Windows LAPS を利用して、 Intune を通じてローカル管理者アカウントのパスワードを安全に管理・保護する方法
企業のIT環境を安全に保つためには、ローカル管理者アカウントの適切な管理が不可欠です。特に、 Windows 環境ではセキュリティリスクが高まっており、効果的な対策が求められています。この記事では、 Windows の新しいローカル管理者パスワードソリューション( Windows LAPS )を Microsoft Intune を通じて導入し、企業のセキュリティを強化する方法を解説します。これにより、管理者アカウントのセキュリティ管理がより簡単かつ確実になります。
Windows ローカル管理者パスワード ソリューション ( Windows LAPS ) は、ローカル管理者アカウントのパスワードを自動的に管理し、バックアップする Windows の機能です。2023年4月11日の更新プログラム以降、 Windows に組み込まれ、さらに2023年10月23日からは Microsoft Entra ID と Microsoft Intune を利用して設定できるようになりました。
Windows LAPS とは
以前は、「 Microsoft LAPS 」 という名称で提供され、 Microsoft のダウンロード センターから別途入手してADおよびクライアントでインストールする必要がありました。
しかし、現在では Windows に標準機能として組み込まれ、より簡単に利用できるようになっています。
ローカル管理者アカウントのリスク
Windows Server Active Directory 環境を利用している組織では、ドメインの管理者アカウントをデバイスの管理者アカウントとして使用していると思いますが、ローカル管理者のアカウント設定は、キッティング時に設定したアカウントをそのまま運用されているケースが少なくありません。
これが大きなセキュリティリスクとなり得ます。
ドメインの管理者アカウントは、ポリシーに則って管理することができますが、ローカルで管理する管理者アカウントは原則ツールを導入しないと維持管理していくことが困難で、一般的には野放しに近い状態になってしまいます。
Microsoft のホームページにも「すべての Windows デバイスには、Pass-the-Hash (PtH) 攻撃と横方向トラバーサル攻撃を軽減するためにセキュリティで保護する必要がある、組み込みのローカル管理者アカウントが付属しています。」と記載があり、ローカル管理者のアカウントの保護の重要性がうかがえます。
Entra ID と Intune を使った Windows LAPS の設定手順
今回は、Hybrid 構成ではなく、Entra ID Join環境のデバイスに対して、 Intune からWindows LAPS を設定する方法をご案内します。Hybrid 構成や Windows Server Active Directory環境での構成方法については、お問い合わせいただくか、弊社の営業担当にご連絡ください。
※以前は、 Microsoft LAPS で管理していたものが、 Windows LAPS で管理できるようになり、インストールなどの作業がなくなり、より簡単に管理できるようになりました。
さらに、 Windows 11 23H2 以降では、 Microsoft LAPS が非推奨となり Microsoft LAPSでの運用が出来なくなっていますのでご注意ください。