Local Admin Password Solution (LAPS)

ローカル管理者パスワード ソリューション（LAPS）は、ユーザー サポートや権限昇格のために環境内で同一のアカウントを使用する問題を解決するために作られました。LAPS はローカル アカウント用の強力なパスワードを生成し、それらは安全に あなた自身の Azure Key Vaultに保存されます。監査のために、 Application Insights インスタンスまたは Log Analytics Workspace.

前提条件

LAPS を開始する前に、次の前提条件を満たす必要があります:

• セットアップする Application Insights または Log Analytics Workspace

• グループ（またはユーザー）の設定を使用して LAPS アカウント種別を明示的に有効にする

以下でその両方を見ていきます。

ログ記録

LAPS を使用する際、Application Insights と Log Analytics は重要な役割を果たします。LAPS によって発生したパスワード要求は RealmJoin によってログに記録され、設定された Application Insights インスタンスまたは Log Analytics Workspace に送られます。これにより、誰がパスワードを取得しているのかを完全に把握できます。

必要なログ形式は 1 つだけです。Application Insights か Log Analytics のどちらかを選択してください。LAPS の設定時にログ記録は任意であり、組織でこの情報が不要であれば省略できます。

詳細は、弊社の Application Insights および Log Analytics 記事をご覧ください。

グループ設定

LAPS は以下のグローバル設定をサポートしています。

以下のアカウント種別がサポートされています。

各アカウント種別は、以下の共通設定を使用して個別に構成できます。一部の種別には、それぞれのセクションで説明される特別な設定があります。

パスワード 生成

既定では、設定に基づいて完全にランダムなパスワードが生成されます PasswordCharSet および PasswordLength。既定の文字セットは、次のような見た目が似ている文字を除外するよう選択されています I1l および O0。生成には Windows の暗号学的乱数生成器が使用され、高品質なランダム性が提供されます。

完全にランダムなパスワードは扱いにくいことがあるため、特殊なプリセット テンプレートもサポートされています。

• プリセット 1 ⇒ [1 upper][3 lower][4 digit]

  • Tuci9325

  • Lnso5050

  • Khwn2174

• プリセット 2 ⇒ Key-[6 digit]-[6 digit]-[6 digit]-[6 digit]-[6 digit]-[6 digit]-[6 digit]-[6 digit]

  • PasswordLength の設定がサポートされています。この設定は数字ブロックの数を決定します。

  • Key-012993-230956-976475 （PasswordLength = 3）

  • Key-497254-679158-631224-278319 （PasswordLength = 4）

  • Key-506179-861369-706482-613244-730371-097689-404350-340073 （既定）

• プリセット 3 ⇒ [word]-[word]-[word]-[word]-[word]-[word] から生成 Eff Long List​

  • PasswordLength の設定がサポートされています。この設定は単語数を決定します。

  • Exciting-Unearth-Cried-87 （PasswordLength = 3）

  • Neurology-Astute-Debate-Marshy-15 （PasswordLength = 4）

  • Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26 （既定）

アカウント再作成

アカウントが使用された後、RealmJoin は MaxStaleness 設定を使用して、そのアカウントを削除して再作成するように構成できます。これにより、アカウントは常に新しい状態に保たれます。構成されていない場合、アカウントは再作成されず、無期限に残ります。

競合回避

RealmJoin はデバイス上のアカウント管理時に名前の競合を避けるため最善を尽くしますが、既にデバイス上にアカウントが存在して競合が発生する可能性は常にあります。そこで NamePattern 設定では、RealmJoin に対して特別な意味を持つこれらのトークンがサポートされています。トークンは、指定された関数と、コロンの後に続く長さパラメーターによって変換されます。

• {HEX:8} ⇒ F4D027EF, B3C4F74E、...（ランダムな16進文字）

• {DEC:6} ⇒ 506453, 066946、...（ランダムな10進文字）

• {COUNT:2} ⇒ 01, 02、...（カウンター。 01 競合がなければそのまま）

緊急アカウント

このアカウント種別は、デバイスが致命的な障害を起こした場合のバックアップ アクセスです。事前に作成されます。これにより、回復のためのアクセスを常に確保できます。次の設定を推奨します アカウント再作成.

例

キー LocalAdminManagement.EmergencyAccount （共通設定については グループ設定)

サポート アカウント

このアカウント種別は、オンデマンド作成用に構成できます。オンデマンド モードでは、12 時間という限られた時間枠での使用を想定しています。

オンデマンド ワークフローの要件:

• このモードは次の設定で有効になります "OnDemand": true.

• ユーザーがサインインしている

• RealmJoin エージェントが実行中である

• デバイスがインターネットに接続されている

• デバイスが RealmJoin バックエンドに到達できる

オンデマンド モードでない場合は、事前に作成されます。

例

キー LocalAdminManagement.SupportAccount （共通設定については グループ設定)

特権アカウント

このアカウント種別は、自分のデバイスで通常だが制御された管理者権限を必要とするパワーユーザー向けに設計されています。固定のアカウント有効期限を指定できます（Expiration).

強制的なパスワードローテーションがサポートされています:

1. 2021-11-20T12:34:56+01:00: ISO-8601 形式の任意の明示的なタイムスタンプ。複数のタイムスタンプを指定できます。

2. DayAfterCreate: アカウント作成後、アカウントのパスワードが変更されます。これは、追加のサインイン オプションとして Windows Hello を設定してもらう場合に便利です。

3. Yearly, 毎月 または Weekly: より短い間隔が優先されます（Weekly > 毎月 > Yearly）。他の条件が指定されていない場合、既定は 毎月 の「月の1日」または Weeklyです。さらに、 Yearly の既定値はパスワード最終設定日 + 365 日です。7 つの曜日すべてを指定できます。したがって Wednesday および Weekly を指定すると、パスワードは毎週水曜日に変更されます。 Wednesday および 毎月 を指定すると、パスワードは毎月最初の水曜日に変更されます。 Yearly と曜日を組み合わせると、365 日が経過する直前で指定された曜日のうち最も遅い日が期限になります。

例

キー LocalAdminManagement.PrivilegedAccount （共通設定については グループ設定)

パスワードへのアクセス

RealmJoin Portal を使用してパスワードにアクセスします。

セルフサービスを有効にする

ユーザーは、自分の 自身の デバイス上に作成されたアカウントにアクセスできます（それらは "PrimaryUser" です）。これを有効にするには、 RealmJoin Portal バージョン 2022.5.1から始まる Allow.SelfLAPSキーを使用して設定を定義します。この設定はグループおよびユーザーに対して定義できます。接頭辞が Allow.* のすべての設定と同様に、ユーザーおよびそのすべてのグループに対して AND 結合されます。

値は純粋なブール値でも構いません true/false。これはワイルドカードとして使用でき、現在および将来のすべてのアカウント種別を含みます。これはアクセスの無効化にのみ推奨される点に注意してください（false).

構成例は次のようになります: