De Windows Local Administrator Password Solution (LAPS) gebruiken met Azure AD (preview) - Microsoft Inside (2023)

  • Artikel

Belangrijk

Azure AD-ondersteuning voor Windows on-premises oplossing voor beheerderswachtwoorden is momenteel in previewAanvullende voorwaarden voor Microsoft Azure-previewsvoor juridische voorwaarden die van toepassing zijn op Azure-functies die in bèta, preview of nog niet algemeen beschikbaar zijn.

Alle Windows-apparaten worden geleverd met een ingebouwd lokaal beheerdersaccount dat u moet beschermen en beveiligen om Pass-the-Hash (PtH) en side traversal-aanvallen te beperken. Veel klanten maken gebruik van onze onafhankelijke lokale serviceLAPS-product (Local Administrator Password Solution)voor lokaal beheerderswachtwoordbeheer van uw Windows-computers die lid zijn van een domein. Met Azure AD-ondersteuning voor Windows LAPS bieden we een consistente ervaring op apparaten die zijn toegevoegd aan Azure AD en aan hybride Azure AD.

Azure AD-ondersteuning voor LAPS omvat de volgende mogelijkheden:

  • Habilite Windows LAPS met Azure AD- Schakel een beleid voor de hele tenant en een beleid aan de clientzijde in om een ​​back-up te maken van het lokale beheerderswachtwoord naar Azure AD.
  • Wachtwoordbeheer voor lokale beheerders- Configureer client-side beleid om accountnaam, wachtwoordleeftijd, lengte, complexiteit, handmatige wachtwoordresets, enz. In te stellen.
  • Herstel het lokale beheerderswachtwoord- Gebruik API/portal-ervaringen voor lokaal beheerderswachtwoordherstel.
  • Alle apparaten met Windows LAPSopsommen: gebruik de API/Portal-ervaringen om alle Windows-apparaten in Azure AD op te sommen die zijn ingeschakeld met Windows LAPS.
  • Autorisatie voor herstel van lokaal beheerderswachtwoord– Gebruik op rollen gebaseerd toegangscontrolebeleid (RBAC) met aangepaste rollen en administratieve eenheden.
  • Controleer update en herstel van lokale beheerderswachtwoorden- Gebruik auditlogboeken van API/portal-ervaringen om wachtwoordupdates en herstelgebeurtenissen te controleren.
  • Beleid voor voorwaardelijke toegang voor herstel van lokaal beheerderswachtwoord: Configureer beleid voor voorwaardelijke toegang voor directoryrollen die gemachtigd zijn om wachtwoorden opnieuw in te stellen.

Gebruik

Windows LAPS met Azure AD wordt niet ondersteund op Windows-apparatenAzure AD geregistreerd.

De lokale oplossing voor beheerderswachtwoorden wordt niet ondersteund op niet-Windows-platforms.

Voor meer informatie over Windows LAPS, begint u met de volgende Windows-documentatie-artikelen:

  • Wat is WindowsLAPS?– Inleiding tot Windows LAPS en de documentatieset voor Windows LAPS.
  • Windows LAPS-CSP: Bekijk alle details van LAPS-instellingen en -opties. Het Intune-beleid voor LAPS gebruikt deze instellingen om de LAPS CSP op apparaten te configureren.
  • Microsoft Intune-ondersteuning voor Windows LAPS
  • Windows LAPS-architectuur

Vereisten

Ondersteunde Azure-regio's en Windows-distributies

Deze functie is nu beschikbaar in de volgende Azure-clouds:

  • globaal blauw
  • blauwe overheid
  • Azure China 21 Vianet

updates van het besturingssysteem

Deze functie is nu beschikbaar op de volgende Windows-besturingssysteemplatforms waarop de opgegeven update of later is geïnstalleerd:

  • Windows 11-update 22H2 - 11 april 2023
  • Windows 11-update 21u2 - 11 april 2023
  • Windows 10 20H2, 21H2 op 22H2 - Update vanaf 11 april 2023
  • Windows Server 2022 - Update van 11 april 2023
  • Windows Server 2019 - Update van 11 april 2023

Gewricht

LAPS wordt alleen ondersteund voor apparaten die zijn toegevoegd aan Azure AD of hybride apparaten die zijn toegevoegd aan Azure AD. Geregistreerde Azure AD-apparaten worden niet ondersteund.

licentie eisen

LAPS is beschikbaar voor alle klanten met Azure AD Free of hogere licenties. Andere gerelateerde functies, zoals administratieve eenheden, aangepaste rollen, voorwaardelijke toegang en Intune, hebben andere licentievereisten.

