Microsoft Entra ID を使用した Windows ローカル管理者パスワードソリューションの一般提供を開始しました!

Published: / Last update: / Contributors:
feedback 共有

こんにちは、Azure Identity サポート チームの 名取 です。

本記事は、2023 年 10 月 23 日に米国の Azure Active Directory Identity Blog で公開された Solution with Microsoft Entra ID now Generally Available! を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。

本日、Microsoft Entra ID と Microsoft Intune を使用した Windows Local Administrator Password Solution (LAPS) の一般提供を発表できることを嬉しく思います。この機能は、Microsoft Entra 参加済みデバイスと Microsoft Entra ハイブリッド参加済みデバイスの両方で使用できます。これにより、すべての組織が Windows 上のローカル管理者アカウントを保護してセキュリティを確保し、Pass-the-Hash(PtH) およびラテラル トラバーサル型の攻撃を軽減できるようになります。

2023 年 4 月のパブリック プレビューの発表以来、数千のお客様と数百万のデバイスで Windows LAPS の展開と利用が大幅に進んでいることに、感謝申し上げたいと思います。

この機能は、2023 年 4 月 11 日以降の Windows Update がインストールされた以下の Windows OS プラットフォームで利用可能です:

  • Windows 11 22H2
  • Windows 11 21H2
  • Windows 10 20H2, 21H2 and 22H2
  • Windows Server 2022
  • Windows Server 2019

Windows LAPS のクライアント側設定を管理するには以下を使用します:

お客様からのフィードバックに基づいて、さらに多くの機能のサポートを追加しています。現在は以下のようなことが可能です:

  • Windows LAPS を有効にする には、テナント全体のポリシーとクライアント側のポリシーを使用します。これによりローカル管理者パスワードが Microsoft Entra ID にバックアップされます。
  • クライアント ポリシーを構成する には Microsoft Intune ポータルを使用し、ローカル管理者のパスワード管理用にアカウント名、パスワードの有効期限、長さ、複雑さ、パスワードの手動リセットなどを設定できます。
  • パスワードを回復する 際は、Microsoft Entra/Microsoft Intune ポータルまたは Microsoft Graph API/PSH を利用できます。
  • すべての LAPS 対応デバイスを列挙する には、Microsoft Entra ポータルまたは Microsoft Graph API/PSH を利用できます。
  • Microsoft Entra ID のロールベースのアクセス制御 (RBAC) ポリシーを作成する ことで、カスタム ロールと管理単位を使用してパスワード回復の権限を付与できます。
  • 監査ログを確認する ことで、Microsoft Entra ポータルまたは Microsoft Graph API/PSH 経由で、パスワードの更新および取得イベントを監視できます。
  • 条件付きアクセス ポリシーを構成する ことでパスワード回復の権限を持つディレクトリ ロールを保護できます。

今後提供予定の (ロードマップにある) 機能:

  • Windows LAPS が設定された場合にローカル管理者アカウントを自動作成。
  • ローカル管理者パスワードが認証に使用された場合にデバイスが Microsoft Entra ID に通知。
  • デバイス所有者が自身で (セルフサービスで) ローカル管理者パスワードを必要な時間だけ回復。

いつものように、皆様からのフィードバック、ご意見、ご提案をお待ちしております! Microsoft Entra ID フォーラムでぜひ共有ください。皆様のご意見をお待ちしております。

Sandeep Deo (@MsftSandeep)
Principal Product Manager
Microsoft Identity Division

※本情報の内容(添付文書、リンク先などを含む)は、作成日時点でのものであり、予告なく変更される場合があります。