Windows LAPS の Microsoft Intune サポート

すべての Windows マシンには、削除できないローカル管理者アカウントが組み込まれており、デバイスに対する完全なアクセス許可を持っています。 このアカウントのセキュリティ保護は、organizationをセキュリティで保護するための重要な手順です。 Windows デバイスには、ローカル管理者アカウントの管理に役立つ組み込みソリューションである Windows ローカル管理者パスワード ソリューション (LAPS) が含まれています。

アカウント保護には Microsoft Intune エンドポイント セキュリティ ポリシーを使用して、Intune に登録されているデバイスの LAPS を管理できます。 Intune ポリシーでは、次のことができます。

• ローカル管理者アカウントにパスワード要件を適用する
• デバイスから Active Directory (AD) またはMicrosoft Entraにローカル管理者アカウントをバックアップする
• アカウント パスワードを安全に保つために、それらのアカウント パスワードのローテーションをスケジュールします。

また、Intune 管理 センターでマネージド ローカル管理者アカウントに関する詳細を表示したり、スケジュールされたローテーションの外部で自分のアカウント パスワードを手動でローテーションしたりできます。

Intune LAPS ポリシーを使用すると、パス ザ ハッシュや横トラバーサル攻撃などのローカル ユーザー アカウントを悪用することを目的とした攻撃から Windows デバイスを保護できます。 Intune で LAPS を管理すると、リモート ヘルプ デスクのシナリオのセキュリティを向上させ、それ以外の場合はアクセスできないデバイスを回復することもできます。

Intune LAPS ポリシーは、Windows LAPS CSP から使用できる設定を管理します。 Intune で CSP を使用すると、 従来の Microsoft LAPS または他の LAPS 管理ソリューションの使用が、他の LAPS 管理ソースよりも 優先される CSP に置き換えられます。

Windows LAPS の Intune サポートには、次の機能が含まれています。

• パスワード要件の設定 – デバイス上のローカル管理者アカウントの複雑さと長さを含むパスワード要件を定義します。
• パスワードのローテーション – ポリシーを使用すると、デバイスがスケジュールに従ってローカル管理者アカウントのパスワードを自動的にローテーションさせることができます。 Intune 管理センターを使用して、デバイスアクションとしてデバイスのパスワードを手動でローテーションすることもできます。
• アカウントとパスワードのバックアップ – クラウド内のMicrosoft Entra ID またはオンプレミスの Active Directoryのいずれかで、デバイスでアカウントとパスワードをバックアップするように選択できます。 パスワードは、強力な暗号化を使用して格納されます。
• 自動アカウント管理 – (Windows 11 24H2 以降でサポート) – 組み込みの管理者アカウントまたは指定したカスタム アカウントの管理を簡略化します。 自動アカウント管理 オプションでは、指定したアカウントの無効化または有効化と、アカウント名またはプレフィックスのランダム化がサポートされます。 自動アカウント管理を使用すると、LAPS アカウントの改ざん防止も強化されます。
• 認証後のアクションの構成 – ローカル管理者アカウントのパスワードの有効期限が切れたときにデバイスが実行するアクションを定義します。 アクションの範囲は、マネージド アカウントをリセットして新しいセキュリティで保護されたパスワードを使用する、アカウントをログオフする、または両方を実行してからデバイスの電源を切るなどです。 また、これらのアクションを実行する前に、パスワードの有効期限が切れた後にデバイスが待機する時間を管理することもできます。
• アカウントの詳細を表示 する – 十分なロールベースの管理制御 (RBAC) アクセス許可を持つ Intune 管理者は、デバイスのローカル管理者アカウントとその現在のパスワードに関する情報を表示できます。 また、そのパスワードが最後にローテーションされたタイミング (リセット) と、次回ローテーションがスケジュールされているタイミングも確認できます。
• レポートの表示 – Intune は、過去の手動およびスケジュールされたパスワードローテーションに関する詳細を含む、パスワードローテーションに関するレポートを提供します。

Windows LAPS の詳細については、Windows ドキュメントの次の記事を参照してください。

• Windows LAPS とは – Windows LAPS と Windows LAPS ドキュメント セットの概要。
• Windows LAPS CSP – LAPS の設定とオプションの詳細を表示します。 LAPS の Intune ポリシーでは、これらの設定を使用してデバイスで LAPS CSP を構成します。

適用対象:

• Windows

前提条件

テナントで Windows LAPS をサポートするための Intune の要件を次に示します。

ライセンスの要件

• Intune サブスクリプション - Microsoft Intune プラン 1。これは基本的な Intune サブスクリプションです。 Intune の無料試用版サブスクリプションで Windows LAPS を使用することもできます。