Rollen of machtigingen vereist

Met uitzondering van de ingebouwde Azure AD-rollen van cloudapparaatbeheerder, Intune-beheerder en globale beheerder die een apparaat krijgen. LocalCredentials.Read.AllKanAangepaste Azure AD-rollenof beheereenheden gebruiken om het herstel van lokale beheerderswachtwoorden te autoriseren. Bijvoorbeeld:

  • Aangepaste rollen moeten de toestemming hebben.microsoft.directory/deviceLocalCredentials/contraseña/leertoegewezen om het herstel van lokale beheerderswachtwoorden te autoriseren. Tijdens het voorbeeld moet u een aangepaste rol maken en machtigingen verlenen met behulp van deMicrosoft grafische APIvanPowershell. Nadat u de aangepaste rol heeft gemaakt, kunt u deze toewijzen aan gebruikers.

  • U kunt ook een Azure AD gebruikenbeheerseenheidApparaten maken, toevoegen en de beheerdersrol voor cloudapparaten toewijzen aan de beheereenheid om het herstel van lokale beheerderswachtwoorden te autoriseren.

Habilite Windows LAPS met Azure AD

Om Windows LAPS met Azure AD in te schakelen, moet u actie ondernemen op Azure AD en de apparaten die u wilt beheren. Wij raden organisaties aanBeheer Windows LAPS met Microsoft Intune. Als uw apparaten echter zijn gekoppeld aan Azure AD, maar u Microsoft Intune niet gebruikt of Microsoft Intune niet wordt ondersteund (zoals voor Windows Server 2019/2022), kunt u Windows LAPS nog steeds handmatig implementeren voor Azure AD. Zie het artikelHet Windows LAPS-beleid configurerenVoor meer informatie.

  1. Meld u aan bij dePortaal azurEncloud-apparaatbeheer.

  2. navigeren naarapparaat configuratiebusjeAzure Active Directory-aparato>>

  3. SelecteerYvoor de instelling Local Administrator Password Solution (LAPS) inschakelen en selecteerRedden. U kunt ook de Microsoft Graph API gebruikenUpdate apparaatregistratiebeleidgebruiken.

  4. Configureer een client-side beleid en stel deBackUpDirectoryen op Azure AD.

    • Als u Microsoft Intune gebruikt om client-side beleid te beheren,zie Windows LAPS beheren met Microsoft Intune
    • Als u Group Policy Objects (GPO's) gebruikt om client-side beleid te beheren,zie Windows LAPS-groepsbeleid

Herstel het lokale beheerderswachtwoord

Als u het lokale beheerderswachtwoord wilt bekijken voor een Windows-apparaat dat is toegevoegd aan Azure AD, moet u de machtiging hebbendispositivoLocalCredentials.Read.Allen moet een van de volgende rollen toegewezen krijgen:

  • cloud-apparaatbeheer
  • Intune-servicemanager
  • globale beheerder

U kunt ook de Microsoft Graph API gebruikenVerkrijg DeviceLocalCredentialInfoom het lokale beheerderswachtwoord te herstellen. Als u de Microsoft Graph API gebruikt, is het geretourneerde wachtwoord een base64-gecodeerde waarde die u moet decoderen voordat u het gebruikt.

Bekijk alle Windows LAPS-apparaten

Ga naar om alle apparaten met Windows LAPS in Azure AD te zienAzure Active Directory-aparato>>Wachtwoordherstel voor lokale beheerder (preview)o gebruik de API van Microsoft Graph.

Controleer update en herstel van lokale beheerderswachtwoorden

Ga naar om controlegebeurtenissen te bekijkenauditlogboekenbusjeAzure Active Directory-aparato>> en gebruik dan het filterActiviteiten je kijktApparaat lokaal beheerderswachtwoordupdate deHerstel het wachtwoord van de lokale beheerder van het apparaatom monitoringgebeurtenissen te bekijken.

