ローカル管理者パスワードソリューション (LAPS)
私たちのローカル管理者パスワードソリューション(LAPS)は、ユーザーサポートや特権昇格のために環境内で同一のアカウントを使用するという問題を解決するために作られました。LAPSはローカルアカウントの強力なパスワードを生成し、それらを安全に あなた自身の Azure Key Vaultに保存します。監査のために、 Application Insights インスタンスまたは Log Analytics ワークスペース.
事前要件
LAPSを開始する前に、次の事前要件を満たす必要があります:
グループ(またはユーザー)設定を使用してLAPSアカウントタイプを明示的に有効にする
以下でその両方を見ていきます。
ログ記録
Application InsightsとLog AnalyticsはLAPS使用時に重要な役割を果たします。LAPSによってトリガーされたパスワード要求はRealmJoinによってログに記録され、構成されたApplication InsightsインスタンスまたはLog Analyticsワークスペースに送られます。これにより、誰がパスワードを取得しているかを完全に把握できます。
ログ記録はApplication InsightsかLog Analyticsのいずれか一方のみを選択する必要があります。LAPSの設定時にログ記録は任意であり、組織がこの情報を必要としない場合は省略できます。
詳細は私たちの Application Insights 同じ Log Analytics アカウントを Log Analytics 記事にあります。
グループ設定
LAPSは以下のグローバル設定をサポートします。
LocalAdminManagement.Inactive
false
この機能を無効にするには true に設定します。これによりクリーンアップが行われ、 すべてのローカルアカウントを 削除します。
次のアカウントタイプがサポートされています。
LocalAdminManagement.EmergencyAccount
未定義 (非アクティブ)
LocalAdminManagement.SupportAccount
未定義 (非アクティブ)
LocalAdminManagement.PrivilegedAccount
未定義 (非アクティブ)
各アカウントタイプは次の共通設定を使用して個別に構成できます。いくつかのタイプにはそれぞれのセクションで説明される特別な設定があります。
以下の表では $ は3つのいずれかを表します。 アカウント 上記のJSONオブジェクトから。
$.DisplayName
"RealmJoin Local Administrator"
表示名
$.PasswordCharSet
"!#%+23456789:=?@ABCDEFGHJKLMNPRSTUVWXYZabcdefghijkmnopqrstuvwxyz"
パスワード生成器の文字セット(類似文字を除外)
$.PasswordLength
20
パスワード長
パスワード 生成
デフォルトでは、完全にランダムなパスワードが次の設定に基づいて生成されます: PasswordCharSet 同じ Log Analytics アカウントを PasswordLength。既定の文字セットは、 I1l 同じ Log Analytics アカウントを O0などの見間違えやすい文字を除外するように選ばれています。生成にはWindowsの暗号学的疑似乱数発生器が使用され、高品質なランダム性が提供されます。
RealmJoinはアカウント作成時のWindowsの複雑性要件に関する問題を自動的に処理します。完全にランダムなパスワードでは、生成されたパスワードが複雑性要件を満たさない場合があります。このような場合、RealmJoinは有効なパスワードが生成されるまで最大で3回までパスワード生成を繰り返します。すべての再試行が超過する統計的に小さい確率が残ります。この場合、サービスのログファイルに次のようなメッセージが表示されます: 再試行回数を超過しました。内部設定チェックの次回実行(設定参照: CheckInterval).
)でプロセス全体が再起動します。完全にランダムなパスワードは扱いにくい場合があるため、特別な事前設定テンプレートもサポートされています。
プリセット 1 ⇒
[1 大文字][3 小文字][4 桁]Tuci9325Lnso5050Khwn2174
プリセット 2 ⇒
Key-[6 桁]-[6 桁]-[6 桁]-[6 桁]-[6 桁]-[6 桁]-[6 桁]-[6 桁]PasswordLength 設定がサポートされています!この設定は桁ブロックの数を決定します。
Key-012993-230956-976475(PasswordLength = 3)Key-497254-679158-631224-278319(PasswordLength = 4)Key-506179-861369-706482-613244-730371-097689-404350-340073(既定)
プリセット 3 ⇒
[単語]-[単語]-[単語]-[単語]-[単語]-[単語]から生成 Eff Long ListPasswordLength 設定がサポートされています!この設定は単語の数を決定します。
Exciting-Unearth-Cried-87(PasswordLength = 3)Neurology-Astute-Debate-Marshy-15(PasswordLength = 4)Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26(既定)
アカウント再作成
アカウントが使用された後、RealmJoinはアカウントを削除して再作成するように設定できます(設定: MaxStaleness )。この方法によりアカウントは常にクリーンな状態になります。未設定の場合、アカウントは決して再作成されず無期限に残ります。
RealmJoinはアカウントとそのプロファイルを削除します。 すべてのファイルは完全に削除されます。
アカウントがまだ使用中(ログイン中、セッションが開いている、ADMとしてアプリケーションが起動していて実行中)の場合でも、アカウントはタイムアウトしますが、削除はできません。 古いアカウントが削除されない限り、新しいアカウントを作成することはできません。
競合回避
RealmJoinはデバイス上のアカウントを管理する際に名前の競合を避けるよう最善を尽くしますが、デバイスに既にアカウントが存在して競合を引き起こす可能性は常にあります。そこで NamePattern 設定はRealmJoinに特別な意味を持つこれらのトークンをサポートします。トークンは指定された関数とコロンに続く長さパラメータで変換されます。
{HEX:8}⇒F4D027EF,B3C4F74E、...(ランダムな16進文字){DEC:6}⇒506453,066946、...(ランダムな10進数字){COUNT:2}⇒01,02、...(カウンター、競合がなければ01のまま)
緊急アカウント
このアカウントタイプは、デバイスが壊滅的に故障した場合のバックアップアクセスです。事前に作成されます。これにより、常に復旧用のアクセスを確保できます。 アカウント再作成.
