Microsoft Intune 对 Windows LAPS 的支持

每台 Windows 计算机都有一个无法删除的内置本地管理员帐户，该帐户对设备具有完全权限。 保护此帐户是保护组织的重要步骤。 Windows 设备包括 Windows 本地管理员密码解决方案 (LAPS) ，这是一种内置解决方案，可帮助管理本地管理员帐户。

可以使用 Microsoft Intune 终结点安全策略进行 帐户保护 ，以管理已注册 Intune 的设备上的 LAPS。 Intune 策略可以：

• 对本地管理员帐户强制实施密码要求
• 将本地管理员帐户从设备备份到 Active Directory (AD) 或 Microsoft Entra
• 计划这些帐户密码的轮换，以帮助确保其安全。

还可以在 Intune 管理中心查看有关托管本地管理员帐户的详细信息，并在计划的轮换之外手动轮换其帐户密码。

使用 Intune LAPS 策略有助于保护 Windows 设备免受旨在利用本地用户帐户的攻击，例如传递哈希或横向遍历攻击。 使用 Intune 管理 LAPS 还有助于提高远程技术支持方案的安全性，并恢复其他无法访问的设备。

Intune LAPS 策略管理 Windows LAPS CSP 提供的设置。 Intune 使用 CSP 取代了 旧版 Microsoft LAPS 或其他 LAPS 管理解决方案的使用，而基于 CSP 的 优先级 高于其他 LAPS 管理源。

Intune 对 Windows LAPS 的支持包括以下功能：

• 设置密码要求 - 定义密码要求，包括设备上本地管理员帐户的复杂性和长度。
• 轮换密码 - 使用策略，你可以让设备按计划自动轮换本地管理员帐户密码。 还可以使用 Intune 管理中心手动轮换设备的密码作为设备操作。
• 备份帐户和密码 – 可以选择让设备在云中的 Microsoft Entra ID 或本地 Active Directory 中备份其帐户和密码。 使用强加密存储密码。
• 配置身份验证后操作 - 定义设备在其本地管理员帐户密码过期时执行的操作。 操作包括重置托管帐户以使用新的安全密码、注销帐户，或同时执行这两项操作，然后关闭设备。 还可以管理设备在密码过期后等待的时间，然后再执行这些操作。
• 查看帐户详细信息 – 具有足够的基于角色的管理控制 (RBAC) 权限的 Intune 管理员可以查看有关设备本地管理员帐户及其当前密码的信息。 还可以查看上次轮换该密码的时间 (重置) ，以及下次轮换密码的时间。
• 查看报告 – Intune 提供有关密码轮换的报告，包括有关过去手动轮换和计划密码轮换的详细信息。

若要更详细地了解 Windows LAPS，请从 Windows 文档中的以下文章开始：

• 什么是 Windows LAPS？ – Windows LAPS 和 Windows LAPS 文档集简介。
• Windows LAPS CSP - 查看 LAPS 设置和选项的完整详细信息。 LAPS 的 Intune 策略使用这些设置在设备上配置 LAPS CSP。

应用于：

• Windows 10
• Windows 11

先决条件

以下是 Intune 在租户中支持 Windows LAPS 的要求：

许可要求

• Intune 订阅 - Microsoft Intune 计划 1，这是基本的 Intune 订阅。 还可以将 Windows LAPS 与 Intune 的免费试用版订阅配合使用。

• Microsoft Entra ID – Microsoft Entra ID Free，这是订阅 Intune 时包含的 Microsoft Entra ID 的免费版本。 使用 Microsoft Entra ID Free，可以使用 LAPS 的所有功能。

Active Directory 支持

Windows LAPS 的 Intune 策略可以将设备配置为将本地管理员帐户和密码备份到以下目录类型之一：

• 云 - 云支持在以下情况下备份到 Microsoft Entra ID：

  • Microsoft Entra 混合联接

  • Microsoft Entra 联接

    支持 Microsoft Entra 联接 需要你在 Microsoft Entra ID 中启用 LAPS。 以下步骤可帮助你完成此配置。 对于较大的上下文，请在使用 Microsoft Entra ID 启用 Windows LAPS 的 Microsoft Entra 文档中查看这些步骤。 Microsoft Entra 混合联接 不需要在 Microsoft Entra 中启用 LAPS。

    在 Microsoft Entra 中启用 LAPS：

    1. 以云设备管理员身份登录到 Microsoft Entra 管理中心。
    2. 浏览到 “标识>设备>概述>”“设备设置”。
    3. 对于“启用本地管理员密码解决方案 (LAPS) ”设置，选择“是”，然后选择“保存”。 还可以使用 Microsoft Graph API 更新 deviceRegistrationPolicy。

    有关详细信息，请参阅 Microsoft Entra 文档中Microsoft Entra ID 中的 Windows 本地管理员密码解决方案 。

• 本地 – 本地支持备份到 Windows Server Active Directory (本地 Active Directory) 。

  重要

  Windows 设备上的 LAPS 可以配置为使用一种目录类型或另一种目录类型，但不能同时使用这两种目录类型。 另请注意，设备联接类型必须支持备份目录 - 如果将目录设置为本地 Active Directory，并且设备未加入域，它将接受 Intune 中的策略设置，但 LAPS 无法成功使用该配置。

