HOWTO: 使用 Intune 配置 LAPS
HOWTO: 使用 Intune 配置 LAPS
大家在熟悉“HOWTO: 使用 Intune 为 Windows 启用本地管理员”之后,接下来就跟随 gOxiA 了解如何为 Entra(AAD)账号启用 LAPS(Windows Local Administrator Password Solution),以及使用 Intune 配置 LAPS 策略。首先我们需要先在 Microsoft Entra 管理中心为设备启用本地管理员密码解决方案(LAPS)。
进入 Microsoft Entra 管理中心导航至“标识 - 设备 - 设备设置”,在右侧内容窗格中找到“本地管理员设置”,将“启用 Microsoft Entra 本地管理员密码解决方案(LAPS)”配置为“是”。简单一部便可谓云账号启用 LAPS,实属方便!但需要注意只有安装了2023年4月11日累计更新的 Windows 10/11/Server 2019/Server 2022 才受支持。
此外,若要允许对应管理员查看密码和密码元数据,需要授予相关权限:
- microsoft.directory/deviceLocalCredentials/password/read操作
- microsoft.directory/deviceLocalCredentials/standard/read操作
如果列出所有通过 LAPS 管理的设备,可以在 Microsoft Entra 管理中心导航至“标识 - 设备 - 本地管理员密码恢复”进行查阅。也可以通过 Intune 管理中心,找到设备,在监视器选项中找到“本地管理员密码”。
若要使用 Intune 来配置 LAPS 策略,可以在 Intune 管理中心 导航至“终结点安全性 - 账户保护”创建 LAPS 默认策略。
此外,也可以通过设备配置文件为 LAPS 创建策略(配置文件类型:模板;模板名称:管理模板,可找到 LAPS),其中包含以下几项:
- Do not allow password expiration time longer than required by policy
- 启用此设置时,不允许计划的密码过期时间超过“密码设置”策略规定的密码期限。当检测到此类过期时,会立即更改密码,并根据策略设置密码过期。 禁用或未配置此设置时,密码过期时间可能比“密码设置”策略所需的时间长。
- Enable local admin password management
- 启用本地管理员帐户的密码管理 如果启用此设置,则管理本地管理员密码 如果禁用或未配置此设置,则不会管理本地管理员密码。
- Name of administrator account to manage
- 管理员帐户名称:要管理其密码的本地帐户的名称。 使用内置管理员帐户时不要配置。内置管理员帐户由已知 SID 自动检测,即使在重命名时也是如此。
- Password Settings
- 配置密码参数 密码复杂性:生成新密码时使用哪些字符 默认值:大写字母 + 小写字母 + 数字 + 特殊字符 密码长度 最少:8 个字符 最大值:64 个字符 默认值:14 个字符 密码期限(以天为单位) 最短:1 天 最长:365 天 默认值:30 天
基于 Microsoft Entra ID 对 LAPS 的支持包括以下功能:
- 使用 Microsoft Entra ID 启用 Windows LAPS - 启用租户范围的策略和客户端策略,以将本地管理员密码备份到 Microsoft Entra ID。
- 本地管理员密码管理 - 配置客户端策略以设置帐户名、密码期限、长度、复杂性、手动密码重置等。
- 恢复本地管理员密码 - 使用 API/门户体验恢复本地管理员密码。
- 枚举所有启用了 Windows LAPS 的设备 - 使用 API/门户体验枚举启用了 Windows LAPS 的 Microsoft Entra ID 中的所有 Windows 设备。
- 本地管理员密码恢复授权 - 将基于角色的访问控制 (RBAC) 策略与自定义角色和管理单元结合使用。
- 审核本地管理员密码更新和恢复 - 使用审核日志 API/门户体验来监视密码更新和恢复事件。
- 本地管理员密码恢复的条件访问策略 - 在具有密码恢复授权的目录角色上配置条件访问策略。
