レガシ LAPS から Windows LAPS に移行する

適用対象: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Windows ローカル管理者パスワードソリューション (Windows LAPS) は、Microsoft Entra ID または Active Directory を使用して、Windows デバイス上のローカル管理者パスワードを安全に管理するのに役立ちます。この記事では、セキュリティと管理を強化するために、従来の Microsoft LAPS から Windows LAPS に移行する方法について説明します。

サイドバイサイドのシナリオでは、Windows LAPS とレガシ LAPS の両方を使用できます。サイドバイサイドシナリオを成功させるには、両方のポリシーが異なるローカルアカウントを対象とする必要があります。ただし、長期的な目標は、レガシ LAPS から Windows LAPS に移行することです。

Prerequisites

移行プロセスを開始する前に、Windows LAPS を構成していることを確認します。詳細については、「 Windows LAPS と Microsoft Entra ID の概要」または「Windows LAPS と Windows Server Active Directory の概要」を参照してください。

既存のデバイス上のレガシ LAPS から Windows LAPS への移行シナリオ

Microsoft では、レガシ LAPS から Windows LAPS への移行をお勧めします。このセクションでは、既存のデバイスで移行を実行する手順について説明します。

使用できる基本的なアプローチは 2 つあります。 1 つ目のアプローチは即時移行ですが、2 つ目のアプローチでは、サイドバイサイド共存の期間を利用し、その後に最終的な移行を行います。

即時移行アプローチ

次のプロセスを使用して、既存のデバイスでレガシ LAPS から Windows LAPS に移行できます。

従来の LAPS ポリシーを無効または削除します。
Windows LAPS ポリシーを作成して適用します。
マネージドデバイスを監視して、移行が成功したことを確認します。
従来の LAPS ソフトウェアを削除します。

最初の 2 つの手順は、同時に (または可能な限りそれに近いかたちで) 実行する必要があります。

Windows LAPS ポリシーを構成する最も簡単な方法は、レガシ LAPS ポリシーで以前に対象とされていたのと同じアカウントを対象にすることです。別のアカウントをターゲットにすることを選択した場合は、Windows LAPS ポリシーを適用する前に、新しいアカウントを作成する必要があります。最初のアカウントは、不要になった場合は削除する必要があります。

Windows LAPS ポリシーは、従来の LAPS では使用できない、Microsoft Entra ID へのバックアップや Active Directory パスワード暗号化の有効化などの機能を使用して構成することもできます。

Windows LAPS ポリシーが最初に適用されると、マネージドデバイスではローカルアカウントパスワードの即時ローテーションが実行されます。詳細については、「 Windows LAPS ポリシーを新しいクライアントデバイスに適用する方法」を参照してください。移行が成功したことを確認するには、マネージドデバイスを監視する必要があります。

移行が完了したら、最後の手順として、マネージドデバイスからレガシ LAPS ソフトウェアを削除する必要があります。

一時的なサイドバイサイド共存アプローチ

従来の LAPS から Windows LAPS へのより段階的な移行手順を実装することをお勧めします。既存のデバイスでこの移行を実行する手順の概要は次のとおりです。

2 つ目のローカルアカウントを使用してマネージドデバイスを構成します。
Windows LAPS ポリシーを作成して適用します。
マネージドデバイスを監視して、Windows LAPS ポリシーのアプリケーションが成功したことを確認します。
従来の LAPS ポリシーを無効または削除します。
従来の LAPS ソフトウェアを削除します。
追加のアカウントを削除します。

この方法では、Windows LAPS ポリシーと、同じアカウントをターゲットとするレガシ LAPS ポリシーの両方がサポートされていないため、2 つ目のローカルアカウントを作成する必要があります。

Windows LAPS が正常に動作していることを確認したら、移行手順の残りの部分を実行する前に、必要な期間、マネージドデバイスをこの状態のままにすることができます。

移行の成功を監視する

マネージドデバイスを Windows LAPS ポリシーに移行すると、成功した結果を監視する方法は複数あります。

マネージドデバイスの Windows LAPS イベントログチャネルを監視して、成功したパスワード更新イベント (Microsoft Entra ID または AD のいずれか) を確認できます。一元化されたイベントログ収集ソリューションは、ここで役立ちます。
Active Directory にパスワードを格納する場合は、マネージドデバイスの AD コンピューターオブジェクトで新しい属性または更新された msLAPS-PasswordExpirationTime 属性の外観を検索できます。 Get-LapsADPassword PowerShell コマンドレットを使用して、この分析を自動化できます。
Microsoft Entra ID にパスワードを格納する場合は、Microsoft Entra ID または Intune 管理ポータルを確認して、デバイスのパスワードが更新されていることを確認できます。 Get-LapsAADPassword PowerShell コマンドレットを使用して、この分析を自動化できます。

マネージドデバイスからレガシ LAPS ソフトウェアを削除する

マネージドデバイスからレガシ LAPS ソフトウェアを削除するために必要な具体的な手順は、そのソフトウェアが最初にインストールされた方法によって異なります。

MSI インストーラーパッケージを使用してレガシ LAPS をインストールした場合は、プログラムの追加と削除からレガシ LAPS ソフトウェアを手動でアンインストールするか、デバイスの管理者として実行されているコマンドラインから次のコマンドを実行できます。
```
msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}
```
レガシ LAPS CSE AdmPwd.dll ファイルを手動でコピーして登録してレガシ LAPS をインストールした場合は、手動で登録を解除してから、 AdmPwd.dllを削除する必要があります。デバイスで管理者として実行されているコマンドラインから、次のコマンドを実行します。 AdmPwd.dllを別の場所にコピーした場合は、それに応じてパスを調整する必要があります。レジストリキーの HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA} で DllName 値を確認することで、ファイルの場所を確認できます。
```
regsvr32.exe /s /u AdmPwd.dll
delete C:\windows\system32\AdmPwd.dll
```

次のステップ

Windows LAPS のポリシー設定を構成する

フィードバック

このページはお役に立ちましたか?

Last updated on 2025-05-20