Windows ローカル管理者パスワード ソリューション (Windows LAPS) を使用すると、ローカル管理者パスワードを安全かつ自動的に管理するためのポリシー設定を構成できます。 この記事では、各ポリシー設定と、それらを管理してセキュリティとコンプライアンスを強化する方法について説明します。
サポートされているポリシー ルート
お勧めはしませんが、複数のポリシー管理メカニズムを使用してデバイスを管理できます。 このシナリオをわかりやすく予測可能な方法でサポートするために、各 Windows LAPS ポリシー メカニズムに個別のレジストリ ルート キーが割り当てられています。
| ポリシー名 | ポリシーのレジストリ キー ルート |
|---|---|
| LAPS CSP | HKLM\Software\Microsoft\Policies\LAPS |
| LAPS グループ ポリシー | HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS |
| LAPS ローカル構成 | HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config |
| 従来の Microsoft LAPS | HKLM\Software\Policies\Microsoft Services\AdmPwd |
Windows LAPS で既知のすべてのレジストリ キー ポリシー ルートに対し、最上位から開始して下位に移動しながら、クエリが実行されます。 ルートの下に設定が見つからない場合、そのルートはスキップされ、クエリは次のルートに進みます。 少なくとも 1 つの明示的に定義された設定を持つルートが見つかった場合、そのルートがアクティブなポリシーとして使用されます。 選択したルートの設定に不足があった場合、設定には既定値が割り当てられます。
ポリシー設定は、ポリシー キー ルート間で共有または継承されることはありません。
Tip
LAPS ローカル構成キーは上記の表に、完全を期すために含まれています。 必要に応じてこのキーを使用できますが、キーは主にテストと開発に使用することを目的としています。 このキーは、管理ツールやポリシー メカニズムの対象にはなっていません。
BackupDirectory 別にサポートされているポリシー設定
Windows LAPS では、さまざまなポリシー管理ソリューションを介して、またはレジストリを介して直接管理できる複数のポリシー設定がサポートされています。 これらの設定の一部は、Active Directory にパスワードをバックアップする場合にのみ適用され、一部の設定は Active Directory と Microsoft Entra の両方のシナリオで一般的です。
次の表は、BackupDirectory 設定が指定されているデバイスに適用される設定をまとめたものです。
| 設定名 | BackupDirectory=Microsoft Entra ID の場合の適用可否 | BackupDirectory=AD の場合に適用される |
|---|---|---|
| AdministratorAccountName | Yes | Yes |
| PasswordAgeDays | Yes | Yes |
| PasswordLength | Yes | Yes |
| PassphraseLength | Yes | Yes |
| PasswordComplexity | Yes | Yes |
| PostAuthenticationResetDelay | Yes | Yes |
| PostAuthenticationActions | Yes | Yes |
| ADPasswordEncryptionEnabled | No | Yes |
| ADPasswordEncryptionPrincipal | No | Yes |
| ADEncryptedPasswordHistorySize | No | Yes |
| ADBackupDSRMPassword | No | Yes |
| PasswordExpirationProtectionEnabled | No | Yes |
| AutomaticAccountManagementEnabled | Yes | Yes |
| AutomaticAccountManagementTarget | Yes | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes | Yes |
| AutomaticAccountManagementEnableAccount | Yes | Yes |
| AutomaticAccountManagementRandomizeName | Yes | Yes |
BackupDirectory が [無効] に設定されている場合、他のすべての設定は無視されます。
ほぼすべての設定は、任意のポリシー管理メカニズムを使用して管理できます。
Windows LAPS 構成サービス プロバイダー (CSP) には、この規則に対して 2 つの例外があります。 Windows LAPS CSP では、さきほどの表にはない ResetPassword と ResetPasswordStatus の 2 つの設定がサポートされています。 また、Windows LAPS CSP では ADBackupDSRMPassword 設定がサポートされていません (ドメイン コントローラーが CSP を介して管理されることはありません)。 詳細については、LAPS CSP のドキュメントを参照してください。
