Microsoft Entra ID と Microsoft Intune を利用したLAPS

渗透技巧 11个月前 admin
47 0 0

はじめに 起先

この記事は、NFLaboratories Advent Calendar 2023 – Adventar 1日目の記事です。
本文适用于 NFLaboratories Advent Calendar 2023 – Adventar Day 1。

こんにちは。研究開発部 システム&セキュリティ担当の豊田です。
你好。 我是丰田章男,负责研发部门的系统与安全。

先日、2023 年 10 月 23 日の時点で一般提供されたMicrosoft Entra ID と Microsoft Intune のサポートを備えた Windows LAPS(以下、LAPS)について紹介します。
最近,我们推出了支持 Microsoft Entra ID 和 Microsoft Intune 的 Windows LAPS (LAPS),该版本已于 2023 年 10 月 23 日正式发布。


どんな記事か 这是一篇什么样的文章?

LAPSとはLocal Administrator Password Solutionの略称です。
この記事では、Microsoft Entra ID と Microsoft Intune を利用したLAPSの基本的な操作と、確認した挙動について記載します。
本文介绍使用 Microsoft Entra ID 和 Microsoft Intune 的 LAPS 的基本操作,以及我们观察到的行为。

確認した挙動については少し単調な記載になっていますが、後述するLAPSポリシーの設定値上、確認するのに思ったより時間がかかったので見てくれたら嬉しいです。
我检查的行为有点单调,但由于后面描述的 LAPS 策略的设置值,检查它所花费的时间比我预期的要长,所以如果你能看一下,我会很高兴。

利用する上で気になりそうなポイントも確認したつもりなので、LAPSを利用しようか迷っている方の参考になれば幸いです。
我想检查一下您可能对使用 LAPS 感兴趣的要点,所以我希望它对那些想知道是否使用 LAPS 的人有所帮助。

この記事における前提 本文的假设

必要なライセンス 所需许可证

  • Microsoft Entra ID Free 以上
    Microsoft Entra ID 免费或更高版本
  • Microsoft Intune Plan 1 以上
    Microsoft Intune 计划 1 或更高版本

端末の条件 设备要求

  • Microsoft Entra joinまたはMicrosoft Entra hybrid join
    Microsoft Entra 加入或 Microsoft Entra 混合加入
  • 2023年4月以降の品質更新プログラムが適用された、以下OS
    以下操作系统从 2023 年 4 月起进行质量更新

 Windows 10、バージョン 22H2  Windows 10 版本 22H2
 Windows 10、バージョン 21H2  Windows 10 版本 21H2
 Windows 10、バージョン 20H2  Windows 10 版本 20H2
 Windows 11、バージョン 22H2  Windows 11 版本 22H2
 Windows 11、バージョン 21H2  Windows 11 版本 21H2

Microsoft Entra ID と Microsoft Intune を利用したLAPSでできること
可以使用具有 Microsoft Entra ID 和 Microsoft Intune 的 LAPS 执行哪些操作?

  • 後述するポリシーで指定したローカルアカウントに対して、ランダムで複雑なパスワードを設定できます
    您可以为下面描述的策略中指定的本地帐户设置随机且复杂的密码
  • 定期的に自動でパスワード変更を実行できます 您可以定期执行自动密码更改
  • パスワードを一時的に利用後、自動でパスワード変更を実行できます
    临时使用密码后,可以自动修改密码
  • Microsoft Entra 管理センター/Microsoft Intune管理センターからパスワード変更をプッシュできます
    可以从 Microsoft Entra 管理中心/Microsoft Intune 管理中心推送密码更改
  • Microsoft Entra 管理センター/Microsoft Intune管理センターでパスワードを確認できます
    可以在 Microsoft Entra 管理中心/Microsoft Intune 管理中心中找到密码
  • Microsoft Entra 管理センターでパスワード変更ログなどを確認できます
    您可以查看 Microsoft Entra 管理中心以获取密码更改日志等

管理センター上の設定 管理中心上的设置

LAPSの有効化とポリシー作成 启用 TRAVELERS 并创建策略

事前にLAPSの有効化と、LAPSの動作に関するポリシーを作成する必要があります。
您需要提前启用 LAPS 并创建 TRAVELERS 工作方式的策略。

LAPSの有効化 启用 RAPS

1. Microsoft Entra 管理センターにて、デバイス>すべてのデバイス>デバイスの設定>ローカル管理者設定 からLAPSを有効化します
1. 在 Microsoft Entra 管理中心中,从设备>所有设备启用 LAPS,>设备设置>本地管理员设置

