情シスが抱えるITインフラやネットワーク、セキュリティの悩みを解決するメディアサイト情シスが抱える悩みを解決するメディアサイト

Microsoft Intune で、Windows LAPS を管理してみるよ

Microsoft Intune
情報屋ヤマグチのタレコミ
この記事の内容
Windows LAPS のメリット
Intune を用いた Windows LAPS の管理方法
~設定後~

どうも、株式会社ソフトクリエイト 戦略ビジネス部 で情報屋やってます。山口です。
普段は中堅・中小企業様向けに Microsoft 365 活用のご支援をおこなっています。

Microsoft Intune で、Windows LAPS の管理が正式対応したので、使ってみたいと思います(^^
Windows LAPS とは、Microsoft Entra に参加済み、または Active Directory に参加済みのデバイス上の指定のローカル管理者アカウントのパスワードを管理およびバックアップする仕組みです。

Windows LAPS のメリット

Windows LAPS を使用すると、ローカル管理者アカウントのパスワードを定期的にローテーションして管理できるので、以下のようなメリットがあります。

1.Pass-the-hash と lateral-traversal の攻撃に対する保護
→ "Pass-the-hash"(パス・ザ・ハッシュ攻撃)
ハッカーがパスワードのハッシュ値を盗み、そのハッシュ値を使用して、ネットワーク内の他のコンピューターにアクセスすること。

→ "Lateral-traversal"(ラテラル トラバーサル)
ハッカーがネットワーク内で横断的に移動し、様々なコンピューターにアクセスすること。

2.リモート ヘルプ デスク対応時のセキュリティの強化
→ ローカル管理者パスワードを利用者に教えたとしても、容易に管理者側でパスワードが変更可能。

3.アクセスできないローカルユーザーへのサインインの回復
→ 指定のアカウントのパスワードが不明な場合でも、ポリシーを適用することで、パスワードを再設定可能。

Intune を用いた Windows LAPS の管理方法

1.Microsoft Entra 管理センター( https://entra.microsoft.com )にアクセスします。

2.「デバイス」-「すべてのデバイス」-「デバイスの設定」画面に移動します。

3.Microsoft Entra Local Administrator Password Solution(LAPS)の有効化の項目を「はい」に変更し、「保存」をクリックします。

4.Microsoft Intune 管理センター( https://intune.microsoft.com/ )にアクセスします。

5.「エンドポイント セキュリティ」-「アカウント保護」の画面に移動し、「+ポリシーの作成」をクリックします。

6.プラットフォームの項目で、「Windows 10 以降」、プロファイルの項目で、「Local admin password solution (Windows LAPS)」を選択します。

7.「作成」をクリックします。

8.作成する Windows LAPS のポリシー名を設定し、「次へ」をクリックします。

9.「バックアップ ディレクトリ」を「パスワードを Azure AD のみにバックアップする」を選択します。

10.「パスワード有効期限日数」を「構成されました」に変更し、パスワードローテーションの実行間隔を設定します。ちなみに、構成しない場合は、30日が既定値の様です。

11.今回は、結果を早く把握したいので、最短の7日で設定してみます。

12.「管理者のアカウント名」を「構成されました」に変更し、パスワードローテーションを実施するローカル管理者アカウント(Local Adminとか、System Adminとか)を指定します。

13.パスワードの複雑さを指定します。今回は、大文字+小文字+数字+特殊文字で、パスワード長を14文字としてみました。

14.「認証後のアクション」を「パスワードをリセットして再起動する:猶予期間が過ぎると、マネージドアカウントのパスワードがリセットされ、マネージド・・・」を選択します。
公式のドキュメントを読んでもよく判りませんでしたが、指定のローカル管理者ユーザーをずーっと使うと、パスワードローテーションの期限に到達した際の挙動かな?という感覚です。

15.「認証後のリセット遅延」は、24時間で設定したら、「次へ」をクリックします。
※既定も24時間なので一旦、既定値で。

16.「次へ」をクリックします。

17.「グループの追加」をクリックします。

18.作成したポリシーを割り当てるグループを選択します。

19.「次へ」をクリックします。

20.「作成」をクリックします。

~設定後~

タイミングはよくわかりませんが、3~4日放置したら、Microsoft Intune 管理センターのデバイスページの"ローカル管理者パスワード"の画面に、"ローカル管理者パスワードの表示"のリンクが表示され、指定されたユーザー、ローテーションされたパスワード等の情報が表示されるようになりました。
後述するアクションメニューからの”ローカル管理者パスワードのローテーション”操作の実施でもう少し早く確認できる気はしますが、ポリシーの反映とか諸々と影響がありそうなので、おとなしく一旦、待ちの姿勢としてみました。

