Microsoft Entra Id'de Windows Yerel Yönetici Parola Çözümü

Her Windows cihazı, karma geçiş (PtH) ve yanal geçiş saldırılarını azaltmak için güvenlik altına alıp korumanız gereken yerleşik bir yerel yönetici hesabıyla birlikte gelir. Birçok müşteri, etki alanına katılmış Windows makinelerinin yerel yönetici parola yönetimi için tek başına, şirket içi Yerel Yönetici Parola Çözümü (LAPS) ürünümüzü kullanıyor. Windows LAPS için Microsoft Entra desteği ile hem Microsoft Entra'ya katılmış hem de Microsoft Entra karma katılmış cihazlar için tutarlı bir deneyim sağlıyoruz.

LAPS için Microsoft Entra desteği aşağıdaki özellikleri içerir:

  • Microsoft Entra Id ile Windows LAPS'yi etkinleştirme - Yerel yönetici parolasını Microsoft Entra Id'ye yedeklemek için kiracı genelinde bir ilkeyi ve istemci tarafı ilkesini etkinleştirin.
  • Yerel yönetici parola yönetimi - Hesap adı, parola yaşı, uzunluk, karmaşıklık, el ile parola sıfırlama vb. ayarlamak için istemci tarafı ilkelerini yapılandırın.
  • Yerel yönetici parolasını kurtarma - Yerel yönetici parolası kurtarma için API/Portal deneyimlerini kullanın.
  • Tüm Windows LAPS özellikli cihazları listeleme - Windows LAPS ile etkinleştirilen Microsoft Entra ID'deki tüm Windows cihazlarını listelemek için API/Portal deneyimlerini kullanın.
  • Yerel yönetici parola kurtarma yetkilendirmesi - Özel roller ve yönetim birimleriyle rol tabanlı erişim denetimi (RBAC) ilkelerini kullanın.
  • Yerel yönetici parola güncelleştirmesini ve kurtarmasını denetleme - Parola güncelleştirme ve kurtarma olaylarını izlemek için denetim günlükleri API/Portal deneyimlerini kullanın.
  • Yerel yönetici parola kurtarma için Koşullu Erişim ilkeleri - Parola kurtarma yetkilendirmesine sahip dizin rollerinde Koşullu Erişim ilkelerini yapılandırın.

Not

Microsoft Entra Id ile Windows LAPS, Microsoft Entra kayıtlı Windows cihazları için desteklenmez.

Yerel Yönetici Parola Çözümü Windows dışı platformlarda desteklenmez.

Windows LAPS hakkında daha ayrıntılı bilgi edinmek için Windows belgelerindeki aşağıdaki makalelerle başlayın:

Gereksinimler

Desteklenen Azure bölgeleri ve Windows dağıtımları

Bu özellik artık aşağıdaki Azure bulutlarında kullanılabilir:

  • Azure Global
  • Azure Kamu
  • 21Vianet tarafından çalıştırılan Microsoft Azure

İşletim sistemi güncelleştirmeleri

Bu özellik artık belirtilen güncelleştirme veya daha sonraki bir sürümün yüklü olduğu aşağıdaki Windows işletim sistemi platformlarında kullanılabilir:

Birleştirme türleri

LAPS yalnızca Microsoft Entra'ya katılmış veya Microsoft Entra karma katılmış cihazlarda desteklenir. Microsoft Entra kayıtlı cihazları desteklenmez.

Lisans gereksinimleri

LAPS, Microsoft Entra ID Ücretsiz veya daha yüksek lisanslara sahip tüm müşteriler tarafından kullanılabilir. Yönetim birimleri, özel roller, Koşullu Erişim ve Intune gibi diğer ilgili özelliklerin başka lisans gereksinimleri vardır.