Device Edition 和 Platform

设备可以具有 Intune 支持的任何 Windows 版本，但必须运行以下版本之一才能支持 Windows LAPS CSP：

• Windows 10 版本 22H2 (19045.2846 或更高版本) KB5025221
• Windows 10 版本 21H2 (19044.2846 或更高版本) KB5025221
• Windows 10 版本 20H2 (19042.2846 或更高版本) KB5025221
• Windows 11 版本 22H2 (22621.1555 或更高版本) KB5025239
• Windows 11 版本 21H2 (22000.1817 或更高版本) KB5025224

GCC 高支持

GCC High 环境支持 Windows LAPS 的 Intune 策略。

LAPS 的基于角色的访问控制

若要管理 LAPS，帐户必须具有足够的基于角色的访问控制 (RBAC) 权限才能完成所需的任务。 以下是具有所需权限的可用任务：

• 创建和访问 LAPS 策略 - 若要使用和查看 LAPS 策略，必须从 安全基线的 Intune RBAC 类别中为帐户分配足够的权限。 默认情况下，这些内容包含在内置角色 Endpoint Security Manager 中。 若要使用自定义角色，请确保自定义角色包含 安全基线 类别中的权限。

• 轮换本地管理员密码 – 若要使用 Intune 管理中心查看或轮换设备本地管理员帐户密码，必须为你的帐户分配以下 Intune 权限：

  • 托管设备： 读取
  • 组织： 读取
  • 远程任务： 轮换本地管理员密码

• 检索本地管理员密码 – 若要查看密码详细信息，帐户必须具有以下Microsoft Entra 权限之一：

  • microsoft.directory/deviceLocalCredentials/password/read 读取 LAPS 元数据和密码。
  • microsoft.directory/deviceLocalCredentials/standard/read 读取不包括密码的 LAPS 元数据。

  若要创建可以授予这些权限的自定义角色，请参阅 Microsoft Entra 文档中的在 Microsoft Entra ID 中创建和分配自定义角色 。

• 查看Microsoft Entra 审核日志和事件 – 若要查看有关 LAPS 策略和最近设备操作（如密码轮换事件）的详细信息，帐户必须具有等效于内置 Intune 角色 只读操作员的权限。

有关详细信息，请参阅 Microsoft Intune 的基于角色的访问控制。

LAPS 体系结构

有关 Windows LAPS 体系结构的信息，请参阅 Windows 文档中的 Windows LAPS 体系结构 。

常见问题

是否可以使用 Intune LAPS 策略管理设备上的任何本地管理员帐户？

是。 Intune LAPS 策略可用于管理设备上的任何本地管理员帐户。 但是，LAPS 仅支持每个设备一个帐户：

• 当策略未指定帐户名称时，Intune 将管理默认内置管理员帐户，而不考虑设备上的当前名称。
• 可以通过更改设备分配的策略或编辑其当前策略以指定其他帐户来更改 Intune 为设备管理的帐户。
• 如果将两个单独的策略分配给同时指定不同帐户的设备，则会发生必须在管理设备帐户之前解决的冲突。

如果我使用 Intune 将 LAPS 策略部署到已从其他源具有 LAPS 配置的设备，该怎么办？

Intune 基于 CSP 的策略会替代 LAPS 策略的所有其他源，例如来自 GPO 或 来自旧版 Microsoft LAPS 的配置。 有关详细信息，请参阅 Windows LAPS 文档中 的支持策略根 。

Windows LAPS 是否可以根据使用 LAPS 策略配置的管理员帐户名称创建本地管理员帐户？

不正确。 Windows LAPS 只能管理设备上已存在的帐户。 如果策略按名称指定了设备上不存在的帐户，该策略将应用并且不会报告错误。 但是，不会备份任何帐户。

Windows LAPS 是否轮换和备份在 Microsoft Entra 中禁用的设备的密码？

不正确。 Windows LAPS 要求设备处于启用状态，然后才能应用密码轮换和备份操作。

在 Microsoft Entra 中删除设备时会发生什么情况？

在 Microsoft Entra 中删除设备时，与该设备绑定的 LAPS 凭据将丢失，并且存储在 entra ID Microsoft 的密码将丢失。 除非有用于检索 LAPS 密码并将其存储在外部的自定义工作流，否则Microsoft Entra ID 中没有方法可恢复已删除设备的 LAPS 托管密码。

恢复 LAPS 密码需要哪些角色？

以下 内置Microsoft Entra 角色 有权恢复 LAPS 密码： 云设备管理员和 Intune 管理员。

读取 LAPS 元数据需要哪些角色？

支持以下 内置Microsoft Entra 角色 角色查看有关 LAPS 的元数据，包括设备名称、上次密码轮换和下一个密码轮换：

• 安全信息读取者

还可以使用以下角色：

• 云设备管理员
• Intune 管理员
• 支持管理员
• 安全管理员

为什么“本地管理员密码”按钮灰显且无法访问？

目前，访问此区域需要轮换本地管理员密码 Intune 权限。 请参阅 Microsoft Intune 的基于角色的访问控制。

更改策略指定的帐户时会发生什么情况？

由于 Windows LAPS 一次只能在设备上管理一个本地管理员帐户，因此，原始帐户不再由 LAPS 策略管理。 如果策略将设备备份到该帐户，则会备份新帐户，并且不再从 Intune 管理中心或指定用于存储帐户信息的目录获取有关上一个帐户的详细信息。

后续步骤

• 为 LAPS 创建策略
• 查看 LAPS 的报告
• Intune 中终结点安全的帐户保护策略