azure 参加済みデバイスを構成する方法を示します。
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
ハイブリッド参加済みデバイスの Active Directory へのパスワードのバックアップ
この例では、パスワード暗号化を有効にして、ハイブリッド デバイスのパスワードを Active Directory にバックアップするように構成する方法を示します。
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>