Настройка LAPS в Intune с помощью Microsoft Graph PowerShell


Возможно, вы являетесь поставщиком услуг и вам приходится снова и снова развертывать одни и те же конфигурации вручную. Это может занять много времени и привести к ошибкам, особенно если задачи рутинные. Решение состоит в том, чтобы использовать сценарии PowerShell для развертывания ваших конфигураций. Хорошо написанный сценарий PowerShell позволяет просматривать и развертывать конфигурации за долю времени, необходимое для их развертывания вручную с использованием эквивалентных веб-порталов.

В этом посте я продемонстрирую написанный мной сценарий для автоматического развертывания конфигураций Windows LAPS в Intune с помощью Microsoft Graph PowerShell.

Если вы еще не видели мою публикацию, в которой подробно описывается, как настроить Windows LAPS с помощью Intune вручную, прочтите эту публикацию сейчас, поскольку она добавит понимание того, о чем эта статья.

Требования

Сценарий использует пакет Microsoft Graph PowerShell SDK для взаимодействия с Microsoft Intune. Вы должны убедиться, что у вас установлен модуль Microsoft.Graph.Authentication.

Прочтите мою публикацию «Как установить модули Microsoft Graph PowerShell». Либо разрешить скрипту самому найти и развернуть модуль.

Вам также потребуется войти в систему под учетной записью глобального администратора, чтобы запустить сценарий, поскольку вам необходимо будет дать согласие на необходимые разрешения API Graph.

Настройка Windows LAPS в Intune с помощью Microsoft Graph PowerShell

Доступ к сценарию развертывания можно получить на моем GitHub: Create-LAPS.ps1. Примечание. Этот сценарий не будет назначать этим политикам каких-либо пользователей/устройств, это необходимо делать вручную.

Начните с загрузки сценария развертывания и изменения переменной $accountname. Это определит пользователя LAPS, который будет создан и использован в сценарии.

Скрипт будет обрабатывать задачи в следующем порядке:

1. Проверьте, установлен ли модуль Microsoft.Graph.Authentication; если нет, установите его в контексте текущего пользователя.

2. Подключитесь к Microsoft Graph и запросите согласие на следующие области: Policy.ReadWrite.DeviceConfiguration, DeviceManagementConfiguration.ReadWrite.All.

3. Проверьте, включен ли Microsoft Entra LAPS в клиенте, и включите его, если нет.

4. Создайте политику защиты учетной записи LAPS со следующими настройками:

Название политики : Windows LAPS
Место резервной копии : Microsoft Entra
Возраст пароля : 7 дней
Длина пароля : Не настроено (по умолчанию 14 дней)
Имя учетной записи : $accountname
Уровень сложности : 4
Действие после аутентификации: Сброс пароля
Задержка после аутентификации : 1 час

5. Создайте пакет исправлений для загрузки заранее установленного сценария для создания учетной записи пользователя LAPS с определенным именем пользователя. (При этом используются сценарии из моего блога: Как создать учетную запись локального администратора на устройствах Windows с помощью Intune).

6. Отключитесь от Microsoft Graph

После запуска скрипт выполнит задачи за считанные секунды и выдаст следующий результат:

Подведение итогов

Целью этого сценария является ускорение развертывания ресурсов в Intune, а не обязательно помощь в переходе на Windows LAPS. Вам по-прежнему необходимо тщательно планировать развертывание вместе с клиентом, чтобы охватить такие элементы, как пользовательские роли, разрешения, владение и поддержка, независимо от того, внедряете ли вы впервые или переходите с локальных LAPS.