Beleid voor voorwaardelijke toegang voor herstel van lokaal beheerderswachtwoord

Beleid voor voorwaardelijke toegang kan worden beperkt tot ingebouwde rollen zoals cloudapparaatbeheerder, Intune-beheerder en globale beheerder om de toegang te beschermen en lokale beheerderswachtwoorden te herstellen. In het artikel vindt u een voorbeeld van een beleid dat multi-factor authenticatie vereistWereldwijd beleid voor voorwaardelijke toegang: MFA vereisen voor beheerders.

Gebruik

Andere soorten rollen, waaronder rollen binnen het bereik van een administratieve eenheid en aangepaste rollen, worden niet ondersteund.

Veel voorkomende vragen

Wordt Windows LAPS-beheerconfiguratie ondersteund met Azure AD met behulp van Group Policy Objects (GPO's)?

ja, alleen voorhybride Azure AD toegevoegdapparaten. ZienWindows LAPS Groepsbeleid.

Ondersteunt de installatie van Windows LAPS-beheer met Azure AD MDM?

Als eerderAzure AD hybride/Word lid van Azure AD(mede beheerd) apparaten. klanten kunnenmicrosoft intuneof gebruik een andere MDM van derden naar keuze.

Wat gebeurt er wanneer een apparaat wordt verwijderd in Azure AD?

Wanneer een apparaat wordt verwijderd in azure AD, gaat de LAPS-referentie die aan dat apparaat is gekoppeld, verloren en gaat het wachtwoord dat is opgeslagen in azure AD verloren. Tenzij u een aangepaste werkstroom hebt om LAPS-wachtwoorden op afstand op te halen en op te slaan, is er geen methode in Azure AD om het beheerde LAPS-wachtwoord voor een gewist apparaat te herstellen.

Welke rollen zijn nodig om LAPS-wachtwoorden te herstellen?

De volgende ingebouwde Azure AD-rollen zijn geautoriseerd om LAPS-wachtwoorden te herstellen: Globale beheerder, Cloudapparaatbeheerder en Intune-beheerder.

Welke rollen zijn nodig om LAPS-metadata te lezen?

De volgende ingebouwde rollen worden ondersteund voor het weergeven van metadata over LAPS, inclusief apparaatnaam, laatste wachtwoordrotatie en wachtwoordrotatie: globale beheerder, cloudapparaatbeheerder, Intune-beheerder, helpdeskbeheerder, beveiligingslezer, beveiligingsmanager en globale lezer.

Worden aangepaste rollen ondersteund?

Ja, als u Azure AD Premium hebt, kunt u een aangepaste rol maken met de volgende RBAC-machtigingen:

  • LAPS-metadata lezen:microsoft.directory/deviceLocalCredentials/estándar/leer
  • LAPS-wachtwoorden lezen:microsoft.directory/deviceLocalCredentials/contraseña/leer

Wat gebeurt er als het door het beleid gespecificeerde lokale beheerdersaccount wordt gewijzigd?

Omdat Windows LAPS slechts één lokaal beheerdersaccount op een apparaat tegelijk kan beheren, beheert het LAPS-beleid niet langer het oorspronkelijke account. Als er een back-up van dat account wordt gemaakt door het beleidsapparaat, wordt er een back-up van het nieuwe account gemaakt en zijn details over het oude account niet langer beschikbaar in het Intune-beheercentrum of in de map die is opgegeven om de accountgegevens op te slaan.

Volgende stappen

  • Kies een apparaat-ID
  • Microsoft Intune-ondersteuning voor Windows LAPS
  • Maak beleid voor LAPS
  • Bekijk LAPS-rapporten
  • Accountbeveiligingsbeleid voor eindpuntbeveiliging in Intune

References

Top Articles
Latest Posts
Article information

Author: Terence Hammes MD

Last Updated: 12/08/2023

Views: 5556

Rating: 4.9 / 5 (69 voted)

Reviews: 92% of readers found this page helpful

Author information

Name: Terence Hammes MD

Birthday: 1992-04-11

Address: Suite 408 9446 Mercy Mews, West Roxie, CT 04904

Phone: +50312511349175

Job: Product Consulting Liaison

Hobby: Jogging, Motor sports, Nordic skating, Jigsaw puzzles, Bird watching, Nordic skating, Sculpting

Introduction: My name is Terence Hammes MD, I am a inexpensive, energetic, jolly, faithful, cheerful, proud, rich person who loves writing and wants to share my knowledge and understanding with you.