• Microsoft Entra ID – Microsoft Entra ID Free。これは、Intune をサブスクライブするときに含まれるMicrosoft Entra ID の無料バージョンです。 Microsoft Entra ID 無料では、LAPS のすべての機能を使用できます。

Active Directory のサポート

Windows LAPS の Intune ポリシーでは、ローカル管理者アカウントとパスワードを次のいずれかの種類のディレクトリにバックアップするようにデバイスを構成できます。

• クラウド – クラウドでは、次のシナリオでMicrosoft Entra ID へのバックアップがサポートされています。

  • ハイブリッド結合Microsoft Entra

  • Microsoft Entra参加

    Microsoft Entra参加をサポートするには、Microsoft Entra ID で LAPS を有効にする必要があります。 次の手順は、この構成を完了するのに役立ちます。 より大きなコンテキストについては、「Microsoft Entra ID を使用して Windows LAPS を有効にする」のMicrosoft Entraドキュメントでこれらの手順を参照してください。 ハイブリッド参加Microsoft Entra、Microsoft Entraで LAPS を有効にする必要はありません。

    Microsoft Entraで LAPS を有効にする:

    1. クラウド デバイス管理者としてMicrosoft Entra管理センターにサインインします。
    2. [Identity>Devices>Overview>Device の設定] を参照します。
    3. [ローカル管理者パスワード ソリューション (LAPS) を有効にする] 設定で [はい] を選択し、[保存] を選択します。 Microsoft Graph API Update deviceRegistrationPolicy を使用することもできます。

    詳細については、Microsoft Entraドキュメントの「Microsoft Entra ID の Windows ローカル管理者パスワード ソリューション」を参照してください。

• オンプレミス – オンプレミスでは、Windows Server Active Directory (オンプレミスの Active Directory) へのバックアップがサポートされています。

  重要

  Windows デバイス上の LAPS は、1 つのディレクトリの種類を使用するように構成できますが、両方を使用することはできません。 また、バックアップ ディレクトリはデバイスの参加の種類でサポートされている必要があります。ディレクトリをオンプレミスの Active Directoryに設定し、デバイスがドメインに参加していない場合、Intune からポリシー設定を受け入れますが、LAPS はその構成を正常に使用できません。

Device Edition とプラットフォーム

デバイスには Intune がサポートする任意の Windows エディションを含めることができますが、Windows LAPS CSP をサポートするには、次のいずれかのバージョンを実行する必要があります。

• Windows 11、バージョン 22H2 (22621.1555 以降) とKB5025239
• Windows 11、バージョン 21H2 (22000.1817 以降) とKB5025224
• Windows 10、バージョン 22H2 (19045.2846 以降) とKB5025221
• Windows 10、バージョン 21H2 (19044.2846 以降) とKB5025221
• Windows 10、バージョン 20H2 (19042.2846 以降) とKB5025221
• Windows 10 Enterprise LTSC 2019 以降の LTSC バージョン

GCC の高いサポート

Windows LAPS の Intune ポリシーは、GCC High 環境でサポートされています。

LAPS のロールベースのアクセス制御

LAPS を管理するには、アカウントに必要なタスクを完了するための十分なロールベースのアクセス制御 (RBAC) アクセス許可が必要です。 必要なアクセス許可を持つ使用可能なタスクを次に示します。

• LAPS ポリシーの作成とアクセス – LAPS ポリシー を操作して表示するには、セキュリティ ベースラインの Intune RBAC カテゴリから十分なアクセス許可がアカウントに割り当てられている必要があります。 既定では、これらは Intune 組み込みロールEndpoint Security Manager に含まれています。 カスタム Intune RBAC ロールを使用するには、カスタム ロールにセキュリティ ベースライン カテゴリの権限が含まれていることを確認します。

• ローカル管理者パスワードをローテーション する – Intune 管理センターを使用してデバイスのローカル管理者アカウント のパスワードを表示またはローテーションするには、アカウントに次の Intune アクセス許可が割り当てられている必要があります。

  • マネージド デバイス: 読み取り

  • 組織: 読み取り

  • リモート タスク: ローカル 管理 パスワードをローテーションする

    重要

    ローカル 管理 パスワードのローテーションのリモート タスク アクションは、Intune の組み込みロールまたは Intune 管理者のMicrosoft Entra組み込みロールには含まれません。 代わりに、 カスタム Intune ロール を使用して、この機能を持つユーザーにこのアクセス許可を割り当てます。

• ローカル管理者パスワードを取得する – パスワードの詳細を表示するには、アカウントに次のいずれかのMicrosoft Entraアクセス許可が必要です。

  • microsoft.directory/deviceLocalCredentials/password/read LAPS メタデータとパスワードを読み取ります。
  • microsoft.directory/deviceLocalCredentials/standard/read パスワードを除く LAPS メタデータを読み取ります。

