Intune – LAPS(ローカル管理者パスワードの管理)の適用 動作確認

2024.02.27

デバイスに何か問題が発生した際に、ローカル管理者のアカウントが必要となる場面が想定されます。

ただし、デバイス毎にローカル管理者のパスワードを管理するのは煩雑であり、結局、全台で共通のパスワードを使用しているケースが多いと考えられます。

この場合、1つのローカル管理者アカウントが侵害されると、同じ資格情報を使用して、他のデバイスにもアクセスすることができ、攻撃者によって、広範囲な損害を与えられる可能性があります。

この記事では、Entra 参加しているデバイスに対して、Intuneを使って、Windows ローカル管理者パスワード ソリューション (LAPS) を使用し、デバイス毎にローカル管理者のパスワードを生成し、管理する機能を確認します。

スポンサーリンク

LAPSの設定

LAPSの有効化(Entra ID)

まず、Entra IDにて、LAPSを有効化する必要があります。

Microsoft Entra 管理センタ(https://entra.microsoft.com/)」へアクセスし、「ID」>>「すべてのデバイス」から「管理」>>「デバイスの設定」をクリックします。

Microsoft Entra Local Administrator Password Solution (LAPS) の有効化」を「はい」に変更し、「保存」をクリックします。

ローカル管理者アカウントの有効化(Intune)

デバイスでローカル管理者アカウントを有効にします。今回は、Intuneの構成プロファイルで設定します。

Microsoft Intune 管理センター(https://intune.microsoft.com/)」より、「デバイス」から「プラットホーム別」>>「Windows」をクリックします。

構成プロファイル」からポリシーの「作成」>>「新しいポリシー」をクリックします。

プラットフォームは「Windows10以降」、プロファイルの種類は「設定カタログ」とし「作成」をクリックします。

任意の名前(今回は、ローカル管理者アカウントの有効化)を設定し、「次へ」をクリックします。

設定の追加」をクリックします。

設定ピッカー」で「ローカルポリシーセキュリティオプション」をクリックします。

アカウント:管理者アカウントの状態を有効にする」にチェックを入れ、設定ピッカーの画面を閉じます。

有効」に変更し、「次へ」をクリックします。

スコープタグ」は何もせず、「次へ」をクリックします。

割り当て」タブで、対象となるグループを選択します。予め「セキュリティ適用グループ」という名前のグループを作成し、デバイス「Win11-3」がメンバとして登録されています。

グループの追加」をクリックします。

セキュリティ適用グループ」を指定し、「選択」をクリックします。

グループが登録されたことを確認し、「次へ」をクリックします。

確認と作成」タブで、設定を確認し、「作成」をクリックします。

LAPSポリシーの作成(アカウント保護)

エンドポイント セキュリティ」>>「アカウント保護」をクリックします。

ポリシーの作成」をクリックします。

プラットフォームは「Windows10以降」、プロファイルの種類は「Local admin password solution(Windows LAPS)」とし「作成」をクリックします。

任意の名前(今回は、ローカル管理者パスワードの設定)を設定し、「次へ」をクリックします。

パスワードを保存する場所を指定します。今回は、Entra 参加したデバイスのローカル管理者アカウントのパスワードなので、保存場所として「パスワードをAzure ADのみにバックアップする」を選択します。

管理者のアカウント名」は明示的に「Administrator」を指定し、その他の設定はデフォルトのままとし、「次へ」をクリックします。

スコープタグ」は何もせず、「次へ」をクリックします。

割り当て」タブで、対象となるグループを選択します。予め「セキュリティ適用グループ」という名前のグループを作成し、デバイス「Win11-3」がメンバとして登録されています。

グループの追加」をクリックします。

セキュリティ適用グループ」を指定し、「選択」をクリックします。

グループが登録されたことを確認し、「次へ」をクリックします。

確認と作成」タブで、設定を確認し、「作成」をクリックします。

スポンサーリンク

動作確認

早期のインストールが実行されるよう、デバイスの同期を実行します。デバイス「Win11-3」の詳細画面から「同期」をクリックします。

はい」をクリックします。

ローカル管理者のパスワード確認

Entra IDにローカル管理者のパスワードがバックアップされているのか確認します。

Microsoft Entra 管理センタ(https://entra.microsoft.com/)」へアクセスし、「ID」>>「すべてのデバイス」から「管理」>>「ローカル管理者パスワードの回復」をクリックします。

Win11-3」のローカル管理者パスワードがバックアップされています。「ローカル管理者のパスワードの表示」をクリックします。

下記のとおり、ローカル管理者パスワードを確認することができます。Showをクリックすると、パスワードも文字列を確認することができます。

ローカル管理者のパスワードは、「Microsoft Intune 管理センター(https://intune.microsoft.com/)」からも確認することができます。該当デバイス(今回はWin11-3)の詳細画面に移動し、「ローカル管理者パスワード」をクリックすると確認できます。出力内容はEntra IDと同様です。

ローカル管理者でログオン

Win11-3」にローカル管理者アカウント(Administrator)でログオンします。

ログオンすることができました。

スポンサーリンク

適用状況確認

Microsoft Intune 管理センター(https://intune.microsoft.com/)」より、「LAPS」の適用状況を確認します。

エンドポイント セキュリティ」>>「アカウント保護」 をクリックします。

ポリシーをクリックします。

「成功」のデバイスがカウントされています。「レポートの表示」をクリックします。

今回、適用対象の「Win11-3」が表示されています。

コメント