Windows LAPS グループ ポリシー
Windows LAPS には、Active Directory ドメインに参加しているデバイスでポリシー設定を管理するために使用できる、新しいグループ ポリシー オブジェクトが含まれています。 Windows LAPS グループ ポリシーにアクセスするには、グループ ポリシー管理エディターで、 コンピューターの構成>管理者テンプレート>System>LAPS に移動します。 次の図は例を示しています。
この新しいグループ ポリシー オブジェクトのテンプレートは、Windows の一部として %windir%\PolicyDefinitions\LAPS.admx にインストールされます。
グループ ポリシー オブジェクト セントラル ストア
Important
Windows LAPS GPO テンプレート ファイルは、Windows Update の修正プログラムの適用操作の一環として GPO セントラル ストアに自動的にコピーされません。この方法を実装したと仮定します。 代わりに、 LAPS.admx を GPO の中央ストアの場所に手動でコピーする必要があります。 中央ストアの作成と管理に関するページを参照してください。
Windows LAPS CSP
Windows LAPS には、Microsoft Entra 参加済みデバイスでポリシー設定を管理するのに使用できる、特定の CSP が含まれています。 Microsoft Intune を使用して Windows LAPS CSP を管理します。
ポリシー設定を適用する
以降のセクションでは、Windows LAPS のさまざまなポリシー設定を使用および適用する方法について説明します。
BackupDirectory
この設定を使用して、マネージド アカウントのパスワードをどのディレクトリにバックアップするかを制御します。
| Value | 設定の説明 |
|---|---|
| 0 | 無効 (パスワードはバックアップされません) |
| 1 | パスワードを Microsoft Entra のみにバックアップする |
| 2 | パスワードを Windows Server Active Directory のみにバックアップする |
指定しない場合、この設定の既定値は 0 (無効) です。
AdministratorAccountName
この設定を使用して、マネージド ローカル管理者アカウントの名前を構成します。
指定しない場合、この設定は既定で組み込みローカル管理者アカウントの管理になります。
Important
組み込みのローカル管理者アカウント以外のアカウントを管理する場合を除き、この設定は指定しないでください。 ローカル管理者アカウントは、既知の相対識別子 (RID) によって自動的に識別されます。
Important
指定したアカウント (ビルトインまたはカスタム) を有効または無効に構成できます。 Windows LAPS は、そのアカウントのパスワードをどちらの状態でも管理します。 ただし、無効な状態のままの場合は、使用するために最初にアカウントを有効にする必要があります。
Important
カスタム ローカル管理者アカウントを管理するように Windows LAPS を構成する場合は、そのアカウントが作成されていることを確認する必要があります。 Windows LAPS でアカウントの作成は行われません。
Important
AutomaticAccountManagementEnabled を有効にすると、この設定は無視されます。
PasswordAgeDays
この設定は、マネージド ローカル管理者アカウントのパスワードの最大有効期間を制御します。 サポートされる値は次のとおりです。
- 最小: 1 日 (バックアップ ディレクトリが Microsoft Entra ID に構成されている場合、最小値は 7 日間です)。
- 最大: 365 日
指定しない場合、この設定の既定値は 30 日です。
Important
PasswordAgeDays ポリシー設定を変更しても、現在のパスワードの有効期限には影響しません。 同様に、 PasswordAgeDays ポリシー設定を変更しても、マネージド デバイスはパスワードのローテーションを開始しません。
PasswordLength
この設定を使用して、マネージド ローカル管理者アカウントのパスワードの長さを構成します。 サポートされる値は次のとおりです。
- 最小: 8 文字
- 最大: 64 文字
指定しない場合、この設定の既定値は 14 文字です。
Important
マネージド デバイスのローカル パスワード ポリシーと互換性のない値に PasswordLength を構成しないでください。 そうすると、Windows LAPS で新しい互換性のあるパスワードの作成に失敗します。 (Windows LAP イベント ログで 10027 イベントを探します)。
パスワード オプションのいずれかに PasswordLength が構成されていない限り、PasswordComplexity 設定は無視されます。
PassphraseLength
この設定を使用して、マネージド ローカル管理者アカウントのパスフレーズの単語数を構成します。 サポートされる値は次のとおりです。
- 最小: 3 単語
- 最大: 10 単語
指定しない場合、この設定の既定値は 6 単語です。
パスフレーズ オプションのいずれかに PassphraseLength が構成されていない限り、PasswordComplexity 設定は無視されます。
