パシフィックネットは、企業のDXを支援するITサブスクサービスのトップランナーです。
パシフィックネット
Windows LAPS と Intune でローカル管理者アカウントを安全に管理する方法

投稿日:2024年10月2日

この記事でわかること

Windows LAPS を利用して、 Intune を通じてローカル管理者アカウントのパスワードを安全に管理・保護する方法

企業のIT環境を安全に保つためには、ローカル管理者アカウントの適切な管理が不可欠です。特に、 Windows 環境ではセキュリティリスクが高まっており、効果的な対策が求められています。この記事では、 Windows の新しいローカル管理者パスワードソリューション( Windows LAPS )を Microsoft Intune を通じて導入し、企業のセキュリティを強化する方法を解説します。これにより、管理者アカウントのセキュリティ管理がより簡単かつ確実になります。


はじめに: Windows LAPS と Intune の重要性

Windows ローカル管理者パスワード ソリューション ( Windows LAPS ) は、ローカル管理者アカウントのパスワードを自動的に管理し、バックアップする Windows の機能です。2023年4月11日の更新プログラム以降、 Windows に組み込まれ、さらに2023年10月23日からは Microsoft Entra ID と Microsoft Intune を利用して設定できるようになりました。
  • Windows LAPS とは

    以前は、「 Microsoft LAPS 」 という名称で提供され、 Microsoft のダウンロード センターから別途入手してADおよびクライアントでインストールする必要がありました。 しかし、現在では Windows に標準機能として組み込まれ、より簡単に利用できるようになっています。
  • ローカル管理者アカウントのリスク

    Windows Server Active Directory 環境を利用している組織では、ドメインの管理者アカウントをデバイスの管理者アカウントとして使用していると思いますが、ローカル管理者のアカウント設定は、キッティング時に設定したアカウントをそのまま運用されているケースが少なくありません。
    これが大きなセキュリティリスクとなり得ます。
    ドメインの管理者アカウントは、ポリシーに則って管理することができますが、ローカルで管理する管理者アカウントは原則ツールを導入しないと維持管理していくことが困難で、一般的には野放しに近い状態になってしまいます。
    Microsoft のホームページにも「すべての Windows デバイスには、Pass-the-Hash (PtH) 攻撃と横方向トラバーサル攻撃を軽減するためにセキュリティで保護する必要がある、組み込みのローカル管理者アカウントが付属しています。」と記載があり、ローカル管理者のアカウントの保護の重要性がうかがえます。
  • Entra ID と Intune を使った Windows LAPS の設定手順

    今回は、Hybrid 構成ではなく、Entra ID Join環境のデバイスに対して、 Intune からWindows LAPS を設定する方法をご案内します。Hybrid 構成や Windows Server Active Directory環境での構成方法については、お問い合わせいただくか、弊社の営業担当にご連絡ください。

    ※以前は、 Microsoft LAPS で管理していたものが、 Windows LAPS で管理できるようになり、インストールなどの作業がなくなり、より簡単に管理できるようになりました。
    さらに、 Windows 11 23H2 以降では、 Microsoft LAPS が非推奨となり Microsoft LAPSでの運用が出来なくなっていますのでご注意ください。
  • LAPS の有効化

    • Microsoft Entra 管理センターを開きます。


    • 左ナビゲーションで、[ID] – [デバイス] – [すべてのデバイス] の順にクリックします。

      左ナビゲーションで、[ID] – [デバイス] – [すべてのデバイス] の順にクリックします。
    • [すべてのデバイス] ブレードが表示されたら、[デバイスの設定] をクリックします。

      [すべてのデバイス] ブレードが表示されたら、[デバイスの設定] をクリックします。
    • [デバイスの設定] が表示されたら、ローカル管理者設定セクションにある [Microsoft Entra Local Administrator Password Solution (LAPS) の有効化] を [はい] に変更し、[保存] をクリックします。

      [デバイスの設定] が表示されたら、ローカル管理者設定セクションにある [Microsoft Entra Local Administrator Password Solution (LAPS) の有効化] を [はい] に変更し、[保存] をクリックします。
  • Intune LAPS ポリシーの作成

    • Microsoft Intune 管理センターを開きます。


    • 左ナビゲーションの [エンドポイント セキュリティ] をクリックします。

      左ナビゲーションの [エンドポイント セキュリティ] をクリックします。
    • 概要ブレードが表示されたら、 [管理する] セクションの [アカウント保護] をクリックします。

      概要ブレードが表示されたら、 [管理する] セクションの [アカウント保護] をクリックします。
    • [アカウント保護] が表示されたら、 [ポリシーの作成] をクリックします。

      [アカウント保護] が表示されたら、 [ポリシーの作成] をクリックします。
    • [プロファイルの作成] が表示されたら、[プラットフォーム] を [Windows 10 以降] に設定し、[プロファイル] を [Local Administrator Password Solution ( Windows LAPS )] を選択して、[作成] をクリックします。

      [プロファイルの作成] が表示されたら、[プラットフォーム] を [Windows 10 以降] に設定し、[プロファイル] を [Local Administrator Password Solution ( Windows LAPS )] を選択して、[作成] をクリックします。
    • [基本] で、以下のプロパティを入力します。入力したら [次へ] をクリックします。
      ・名前:わかりやすい名前を入力します
      ・説明:プロファイルの説明を入力します(省略可能)

