Lösenordslösning för windows-lokal administratör i Microsoft Entra-ID

Varje Windows-enhet har ett inbyggt lokalt administratörskonto som du måste skydda och skydda för att minimera eventuella Pass-the-Hash-attacker (PtH) och laterala bläddringar. Många kunder har använt vår fristående, lokala laps-produkt (Local Administrator Password Solution) för lösenordshantering för lokal administratör för sina domänanslutna Windows-datorer. Med Microsoft Entra-stöd för Windows LAPS ger vi en konsekvent upplevelse för både Microsoft Entra-anslutna och Microsoft Entra-hybridanslutningar.

Microsoft Entra-stöd för LAPS innehåller följande funktioner:

  • Aktivera Windows LAPS med Microsoft Entra-ID – Aktivera en princip för hela klientorganisationen och en princip på klientsidan för att säkerhetskopiera det lokala administratörslösenordet till Microsoft Entra-ID.
  • Lösenordshantering för lokal administratör – Konfigurera principer på klientsidan för att ange kontonamn, lösenordsålder, längd, komplexitet, manuell lösenordsåterställning och så vidare.
  • Återställa lösenord för lokal administratör – Använd API/Portal-funktioner för återställning av lösenord för lokal administratör.
  • Räkna upp alla Windows LAPS-aktiverade enheter – Använd API/Portal-funktioner för att räkna upp alla Windows-enheter i Microsoft Entra-ID aktiverat med Windows LAPS.
  • Auktorisering av lösenordsåterställning för lokal administratör – Använd rollbaserade åtkomstkontrollprinciper (RBAC) med anpassade roller och administrativa enheter.
  • Granska uppdatering och återställning av lösenord för den lokala administratören – Använda API/portalupplevelser för granskningsloggar för att övervaka händelser för lösenordsuppdatering och återställning.
  • Principer för villkorlig åtkomst för lösenordsåterställning för lokal administratör – Konfigurera principer för villkorlig åtkomst för katalogroller som har auktorisering av lösenordsåterställning.

Kommentar

Windows LAPS med Microsoft Entra-ID stöds inte för Windows-enheter som är Microsoft Entra-registrerade.

Lösning för lokalt administratörslösenord stöds inte på plattformar som inte är Windows-plattformar.

Om du vill veta mer om Windows LAPS kan du börja med följande artiklar i Windows-dokumentationen:

Krav

Azure-regioner och Windows-distributioner som stöds

Den här funktionen är nu tillgänglig i följande Azure-moln:

  • Azure Global
  • Azure Government
  • Microsoft Azure drivs av 21Vianet

Uppdateringar av operativsystemet

Den här funktionen är nu tillgänglig på följande Windows OS-plattformar med den angivna uppdateringen eller senare installerad:

Kopplingstyper

LAPS stöds endast på Microsoft Entra-anslutna eller Microsoft Entra Hybrid-anslutna enheter. Microsoft Entra-registrerade enheter stöds inte.

Licenskrav

LAPS är tillgängligt för alla kunder med Kostnadsfria eller högre Licenser för Microsoft Entra-ID. Andra relaterade funktioner som administrativa enheter, anpassade roller, villkorsstyrd åtkomst och Intune har andra licenskrav.

Nödvändiga roller eller behörigheter

Förutom de inbyggda Microsoft Entra-rollerna som Molnenhetsadministratör och Intune-administratör som beviljas enhet. LocalCredentials.Read.All, du kan använda microsoft Entra anpassade roller eller administrativa enheter för att auktorisera lösenordsåterställning för lokal administratör. Till exempel:

  • Anpassade roller måste tilldelas behörigheten microsoft.directory/deviceLocalCredentials/password/read för att ge den lokala administratören behörighet att återställa lösenord. Du kan skapa en anpassad roll och bevilja behörigheter med hjälp av administrationscentret för Microsoft Entra, Microsoft Graph API eller PowerShell. När du har skapat en anpassad roll kan du tilldela den till användare.

  • Du kan också skapa en administrativ Microsoft Entra-ID-enhet, lägga till enheter och tilldela rollen Molnenhetsadministratör som är begränsad till den administrativa enheten för att auktorisera lösenordsåterställning för lokal administratör.

Aktivera Windows LAPS med Microsoft Entra-ID

Om du vill aktivera Windows LAPS med Microsoft Entra-ID måste du vidta åtgärder i Microsoft Entra-ID och de enheter som du vill hantera. Vi rekommenderar att organisationer hanterar Windows LAPS med Hjälp av Microsoft Intune. Om dina enheter är Microsoft Entra-anslutna men inte använder eller inte stöder Microsoft Intune kan du distribuera Windows LAPS för Microsoft Entra-ID manuellt. Mer information finns i artikeln Konfigurera principinställningar för Windows LAPS.

  1. Logga in på administrationscentret för Microsoft Entra som minst molnenhetsadministratör.

  2. Bläddra till Enhetsinställningar för identitetsenheter>>– Översikt>

  3. Välj Ja för inställningen Aktivera lokal administratörslösenordlösning (LAPS) och välj sedan Spara. Du kan också använda Microsoft Graph API Update deviceRegistrationPolicy för att slutföra den här uppgiften.