Important
PassphraseLength は、Windows 11 24H2、Windows Server 2025 以降のリリースでのみサポートされています。
PasswordComplexity
この設定を使用して、マネージド ローカル管理者アカウントに必要とされるパスワードの複雑さを構成したり、パスフレーズの作成を指定したりします。
| Value | 設定の説明 |
|---|---|
| 1 | 大きな文字 |
| 2 | 大文字 + 小文字 |
| 3 | 大文字 + 小文字 + 数字 |
| 4 | 大文字 + 小文字 + 数字 + 特殊文字 |
| 5 | 大文字 + 小文字 + 数字 + 特殊文字 (可読性の向上) |
| 6 | パスフレーズ (長い単語) |
| 7 | パスフレーズ (短い単語) |
| 8 | パスフレーズ (一意のプレフィックスを持つ短い単語) |
指定しない場合、この設定の既定値は 4 です。
Important
Windows では、従来の Microsoft LAPS との下位互換性のためにのみ、パスワードの複雑さの低い設定 (1、2、3) がサポートされています。 この設定は常に 4 (サポートされている場合はそれ以上の値) に構成することをお勧めします。
Important
マネージド デバイスのローカル パスワード ポリシーと互換性のない設定に PasswordComplexity を構成しないでください。 そうすると、Windows LAPS で新しい互換性のあるパスワードの作成に失敗します。 (Windows LAPS イベント ログで 10027 イベントを探します)。
Important
PasswordComplexity 値 5 から 8 は、Windows 11 24H2、Windows Server 2025、およびそれ以降のリリースでのみサポートされます。
PasswordExpirationProtectionEnabled
この設定を使用して、マネージド ローカル管理者アカウントのパスワードの最大有効期間の適用を構成します。
サポートされる値は 、1 (True) または 0 (False) のいずれかです。
指定しない場合、この設定の既定値は 1 (True) です。
Tip
従来の Microsoft LAPS モードでは、この設定は旧バージョンとの互換性のために既定で False に設定されます。
ADPasswordEncryptionEnabled
Active Directory でパスワードの暗号化を有効にするには、この設定を使用します。
サポートされる値は 、1 (True) または 0 (False) のいずれかです。
Important
この設定を有効にするには、Active Directory ドメインがドメイン機能レベル 2016 以降で実行されている必要があります。
ADPasswordEncryptionPrincipal
この設定を使用して、Active Directory に格納されているパスワードの暗号化を解除できるユーザーまたはグループの名前かセキュリティ識別子 (SID) を構成します。
パスワードが現在 Azure に格納されている場合、この設定は無視されます。
この設定を指定しない場合は、デバイスのドメイン内の Domain Admins グループのメンバーのみがパスワードの暗号化を解除できます。
この設定を指定すると、指定したユーザーまたはグループは、Active Directory に格納されているパスワードの暗号化を解除できます。
Important
この設定に格納されている文字列は、文字列形式の SID か、ユーザーまたはグループの完全修飾名です。 有効な例を次に示します。
S-1-5-21-2127521184-1604012920-1887927527-35197contoso\LAPSAdminslapsadmins@contoso.com
(SID またはユーザーまたはグループ名によって) 識別されたプリンシパルが存在し、デバイスで解決できる必要があります。
この設定で指定したデータは、as-is入力されます。たとえば、囲み引用符やかっこを追加しないでください。
ADPasswordEncryptionEnabledが True に構成されていて、その他すべての前提条件が満たされていない限り、この設定は無視されます。
ディレクトリ サービス修復モード (DSRM) のアカウント パスワードがドメイン コントローラーにバックアップされる場合、この設定は無視されます。 そのシナリオでは、この設定は常に、既定でドメイン コントローラーのドメインの Domain Admins グループになります。
ADEncryptedPasswordHistorySize
この設定を使用して、以前に暗号化されたパスワードを何個 Active Directory に記憶するかを構成します。 サポートされる値は次のとおりです。
- 最小 : 0 個のパスワード
- 最大: 12 個のパスワード
指定しない場合、この設定の既定値は 0 個のパスワード (無効) です。
Important
ADPasswordEncryptionEnabled が True に構成されていて他のすべての前提条件が満たされていない限り、この設定は無視されます。
この設定は、DSRM パスワードをバックアップするドメイン コントローラーでも有効です。
ADBackupDSRMPassword
この設定を使用して、Windows Server Active Directory ドメイン コントローラーで DSRM アカウント パスワードのバックアップを有効にします。
