circle-info
この記事は自動的に翻訳されています。翻訳には不正確な表現が含まれる場合があります。
英語の原文はこちらをご覧ください。chevron-right
search

ローカル管理者パスワード管理

hashtag
概要

ローカル管理者パスワードソリューション(LAPS)は、サポートや緊急時にすべてのWindowsコンピューターで同一の管理者資格情報を使用する問題を解決します。LAPS自体は、ローカル管理者アカウントのランダムに生成されたパスワードを作成します。

RealmJoin を使用すると、ローカルサポートや大規模なリモートサポートのために、安全で個別化された管理アカウントを管理することが可能です。RealmJoin は顧客のテナント内の Azure Key Vault に暗号化されたパスワードを保存し、これらの資格情報へのすべてのアクセスの監査ログを記録します。

RealmJoin の API により、テナント内の特定のデバイスに対して「サポートアカウント」(ローカル管理者)を要求することができます。詳細は RealmJoin の Swagger 説明arrow-up-right で、どの操作が現在サポートされているかを詳細に確認してください。RealmJoin と LAPS を併用するには、RealmJoin Windows クライアントの展開が必要です。

環境に LAPS を正しく設定し、デバイスに RealmJoin Windows クライアントを展開していることを前提とします。また、必ず 認証 適切な HTTP Authorization ヘッダーを使用して、RealmJoin の API に対するすべてのリクエストを認証してください。

hashtag
サポートアカウントの要求

ターゲットデバイス上にローカルのサポートアカウントを作成するよう RealmJoin に指示するには、エンドポイントを使用します /laps/request。リクエストは Application Insights を使用してキューに入れられ、RealmJoin バックエンドおよび RealmJoin Windows クライアントによってできるだけ早く処理されます。アカウントが作成/使用可能になったときに。

エンドポイントは、アカウント作成にかかる推定時間を返します。アカウントが準備できたら、資格情報を照会する方法については こちら を参照してください。

hashtag

次のような状況を仮定します:

  • RealmJoin の API 資格情報を取得し、それを dC0xMjM0MTIzNDpteVMzY3JldCE= にエンコードしました(Base64)

  • ターゲットデバイスの Entra deviceId9999dab9-f946-40ee-9a17-2500c8d00878。これは Entra のオブジェクト id(別の属性)ではないことに注意してください!

現時点でターゲットデバイスにはサポートアカウントは存在しません。

ローカルアカウント - サポートアカウント要求前

では、次を構築してみましょう リクエスト:

ヘッダー:

リクエスト / URI:

このエンドポイントはリクエストボディを期待しません。

レスポンス

HTTP ステータス: 200 (OK)

ボディ(JSON 表記):

レスポンスには、RealmJoin Windows クライアントがローカルのサポートアカウントを作成するまでのおおよその時間が含まれます。この例では少なくとも12分待つことを想定してください。クライアントが長時間見つかっていない場合は、数値の代わりに null という推定値が返されることがあります。

RealmJoin Windows クライアントはデフォルトで30分ごとにジョブをポーリングします。API が示す概算は、Windows クライアントが最後にチェックインした時刻に基づいています。

hashtag
サポートアカウント資格情報の取得

エンドポイント /laps/retrieve は、サポートアカウントが既に作成されているかどうかを照会し、サポートアカウントの実際の資格情報を取得するために使用されます。

同じ deviceId を照会してみましょう 9999dab9-f946-40ee-9a17-2500c8d00878 例と同じ 上記.

この例では、RealmJoin Windows クライアントによってターゲットデバイス上にサポートアカウント(表示名: "Local Support Admin Account")が作成されています:

ローカルアカウント - サポートアカウントが正常に作成されました

リクエスト

ヘッダー:

リクエスト / URI:

このエンドポイントはリクエストボディを期待しません。

レスポンス

資格情報がまだ利用可能でない場合、エンドポイントは HTTP ステータス: 404 (Not Found)とボディにいくつかの技術的詳細を返します:

ボディ(JSON)

資格情報が準備できるまで繰り返し照会できます。

資格情報が準備できている場合、エンドポイントは HTTP ステータス: 200 (OK)と資格情報を返します:

ボディ(JSON)

これらの資格情報を使用して、たとえば AnyDesk Supporter クライアントを使用してユーザーにサポートを提供することができます。

ご覧のとおり、デフォルトではサポートアカウントには有効期限があり、有効期限後にアクセスが必要な場合は再作成する必要があります。これは、高権限の資格情報が日常業務からずっと残存しないようにするためです。

最終更新

役に立ちましたか?