开始使用 Windows LAPS 和 Microsoft Entra ID

了解如何开始使用 Windows 本地管理员密码解决方案（Windows LAPS）和Microsoft Entra ID。 本文介绍了使用 Windows LAPS 将密码备份到 Microsoft Entra ID 以及如何检索密码的基本过程。

支持的 Azure 云

有关支持哪些特定云的信息，请参阅 Microsoft Entra ID 中的 Windows 本地管理员密码解决方案 和 Microsoft Intune 对 Windows LAPS 的支持 。

查看Microsoft Entra ID 权限

查看内置Microsoft Entra 角色的成员身份，默认情况下，该角色有权访问存储在 Microsoft Entra ID 中的 Windows LAPS 密码。 这些角色具有很高的特权。

在 Microsoft Entra 设备设置中启用 LAPS

配置设备策略

若要配置设备策略，请完成以下任务：

• 选择策略部署机制
• 了解适用于 Microsoft Entra 模式的策略
• 配置特定策略

选择策略部署机制

第一步是选择如何将策略应用到设备。

对于已加入 Microsoft Entra 的设备，首选选项是将 Microsoft Intune 与 Windows LAPS 配置服务提供程序 (CSP) 配合使用。

如果设备已加入 Microsoft Entra，但未使用 Microsoft Intune，您仍可以为 Microsoft Entra ID 部署 Windows LAPS。 在此方案中，必须手动部署策略（例如，使用直接注册表修改或使用本地计算机组策略）。 有关详细信息，请参阅 配置 Windows LAPS 策略设置。

适用于Microsoft Entra 模式的策略

Windows LAPS CSP 和 Windows LAPS 组策略对象都管理相同的设置，但这些设置的子集仅适用于 Azure 模式下的 Windows LAPS。

将密码备份到 Microsoft Entra ID 时，以下设置适用：

• BackupDirectory
• PasswordAgeDays
• 密码复杂性
• 密码长度
• 管理员账户名称
• 认证后重置延迟
• PostAuthenticationActions

更确切地说：备份密码到 Microsoft Entra ID 时，Windows Server Active Directory 特定的策略设置没有意义，也不受支持。

配置特定策略

至少必须将 BackupDirectory 设置配置为值 1（将备份密码配置为Microsoft Entra ID）。

如果未配置 AdministratorAccountName 设置，则 Windows LAPS 默认管理默认的内置本地管理员帐户。 此内置帐户使用其已知的相对标识符（RID）自动标识，不应使用其名称进行标识。 内置本地管理员帐户的名称因设备的默认区域设置而异。

如果要配置自定义本地管理员帐户，则应使用该帐户的名称配置 AdministratorAccountName 设置。

可以根据需要为组织配置其他设置，例如 PasswordLength。

在 Microsoft Entra ID 中更新密码

Windows LAPS 会定期（每小时）处理当前处于活动状态的策略。 若要避免在应用策略后等待，可以运行 Invoke-LapsPolicyProcessing PowerShell cmdlet。

若要验证密码是否已在 Microsoft Entra ID 中成功更新，请查看事件日志中的 10029 事件：

从 Microsoft Entra ID 检索密码

使用 Microsoft Graph 支持检索存储在 Microsoft Entra ID 中的 Windows LAPS 密码。 Windows LAPS 包含一个 PowerShell cmdlet (Get-LapsAADPassword)，它是 Microsoft Graph PowerShell 库的包装器。 还可以将 Microsoft Entra ID 和\或 Intune 管理门户用于基于 UI 的密码检索体验。 Windows LAPS 不提供 Windows 中的任何用户界面选项，用于Microsoft Entra 密码检索。

这些说明的其余部分介绍如何使用 Get-LapsAADPassword cmdlet 通过 Microsoft Graph 从 Microsoft Entra ID 检索 Windows LAPS 密码。

安装 Microsoft Graph PowerShell 库

第一步是安装 Microsoft Graph PowerShell 库：

Install-Module Microsoft.Graph -Scope AllUsers

可能需要将存储库配置为受信任的存储库才能使命令成功：

Set-PSRepository PSGallery -InstallationPolicy Trusted

创建Microsoft Entra 注册的应用以检索 Windows LAPS 密码

下一步是创建一个Microsoft Entra 应用程序，该应用程序配置了必要的权限。 若要查看创建 Microsoft Entra 应用程序的基本说明，请参阅 快速入门：将应用程序注册到Microsoft标识平台