Microsoft Entra ID と Microsoft Intune を利用したLAPS

LAPSのポリシー作成 为 APPS 创建策略

1. Microsoft Intune管理センターにて、エンドポイント セキュリティ>アカウント保護>ポリシー作成 からLAPSプロファイルを作成します
1. 在 Microsoft Intune 管理中心中,从“终结点安全”>“帐户保护”>“策略创建”创建 TRAVELERS 配置文件

Microsoft Entra ID と Microsoft Intune を利用したLAPS
2. 「基本」にて任意の名称を指定し、設定を進めます
2.在“基本”中指定任意名称并继续设置

3. 「構成設定」にて対象アカウントや、パスワードの条件などを指定し、設定を進めます。例えば以下のように設定します。
3. 在“配置设置”中指定目标帐户和密码条件,然后继续进行设置。 例如:

バックアップ ディレクトリ:パスワードを Azure AD のみにバックアップする
备份目录:仅将密码备份到 Azure AD

パスワード有効期間日数:オン(7)  密码期限:开启 (7)
管理者のアカウント名:構成されていません*1  管理员帐户名称:未配置 *1
パスワードの複雑さ:大文字+小文字+数字+特殊文字
密码复杂度:大写+小写字母+数字+特殊字符

パスワードの長さ:オン(16)  密码长度:开 (16)
認証後のアクション:パスワードのリセット:猶予期間が過ぎると、マネージド アカウントのパスワードがリセットされます
身份验证后操作: 重置密码:宽限期过后,客户帐号的密码将被重置

認証後のリセット遅延:オン(1)*2  认证后复位延迟:开 (1) *2

Microsoft Entra ID と Microsoft Intune を利用したLAPS
構成設定 构成设定

4. その他設定を進めて、作成を完了します*3 4. 继续进行其他设置以完成创建 *3

管理センター上の操作とログの確認 查看管理中心上的操作和日志

管理センター上のパスワード確認方法 如何在管理中心检查密码

LAPSポリシーで設定したバックアップディレクトリにバックアップされます。
它将备份到 LAPS 策略中设置的备份目录。

Microsoft Entra 管理センター/Microsoft Intune管理センターで以下のように確認できます。
可以在 Microsoft Entra 管理中心/Microsoft Intune 管理中心检查以下内容:

  • Microsoft Entra 管理センター>デバイス>すべてのデバイス>ローカル管理者パスワードの回復
    Microsoft Entra 管理中心>恢复所有设备>设备>本地管理员密码
  • Microsoft Intune管理センター>デバイス>対象のデバイス>ローカル管理者パスワード
    设备的本地管理员密码 >设备> > Microsoft Intune 管理中心

Microsoft Entra ID と Microsoft Intune を利用したLAPS

管理センターからパスワードローテーションの手動実行
从管理中心手动执行密码轮换

Microsoft Entra 管理センター/Microsoft Intune管理センターでは以下のようにパスワードローテーションを手動実行できます。
在 Microsoft Entra 管理中心/Microsoft Intune 管理中心中,可以按如下方式执行手动密码轮换:

管理センターから実行後、PCの再起動後にパスワード変更が実施され、管理センターにバックアップされます。
从管理中心运行后,将在电脑重启后执行密码更改,并将其备份到管理中心。

  • デバイス>対象のデバイス>ローカル管理者パスワードのローテーション
    将本地管理员密码轮换>设备>设备

Microsoft Entra ID と Microsoft Intune を利用したLAPS

管理センター上のログの確認 查看管理中心上的日志

Microsoft Entra 管理センターで確認ができます。
您可以在 Microsoft Entra 管理中心找到它。

  • Microsoft Entra 管理センター>デバイス>監査ログ
    Entra 管理中心> Microsoft设备>审核日志

Microsoft Entra ID と Microsoft Intune を利用したLAPS
Recover device local administrator password:管理センター上でパスワードが確認されたことを表すログです
恢复设备本地管理员密码:这是一个日志,显示密码已在管理中心进行验证

Update device local administrator password:パスワードのローテーションが実行されたことを表すログです
更新设备本地管理员密码:这是显示已执行密码轮换的日志