Gerekli roller veya izinler

Cihaz verilen Bulut Cihazı Yöneticisi ve Intune Yöneticisi gibi yerleşik Microsoft Entra rolleri dışında. LocalCredentials.Read.All, yerel yönetici parola kurtarmasını yetkilendirmek için Microsoft Entra özel rollerini veya yönetim birimlerini kullanabilirsiniz. Örneğin:

  • Özel rollere yerel yönetici parola kurtarma yetkisi vermek için microsoft.directory/deviceLocalCredentials/password/read izni atanmalıdır. Microsoft Entra yönetim merkezini, Microsoft Graph API'sini veya PowerShell'i kullanarak özel bir rol oluşturabilir ve izinler vekleyebilirsiniz. Özel bir rol oluşturduktan sonra, bunu kullanıcılara atayabilirsiniz.

  • Ayrıca bir Microsoft Entra Id yönetim birimi oluşturabilir, cihazlar ekleyebilir ve yerel yönetici parola kurtarmasını yetkilendirmek için kapsamı yönetim birimine belirlenmiş Bulut Cihazı Yöneticisi rolünü atayabilirsiniz.

Microsoft Entra Id ile Windows LAPS'yi etkinleştirme

Windows LAPS'yi Microsoft Entra Id ile etkinleştirmek için Microsoft Entra Id ve yönetmek istediğiniz cihazlarda işlem gerçekleştirmeniz gerekir. Kuruluşların Windows LAPS'i Microsoft Intune kullanarak yönetmesini öneririz. Cihazlarınız Microsoft Entra'ya katıldıysa ancak Microsoft Intune'u kullanmıyorsa veya desteklemiyorsa, Microsoft Entra Id için Windows LAPS'yi el ile dağıtabilirsiniz. Daha fazla bilgi için Windows LAPS ilke ayarlarını yapılandırma makalesine bakın.

  1. Microsoft Entra yönetim merkezinde en az Bir Bulut Cihazı Yöneticisi olarak oturum açın.

  2. Kimlik>Cihazlarına>Genel Bakış>Cihaz ayarlarına göz atın

  3. Yerel Yönetici Parola Çözümünü Etkinleştir (LAPS) ayarı için Evet'i ve ardından Kaydet'i seçin. Bu görevi tamamlamak için Microsoft Graph API Update deviceRegistrationPolicy de kullanabilirsiniz.

  4. İstemci tarafı ilkesi yapılandırın ve BackUpDirectory'yi Microsoft Entra Id olarak ayarlayın.

Yerel yönetici parolasını ve parola meta verilerini kurtarma

Microsoft Entra Id'ye katılmış bir Windows cihazının yerel yönetici parolasını görüntülemek için size microsoft.directory/deviceLocalCredentials/password/read eylemi verilmelidir.

Microsoft Entra Id'ye katılmış bir Windows cihazının yerel yönetici parolası meta verilerini görüntülemek için size microsoft.directory/deviceLocalCredentials/standard/read eylemi verilmelidir.

Aşağıdaki yerleşik rollere varsayılan olarak şu eylemler verilir:

Yerleşik rol microsoft.directory/deviceLocalCredentials/standard/read ve microsoft.directory/deviceLocalCredentials/password/read microsoft.directory/deviceLocalCredentials/standard/read
Bulut Cihazı Yöneticisi Yes Yes
Intune Hizmet Yöneticisi Yes Yes
Yardım Masası Yöneticisi Hayır Evet
Güvenlik Yöneticisi Hayır Evet
Güvenlik Okuyucusu Hayır Evet

Listelenmeyen rollere hiçbir eylem verilmez.

Yerel yönetici parolasını kurtarmak için Microsoft Graph API Get deviceLocalCredentialInfo da kullanabilirsiniz. Microsoft Graph API'sini kullanıyorsanız, döndürülen parola Base64 kodlanmış değerindedir ve kullanmadan önce kodunu çözmeniz gerekir.

Tüm Windows LAPS etkinleştirme cihazlarını listeleme

Tüm Windows LAPS özellikli cihazları listelemek için Kimlik>Cihazlarına> Genel Bakış>Yerel yönetici parola kurtarma bölümüne göz atabilir veya Microsoft Graph API'sini kullanabilirsiniz.

