使用 Microsoft Graph PowerShell 在 Intune 中配置 LAPS

也许您是服务提供商，发现自己一遍又一遍地手动部署相同的配置。这可能非常耗时并且容易出错，尤其是在任务很平常的情况下。解决方案是利用 PowerShell 脚本来为您部署配置。编写良好的 PowerShell 脚本可以检查和部署配置，所需时间仅为使用等效 Web 门户手动部署配置所需时间的一小部分。

在这篇文章中，我将演示我编写的一个脚本，用于使用 Microsoft Graph PowerShell 在 Intune 中自动部署 Windows LAPS 配置。

如果您还没有看过我详细介绍如何使用 Intune 手动配置 Windows LAPS 的文章，请立即查看该文章，因为它将为本文的内容增添新视角。

要求

该脚本利用 Microsoft Graph PowerShell SDK 与 Microsoft Intune 交互。您必须确保已安装 Microsoft.Graph.Authentication 模块。

查看我关于如何安装 Microsoft Graph PowerShell 模块的文章。或者允许脚本自行查找并部署模块。

您还需要使用全局管理员帐户登录才能运行脚本，因为您需要同意所需的 Graph API 权限。

使用 Microsoft Graph PowerShell 在 Intune 中配置 Windows LAPS

从我的 GitHub 访问部署脚本：Create-LAPS.ps1。注意：此脚本不会将任何用户/设备分配给这些策略，这必须手动完成。

首先下载部署脚本并修改 $accountname 变量。这将定义要在整个脚本中创建和使用的 LAPS 用户。

脚本将按以下顺序处理任务：

1、检查是否安装了Microsoft.Graph.Authentication模块；如果没有，请将其安装在当前用户上下文中。

2. 连接到 Microsoft Graph 并提示同意以下范围：Policy.ReadWrite.DeviceConfiguration、DeviceManagementConfiguration.ReadWrite.All。

3. 检查租户内是否启用了 Microsoft Entra LAPS，如果没有启用则启用。

4. 使用以下设置创建 LAPS 帐户保护策略：

策略名称 : Windows LAPS
备份位置 : Microsoft Entra
密码期限 : 7 天
密码长度 : 未配置（默认 14 天）
帐户名称 : $accountname
复杂程度 : 4
身份验证后操作： 重置密码
身份验证后延迟： 1 小时

5. 创建修复包以上传预设脚本，以使用定义的用户名创建 LAPS 用户帐户。 （这利用了我的博客中找到的脚本：如何使用 Intune 在 Windows 设备上创建本地管理员帐户）。

6. 断开与 Microsoft Graph 的连接

运行后，该脚本将在几秒钟内完成任务并输出如下所示：

包起来

此脚本旨在加速 Intune 中的资源部署，不一定帮助您迁移到 Windows LAPS。您仍然必须与客户仔细规划您的部署，以涵盖自定义角色、权限、所有权和支持等项目，无论您是第一次实施还是从本地 LAPS 迁移。