Microsoft Entra ID 中的 Windows 本地管理员密码解决方案
每个 Windows 设备附带一个内置的本地管理员帐户,必须保护该帐户,以缓解任何传递哈希 (PtH) 和横向遍历攻击。 许多客户一直在使用我们本地独立的本地管理员密码解决方案 (LAPS) 产品对其已加入域的 Windows 计算机的本地管理员密码进行管理。 借助 Windows LAPS 的 Microsoft Entra 支持,我们为已加入 Microsoft Entra 和 Microsoft Entra 混合联接的设备提供一致的体验。
Microsoft Entra 对 LAPS 的支持包括以下功能:
- 使用 Microsoft Entra ID 启用 Windows LAPS - 启用租户范围的策略和客户端策略,以将本地管理员密码备份到 Microsoft Entra ID。
- 本地管理员密码管理 - 配置客户端策略以设置帐户名称、密码期限、长度、复杂性、手动密码重置等。
- 恢复本地管理员密码 - 使用 API/门户体验恢复本地管理员密码。
- 枚举所有已启用 Windows LAPS 的设备 - 使用 API/门户体验枚举 Microsoft Entra ID 中已通过 Windows LAPS 启用的所有 Windows 设备。
- 授权本地管理员密码恢复 - 将基于角色的访问控制 (RBAC) 策略与自定义角色和管理单元配合使用。
- 审核本地管理员密码更新和恢复 - 使用审核日志 API/门户体验监视密码更新和恢复事件。
- 适用于本地管理员密码恢复的条件访问策略 - 在具有密码恢复授权的目录角色上配置条件访问策略。
注意
Microsoft Entra 注册的 Windows 设备不支持具有 Microsoft Entra ID 的 Windows LAPS。
非 Windows 平台不支持本地管理员密码解决方案。
要更详细地了解 Windows LAPS,请从 Windows 文档中的以下文章入手:
- 什么是 Windows LAPS? - Windows LAPS 和 Windows LAPS 文档集简介。
- Windows LAPS CSP - 查看 LAPS 设置和选项的完整详细信息。 LAPS 的 Intune 策略使用这些设置在设备上配置 LAPS CSP。
- Microsoft Intune 对 Windows LAPS 的支持
- Windows LAPS 体系结构
要求
受支持的 Azure 区域和 Windows 发行版
此功能现已在以下 Azure 云中提供:
- Azure 全球
- Azure Government
- 由世纪互联运营的 Microsoft Azure
操作系统更新
现在,此功能可用于已安装指定更新或更高版本更新的以下 Windows OS 平台:
- Windows 11 22H2 - 2023 年 4 月 11 日更新
- Windows 11 21H2 - 2023 年 4 月 11 日更新
- Windows 10 20H2、21H2 和 22H2 - 2023 年 4 月 11 日更新
- Windows Server 2022 - 2023 年 4 月 11 日更新
- Windows Server 2019 - 11 2023 11,2023 11 2023 更新
联接类型
LAPS 仅在已加入 Microsoft Entra 或 Microsoft Entra 混合联接的设备上受支持。 不支持已注册 Microsoft Entra 设备。
许可要求
LAPS 适用于拥有 Microsoft Entra ID Free 或更高版本许可证的所有客户。 其他相关功能(如管理单元、自定义角色、条件访问和 Intune)具有其他许可要求。
所需的角色或权限
除了云设备管理员的内置 Microsoft Entra 角色、Intune 管理员,以及已被授予 device.LocalCredentials.Read.All 的全局管理员以外,可以使用 Microsoft Entra 自定义角色或管理单元来授权本地管理员密码恢复。 例如,
必须为自定义角色分配 microsoft.directory/deviceLocalCredentials/password/read 权限才能授权本地管理员密码恢复。 你可以使用 Microsoft Entra 管理中心、Microsoft Graph API 或 PowerShell 创建自定义角色并授予权限。 创建自定义角色后,可以将其分配给用户。
还可以创建 Microsoft Entra 管理单元、添加设备,并分配限定为管理单元的云设备管理员角色,以授权本地管理员密码恢复。
使用 Microsoft Entra ID 启用 Windows LAPS
若要使用 Microsoft Entra ID 启用 Windows LAPS,必须在 Microsoft Entra ID 和要管理的设备中执行操作。 建议组织使用 Microsoft Intune 管理 Windows LAPS。 如果您的设备已加入 Microsoft Entra,但您未使用或者不支持 Microsoft Intune,则可以手动为 Microsoft Entra ID 部署 Windows LAPS。 有关详细信息,请参阅配置 Windows LAPS 策略设置一文。
至少以云设备管理员身份登录到 Microsoft Entra 管理中心。
浏览到“标识”>“设备”>“概述”>“设备设置”