PC上のログの確認 检查PC上的日志

イベントビューアーで確認ができます。管理センターで見るよりも詳細で、LAPSがどう動作しているのか面白いです。
您可以在事件查看器中检查它。 它比你在管理中心看到的更详细,了解 LAPS 的工作原理很有趣。

  • アプリケーションとサービスログ>Microsoft>Windows>LAPS>Operational
    应用程序和服务日志 >Microsoft>Windows>LAPS>操作

Microsoft Entra ID と Microsoft Intune を利用したLAPS

確認した挙動の紹介 引入确认行为

パスワード認証後のアクション 密码身份验证后的操作

パスワード認証後のアクションはポリシー作成時に以下の3つから1つ選択します。
对于密码身份验证后的操作,请在创建策略时选择以下三个操作之一。

  1. パスワードのリセット 重置密码
  2. パスワードをリセットし、マネージドアカウントをログオフします
    重置密码并注销客户帐号
  3. パスワードをリセットして再起動する 重置密码并重新启动

時間ピッタリに実行されるのか、強制的に実行されるのかなど挙動が気になったので、3つそれぞれ以下のケースでどのような挙動になるか確認してみました。
我担心这种行为,例如它是在正确的时间执行还是被强制执行,所以我检查了它在以下三种情况下的行为。

  • User権限のアカウントでWindowsログインした状態で、LAPSでパスワード管理しているアカウントの情報を使ってコマンドプロンプトを管理者として実行
    使用具有用户权限的帐户登录 Windows 时,使用使用 LAPS 管理密码的帐户的信息以管理员身份执行命令提示符。
  • LAPSでパスワード管理しているアカウントでWindowsログイン
    使用由 LAPS 管理密码的帐户登录 Windows。
パスワードのリセット 重置密码

以下のポリシーで実施しました。 我们实施了以下政策:
Microsoft Entra ID と Microsoft Intune を利用したLAPS

User権限のアカウントでWindowsログインした状態で、LAPSでパスワード管理しているアカウントの情報を使ってコマンドプロンプトを管理者として実行
使用具有用户权限的帐户登录 Windows 时,使用使用 LAPS 管理密码的帐户的信息以管理员身份执行命令提示符。

  • LAPSでパスワード管理しているアカウントの情報を使ってコマンドプロンプトを管理者として実行したタイミングで、認証後アクションを実行するようにタスクがスケジュールされます
    当您以管理员身份使用由 LAPS 管理的密码帐户的信息运行命令提示符时,任务将计划为执行身份验证后操作

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 1時間後、認証後アクションが完了しました 1 小时后,身份验证后操作完成

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 確かに認証後アクションが完了したタイミングで、パスワードが変更されています
    确实,在完成身份验证后操作时,密码已更改

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • しかしながら、1時間経過後もコマンドプロンプトを閉じなければ、管理者権限が必要なコマンドは実行できる状態でした。ただし、閉じてしまえば再度コマンドプロンプトを管理者として実行はできません
    但是,如果在一小时后未关闭命令提示符,则可以执行需要管理员权限的命令。 但是,如果关闭它,您将无法以管理员身份再次运行命令提示符

Microsoft Entra ID と Microsoft Intune を利用したLAPS

LAPSでパスワード管理しているアカウントでWindowsログイン
使用由 LAPS 管理密码的帐户登录 Windows。

  • Windowsログインしたタイミングで、認証後アクションを実行するようにタスクがスケジュールされます
    当您登录到 Windows 时,将计划一个任务来执行身份验证后操作

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 1時間後、認証後アクションが完了しました 1 小时后,身份验证后操作完成

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 確かに認証後アクションが完了したタイミングで、パスワードが変更されています
    确实,在完成身份验证后操作时,密码已更改

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • しかしながら、1時間経過後も管理者権限が必要なコマンドは実行できる状態で、ロックやサインアウトしなければ管理者としてWindows操作を継続できる状態でした
    但是,即使一小时过去了,仍可以执行需要管理员权限的命令,并且如果 Windows 操作未锁定或注销,则可以以管理员身份继续执行