サポートされる値は 、1 (True) または 0 (False) のいずれかです。
この設定の既定値は 0 (False) です。
Important
ADPasswordEncryptionEnabled が True に構成されていて他のすべての前提条件が満たされていない限り、この設定は無視されます。
PostAuthenticationResetDelay
この設定を使用して、認証後に待機してから指定した認証後のアクションを実行する時間 (時間単位) を指定します ( PostAuthenticationActionsを参照)。 サポートされる値は次のとおりです。
- 最小値 : 0 時間 (この値を 0 に設定すると、認証後のすべてのアクションが無効になります)
- 最大: 24 時間
指定しない場合、この設定の既定値は 24 時間です。
PostAuthenticationActions
この設定を使用して、構成された猶予期間の満了時に実行するアクションを指定します (PostAuthenticationResetDelay を参照)。
この設定には次のいずれかの値を指定できます。
| Value | Name | 猶予期間が期限切れになったときに実行するアクション | Comments |
|---|---|---|---|
| 1 | パスワードのリセット | マネージド アカウントのパスワードがリセットされます。 | |
| 3 | パスワードをリセットしてサインアウトする | マネージド アカウントのパスワードがリセットされ、マネージド アカウントを使用する対話型サインイン セッションが終了し、マネージド アカウントを使用するすべての SMB セッションが削除されます。 | 対話型サインイン セッションでは、2 分間警告が表示され (設定不可)、作業の保存とサインアウトが行われます。 |
| 5 | パスワードをリセットして再起動する | マネージド アカウントのパスワードがリセットされ、マネージド デバイスが再起動されます。 | マネージド デバイスは、再起動するまでに 1 分かかります (設定不可)。 |
| 11 | パスワードをリセットしてサインアウトする | マネージド アカウントのパスワードがリセットされ、マネージド アカウントを使用する対話型サインイン セッションが終了し、マネージド アカウントを使用するすべての SMB セッションが削除され、マネージド アカウント ID で実行されている残りのプロセスが終了します。 | 対話型サインイン セッションでは、2 分間警告が表示され (設定不可)、作業の保存とサインアウトが行われます。 |
指定しない場合、この設定の既定値は 3 です。
Important
許可される認証後のアクションは、Windows LAPS パスワードをリセット前に使用できる時間を制限するためのものです。 マネージド アカウントからサインアウトすること、またはデバイスを再起動することは、時間を確実に制限するために役立つオプションです。 突然にサインイン済みのセッションを終了したりデバイスを再起動したりすると、データが失われる可能性があります。
セキュリティの観点から見ると、有効な Windows LAPS パスワードを使用してデバイスの管理特権を取得する悪意のあるユーザーは、最終的にこれらのメカニズムを抑止または回避できます。
Important
PostAuthenticationActions 値 11 は、Windows 11 24H2、Windows Server 2025、およびそれ以降のリリースでのみサポートされます。
AutomaticAccountManagementEnabled
自動アカウント管理を有効にするには、この設定を使用します。
サポートされる値は 、1 (True) または 0 (False) のいずれかです。
この設定の既定値は 0 (False) です。
Important
AutomaticAccountManagementEnabled は、Windows 11 24H2、Windows Server 2025 以降のリリースでのみサポートされています。
AutomaticAccountManagementTarget
この設定を使用して、組み込みの管理者アカウントと新しいカスタム アカウントのどちらを自動的に管理するかを指定します。
| Value | 設定の説明 |
|---|---|
| 0 | あらかじめ登録された Administrator アカウントを自動的に管理する |
| 1 | 新しいカスタム アカウントを自動的に管理する |
この設定の既定値は 1 です。
AutomaticAccountManagementEnabled を有効にしない限り、この設定は無視されます。
Important
AutomaticAccountManagementTarget は、Windows 11 24H2、Windows Server 2025 以降のリリースでのみサポートされています。
AutomaticAccountManagementNameOrPrefix
この設定を使用して、自動的に管理されるアカウントの名前または名前プレフィックスを指定します。
この設定の既定値は WLapsAdmin です。
AutomaticAccountManagementRandomizeNameが 0 (False) の場合、この設定は名前として扱われます。
AutomaticAccountManagementRandomizeNameが 1 (True) の場合、この設定は名前プレフィックスとして扱われます。
