ローカル管理者パスワード管理

概要

Local Administrator Password Solution (LAPS) は、サポートおよび緊急時の目的で、すべての Windows コンピューターで同一の管理者資格情報を使用する問題を解決します。LAPS 単体では、ローカル管理者アカウント用のランダム生成パスワードを作成します。

RealmJoin を使用すると、ローカルサポート用または大規模なリモートサポート用に、安全で個別化された管理者アカウントを管理できます。RealmJoin は、顧客の Tenant 内の Azure Key Vault に暗号化されたパスワードを保存し、これらの資格情報へのすべてのアクセスの監査ログを保持します。

RealmJoin の API を使用すると、Tenant 内の特定のデバイスに対して「Support Account」（ローカル管理者）を要求できます。詳細については、 RealmJoin の Swagger 説明で、現在どの操作がサポートされているかを確認してください。RealmJoin で LAPS を使用するには、RealmJoin Windows Client を展開する必要があります。

LAPS が環境に正しくセットアップされ、デバイスに RealmJoin Windows Client が展開されていることを前提としています。また、次のことを確認してください。認証する適切な HTTP Authorization ヘッダーを使用して、RealmJoin の API に対するすべてのリクエストを。

Support Account の要求

エンドポイントを使用して、対象デバイス上にローカル Support Account を作成するよう RealmJoin に指示します。 /laps/request。このリクエストは Application insights を使用してキューに入れられ、できるだけ早く RealmJoin Backend と RealmJoin Windows Client によって処理されます。アカウントが作成され/使用可能になったとき。

このエンドポイントは、アカウント作成にかかるおおよその時間を返します。アカウントの準備ができたら、ここで資格情報の取得方法を確認してください。

例

次の状況を想定しましょう。

RealmJoin の API 資格情報を持っており、それを次のようにエンコードしました dC0xMjM0MTIzNDpteVMzY3JldCE= (Base64)
対象デバイスの Entra deviceId RealmJoin 経由では 9999dab9-f946-40ee-9a17-2500c8d00878。これは Entra の object id ではないことに注意してください（別の属性です）！

現在、対象デバイスには Support Account が存在しません。

次を作成してみましょう。要求:

ヘッダー:

Authorization: Basic dC0xMjM0MTIzNDpteVMzY3JldCE=
Content-Type: application/json

リクエスト / URI:

POST https://customer-api.realmjoin.com/laps/request?deviceID=9999dab9-f946-40ee-9a17-2500c8d00878

このエンドポイントはリクエストボディを期待しません。

レスポンス

HTTP ステータス: 200 (OK)

ボディ（JSON表記）:

{
    "estimatedWaitTime": "00:12:31.8215813"
}

レスポンスには、RealmJoin Windows Client がローカル Support Account を作成するまでのおおよその時間が含まれます。この例では、少なくとも 12 分は待つことを想定してください。クライアントが長い間見つかっていない場合は、数値の代わりに null が推定値として返されることがあります。

RealmJoin Windows Client は、デフォルトで 30 分ごとにジョブをポーリングします。API が提供する概算は、Windows Client が最後にチェックインした時刻に基づいています。

Support Account 資格情報の取得

エンドポイント /laps/retrieve は、Support Account がすでに作成されているかどうかを問い合わせるため、および Support Account の実際の資格情報を取得するために使用されます。

同じ deviceId を問い合わせてみましょう。 9999dab9-f946-40ee-9a17-2500c8d00878 の例上記.

私たちの例では、RealmJoin Windows Client によって対象デバイス上に Support Account（フルネーム: "Local Support Admin Account"）が作成されています。

リクエスト

ヘッダー:

Authorization: Basic dC0xMjM0MTIzNDpteVMzY3JldCE=
Content-Type: application/json

リクエスト / URI:

POST https://customer-api.realmjoin.com/laps/retrieve?deviceID=9999dab9-f946-40ee-9a17-2500c8d00878

このエンドポイントはリクエストボディを期待しません。

レスポンス

資格情報がまだ利用できない場合、このエンドポイントは HTTP ステータスを返します: 404 (Not Found) と、本文内のいくつかの技術的詳細:

本文 (JSON)

{
    "type": "https://tools.ietf.org/html/rfc7231#section-6.5.4",
    "title": "Not Found",
    "status": 404,
    "traceId": "00-4c56c3cb0f9b394abf934b107b148613-1234b2497e261649-00"
}

資格情報が準備できるまで、引き続き問い合わせることができます。

資格情報が準備できている場合、このエンドポイントは HTTP ステータスを返します: 200 (OK) と資格情報:

本文 (JSON)

{
    "password": "Upji1234",
    "username": "ADM-5A2F2169",
    "accountExpirationDate": "2021-12-21T02:14:07+00:00"
}

これらの資格情報を使用して、たとえば AnyDesk Supporter Client 経由で接続することで、ユーザーにサポートを提供できます。

ご覧のとおり、デフォルトでは Support Account の有効期間は限られており、有効期限後にアクセスが必要な場合は再作成する必要があります。これは、高権限の資格情報が日々の運用作業の間ずっと残り続けないようにするためです。

最終更新 1 年前

役に立ちましたか？