Microsoft Intune 管理センターのデバイスページのアクションメニューの「ローカル管理者パスワードのローテーション」操作で、パスワードのローテーションを直ぐに実行することも可能です。パスワードの変更にはポリシーで指定した猶予期間と再起動が必須のようなので、このあたりは、意識して運用したいところです。

ちなみに、リモートでのパスワードローテーション実施後に、変更されたパスワードでのサインインは行えましたが、Microsoft Intune 管理画面上でのパスワード変更実施のタイミングの反映は少し時間が掛かりましたので、この辺は、少しもやっとした気分になりました。

Windows LAPS は、ローカル管理者パスワードのセキュリティを強化する機能です。Microsoft Intune と組み合わせることで、簡単に導入・管理することができますので、ぜひお試しください(^^

※ 本投稿は、弊社で運営していますソフクリ365倶楽部のTeams投稿等で案内した内容を再編したものになります。ソフクリ365倶楽部のプレミアム会員様については、倶楽部への投稿や技術情報の投稿等を閲覧、アクションすることが可能です。
関連キーワード
セミナー
山口 泰志

山口 泰志(やまぐち たいし)

  • 出身:福岡生まれ、佐賀育ち
  • Motto:しっかり考えて、やるべきことは、直ぐにやる!

Microsoft Top Partner Engineer Award 2023年受賞
弊社グループ全体における Microsoft 365 の技術主導者。
中堅・中小企業様向けには、日々、
Microsoft 365を中心とした技術情報を ソフクリ365倶楽部 で発信。

情報屋ヤマグチをもっと知る!
経歴
~2016年
中⼩SIer、フリーランスエンジニア、⼤規模SIer等での経験を経て、2016年にソフトクリエイトに⼊社しました。
ソフトクリエイト⼊社後
AD、Office 365構築エンジニア、プリセールス等を経験した上で、2018年より、⾃分の発案でMicrosoft 365サービスの企画、⽴上げを⾏った後に、ソフトクリエイトホールディングス情報システム部にて、グループ全体へのMicrosoft 365 E5導⼊を主導しました。
現在
Microsoft 365の技術を中⼼に最新のテクノロジーや使い⽅を内外に発信したり、勉強会・トレーニング講師、新サービス⽴案、⽴上げとかの仕事をしています。
人気記事
趣味
散歩、登⼭、ロードバイク、旅⾏とかで、
外に出かけて、⾝体を動かすものが多いです
最近行って良かった所

この数年は、海外にも行くようになり、各国の文化や風土の違いを感じる経験ができるようになりました。

Seattle
Microsoft本社、ウォーターフロント、ワシントン大学、カロリー増々な食事
台湾
故宮博物院、台北101、九分のジブリ風な街並み、猫村として有名な猴硐(ホウトン)、気球や十分瀑布で有名な十分、各地域の夜市を中心としたグルメ
心掛けていること
現在の世の中では、エンジニアが何かを作れたり、運⽤できたりでは⾜りず、⾊々な視点で、考え、語り、発信できる様になる必要があると考えています。この様な活動のモデルとして、働き⽅と、テクノロジーの両⾯で、お客様、組織をリードできる様な⼈になれるように⽇々チャレンジすることを⼼掛けています。
最後に一言
テレワーク、社内のインフラ運⽤、セキュリティの維持対応、DX、AI等々、組織の情報システム部に求められる役割は、⽇々増⼤しています。この様な、時代の進歩の早い世の中で、皆様と⼀緒に⾼めあったり、課題を解決できるような関係を作っていきたいと考えていますので、どうぞよろしく!
情報屋山口ブログに関するおすすめ記事
Windows アプリ保護ポリシーを設定してみるよ
Intune の構成プロファイルを使用して、Windows のストレージセンサーを構成するよ
Intune の構成プロファイルを使用して、Windows のマルチ共有モードを利用するよ
Intune の構成プロファイルを使用して、Windows のキオスク モードを有効化するよ
私の Web ブラウザーと検索エンジンの利用がこの1年でどう変わったのか?