Yerel yönetici parola güncelleştirmesini ve kurtarmasını denetleme

Denetim olaylarını görüntülemek için Kimlik>Cihazlarına> Genel Bakış>Denetim günlüklerine göz atabilir, ardından Etkinlik filtresini kullanabilir ve Denetim olaylarını görüntülemek için Cihaz yerel yönetici parolasını güncelleştir veya Cihaz yerel yönetici parolasını kurtar'ı arayabilirsiniz.

Yerel yönetici parola kurtarma için Koşullu Erişim ilkeleri

Koşullu Erişim ilkelerinin kapsamı, yerel yönetici parolalarını kurtarmak için erişimi korumak için yerleşik roller olarak ayarlanabilir. Çok faktörlü kimlik doğrulaması gerektiren bir ilkenin örneğini Ortak Koşullu Erişim ilkesi: Yöneticiler için MFA gerektirme makalesinde bulabilirsiniz.

Not

Yönetim birimi kapsamlı roller ve özel roller gibi diğer rol türleri desteklenmez

Sık sorulan sorular

Microsoft Entra yönetim yapılandırmasına sahip Windows LAPS, Grup İlkesi Nesneleri (GPO) kullanılarak destekleniyor mu?

Evet, yalnızca Microsoft Entra hibrite katılmış cihazlar için. Bkz. Windows LAPS Grup İlkesi.

Microsoft Entra yönetim yapılandırması ile Windows LAPS, MDM kullanılarak destekleniyor mu?

Evet, Microsoft Entra için Microsoft Entra karma birleştirme (ortak yönetilen) cihazlarına katılın/. Müşteriler Microsoft Intune'u veya tercih ettikleri herhangi bir üçüncü taraf mobil cihaz yönetimini (MDM) kullanabilir.

Microsoft Entra Id'de bir cihaz silindiğinde ne olur?

Bir cihaz Microsoft Entra Kimliği'nde silindiğinde, bu cihaza bağlı LAPS kimlik bilgileri kaybolur ve Microsoft Entra Kimliği'nde depolanan parola kaybolur. LAPS parolalarını almak ve harici olarak depolamak için özel bir iş akışınız yoksa, Microsoft Entra Id'de silinen bir cihazın LAPS tarafından yönetilen parolasını kurtarma yöntemi yoktur.

LAPS parolalarını kurtarmak için hangi roller gereklidir?

Aşağıdaki yerleşik Microsoft Entra rolleri LAPS parolalarını kurtarma iznine sahiptir: Bulut Cihazı Yöneticisi ve Intune Yöneticisi.

LAPS meta verilerini okumak için hangi roller gereklidir?

Cihaz adı, son parola döndürme ve sonraki parola döndürme dahil olmak üzere LAPS hakkındaki meta verileri görüntülemek için aşağıdaki yerleşik roller desteklenir: Bulut Cihazı Yöneticisi, Intune Yöneticisi, Yardım Masası Yöneticisi, Güvenlik Okuyucusu ve Güvenlik Yöneticisi.

Özel roller destekleniyor mu?

Evet. Microsoft Entra Id P1 veya P2'niz varsa, aşağıdaki RBAC izinleriyle özel bir rol oluşturabilirsiniz:

  • LAPS meta verilerini okumak için: microsoft.directory/deviceLocalCredentials/standard/read
  • LAPS parolalarını okumak için: microsoft.directory/deviceLocalCredentials/password/read

İlke tarafından belirtilen yerel yönetici hesabı değiştirildiğinde ne olur?

Windows LAPS aynı anda bir cihazda yalnızca bir yerel yönetici hesabını yönetebildiğinden, özgün hesap artık LAPS ilkesi tarafından yönetilemez. İlke cihaz bu hesabı yedeklediyse, yeni hesap yedeklenir ve önceki hesap hakkındaki ayrıntılar artık Intune yönetim merkezinden veya hesap bilgilerini depolamak için belirtilen Dizinden kullanılamaz.

Sonraki adımlar