Windows LAPS için Microsoft Intune desteği
Her Windows makinesinin silinemez ve cihaz için tam izinleri olan yerleşik bir yerel yönetici hesabı vardır. Bu hesabın güvenliğini sağlamak, kuruluşunuzun güvenliğini sağlamada önemli bir adımdır. Windows cihazları, yerel yönetici hesaplarını yönetmeye yardımcı olan yerleşik bir çözüm olan Windows Yerel Yönetici Parola Çözümü (LAPS) içerir.
Intune'a kayıtlı cihazlarda LAPS'yi yönetmek için hesap koruması için Microsoft Intune uç nokta güvenlik ilkelerini kullanabilirsiniz. Intune ilkeleri şunları yapabilir:
- Yerel yönetici hesapları için parola gereksinimlerini zorunlu kılma
- Yerel yönetici hesabını cihazlardan Active Directory (AD) veya Microsoft Entra'nıza yedekleme
- Bu hesap parolalarını güvende tutmaya yardımcı olmak için bu hesap parolalarının rotasyonunu zamanlayın.
Ayrıca Intune Yönetim merkezinde yönetilen yerel yönetici hesaplarıyla ilgili ayrıntıları görüntüleyebilir ve hesap parolalarını zamanlanmış döndürme dışında el ile döndürebilirsiniz.
Intune LAPS ilkelerinin kullanılması, Windows cihazlarını karmayı geçirme veya yanal geçiş saldırıları gibi yerel kullanıcı hesaplarından yararlanmaya yönelik saldırılara karşı korumanıza yardımcı olur. LAPS'nin Intune ile yönetilmesi, uzaktan yardım masası senaryoları için güvenliği artırmaya ve erişilemeyen cihazları kurtarmaya da yardımcı olabilir.
Intune LAPS ilkesi, Windows LAPS CSP'den sağlanan ayarları yönetir. Intune'un CSP kullanımı , Eski Microsoft LAPS veya diğer LAPS yönetim çözümlerinin kullanılmasının yerini, CSP tabanlı diğer LAPS yönetim kaynaklarından önceliklidir .
Windows LAPS için Intune desteği aşağıdaki özellikleri içerir:
- Parola gereksinimlerini ayarlama – Bir cihazdaki yerel yönetici hesabı için karmaşıklık ve uzunluk da dahil olmak üzere parola gereksinimlerini tanımlayın.
- Parolaları döndürme – İlkeyle, cihazların yerel yönetici hesabı parolalarını zamanlamaya göre otomatik olarak döndürmesini sağlayabilirsiniz. Cihazın parolasını cihaz eylemi olarak el ile döndürmek için Intune yönetim merkezini de kullanabilirsiniz.
- Hesapları ve parolaları yedekleme – Cihazların buluttaki Microsoft Entra Id veya şirket içi Active Directory'nizde hesaplarını ve parolalarını yedeklemesini seçebilirsiniz. Parolalar güçlü şifreleme kullanılarak depolanır.
- Kimlik doğrulama sonrası eylemlerini yapılandırma – Bir cihazın yerel yönetici hesabı parolasının süresi dolduğunda gerçekleştirilir eylemleri tanımlayın. Eylemler, yönetilen hesabı sıfırlamaktan yeni bir güvenli parola kullanmaya, hesabın oturumunu kapatmaya veya ikisini birden yapıp cihazı kapatmaya kadar uzanır. Ayrıca, bu eylemleri gerçekleştirmeden önce parolanın süresi dolduktan sonra cihazın ne kadar süreyle bekleyeceğini de yönetebilirsiniz.
- Hesap ayrıntılarını görüntüleme – Yeterli rol tabanlı yönetim denetimi (RBAC) izinlerine sahip Intune yöneticileri, bir cihaz yerel yönetici hesabı ve geçerli parolası hakkındaki bilgileri görüntüleyebilir. Ayrıca bu parolanın en son ne zaman döndürüldüğünü (sıfırlandığını) ve ne zaman döndürülmek üzere zamanlandığını da görebilirsiniz.
- Raporları görüntüleme – Intune, geçmişteki el ile ve zamanlanmış parola döndürmeyle ilgili ayrıntılar da dahil olmak üzere parola döndürmeyle ilgili raporlar sağlar.
Windows LAPS hakkında daha ayrıntılı bilgi edinmek için Windows belgelerindeki aşağıdaki makalelerle başlayın:
- Windows LAPS nedir? – Windows LAPS ve Windows LAPS belge kümesine giriş.
- Windows LAPS CSP – LAPS ayarları ve seçenekleri için tüm ayrıntıları görüntüleyin. LAPS için Intune ilkesi, cihazlarda LAPS CSP'yi yapılandırmak için bu ayarları kullanır.
Şunlar için geçerlidir:
- Windows 10
- Windows 11
Önkoşullar
Kiracınızda Windows LAPS'yi desteklemek için Intune gereksinimleri şunlardır:
Lisans gereksinimleri
Intune aboneliği - Temel Intune aboneliği olan Microsoft Intune Plan 1. Windows LAPS'i Intune için ücretsiz deneme aboneliğiyle de kullanabilirsiniz.