  これらのアクセス許可を付与できるカスタム ロールを作成するには、Microsoft Entraドキュメントの「Microsoft Entra ID でカスタム ロールを作成して割り当てる」を参照してください。

• 監査ログとイベントMicrosoft Entra表示する – LAPS ポリシーとパスワード ローテーション イベントなどの最近のデバイス アクションの詳細を表示するには、組み込みの Intune ロールの読み取り専用オペレーターと同等のアクセス許可がアカウントに必要です。

Intune の組み込みロールとカスタム ロールの詳細については、「 Microsoft Intune のロールベースのアクセス制御」を参照してください。

LAPS アーキテクチャ

Windows LAPS アーキテクチャの詳細については、Windows ドキュメントの 「Windows LAPS アーキテクチャ 」を参照してください。

よく寄せられる質問

Intune LAPS ポリシーを使用して、デバイス上のローカル管理者アカウントを管理できますか?

はい。 Intune LAPS ポリシーを使用して、デバイス上のローカル管理者アカウントを管理できます。 ただし、LAPS では、デバイスごとに 1 つのアカウントのみがサポートされます。

• ポリシーでアカウント名が指定されていない場合、Intune は、デバイス上の現在の名前に関係なく、既定の組み込み管理者アカウントを管理します。
• デバイスに対して Intune が管理するアカウントを変更するには、デバイスに割り当てられたポリシーを変更するか、現在のポリシーを編集して別のアカウントを指定します。
• 両方で別のアカウントを指定する 2 つの個別のポリシーがデバイスに割り当てられている場合、デバイスのアカウントを管理する前に解決する必要がある競合が発生します。

別のソースからの LAPS 構成が既に存在するデバイスに、Intune で LAPS ポリシーを展開した場合はどうなりますか?

Intune の CSP ベースのポリシーは、GPO や 従来の Microsoft LAPS からの構成など、LAPS ポリシーの他のすべてのソースをオーバーライドします。 詳細については、Windows LAPS ドキュメントの 「サポートされているポリシー ルート」を参照してください。

Windows LAPS は、LAPS ポリシーを使用して構成された管理者アカウント名に基づいてローカル管理者アカウントを作成できますか?

Windows 11 24H2 以降では、新しい自動アカウント管理モードを使用して Windows LAPS を構成して、組み込みのローカル管理者アカウントを管理したり、管理する新しいカスタム アカウントを作成したりできます。 下位レベルの Windows バージョンでは、Windows LAPS で管理できるのは、デバイスに既に存在するアカウントのみです。

Windows LAPS は、Microsoft Entraで無効になっているデバイスのパスワードをローテーションしてバックアップしますか?

いいえ。 Windows LAPS では、パスワードのローテーションとバックアップ操作を適用する前に、デバイスが有効な状態である必要があります。

Microsoft Entraでデバイスが削除されるとどうなりますか?

Microsoft Entraでデバイスが削除されると、そのデバイスに関連付けられた LAPS 資格情報が失われ、Microsoft Entra ID に格納されているパスワードが失われます。 LAPS パスワードを取得し、外部に格納するカスタム ワークフローがない限り、削除されたデバイスの LAPS マネージド パスワードを回復するためのメソッドを Microsoft Entra ID に含めずに使用できます。

LAPS パスワードを回復するために必要なロールは何ですか?

次の組み込みのMicrosoft Entraロールには、LAPS パスワードを回復するためのアクセス許可があります:クラウド デバイス管理者、Intune 管理者。

LAPS メタデータを読み取るために必要なロールは何ですか?

デバイス名、最後のパスワードローテーション、次のパスワードローテーションなど、LAPS に関するメタデータを表示するには、次の組み込みのMicrosoft Entraロールがサポートされています。

• セキュリティ閲覧者

次のロールを使用することもできます。

• クラウド デバイス管理者
• Intune 管理者
• ヘルプデスク管理者
• セキュリティ管理者

[ローカル管理者パスワード] ボタンが灰色表示され、アクセスできないのはなぜですか?

現時点では、この領域へのアクセスには、ローカル管理者パスワードのローテーション Intune アクセス許可が必要です。 「Microsoft Intune のロールベースのアクセス制御」を参照してください。

ポリシーで指定されたアカウントが変更された場合はどうなりますか?

Windows LAPS では一度に 1 つのデバイス上のローカル管理者アカウントのみを管理できるため、元のアカウントは LAPS ポリシーによって管理されなくなります。 ポリシーにデバイスがそのアカウントをバックアップしている場合、新しいアカウントがバックアップされ、前のアカウントの詳細は Intune 管理センター内またはアカウント情報を格納するために指定されたディレクトリから使用できなくなります。

次の手順

• LAPS のポリシーを作成する
• LAPS のレポートを表示する
• Intune でのエンドポイント セキュリティのアカウント保護ポリシー