每个 Windows 设备附带一个内置的本地管理员帐户,必须保护该帐户,以缓解任何传递哈希 (PtH) 和横向遍历攻击。 许多客户一直在使用我们的独立部署的本地产品——管理员密码解决方案(LAPS)——来管理其已加入域的 Windows 计算机的本地管理员密码。 借助 Windows LAPS 的 Microsoft Entra 支持,我们为已加入 Microsoft Entra 和 Microsoft Entra 混合联接的设备提供一致的体验。
Microsoft Entra 对 LAPS 的支持包括以下功能:
- 使用 Microsoft Entra ID 启用 Windows LAPS - 启用租户范围的策略和客户端策略,以将本地管理员密码备份到 Microsoft Entra ID。
- 本地管理员密码管理 - 配置客户端策略以设置帐户名称、密码期限、长度、复杂性、手动密码重置等。
- 恢复本地管理员密码 - 使用 API/门户体验进行本地管理员密码恢复。
- 枚举所有已启用 Windows LAPS 的设备 - 使用 API/门户体验枚举通过 Windows LAPS 启用的 Microsoft Entra ID 中的所有 Windows 设备。
- 本地管理员密码恢复的授权 - 对自定义角色和管理单元使用基于角色的访问控制 (RBAC) 策略。
- 审核本地管理员密码更新和恢复 - 使用审核日志 API/门户体验监视密码更新和恢复事件。
- 本地管理员密码恢复的条件访问策略 - 在具有密码恢复授权的目录角色上配置条件访问策略。
注意
Microsoft Entra ID 的 Windows LAPS 不支持 已注册为 Microsoft Entra 的 Windows 设备。
非 Windows 平台不支持本地管理员密码解决方案。
要更详细地了解 Windows LAPS,请从 Windows 文档中的以下文章入手:
- 什么是 Windows LAPS? - Windows LAPS 和 Windows LAPS 文档集简介。
- Windows LAPS CSP – 查看 LAPS 设置和选项的完整详细信息。 LAPS 的 Intune 策略使用这些设置在设备上配置 LAPS CSP。
- Microsoft Intune 对 Windows LAPS 的支持
- Windows LAPS 体系结构
要求
受支持的 Azure 区域和 Windows 发行版
此功能现已在以下 Azure 云中提供:
- Azure 全球
- Azure 政府云
- 由世纪互联运营的 Microsoft Azure
操作系统更新
现在,此功能可用于已安装指定更新或更高版本更新的以下 Windows OS 平台:
- Windows 11 22H2 - 2023 年 4 月 11 日更新
- Windows 11 21H2 - 2023 年 4 月 11 日更新
- Windows 10 20H2、21H2 和 22H2 - 2023 年 4 月 11 日更新
- Windows Server 2022 - 2023 年 4 月 11 日更新
- Windows Server 2019 - 11 2023 11, 2023 11 2023 更新
联接类型
LAPS 仅在已加入 Microsoft Entra 或 Microsoft Entra 混合联接的设备上受支持。 不支持已注册 Microsoft Entra 设备。
许可要求
LAPS 适用于拥有 Microsoft Entra ID Free 或更高版本许可证的所有客户。 其他相关功能(如管理单元、自定义角色、条件访问和 Intune)具有其他许可要求。
所需的角色或权限
除了内置的微软 Entra 角色比如 Cloud Device Administrator 和 Intune Administrator 被授予设备.LocalCredentials.Read.All 的权限之外,还可以使用 Microsoft Entra 自定义角色或管理单元来授权本地管理员密码恢复。 例如:
必须为自定义角色分配 microsoft.directory/deviceLocalCredentials/password/read 权限,以授权本地管理员密码恢复。 可以使用 Microsoft Entra 管理中心、Microsoft图形 API 或 PowerShell 创建自定义角色并授予权限。 创建自定义角色后,可以将其分配给用户。
还可以创建 Microsoft Entra ID 管理单元;添加设备;将云设备管理员角色分配给管理单元,以便授权本地管理员密码恢复。
使用 Microsoft Entra ID 启用 Windows LAPS
若要使用 Microsoft Entra ID 启用 Windows LAPS,必须在 Microsoft Entra ID 和要管理的设备中执行操作。 我们建议组织 使用 Microsoft Intune 管理 Windows LAPS。 如果您的设备已加入 Microsoft Entra,但您未使用或者不支持 Microsoft Intune,则可以手动为 Microsoft Entra ID 部署 Windows LAPS。 有关详细信息,请参阅文章 “配置 Windows LAPS 策略设置”。
以至少云设备管理员身份登录到 Microsoft Entra 管理中心。