AutomaticAccountManagementEnabled を有効にしない限り、この設定は無視されます。
Important
AutomaticAccountManagementNameOrPrefix は、Windows 11 24H2、Windows Server 2025 以降のリリースでのみサポートされています。
AutomaticAccountManagementEnableAccount
この設定を使用して、自動的に管理されるアカウントを有効または無効にします。
| Value | 設定の説明 |
|---|---|
| 0 | 自動的に管理されるアカウントを無効にする |
| 1 | 自動的に管理されるアカウントを有効にする |
この設定の既定値は 0 です。
AutomaticAccountManagementEnabled を有効にしない限り、この設定は無視されます。
Important
AutomaticAccountManagementEnableAccount は、Windows 11 24H2、Windows Server 2025 以降のリリースでのみサポートされています。
AutomaticAccountManagementRandomizeName
この設定を使用して、自動的に管理されるアカウントの名前のランダム化を有効にします。
この設定を有効にすると、パスワードがローテーションされるたびに、マネージド アカウントの名前 (AutomaticAccountManagementNameOrPrefix 設定によって決定) にランダムな 6 桁のサフィックスが付きます。
Windows ローカル アカウント名の最大長は 20 文字です。つまり、ランダム サフィックスに十分なスペースを確保するために、名前コンポーネントの長さが最大で 14 文字である必要があります。
AutomaticAccountManagementNameOrPrefix で指定された 14 文字より長いアカウント名は切り捨てられます。
| Value | 設定の説明 |
|---|---|
| 0 | 自動的に管理されるアカウントの名前をランダム化しない |
| 1 | 自動的に管理されるアカウントの名前をランダム化する |
この設定の既定値は 0 です。
AutomaticAccountManagementEnabled を有効にしない限り、この設定は無視されます。
Important
AutomaticAccountManagementRandomizeName は、Windows 11 24H2、Windows Server 2025 以降のリリースでのみサポートされています。
Windows LAPS の既定のポリシー値
すべての Windows LAPS ポリシー設定には既定値があります。 既定値は、管理者が特定の設定を構成しない場合に適用されます。 管理者により、サポートされていない値で特定の設定が構成された場合にも、既定値が適用されます。
| 設定名 | 既定値 |
|---|---|
| BackupDirectory | Disabled |
| AdministratorAccountName | Null\empty |
| PasswordAgeDays | 30 |
| PasswordLength | 14 |
| PassphraseLength | 6 |
| PasswordComplexity | 4 |
| PostAuthenticationResetDelay | 24 |
| PostAuthenticationActions | 3 (パスワードをリセットしてサインアウトする) |
| ADPasswordEncryptionEnabled | True |
| ADPasswordEncryptionPrincipal | ドメイン管理者 |
| ADEncryptedPasswordHistorySize | 0 |
| ADBackupDSRMPassword | False |
| PasswordExpirationProtectionEnabled | True |
| AutomaticAccountManagementEnabled | False |
| AutomaticAccountManagementTarget | Yes |
| AutomaticAccountManagementNameOrPrefix | Yes |
| AutomaticAccountManagementEnableAccount | False |
| AutomaticAccountManagementRandomizeName | False |
Important
ADPasswordEncryptionPrincipal は、誤って構成された設定ルールに対する例外です。 この設定は、設定が構成されていない場合にのみ、既定で "Domain Admins" に設定されます。 無効なユーザーまたはグループ名を指定すると、ポリシー処理エラーが発生し、マネージド アカウントのパスワードはバックアップされません。
パスフレーズのサポートなど、新しい Windows LAPS 機能を構成する場合は、これらの既定値に注意してください。 PasswordComplexity 値が 6 (長い単語パスフレーズ) のポリシーを構成し、その値をサポートしていない古い OS にそのポリシーを適用すると、ターゲット OS では既定値の 4 が使用されます。 この結果を回避するには、古い OS 用と新しい OS 用の 2 つの異なるポリシーを作成します。