毋庸置疑,基于Microsoft Entra ID 的 LAPS 方案以及通过 Intune 管理的 LAPS 策略是最易于部署和配置的。
官方参考资料:
HOWTO: 使用 Intune 为 Windows 启用本地管理员
HOWTO: 使用 Intune 为 Windows 启用本地管理员
前面 gOxiA 与大家分享了“HOWTO: 启用本地 Windows Autopilot 重置设备”,文中提到要使用该功能必须要启用本地管理员。对基于 Intune 管理的 Windows PC 来说实施起来并不复杂,今天我们就快速熟悉这一操作流程。
在 Intune 管理中心 转至 设备-配置-策略,新建策略,平台为 Windows 10 和更高版本,配置文件类型为 设置目录。
在 设置选取器 中找到 本地策略安全选项,然后勾选“账户 - 启用 Administrator 账户状态”。
该策略对应的 CSP 为 Accounts_EnableAdministratorAccountStatus,详细信息如下:
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
格式:Int
值:1 启用;0 禁用(默认)
需要注意:如果在禁用管理员帐户后尝试重新启用管理员帐户,并且当前管理员密码不符合密码要求,则无法重新启用该帐户。
最后分配该策略,例如:所有设备,完成这些操作即完成配置。出于安全性考虑,我们也可以同时勾选“账户 - 重命名 Administrator 账户”,以降低穷举类的攻击。该策略对应的 CSP 为 Accounts_RenameAdministratorAccount,详细信息如下:
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
格式:chr
虽然很轻松的完成了启用本地管理员的配置,但本地管理员的密码管理问题不容忽视。在过去我们需要编写一个脚本来配置本地管理员(Administrator)的密码,但无法实现动态维护,且存在一些安全隐患。现在,Microsoft Entra(AAD)内置了 LAPS(Windows Local Administrator Password Solution)的支持,可以很轻松的实现本地管理员密码轮换和管理,针对 LAPS 的启用会另起一篇日志与大家分享。
HOWTO: 启用本地 Windows Autopilot 重置设备
HOWTO: 启用本地 Windows Autopilot 重置设备
Windows Autopilot Reset 是一种快速将设备恢复为就绪状态的部署方案,可以删除个人文件、应用以及设置;保留 Wi-Fi 连接以及用户的生物识别信息;确保设备在发起 Autopilot Reset 后在 OOBE 阶段重新自动执行 Autopilot 部署。Autopilot Reset 支持远程和本地发起重置,前者为模式配置,后者已需要另行下发设备配置文件。
下图为远程发起重置的方法,可通过 Intune 设备管理中找到对应的设备,然后进行 Autopilot 重置。
如果基于本地发起重置,可在登录界面按下“Ctrl+Win+R”热键,下面将介绍如何启用本地 Windows Autpilot 重置(需要单独配置的主要原因是避免意外触发 Autopilot Reset)。
首先,创建设备配置文件,平台选择“Windows 10 或更高版本”,配置文件类型选择“设备限制”。
在设备限制策略中找到并启用 Autopilot 重置。在微软官方文档中提到也可以使用预配包(PPKG)中的“DisableAutomaticReDeploymentCredentials”,将其设置为“No”。
如果你习惯使用 CSP,没问题。
./Device/Vendor/MSFT/Policy/Config/CredentialProviders/DisableAutomaticReDeploymentCredentials
格式:Int
值:0(启用Autopilot重置凭据的可见性);1(Default,禁用)
友情提示:
1. 首次登录时生物识别因为还未与账号PIN关联所以暂时不可用,需要重新设置PIN码即可。但设备之后重启会提示是否继续使用人脸或指纹登录,根据需要进行选择。
2. 本地发起的 Autopilot Reset 还需要确保本地管理员账号为启用状态,否则 CTRL+WIN+R 将无效。下一篇日志将会与大家分享通过 Intune 启用本地管理员账号的方法。