浏览 Entra ID>设备>概述>设备设置
对于“启用本地管理员密码解决方案 (LAPS)”设置,选择“是”,然后选择“保存”。 还可以使用 Microsoft Graph API Update deviceRegistrationPolicy 来完成此任务。
配置客户端策略并将 BackUpDirectory 设置为Microsoft Entra ID。
- 如果使用 Microsoft Intune 管理客户端策略,请参阅 使用 Microsoft Intune 管理 Windows LAPS
- 如果使用组策略对象(GPO)管理客户端策略,请参阅 Windows LAPS 组策略
恢复本地管理员密码和密码元数据
若要查看已加入 Microsoft Entra ID 的 Windows 设备的本地管理员密码,必须授予 microsoft.directory/deviceLocalCredentials/password/read 操作。
若要查看已加入 Microsoft Entra ID 的 Windows 设备的本地管理员密码元数据,必须获得 microsoft.directory/deviceLocalCredentials/standard/read 权限。
默认情况下,以下内置角色已被授予这些操作权限:
| 内置角色 | microsoft.directory/deviceLocalCredentials/standard/read 和 microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| 云设备管理员 | 是 | 是 |
| Intune 服务管理员 | 是 | 是 |
| 支持人员管理员 | 否 | 是 |
| 安全管理员 | 否 | 是 |
| 安全读取器 | 否 | 是 |
未向任何未列出的角色授予这两个操作权限。
还可以使用 Microsoft Graph API Get deviceLocalCredentialInfo 恢复本地管理密码。 如果使用 Microsoft 图形 API,则返回的密码将位于 Base64 编码值中,因此在使用密码之前需要对其进行解码。
列出所有启用了 Windows LAPS 的设备
若要列出所有已启用 Windows LAPS 的设备,可以浏览到 Entra ID>设备>概述>本地管理员密码恢复 或使用 Microsoft 图形 API。
审核本地管理员密码更新和恢复
若要查看审核事件,可以浏览到 Entra ID>设备>概述>审核日志,然后使用 活动 筛选器搜索 “更新设备本地管理员密码 ”或 “恢复设备本地管理员密码 ”以查看审核事件。
适用于本地管理员密码恢复的条件访问策略
条件访问策略可以限定为内置角色,以保护对恢复本地管理员密码的访问。 可以在文章“ 常见条件访问策略:要求管理员进行 MFA”一文中找到需要多重身份验证的策略示例。
注意
不支持其他角色类型,包括管理单元范围的角色和自定义角色
常见问题解答
使用组策略对象 (GPO) 是否支持具有 Microsoft Entra 管理配置的 Windows LAPS?
是的,仅适用于 Microsoft Entra 混合联接 设备。 请参阅 Windows LAPS 组策略。
使用 MDM 是否支持具有 Microsoft Entra 管理配置的 Windows LAPS?
是的,对于 Microsoft Entra 联接/Microsoft Entra 混合联接 (共同托管)设备。 客户可以使用 Microsoft Intune 或任何其他所选的第三方移动设备管理(MDM)。
在 Microsoft Entra ID 中删除设备时会发生什么情况?
在 Microsoft Entra ID 中删除设备后,绑定到该设备的 LAPS 凭证将会丢失,并且 Microsoft Entra ID 中存储的密码也将丢失。 除非具有用于检索 LAPS 密码并将其存储在外部的自定义工作流,否则 Microsoft Entra ID 中没有方法可以恢复已删除设备的 LAPS 托管密码。
恢复 LAPS 密码需要使用哪些角色?
以下内置 Microsoft Entra 角色有权恢复 LAPS 密码:云设备管理员和 Intune 管理员。
读取 LAPS 元数据需要哪些角色?
支持以下内置角色查看有关 LAPS 的元数据,包括设备名称、上次密码轮换和下一个密码轮换:云设备管理员、Intune 管理员、帮助台管理员、安全读者和安全管理员。
是否支持自定义角色?
是的。 如果具有 Microsoft Entra ID P1 或 P2,则可以使用以下 RBAC 权限创建自定义角色:
- 若要读取 LAPS 元数据: microsoft.directory/deviceLocalCredentials/standard/read
- 若要读取 LAPS 密码: microsoft.directory/deviceLocalCredentials/password/read
如果更改策略指定的本地管理员帐户,会发生什么情况?
由于 Windows LAPS 一次只能管理设备上的一个本地管理员帐户,因此原始帐户将不再由 LAPS 策略管理。 如果策略要求设备对该帐户进行备份,则会备份新帐户,并且无法再从 Intune 管理中心或指定用于存储帐户信息的目录获取有关之前帐户的详细信息。