Microsoft Entra ID と Microsoft Intune を利用したLAPS

パスワードをリセットし、マネージドアカウントをログオフします
重置密码并注销客户帐号

以下のポリシーで実施しました。 我们实施了以下政策:
Microsoft Entra ID と Microsoft Intune を利用したLAPS

User権限のアカウントでWindowsログインした状態で、LAPSでパスワード管理しているアカウントの情報を使ってコマンドプロンプトを管理者として実行
使用具有用户权限的帐户登录 Windows 时,使用使用 LAPS 管理密码的帐户的信息以管理员身份执行命令提示符。

  • LAPSでパスワード管理しているアカウントの情報を使ってコマンドプロンプトを管理者として実行したタイミングで、認証後アクションを実行するようにタスクがスケジュールされます
    当您以管理员身份使用由 LAPS 管理的密码帐户的信息运行命令提示符时,任务将计划为执行身份验证后操作

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 1時間後、認証後アクションが完了しました。User権限のアカウントでWindowsログインした状態でしたが、サインアウトされませんでした。
    1 小时后,身份验证后操作完成。 我使用具有用户权限的帐户登录到 Windows,但未注销。

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 確かに認証後アクションが完了したタイミングで、パスワードは変更されています
    确实,在身份验证后操作完成时,密码已更改

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • しかしながら、1時間経過後もコマンドプロンプトを閉じなければ、管理者権限が必要なコマンドは実行できる状態でした。ただし、閉じてしまえば再度コマンドプロンプトを管理者として実行はできません
    但是,如果在一小时后未关闭命令提示符,则可以执行需要管理员权限的命令。 但是,如果关闭它,您将无法以管理员身份再次运行命令提示符

Microsoft Entra ID と Microsoft Intune を利用したLAPS

LAPSでパスワード管理しているアカウントでWindowsログイン
使用由 LAPS 管理密码的帐户登录 Windows。

  • Windowsログインしたタイミングで、認証後アクションを実行するようにタスクがスケジュールされます
    当您登录到 Windows 时,将计划一个任务来执行身份验证后操作

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 1時間後、画面上にログオフに関するポップアップが表示されました。キャンセルするような選択肢やログオフまでの時間を変更する選択肢はありませんでした。ポップアップを閉じると、表示の時間内であれば操作できましたので、そのうちに保存などをする時間は短いですがあります。
    一个小时后,屏幕上出现了一个关于注销的弹出窗口。 没有取消或更改注销前时间的选项。 当我关闭弹出窗口时,我能够在显示时间内操作它,因此在此期间有很短的时间可以保存它。

Microsoft Entra ID と Microsoft Intune を利用したLAPS
Microsoft Entra ID と Microsoft Intune を利用したLAPS

パスワードをリセットして再起動する 重置密码并重新启动

以下のポリシーで実施しました。 我们实施了以下政策:
Microsoft Entra ID と Microsoft Intune を利用したLAPS

User権限のアカウントでWindowsログインした状態で、LAPSでパスワード管理しているアカウントの情報を使ってコマンドプロンプトを管理者として実行
使用具有用户权限的帐户登录 Windows 时,使用使用 LAPS 管理密码的帐户的信息以管理员身份执行命令提示符。

  • LAPSでパスワード管理しているアカウントの情報を使ってコマンドプロンプトを管理者として実行したタイミングで、認証後アクションを実行するようにタスクがスケジュールされます
    当您以管理员身份使用由 LAPS 管理的密码帐户的信息运行命令提示符时,任务将计划为执行身份验证后操作

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 1時間後、画面上にシャットダウンに関するポップアップが表示されました。キャンセルするような選択肢やシャットダウンまでの時間を変更する選択肢はありませんでした。ポップアップを閉じると、表示の時間内であれば操作できましたので、そのうちに保存などをする時間は短いですがあります。
    1小时后,屏幕上出现一个关于关机的弹出窗口。 没有取消或更改关机前时间的选项。 当我关闭弹出窗口时,我能够在显示时间内操作它,因此在此期间有很短的时间可以保存它。

Microsoft Entra ID と Microsoft Intune を利用したLAPS
Microsoft Entra ID と Microsoft Intune を利用したLAPS

LAPSでパスワード管理しているアカウントでWindowsログイン
使用由 LAPS 管理密码的帐户登录 Windows。

こちらも1時間後、画面上にシャットダウンに関するポップアップが表示される挙動でした。
这也是一种行为,即一小时后屏幕上显示有关关机的弹出窗口。

パスワード認証後のアクション実行日時にWindowsPCが電源オフかつ、オフラインだとどのような挙動になるか
当 Windows 电脑在密码身份验证后操作执行的日期和时间关闭并脱机时会发生什么情况