应用需要配置两个权限： Device.Read.All 或 DeviceLocalCredential.ReadBasic.AllDeviceLocalCredential.Read.All. 查询 Microsoft 托管桌面设备的密码可能还需要 DeviceManagementManagedDevices.Read.All。

从 Microsoft Entra ID 检索密码

即将走完流程！ 首先，登录到 Microsoft Graph。 然后，使用 Get-LapsAADPassword cmdlet 检索密码。

若要登录到 Microsoft Graph，请使用 Connect-MgGraph cmdlet。 您必须知道您 Azure 租户的 ID 和您之前创建的 Microsoft Entra 应用程序的应用程序 ID。 请运行一次 cmdlet 以登录。 例如：

PS C:\> Connect-MgGraph -Environment Global -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -ClientId 00001111-aaaa-2222-bbbb-3333cccc4444

Welcome To Microsoft Graph!

登录到 Microsoft Graph 后，可以检索密码。

首先，调用 Get-LapsAADPassword cmdlet 并传递设备的名称：

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice

DeviceName    DeviceId                             PasswordExpirationTime
----------    --------                             ----------------------
myAzureDevice be8ab291-6307-42a2-8fda-2f4ee78e51c8 7/31/2022 11:34:39 AM

前面的示例要求向客户端授予 DeviceLocalCredential.Read.Basic 权限。 以下示例要求向客户端授予 DeviceLocalCredential.Read.All 权限。

接下来，调用 Get-LapsAADPassword cmdlet 以请求返回实际密码：

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : System.Security.SecureString
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime     : 7/1/2022 11:34:39 AM

SecureString 对象中返回的密码。

最后，出于测试或临时目的，可以使用参数请求密码以明文 -AsPlainText 形式显示：

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : xzYVg,;rqQ+rkXEM0B29l3z!Ez.}T9rY8%67i1#TUk
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime     : 7/1/2022 11:34:39 AM

轮换密码

本地 Windows LAPS 会记住上次存储的密码过期的时间，并在密码过期时自动轮换密码。 在某些情况下（例如，在安全漏洞或临时测试之后），可能需要提前轮换密码。 若要手动强制密码轮换，可以使用 Reset-LapsPassword cmdlet。 例如：

PS C:\> Reset-LapsPassword
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : &HK%tbA+k7,vcrI387k9([f+%w)9VZz98;,(@+Ai6b
PasswordExpirationTime : 7/31/2022 12:16:16 PM
PasswordUpdateTime     : 7/1/2022 12:16:16 PM

混合环境中的 Windows LAPS 和 Microsoft Entra Connect

Windows LAPS 不依赖于 Microsoft Entra Connect，这两种技术之间没有依赖关系。 托管的 Windows LAPS 设备将其密码直接通过 https 备份到 Microsoft Entra ID，完全不依赖于数据同步。

此外，Microsoft Entra ID 和 Intune 设备管理门户只能查看和管理直接从 Windows LAPS 设备备份的密码。 配置 Microsoft Entra Connect 以将本地 Active Directory Windows LAPS 属性同步到 Microsoft Entra ID 不是测试方案。 将本地 Active Directory Windows LAPS 属性手动同步到Microsoft Entra ID 不会 导致这些属性显示在 Microsoft Entra ID 或 Intune 设备管理门户中。

虽然 Windows LAPS 无需扩展本地 Active Directory 架构即可运行，但作为最佳实践，您在扩展架构时还应刷新 Microsoft Entra Connect 目录架构。 请参阅 “刷新目录架构”。

另请参阅

• 使用 Microsoft Entra ID 的 Windows 本地管理员密码解决方案简介
• Microsoft Entra ID 中的 Windows 本地管理员密码解决方案
• Microsoft Intune
• Microsoft Intune 对 Windows LAPS 的支持
• Windows LAPS CSP
• 快速入门：将应用程序注册到Microsoft标识平台
• Windows LAPS 故障排除指南

后续步骤

• 配置 Windows LAPS 策略设置
• 使用 Windows LAPS 事件日志
• Windows LAPS 中的关键概念