  4. Konfigurera en princip på klientsidan och ange BackUpDirectory som Microsoft Entra-ID.

Återställa lösenords- och lösenordsmetadata för lokal administratör

Om du vill visa det lokala administratörslösenordet för en Windows-enhet som är ansluten till Microsoft Entra-ID måste du beviljas åtgärden microsoft.directory/deviceLocalCredentials/password/read .

Om du vill visa lösenordsmetadata för den lokala administratören för en Windows-enhet som är ansluten till Microsoft Entra-ID måste du beviljas åtgärden microsoft.directory/deviceLocalCredentials/standard/read .

Följande inbyggda roller beviljas dessa åtgärder som standard:

Inbyggd roll microsoft.directory/deviceLocalCredentials/standard/read och microsoft.directory/deviceLocalCredentials/password/read microsoft.directory/deviceLocalCredentials/standard/read
Molnenhetsadministratör Ja Ja
Intune-tjänstadministratör Ja Ja
Supportadministratör Nej Ja
Säkerhetsadministratör Nej Ja
Säkerhetsläsare Nej Ja

Alla roller som inte visas beviljas ingen åtgärd.

Du kan också använda Microsoft Graph API Get deviceLocalCredentialInfo för att återställa lokala administrativa lösenord. Om du använder Microsoft Graph API är lösenordet som returneras i Base64-kodat värde som du måste avkoda innan du använder det.

Visa en lista över alla Windows LAPS-aktiverade enheter

Om du vill visa en lista över alla Windows LAPS-aktiverade enheter kan du bläddra till Identity>Devices>Overview Local administrator password recovery (Översikt över>lösenordsåterställning för lokal administratör) eller använda Microsoft Graph-API:et.

Granska uppdatering och återställning av lösenord för lokal administratör

Om du vill visa granskningshändelser kan du bläddra till Översiktsloggar> för identitetsenheter>>, sedan använda filtret Aktivitet och söka efter uppdatera enhetens lokala administratörslösenord eller Återställa enhetens lokala administratörslösenord för att visa granskningshändelserna.

Principer för villkorlig åtkomst för lösenordsåterställning för lokal administratör

Principer för villkorlig åtkomst kan begränsas till de inbyggda rollerna för att skydda åtkomsten för att återställa lokala administratörslösenord. Du hittar ett exempel på en princip som kräver multifaktorautentisering i artikeln Common Conditional Access policy: Require MFA for administrators (Vanliga principer för villkorsstyrd åtkomst): Kräv MFA för administratörer.

Kommentar

Andra rolltyper, inklusive administrativa roller med enhetsomfattning och anpassade roller, stöds inte

Vanliga frågor och svar

Stöds Windows LAPS med Microsoft Entra-hanteringskonfiguration med hjälp av grupprincip objekt (GPO:er)?

Ja, endast för Hybrid-anslutna Microsoft Entra-enheter. Se Windows LAPS grupprincip.

Stöds Windows LAPS med Microsoft Entra-hanteringskonfiguration med MDM?

Ja, för Microsoft Entra-anslutning till/Microsoft Entra-hybridanslutningsenheter (samhanterade) enheter. Kunder kan använda Microsoft Intune eller någon annan hantering av mobila enheter från tredje part (MDM).

Vad händer när en enhet tas bort i Microsoft Entra-ID?

När en enhet tas bort i Microsoft Entra-ID går LAPS-autentiseringsuppgifterna som var kopplade till enheten förlorade och lösenordet som lagras i Microsoft Entra-ID går förlorat. Om du inte har ett anpassat arbetsflöde för att hämta LAPS-lösenord och lagra dem externt finns det ingen metod i Microsoft Entra-ID för att återställa det LAPS-hanterade lösenordet för en borttagen enhet.

Vilka roller behövs för att återställa LAPS-lösenord?

Följande inbyggda roller Microsoft Entra-roller har behörighet att återställa LAPS-lösenord: Molnenhetsadministratör och Intune-administratör.

Vilka roller behövs för att läsa LAPS-metadata?

Följande inbyggda roller stöds för att visa metadata om LAPS, inklusive enhetsnamn, rotation av senaste lösenord och nästa lösenordsrotation: Molnenhetsadministratör, Intune-administratör, supportadministratör, säkerhetsläsare och säkerhetsadministratör.

Stöds anpassade roller?

Ja. Om du har Microsoft Entra ID P1 eller P2 kan du skapa en anpassad roll med följande RBAC-behörigheter:

  • Läsa LAPS-metadata: microsoft.directory/deviceLocalCredentials/standard/read
  • Läsa LAPS-lösenord: microsoft.directory/deviceLocalCredentials/password/read

Vad händer när det lokala administratörskontot som anges av principen ändras?

Eftersom Windows LAPS bara kan hantera ett lokalt administratörskonto på en enhet i taget hanteras det ursprungliga kontot inte längre av LAPS-principen. Om principen har enhetens säkerhetskopiering av kontot säkerhetskopieras det nya kontot och information om det tidigare kontot är inte längre tillgängligt från Intune-administrationscentret eller från den katalog som angetts för att lagra kontoinformationen.

Nästa steg