如何使用 Intune 逐步部署 Microsoft Entra LAPS

Microsoft Entra ID LAPS（本地管理员密码解决方案）提供对加入 Microsoft Entra ID 或加入本地 Active Directory 的设备上的单个本地管理员帐户的管理。然后密码在目录中受到保护，然后可以将对密码的访问权限委托给特定用户。

现代 Microsoft Entra ID LAPS 的配置和部署通过 Microsoft Intune 得到简化，一旦在租户中启用，就可以使用单个配置文件来配置 Windows LAPS（内置于最新版本的 Windows 操作系统中）。然后可以通过 Microsoft Entra 或 Intune 管理门户手动访问和轮换密码。

在本教程中，我将向您展示如何从 Microsoft Intune 管理门户配置 Microsoft Entra ID LAPS。

关于 Intune 的 LAPS

Microsoft Entra ID LAPS 方案由直接内置于 Windows 操作系统的新 Windows LAPS 功能提供支持。这意味着它可以快速轻松地部署，无需安装额外的客户端软件。

这样做的缺点在于要求的形式。 Windows LAPS 仅在最新的操作系统中受支持，这意味着如果您不是最新的且不符合 Windows 功能更新（这对某些人来说是一个痛苦），您可能会遇到一些不安全的设备。当然，让所有设备保持最新状态是一件好事。因此，必须仔细考虑这些要求，才能获得 Microsoft Entra ID LAPS with Intune 带来的安全优势。 从根本上来说，要么全有，要么全无，如果你留下漏洞，黑客就会发现它。

使用 Microsoft Intune 简化了 Microsoft Entra ID LAPS 的部署，但是，对于那些管理能力有限的用户，还可以通过组策略、通过注册表项手动或使用 Intune 中的 Windows CSP 设置进行部署。无论出于何种原因，多种部署方法适用于一台计算机，并且 Windows CSP/Intune 设置将始终优先。 Intune 将始终是推荐的选择，它很简单，报告功能很好，并且不需要域控制器的视线。

要求

Microsoft Entra ID LAPS 利用 Windows 操作系统内置的 Windows LAPS 组件，可在以下版本的 Windows 上使用。您可以使用下面的链接从 Microsoft 更新目录手动下载必要的更新文件。

• Windows 11 22H2 - 2023 年 4 月 11 日更新 -> 下载 KB5025239
• Windows 11 21H2 - 2023 年 4 月 11 日更新 -> 下载 KB5025224
• Windows 10 - 2023 年 4 月 11 日更新 -> 下载 KB5025221
• Windows Server 2022 - 2023 年 4 月 11 日更新 -> 下载 KB5025230
• Windows Server 2019 - 2023 年 4 月 11 日更新 -> 下载 KB5025229

值得庆幸的是，LAPS 随任何免费版本的 Microsoft Entra ID 一起提供，因此，如果您的租户中有任何 Microsoft 365 许可证，将支持您将 LAPS 密码保存在 Microsoft Entra ID 中。但是，正如您所料，要通过 Intune 进行管理，您至少需要 Microsoft Intune 计划 1 许可证，这是基本的 Intune 订阅。试用订阅期间也支持它。

启用 Microsoft Entra LAPS

为了支持 Microsoft Entra ID LAPS 的实施，您必须首先在 Microsoft Entra 管理门户中为 Microsoft Entra ID 启用 Windows LAPS。为此，只需按照以下步骤操作：

1. 登录Microsoft Entra。

2. 选择Azure Active Directoryy，然后选择设备。

3. 选择设备设置。

4. 将启用 Microsoft Entra 本地管理员密码解决方案 (LAPS) 设置为是，然后单击保存，然后单击顶部。

完成此操作后，您就可以在设备上启用 Microsoft Entra LAPS。此外，这还会在幕后将 Microsoft Graph 中 localadminpassword 设置的 IsEnabled 字段设置为 True。

您还应该知道，当您在此处启用 Microsoft Entra LAPS 时，它将可用于存储所有设备的 LAPS 密码。如果您想对所有设备或仅特定设备启用该设置，则将在下一步中使用配置文件来完成。

创建 LAPS 配置文件

现在，您的租户已启用 LAPS，您现在可以创建配置文件，其中将包含要应用于您的设备的 Microsoft Entra LAPS 的所有设置。

1. 登录 Intune https://intune.microsoft.com/。

2. 选择端点安全。

3. 然后选择帐户保护。

4. 单击创建策略为 Azure AD LAPS 创建新的端点保护策略。

5. 在弹出窗口中，从下拉列表中选择Windows LAPS，然后单击创建。

6. 选择一个有意义的策略名称，然后单击下一步。

7. 定义 Microsoft Entra LAPS 配置设置。按照建议使用我的设置：

上面的一些设置已保留为默认值，默认值如下：

• 管理员帐户名称：无论帐户是否已重命名，都将使用默认的管理员 SID（在所有设备上一致）。
• 密码复杂度：大字母+小字母+数字+特殊字符
• 密码长度：14个字符
• 身份验证后操作：重置密码并注销管理帐户

• 身份验证后重置延迟：24 小时。

8. 在范围标记部分中定义任何范围标记，然后单击下一步。

9. 单击添加所有设备将此策略应用到 Intune 中注册的所有受支持的设备。您还可以在此处定义任何设备过滤器，以从 Microsoft Entra LAPS 策略中排除特定设备。然后点击下一步。

10. 最后检查您的设置并单击创建。

检查Microsoft Entra LAPS是否成功

部署 Microsoft Entra LAPS 时，无需重新启动设备，这与以前版本的 LAPS 不同，在以前的 LAPS 版本中，需要重新启动才能通过 GPO 部署 MSI。这意味着下次策略应用于您的设备时，将配置 LAPS。

您可以从策略报告窗口验证策略是否已按预期部署：

从 Intune 门户：端点安全 > 帐户保护 > *您的 LAPS 策略* > 查看报告。

Windows 事件日志

在客户端上成功部署 LAPS 后，您将看到 LAPS 的事件 ID 10022，位于：

应用程序和服务日志 > Microsoft > Windows > LAPS

该日志将包含有关 LAPS 配置的信息，如果您对不同的设备组有不同的配置，这可以帮助您确定应用正确的策略。

当前 LAPS 策略配置如下：

策略源：CSP
备份目录：Azure Active Directory
本地管理员帐户名称：
密码使用天数：7
密码复杂度：4
密码长度：14
身份验证后宽限期（小时）：24
身份验证后操作：0x3

请参阅 https://go.microsoft.com/fwlink/?linkid=2220550 了解更多信息。

查看和轮换 Microsoft Entra LAPS 密码

通过 Microsoft Entra 门户或 Intune 门户可以快速轻松地查看和轮换设备的 LAPS 密码。

微软入口门户

要从 Microsoft Entra 门户查看 LAPS 密码，请执行以下步骤：

设备 > 本地管理员密码恢复 > 选择您的设备 > 显示本地管理员密码。

Intune 门户

要从 Intune 门户查看 LAPS 密码，请执行以下步骤：

设备 > 所有设备 > 选择您的设备 > 本地管理员密码 > 显示本地管理员密码强>。

要在设置的有效期之前轮换密码，请从 Intune 中选择设备，单击右上角的 3 个点，然后单击轮换本地管理员密码。

LAPS 还将阻止外部更改密码的尝试，包括当您在 Azure 中为虚拟机使用“重置密码”功能时。 Windows 事件日志中将出现以下日志：

事件 ID：10031

LAPS 阻止了试图修改当前管理帐户密码的外部请求。

帐户名：%accountname%