Microsoft Entra Id – Microsoft Entra ID Free, Intune'a abone olduğunuzda dahil edilen Ücretsiz Microsoft Entra Id sürümüdür. Microsoft Entra ID Free ile LAPS'nin tüm özelliklerini kullanabilirsiniz.
Active Directory desteği
Windows LAPS için Intune ilkesi, bir cihazı yerel yönetici hesabını ve parolasını aşağıdaki Dizin türlerinden birine yedeklemek üzere yapılandırabilir:
Not
Çalışma alanına katılmış (WPJ) cihazlar LAPS için Intune tarafından desteklenmez.
Bulut – Bulut, aşağıdaki senaryolar için Microsoft Entra Id'nize yedeklemeyi destekler:
Microsoft Entra karma katılımı
Microsoft Entra join
Microsoft Entra katılımı desteği, Microsoft Entra Kimliğinizde LAPS'yi etkinleştirmenizi gerektirir. Aşağıdaki adımlar bu yapılandırmayı tamamlamanıza yardımcı olabilir. Daha büyük bir bağlam için, Windows LAPS'yi Microsoft Entra Kimliği ile Etkinleştirme makalesindeki Microsoft Entra belgelerinde bu adımları görüntüleyin. Microsoft Entra karma katılımı , Microsoft Entra'da LAPS'nin etkinleştirilmesini gerektirmez.
Microsoft Entra'da LAPS'yi etkinleştirme:
- Microsoft Entra yönetim merkezindeBulut Cihazı Yöneticisi olarak oturum açın.
- Kimlik>Cihazlarına>Genel Bakış>Cihaz ayarlarına göz atın.
- Yerel Yönetici Parola Çözümünü Etkinleştir (LAPS) ayarı için Evet'i ve ardından Kaydet'i seçin. Microsoft Graph API Update deviceRegistrationPolicy'yi de kullanabilirsiniz.
Daha fazla bilgi için Microsoft Entra belgelerindeki Microsoft Entra Id'de Windows Yerel Yönetici Parola Çözümü'ne bakın.
Şirket içi – Şirket içi, Windows Server Active Directory'ye (şirket içi Active Directory) yedeklemeyi destekler.
Önemli
Windows cihazlarında LAPS, bir dizin türünü veya diğerini kullanacak şekilde yapılandırılabilir, ancak ikisini birden kullanamaz. Ayrıca, yedekleme dizininin cihazlara katılma türü tarafından desteklenmesi gerektiğini de göz önünde bulundurun. Dizini şirket içi Active Directory olarak ayarlarsanız ve cihaz etki alanına katılmamışsa, Intune'dan ilke ayarlarını kabul eder, ancak LAPS bu yapılandırmayı başarıyla kullanamaz.
Device Edition ve Platform
Cihazlar , Intune'un desteklediği herhangi bir Windows sürümüne sahip olabilir, ancak Windows LAPS CSP'yi desteklemek için aşağıdaki sürümlerden birinin çalıştırılması gerekir:
- KB5025221 ile Windows 10, sürüm 22H2 (19045.2846 veya üzeri)
- KB5025221 ile Windows 10, sürüm 21H2 (19044.2846 veya üzeri)
- KB5025221 ile Windows 10, sürüm 20H2 (19042.2846 veya üzeri)
- KB5025239 ile Windows 11, sürüm 22H2 (22621.1555 veya üzeri)
- KB5025224 ile Windows 11, sürüm 21H2 (22000.1817 veya üzeri)
GCC Yüksek desteği
Windows LAPS için Intune ilkesi GCC High ortamları için desteklenir.
LAPS için rol tabanlı erişim denetimleri
LAPS'yi yönetmek için bir hesabın istenen görevi tamamlamak için yeterli rol tabanlı erişim denetimi (RBAC) izinlerine sahip olması gerekir. Aşağıdakiler, gerekli izinlerine sahip kullanılabilir görevlerdir:
LAPS ilkesi oluşturma ve erişim – LAPS ilkeleriyle çalışmak ve görüntülemek için hesabınıza Güvenlik temelleri için Intune RBAC kategorisinden yeterli izinler atanmalıdır. Varsayılan olarak, bunlar yerleşik Endpoint Security Manager rolüne dahil edilir. Özel rolleri kullanmak için özel rolün Güvenlik temelleri kategorisindeki hakları içerdiğinden emin olun.
Yerel Yönetici parolasını döndür – Bir cihaz yerel yönetici hesabı parolasını görüntülemek veya döndürmek için Intune yönetim merkezini kullanmak için hesabınıza aşağıdaki Intune izinleri atanmalıdır:
- Yönetilen cihazlar: Okuma
- Kuruluş: Okuma
- Uzak görevler: Yerel Yönetici Parolasını Döndürme
Yerel Yönetici parolasını alma – Parola ayrıntılarını görüntülemek için hesabınızın aşağıdaki Microsoft Entra izinlerinden birine sahip olması gerekir:
-
microsoft.directory/deviceLocalCredentials/password/read
laps meta verilerini ve parolalarını okumak için. -
microsoft.directory/deviceLocalCredentials/standard/read
parolalar hariç LAPS meta verilerini okumak için.