パスワード認証後のアクションは1-24時間後に実行されます。
密码后身份验证操作在 1-24 小时后执行。

実行日時に電源オフかつ、オフラインだと失敗して終わり。だと困ります。疑似的にその状況を作って試してみました。
如果在执行日期和时间关闭电源,如果处于离线状态,它将失败并结束。 如果是这样的话,我就有麻烦了。 我创造了一个伪情境并尝试了一下。

以下のポリシーで実施しました。  我们实施了以下政策:
Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 管理センターで前回のパスワードローテーション日時を確認しておきます
    检查管理中心上次密码轮换日期和时间

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • パスワード認証後、認証後アクションを実行するようにタスクがスケジュールされます。1時間後に、アクションが実行されるのでWindowsPCを電源オフかつ、オフラインにします
    密码身份验证后,将计划任务执行身份验证后操作。 1 小时后,关闭 Windows PC 并在执行操作时将其脱机

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 1時間経過後にWindowsPCを起動します。オフラインの状態です。認証後のアクションが実行されていますが、エラーがでていることがわかります
    1 小时后启动 Windows PC。 您处于离线状态。 您可以看到正在执行身份验证后操作,但正在发生错误

Microsoft Entra ID と Microsoft Intune を利用したLAPS
Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • パスワードリセットは実行されませんでした 未执行密码重置

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 確かに、前回のパスワードローテーション日時から変化ありません。管理センター上も当然変化なしです。
    当然,与上次密码轮换日期和时间相比没有变化。 当然,管理中心没有变化。

Microsoft Entra ID と Microsoft Intune を利用したLAPS
Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • WindowsPCをオンライン状態にします。前回の認証後のアクション実行後、30分後に再度認証後のアクションが実行されました。
    让您的 Windows PC 联机。 执行最后一个身份验证后操作后,30 分钟后再次执行身份验证后操作。

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • 確かに、管理センター上でパスワードローテーション日時が更新されています。実行日時に電源オフかつ、オフラインだったとしても再試行されて実行されることがわかりました。
    事实上,密码轮换日期和时间已在管理中心更新。 发现,即使在执行日期和时间关闭电源并离线,也会重试并执行。

Microsoft Entra ID と Microsoft Intune を利用したLAPS

対象アカウントが無効でもパスワードは変更されるのか
即使目标帐户被禁用,密码也会更改吗?

対象アカウントが有効化されてからLAPSポリシーがあたるのでは、タイムラグがあってセキュリティ的にも緊急時のヘルプデスク対応的にも困りそうです。
如果在激活目标帐户后应用 RAPS 策略,则会存在时间滞后,并且在安全和紧急帮助台支持方面将很困难。

対象アカウントが無効の状態で、パスワードローテーションの手動実行を試してみました。
禁用目标帐户后,我尝试执行手动密码轮换。

以下のポリシーで実施しました。  我们实施了以下政策:
Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • パスワード変更前 更改密码之前

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • パスワードローテーションの手動実行 手动执行密码轮换

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • パスワード変更ログ 密码更改日志

Microsoft Entra ID と Microsoft Intune を利用したLAPS

  • パスワード変更後。対象アカウントが無効でもパスワードは変更されました。
    更改密码后。 即使帐户被禁用,密码也已更改。

Microsoft Entra ID と Microsoft Intune を利用したLAPS

パスワード認証後、認証後のアクションの実行日時までの間に、再度パスワード認証をするとどうなるか
如果在密码身份验证后执行身份验证后操作的日期和时间之间再次对密码进行身份验证,会发生什么情况?