例
キー LocalAdminManagement.EmergencyAccount (共通設定については参照: グループ設定)
サポートアカウント
このアカウントタイプはオンデマンド作成用に構成できます。オンデマンドモードでは12時間の限定された時間窓内での使用を想定しています。
サポートアカウントとそのプロファイルは、アカウント要求から12時間後(サポートユーザーがサインアウトした後にかかわらず)に削除されます。 すべてのファイルは完全に削除されます。
オンデマンドモードを使用する場合、アカウント再作成(MaxStaleness) は使用すべきではありません)。サポートワークフローに干渉する可能性があります。
オンデマンドワークフローの要件:
モードは次を設定することで有効になります:
"OnDemand": true.ユーザーがサインインしていること
RealmJoinエージェントが稼働していること
デバイスがインターネットに接続されていること
デバイスがRealmJoinバックエンドに到達できること
RealmJoinエージェントが要求を検知するまで最大で30分かかることがあります。サインイン中のユーザーはRealmJoinトレイメニューから「このデバイスを同期」を選択することでこの進行を促進できます。
オンデマンドモードでない場合は事前に作成されます。
例
キー LocalAdminManagement.SupportAccount (共通設定については参照: グループ設定)
特権アカウント
このアカウントタイプは、定期的だが制御された管理者権限を自分のデバイスで必要とするパワーユーザー向けに設計されています。固定のアカウント有効期限を指定できます(有効期限).
このタイプではアカウント再作成(MaxStaleness) は使用すべきではありません)は使用しないでください。ユーザーのために永続的なアカウントを持つことが目的です。
強制的なパスワードローテーションがサポートされています:
2021-11-20T12:34:56+01:00: ISO-8601形式での任意の明示的なタイムスタンプ。複数のタイムスタンプを指定できます。DayAfterCreate: アカウント作成後にアカウントのパスワードが変更されます。これはユーザーが追加のサインインオプションとしてWindows Helloを設定する場合に便利です。年次,月次または週次: 短い間隔が優先されます(週次>月次>年次)。さらに条件が指定されていない場合、既定は"月の第1日"(月次の場合)または"月曜日"(週次の場合)です。加えて、年次はパスワードの最終設定日 +365日が既定になります。全ての曜日を指定できます。したがって、水曜日同じ Log Analytics アカウントを週次が指定されていると、パスワードは毎週水曜日に変更されます。水曜日同じ Log Analytics アカウントを月次が指定されていると、毎月の最初の水曜日にパスワードが変更されます。年次と曜日を組み合わせると、365日が経過する直前に指定された最新の曜日に期限を設定します。
例
キー LocalAdminManagement.PrivilegedAccount (共通設定については参照: グループ設定)
パスワードへのアクセス
パスワードにアクセスするにはRealmJoinポータルを使用してください。
セルフサービスを有効にする
ユーザーは有効にすると自分の 自身の デバイス(彼らが「PrimaryUser」である場合)で作成されたアカウントにアクセスできます。これを有効にするには、次のキーを使って設定を定義してください: RealmJoin ポータル バージョン 2022.5.1から開始 Allow.SelfLAPS。この設定はグループおよびユーザーに定義できます。 Allow.* でプレフィックスされたすべての設定と同様に、それらはユーザーとそのすべてのグループにわたってAND結合されます。
値は純粋なブール値にもできます。 true/false。これはワイルドカードとして使用でき、現在および将来のすべてのアカウントタイプを包含します。これはアクセスを無効にする場合にのみ推奨されることに注意してください(false).
以前はこの設定を trueに設定することが推奨されていました。しかし、RealmJoinが拡張を続けるにつれて、新しいアカウントタイプが追加されます。したがってすべての true 値をより明示的なオブジェクト記法に移行することが強く推奨されます:
サンプル構成は次のようになります:
すべてのリモートワーカー
{ "EmergencyAccount": true }
リモートワーカーは自分のデバイスの緊急アカウントにアクセスできます。
すべての開発者
{ "EmergencyAccount": true, "PrivilegedAccount": true }
開発者はリモートワーカーであってもなくても、自分の緊急アカウントと特権アカウントにアクセスできます。
すべての研修生
false
研修生は3つのアカウントタイプのいずれにも決してアクセスしてはなりません 同じ Log Analytics アカウントを 将来のすべてのタイプであっても、彼らがリモートワーカーや開発者であっても同様です
SelfLAPSは通常のLAPSロールより強力です。つまり、管理者ユーザーが通常のユーザーアカウントでLAPSを管理している場合、そのユーザーは自身のLAPSを管理することはできません。
緩和策:これらの管理者アカウントに対してSelfLAPSを有効にするか、別の管理者アカウントを使用してください。
最終更新
役に立ちましたか?