对于“启用本地管理员密码解决方案 (LAPS)”设置,选择“是”,然后选择“保存”。 还可以使用 Microsoft Graph API Update deviceRegistrationPolicy 来完成此任务。
配置客户端策略并将 BackUpDirectory 设置为 Microsoft Entra ID。
- 如果使用 Microsoft Intune 来管理客户端策略,请参阅使用 Microsoft Intune 管理 Windows LAPS
- 如果使用组策略对象 (GPO) 来管理客户端策略,请参阅 Windows LAPS 组策略
恢复本地管理员密码和密码元数据
要查看已加入 Microsoft Entra ID 的 Windows 设备的本地管理员密码,你必须已被授予 microsoft.directory/deviceLocalCredentials/password/read 操作权限。
要查看已加入 Microsoft Entra ID 的 Windows 设备的本地管理员密码元数据,你必须已被授予 microsoft.directory/deviceLocalCredentials/standard/read 操作权限。
默认情况下,以下内置角色已被授予这些操作权限:
| 内置角色 | microsoft.directory/deviceLocalCredentials/standard/read 和 microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| 全局管理员 | 是 | 是 |
| 云设备管理员 | 是 | 是 |
| Intune 服务管理员 | 是 | 是 |
| 全局读取者 | 否 | 是 |
| 支持管理员 | 否 | 是 |
| 安全管理员 | 否 | 是 |
| 安全读取者 | 否 | 是 |
未向任何未列出的角色授予这两个操作权限。
还可以使用 Microsoft 图形 API Get deviceLocalCredentialInfo 来恢复本地管理密码。 如果使用 Microsoft 图形 API,则返回的密码将位于 Base64 编码值中,因此在使用密码之前需要对其进行解码。
列出所有启用了 Windows LAPS 的设备
要列出所有已启用 Windows LAPS 的设备,可以浏览到“标识”>“设备”>“概述”>“本地管理员密码恢复”,或使用 Microsoft Graph API。
审核本地管理员密码更新和恢复
要查看审核事件,可以浏览到“标识”>“设备”>“概述”>“审核日志”,然后使用“活动”筛选器并搜索“更新设备本地管理员密码”或“恢复设备本地管理员密码”以查看审核事件。
适用于本地管理员密码恢复的条件访问策略
条件访问策略的范围可以限定为云设备管理员、Intune 管理员和全局管理员等内置角色,以保护对恢复本地管理员密码的访问。 可以在常见条件访问策略:要求管理员进行 MFA 一文中查找需要多重身份验证的策略示例。
注意
不支持其他角色类型,包括管理单元范围的角色和自定义角色
常见问题解答
使用组策略对象 (GPO) 是否支持具有 Microsoft Entra 管理配置的 Windows LAPS?
是的,仅支持 Microsoft Entra 混合联接设备。 请参阅 Windows LAPS 组策略。
使用 MDM 是否支持具有 Microsoft Entra 管理配置的 Windows LAPS?
是的,对于 Microsoft Entra 加入/Microsoft Entra 混合加入(共同管理的)设备。 客户可以使用他们任选的 Microsoft Intune 或任何其他第三方移动设备管理 (MDM)。
在 Microsoft Entra ID 中删除设备时会发生什么情况?
在 Microsoft Entra ID 中删除设备后,绑定到该设备的 LAPS 凭证将会丢失,并且 Microsoft Entra ID 中存储的密码也将丢失。 除非具有用于检索 LAPS 密码并将其存储在外部的自定义工作流,否则 Microsoft Entra ID 中没有方法可以恢复已删除设备的 LAPS 托管密码。
恢复 LAPS 密码需要使用哪些角色?
以下内置 Microsoft Entra 角色有权恢复 LAPS 密码:全局管理员、云设备管理员和 Intune 管理员。
读取 LAPS 元数据需要哪些角色?
支持以下内置角色查看有关 LAPS 的元数据,包括设备名称、上次密码轮换和下一个密码轮换:全局管理员、云设备管理员、Intune 管理员、帮助台管理员、安全读者、安全管理员和全局读者。
是否支持自定义角色?
是的。 如果具有 Microsoft Entra ID P1 或 P2,则可以使用以下 RBAC 权限创建自定义角色:
- 读取 LAPS 元数据:microsoft.directory/deviceLocalCredentials/standard/read
- 读取 LAPS 密码:microsoft.directory/deviceLocalCredentials/password/read
如果更改策略指定的本地管理员帐户,会发生什么情况?
由于 Windows LAPS 一次只能管理设备上的一个本地管理员帐户,因此原始帐户将不再由 LAPS 策略管理。 如果策略要求设备对该帐户进行备份,则会备份新帐户,并且无法再从 Intune 管理中心或指定用于存储帐户信息的目录获取有关之前帐户的详细信息。