パスワード認証後の、認証後アクションの実行日時が都度更新されていくと困ります。
如果每次都更新密码身份验证后执行身份验证后操作的日期和时间,这将是一个问题。

こちらは、再度のパスワード認証を契機とした、認証後アクションを実行するタスクはスケジュールされませんでした。
在这种情况下,未计划执行由密码重新身份验证触发的身份验证后操作的任务。

最後に 最后

今回は、LAPSの基本的な使い方と、確認した挙動について記載しました。
在本文中,我们描述了 RAPS 的基本用法以及我们已确认的行为。

利用するのか、しないのか、利用するならどう利用するのかは環境によりけりだと思いますが、
是否使用它,如果是,如何使用它取决于环境。

例えば、以下のようなケースにおいて、LAPSを利用することはセキュリティの向上に寄与すると思います。
例如,在以下情况下,使用 RAPS 将有助于提高安全性。

  • 何かしらの理由で既定の Administrator アカウントを有効にしてPCを運用している
    由于某种原因,默认管理员帐户已启用,并且 PC 已运行
  • 何かしらの理由でエンドユーザーに管理者権限を付与しており、既定の Administrator アカウントを有効化できる
    出于某种原因,您已向最终用户授予管理员权限,并且可以启用默认管理员帐户。

既定の Administrator アカウントは、良く知られた名前であり、PCにデフォルトで存在します。攻撃者が権限を昇格させる際、狙われやすいアカウントです。*4
默认管理员帐户是一个众所周知的名称,默认情况下存在于您的 PC 上。 攻击者很容易将其权限升级为目标。 *4

管理者アカウント セキュリティ計画ガイド – 第 3 章 | Microsoft Learnにおいても
管理员帐户安全规划指南 – 第 3 章 | 同样在 Microsoft Learn 中

以下の記載があるように、攻撃面を少なくするために、既定の Administrator アカウントは無効であることが望ましいです。
如下所述,最好禁用默认管理员帐户以减少攻击面。

ビルトイン Administrator アカウントへの攻撃に対する最善の防御策は、新しい管理者アカウントを作成し、ビルトイン アカウントは無効にすることです。
防止对内置管理员帐户的攻击的最佳方法是创建新的管理员帐户并禁用内置帐户。

無効にすることが望ましいですが、上記ケースのように既定の Administrator アカウントが有効化または有効化できる状態において、LAPSを使用することはパスワードを強固にするという点で
尽管希望禁用它,但在可以启用或启用默认管理员帐户的状态下,如上例所示,使用 LAPS 是

セキュリティの向上を期待できるのではないでしょうか。*5
难道你不期望安全性的提高吗? *5

*1:管理者のアカウント名の項目を省略すると既定の Administrator アカウントが対象となります。既定の Administrator アカウント以外に、特定のアカウントを対象にできますが、対象PCにそのアカウントが存在する必要があります。アカウントの作成は実行されません。
*1:如果省略管理员帐户名称项,则将定位默认管理员帐户。 除了默认管理员帐户之外,还可以以特定帐户为目标,但该帐户必须存在于目标电脑上。 它不会创建帐户。

*2:ここで指定した時間(1-24)が経過すると、認証後のアクションで指定したアクションが実行されます
*2:当此处指定的时间(1-24)过去后,将执行认证后操作中指定的操作。

*3:割り当てについてはデバイスグループが推奨されています。ユーザー グループの割り当てもサポートされていますが、デバイスのユーザーが変更されると、新しいポリシーがデバイスに適用され、デバイスがバックアップするアカウントや、パスワードが次にローテーションされるタイミングなど、一貫性のない動作が発生する可能性があります。
*3:建议将设备组用于分配。 还支持用户组分配,但如果设备的用户发生更改,则新策略将应用于设备,这可能会导致行为不一致,例如设备备份的帐户以及下次轮换密码的时间。

*4:PCの新規インストールの場合、Out of Box Experience (OOBE) の指示に従いユーザアカウントを作成すると自動的に既定の Administrator アカウントは無効になります。 ビルトイン アカウントの Administrator を有効または無効にする | Microsoft Learn
*4:在新安装电脑的情况下,当您根据开箱即用体验 (OOBE) 中的说明创建用户帐户时,将自动禁用默认管理员帐户。 为内置帐户启用或禁用管理员 | Microsoft 学习

*5:今回は既定の Administrator アカウントを対象としていますが、ポリシーで指定することで任意で特定のアカウントを対象とすることもできます。
*5:在这种情况下,默认管理员帐户是目标,但您可以选择通过在策略中指定特定帐户来定位该帐户。

原文始发于NFLabs:Microsoft Entra ID と Microsoft Intune を利用したLAPS

版权声明:admin 发表于 2023年12月12日 上午11:01。
转载请注明:Microsoft Entra ID と Microsoft Intune を利用したLAPS | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...