      [基本] で、名前と説明のプロパティを入力します。入力したら [次へ] をクリックします。
    • [構成設定] で、ローカル管理者アカウントのバックアップに使用するディレクトリの種類を定義するバックアップ ディレクトリの選択を構成します。なお、アカウントとパスワードをバックアップしないことも可能です。
      ディレクトリの種類によって、このポリシーで使用できる追加設定が決まります。ここでは、Hybrid 環境ではないので、以下の通り設定します。
      ・バックアップ ディレクトリ:パスワードを Azure AD のみにバックアップする
      ・パスワード有効期間日数:30日
      ・管理者のアカウント:LAPS_Admin
      ・パスワードの複雑さ:大文字 + 小文字 + 数字 + 特殊文字
      ・パスワードの長さ:14
      ・認証後のアクション:パスワードのリセット
      (猶予期間が過ぎると、マネージドアカウントのパスワードがリセットされます)
      ・認証後のリセット遅延:1
      ※注:管理者のアカウントは、対象デバイスに事前に作成しているものとします。

      [基本] で、名前と説明のプロパティを入力します。入力したら [次へ] をクリックします。
    • [スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] をクリックします。

      [スコープ タグ] ページで、適用するスコープ タグを選択し、[次へ] をクリックします。
    • [割り当て] で、このポリシーを適用するグループを選択し、[次へ] をクリックします。ここでは、[+ デバイスをすべて追加] を選択しています。
      ※重要:デバイス グループに LAPS ポリシーを割り当てることを推奨します。
      デバイスのユーザーが変更された場合、新しいポリシーがデバイスに適用され、デバイスがバックアップするアカウントや、マネージド アカウントのパスワードが次にローテーションされるタイミングなど、一貫性のない動作が発生する可能性があります。

      [割り当て] で、このポリシーを適用するグループを選択し、[次へ] をクリックします。ここでは、[+ デバイスをすべて追加] を選択しています。
    • [確認と作成] で設定を確認し、[作成] をクリックします。

      [確認と作成] で設定を確認し、[作成] をクリックします。
  • ポリシーの適用状況とパスワードの確認

    • 最初に、正しく展開されたか確認します。
      Intune 管理センターを開き、左ナビゲーションで、[エンドポイント セキュリティ] – [アカウントの保護] の順にクリックします。

      最初に、正しく展開されたか確認します。Intune 管理センターを開き、左ナビゲーションで、[エンドポイント セキュリティ] – [アカウントの保護] の順にクリックします。
    • ポリシー一覧が表示されているので、作成した Windows LAPS のポリシーを選択し、[作成] をクリックします。

      ポリシー一覧が表示されているので、作成した Windows LAPS のポリシーを選択し、[作成] をクリックします。
    • [デバイスとユーザーのチェックイン状態] が表示されているので、[レポートの表示] をクリックします。

      [デバイスとユーザーのチェックイン状態] が表示されているので、[レポートの表示] をクリックします。
    • 対象デバイスへの展開状況を確認できます。

      対象デバイスへの展開状況を確認できます。
    • 次に、個別のデバイスに生成されたパスワードを確認します。
      左ナビゲーションで、[デバイス] – [Windows] の順にクリックします。

      次に、個別のデバイスに生成されたパスワードを確認します。左ナビゲーションで、[デバイス] – [Windows] の順にクリックします。
    • Windows LAPS のパスワードを確認したい対象デバイスを選択します。

      Windows LAPS のパスワードを確認したい対象デバイスを選択します。
    • デバイスの概要が表示されるので、[ローカル管理者パスワード] をクリックします。

      デバイスの概要が表示されるので、[ローカル管理者パスワード] をクリックします。
    • ローカル管理者パスワードが表示されるので、[ローカル管理者パスワードの表示] をクリックします。[Show] ボタンをクリックすると、パスワードを確認できます。

      ローカル管理者パスワードが表示されるので、[ローカル管理者パスワードの表示] をクリックします。[Show] ボタンをクリックすると、パスワードを確認できます。
    • 最後に実際の挙動を確認します。ポリシーが展開されたデバイスを起動します。[スタート] ボタンを右クリックし、[ターミナル (管理者)] を選択します。

      最後に実際の挙動を確認します。ポリシーが展開されたデバイスを起動します。[スタート] ボタンを右クリックし、[ターミナル (管理者)] を選択します。
    • ユーザーアカウント制御 (UAC) が表示されたら、LAPS ポリシーを適用したローカル管理者アカウントと有効なパスワードを入力します。

      ユーザーアカウント制御 (UAC) が表示されたら、LAPS ポリシーを適用したローカル管理者アカウントと有効なパスワードを入力します。
    • 管理者モードで起動できたことを確認します。

      管理者モードで起動できたことを確認します。

手順は以上です。

パシフィックネットは、確かな技術力をもとに、お客様に合った最適な環境をご提案・構築いたします。
ご質問やご相談がございましたら、お気軽に当社までご相談ください。

執筆者:水口 博文


ご依頼・ご相談・お見積もりは担当営業部へ

PageTop

サイト内検索

※サイト内検索機能は、Google カスタム検索を利用しています。