Bu izinleri verebilen özel roller oluşturmak için, Microsoft Entra belgelerindeki Microsoft Entra Id'de özel rol oluşturma ve atama konusuna bakın.
-
Microsoft Entra denetim günlüklerini ve olaylarını görüntüleme – LAPS ilkeleri ve parola döndürme olayları gibi son cihaz eylemleri hakkındaki ayrıntıları görüntülemek için hesabınızın yerleşik Intune rolü Salt Okunur İşleci ile eşdeğer izinlere sahip olması gerekir.
Daha fazla bilgi için bkz. Microsoft Intune için rol tabanlı erişim denetimi.
LAPS Mimarisi
Windows LAPS mimarisi hakkında bilgi için Windows belgelerindeki Windows LAPS mimarisine bakın.
Sık Sorulan Sorular
Bir cihazdaki herhangi bir yerel yönetici hesabını yönetmek için Intune LAPS ilkesini kullanabilir miyim?
Evet. Intune LAPS ilkesi, bir cihazdaki herhangi bir yerel yönetici hesabını yönetmek için kullanılabilir. Ancak LAPS, cihaz başına yalnızca bir hesabı destekler:
- İlke bir hesap adı belirtmediğinde Intune, cihazdaki geçerli adına bakılmaksızın varsayılan yerleşik yönetici hesabını yönetir.
- Intune'un cihaz için yönettiği hesabı, cihazın atanmış ilkesini değiştirerek veya geçerli ilkesini düzenleyerek farklı bir hesap belirterek değiştirebilirsiniz.
- Her ikisi de farklı bir hesap belirten bir cihaza iki ayrı ilke atanırsa, cihazın hesabının yönetilebilmesi için önce çözülmesi gereken bir çakışma oluşur.
Laps ilkesini Intune ile zaten farklı bir kaynaktan LAPS yapılandırmalarına sahip bir cihaza dağıtırsam ne olur?
Intune'un CSP tabanlı ilkesi, GPO'lar veya Eski Microsoft LAPS yapılandırması gibi LAPS ilkesinin diğer tüm kaynaklarını geçersiz kılar. Daha fazla bilgi için Windows LAPS belgelerindeki Desteklenen İlke kökleri bölümüne bakın.
Windows LAPS, LAPS ilkesi kullanılarak yapılandırılan yönetici hesabı adına göre yerel yönetici hesapları oluşturabilir mi?
Hayır. Windows LAPS yalnızca cihazda zaten var olan hesapları yönetebilir. İlke cihazda mevcut olmayan bir hesabı ada göre belirtirse, ilke uygulanır ve hata bildirmez. Ancak hiçbir hesap yedeklenmez.
Windows LAPS, Microsoft Entra'da devre dışı bırakılmış bir cihazın parolasını döndürür ve yedekler mi?
Hayır. Windows LAPS, parola döndürme ve yedekleme işlemlerinin uygulanabilmesi için cihazın etkin durumda olmasını gerektirir.
Microsoft Entra'da bir cihaz silindiğinde ne olur?
Microsoft Entra'da bir cihaz silindiğinde, bu cihaza bağlanan LAPS kimlik bilgileri kaybolur ve Microsoft Entra Id'de depolanan parola kaybolur. LAPS parolalarını alıp harici olarak depolamak için özel bir iş akışınız yoksa, Microsoft Entra Id'de silinen bir cihazın LAPS yönetilen parolasını kurtarma yöntemi yoktur.
LAPS parolalarını kurtarmak için hangi roller gereklidir?
Aşağıdaki yerleşik Microsoft Entra rolleri LAPS parolalarını kurtarma iznine sahiptir: Bulut Cihazı Yöneticisi ve Intune Yöneticisi.
LAPS meta verilerini okumak için hangi roller gereklidir?
Cihaz adı, son parola döndürme ve sonraki parola döndürme dahil olmak üzere LAPS hakkındaki meta verileri görüntülemek için aşağıdaki yerleşik Microsoft Entra rolleri desteklenir:
- Güvenlik Okuyucusu
Aşağıdaki rolleri de kullanabilirsiniz:
- Bulut Cihazı Yöneticisi
- Intune Yöneticisi
- Yardım Masası Yöneticisi
- Güvenlik Yöneticisi
Yerel yönetici parolası düğmesi neden gri ve erişilemez durumda?
Şu anda bu alana erişim için Yerel Yönetici parolasını Döndürme Intune izni gerekir. Bkz. Microsoft Intune için rol tabanlı erişim denetimi.
İlke tarafından belirtilen hesap değiştirildiğinde ne olur?
Windows LAPS bir cihazda aynı anda yalnızca bir yerel yönetici hesabını yönetebileceğinden, özgün hesap artık LAPS ilkesi tarafından yönetilemez. İlke cihaz bu hesabı yedeklediyse, yeni hesap yedeklenir ve önceki hesap hakkındaki ayrıntılar artık Intune yönetim merkezinden veya hesap bilgilerini depolamak için belirtilen Dizin'den kullanılamaz.