Engineering

Windows LAPSの設定

日々の業務で、ユーザーにWindows端末の管理者権限を与えるのは不安ですよね。特に、セキュリティの観点から恒常的に管理者権限を持たせることは避けたいものです。しかし、ソフトウェアのインストールやドライバの管理といった場面では、一時的にローカル管理者権限が必要になることもあります。そんなときに役立つのがWindows Local Administrator Password Solution(LAPS)です。LAPSは、必要に応じて安全に管理者権限を付与し、適切なタイミングで自動的に管理をリセットできる強力なソリューションです。

Windows LAPSとは

Windows Local Administrator Password Solution(LAPS)は、各デバイスのローカル管理者パスワードを安全に自動生成・更新し、Entra IDやIntuneを介してクラウドベースで管理できるソリューションです。特に、クラウドとオンプレミス環境の統合管理が求められる場面で効果を発揮します。

メリット

  1. クラウドによる集中管理: Entra IDとIntuneを使って、オンプレミスのActive Directoryを使用せずに、すべてのデバイスのパスワードをクラウド経由で管理します。
  2. セキュリティの強化: 各デバイスのローカル管理者パスワードが個別に生成され、パスワードの漏洩や不正アクセスを防ぎます。また、Intuneを利用して管理することで、パスワードのリセットや更新がリモートから可能です。
  3. コンプライアンス遵守: 自動的にパスワードを定期更新し、監査ログを通じてパスワードの使用履歴を追跡できるため、セキュリティコンプライアンスを維持します。
  4. 操作の自動化: Entra IDとIntuneを通じてグループポリシーを簡単に適用し、パスワード管理を自動化できるため、手動管理の煩雑さがなくなります。

前提条件

  1. Entra ID(旧Azure AD)統合: デバイスはEntra IDに登録され、クラウドベースのアイデンティティ管理が設定されている必要があります。
  2. Intune登録: Intuneを使ってデバイス管理を行うため、すべての対象デバイスがIntuneに登録されている必要があります。
  3. Windows OSの互換性: Windows LAPSはWindows 10以降のOSに対応しているため、対象デバイスは対応OSであることが求められます。
  4. グループポリシーの構成: Intuneを介してLAPSに必要な設定を展開するために、Intuneでデバイスに適切な設定ポリシーを構成する必要があります。

設定方法

以下の手順に従って、Windows LAPSの設定を進めていきます。

  1. 新しいローカル管理者アカウントの作成
  2. テナントでWindows LAPSを有効化
  3. Entra Join時にユーザーを標準ユーザーに変更
  4. 作成したローカル管理者をPCの「administratos」に登録
  5. Windows LAPSの構成設定

新しいローカル管理者アカウントの作成

Intune管理のデバイスページのWIndowsの構成からポリシーを作成します。作成するポリシーは「テンプレート」の「カスタム」になります。

プロファイルの作成 – Microsoft Intune 管理センター

下記のようにOMI-URIを記入します。名前などはわかりやすいものを設定してください。

OMI-URI:./Device/Vendor/MSFT/Accounts/Users/***********/Password
***********部分には作成したいアカウント名を入れます。localadminとか
データ型:文字列
値:初期パスワード。(Windowsの制限にかかわらないように複雑性が必要です)

割当は、ユーザグループでもデバイスグループでも可能です。

テナントでWindows LAPSを有効化

EntraIDのデバイス設定でLAPSの有効化を行います。
デバイス – Microsoft Azure
こちらにアクセスして、「Microsoft Entra Local Administrator Password Solution (LAPS) の有効化」を有効化します。

Entra Join時にユーザーを標準ユーザーに変更

続けて、同じページで「登録するユーザーは、Microsoft Entra 参加の間にそのデバイス上のローカル管理者として追加されます (プレビュー)」を「なし」に設定します。これによりEntraJoinをしたとき、ユーザが一般ユーザとしてコンピュータに登録されます。必要に応じて「グローバル管理者ロールは、Microsoft Entra 参加の間にそのデバイス上のローカル管理者として追加されます (プレビュー)」は「はい」にしておきましょう。

作成したローカル管理者をPCの「administrators」に登録

先程の作成したローカルアカウント(ここではlocaladmin)をユーザに配布しているPCのAdministratorsのグループに所属させます。
Intuneのエンドポイントセキュリティのアカウント保護からポリシーを作成します。
エンドポイント セキュリティ – Microsoft Intune 管理センター

ローカルユーザーグループメンバーシップを選択し、ポリシーに名前をつけてください。

下記のように設定します。

ローカルグループ:管理者
グループとユーザのアクション:追加(更新)
ユーザの選択:手動
選択されたユーザ:localadmin(手順1で作成したローカルアカウント)

Windows LAPSの構成設定

プロファイルの作成 – Microsoft Intune 管理センターのエンドポイントセキュリティのアカウント保護から、新しいポリシーを作成し、LAPSを稼働させます。


希望の動作に合わせて下記のように設定します。管理者のアカウント名は手順1で作成したアカウントを入力してください。パスワード有効期間は短いほうがユーザに提供したあと速やかに無効にすることができます。

ローカル管理者のパスワード確認方法

Intuneのデバイスページの端末の「ローカル管理者パスワード」で最新のパスワードを確認することができます。端末ごとに異なります。
ユーザに管理権限を渡さないといけないときにはこのパスワードと作成したローカルアドミンアカウントを提供することで期限付きの管理権限を提供することができます。

                       

    

関連記事

コメント

この記事へのコメントはありません。

TOP