Как включить автоматическое создание учетной записи для LAPS в Intune


Автоматическое создание учетной записи с помощью Windows LAPS наконец-то здесь! В примечаниях к выпуску Windows 11 Insider Preview Build 26040 (Canary Channel) объявлено, что администраторы теперь могут настраивать политики LAPS для автоматического создания и управления учетной записью локального администратора без необходимости ее предварительного присутствия на рабочей станции!

В этом посте показано, как включить автоматическое создание учетной записи для Windows LAPS с помощью Microsoft Intune.

Автоматическое создание учетной записи Windows LAPS

Возможность автоматического создания учетной записи непосредственно в настройках конфигурации Windows LAPS была необходимой функцией журнала с момента выпуска LAPS. Администраторам приходилось постоянно бороться за безопасное и последовательное создание учетных записей локальных администраторов. Если раньше мы прибегали к использованию сценариев RMM, MDM и PowerShell для создания пользователей, то теперь Microsoft благословила нас этой функцией «из коробки»!

Предварительные условия

Если вы еще этого не сделали, в вашей среде должен быть развернут Windows LAPS. Если вы еще не зашли так далеко, прочтите мой пост: «Как настроить Windows LAPS шаг за шагом».

В качестве альтернативы, если вы хотите быстро развернуть необходимые параметры, не переходя на портал администрирования, см. мой пост: Настройка LAPS в Intune с помощью Microsoft Graph PowerShell, чтобы один сценарий сделал все это за вас!

Создайте профиль конфигурации Windows LAPS для автоматического создания учетной записи.

Новые параметры конфигурации LAPS теперь доступны для настройки с использованием пользовательских настроек CSP в профиле конфигурации. Выполните следующие шаги, чтобы настроить автоматическое создание учетной записи: (они пока недоступны в Каталоге настроек или шаблонах).

  1. На портале администрирования Intune выберите Устройства > Профили конфигурации > Создать > Новую политику.

2. Выберите платформу Windows 10 и более поздние версии, установите тип профиля Шаблоны, затем выберите Пользовательский и нажмите Создать..

3. Добавьте следующие настройки OMA-URI:

  • ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

    • Тип: Бул
    • Значение: Правда
    • Описание: используйте этот параметр, чтобы включить или отключить автоматически управляемую учетную запись.
  • ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

    • Тип: Бул
    • Значение: Правда
    • Описание: используйте этот параметр, чтобы включить автоматическое управление учетными записями.
  • ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

    • Тип: Строка
    • Значение: ShortPrefix-
    • Описание. Используйте этот параметр, чтобы указать имя или префикс имени автоматически управляемой учетной записи.
  • ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

    • Тип: Бул
    • Значение: Правда
    • Описание: используйте этот параметр, чтобы включить рандомизацию имени автоматически управляемой учетной записи.
  • ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

    • Тип: Бул
    • Значение: Правда
    • Описание. Используйте этот параметр, чтобы указать, будет ли автоматически управляться встроенная учетная запись администратора или новая пользовательская учетная запись.
  • ./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

    • Тип: Интерт.
    • Значение: 1,2,3,4,5,6,7,8
    • Описание. Используйте этот параметр, чтобы настроить требуемую сложность пароля управляемой учетной записи локального администратора или указать, что создается парольная фраза.
    • Ссылка: https://learn.microsoft.com/en-us/windows-server/identity/laps/laps-management-policy-settings#passwordcomplexity.

4. Теперь просто продолжите работу с мастером настройки профиля и назначьте политику любой группе устройств (или всем устройствам).

Влияние на конечное устройство

При следующей синхронизации устройства с Intune параметры CSP будут применены, и реестр автоматически обновится (для этого НЕ потребуется перезагрузка, все будет гладко).

Учетная запись будет немедленно доступна для использования и добавлена в группу локальные администраторы с описанием: Эта учетная запись в настоящее время автоматически управляется вашим корпоративным администратором.

Получите имя пользователя и пароль Windows LAPS от Intune.

Чтобы получить имя пользователя и пароль от Microsoft Intune, вы можете использовать портал Intune так же, как и раньше.

1. Войдите на https://intune.microsoft.com/.

2. Выберите Устройства > Все устройства, затем нажмите на свое устройство.

3. В разделе Монитор выберите Пароль локального администратора, затем Показать пароль локального администратора и Показать.

Что произойдет при сбросе автоматической учетной записи LAPS?

При сбросе пароля Laps для устройства из Intune (или другим способом) учетная запись LAPS USERNAME и PASSWORD будут изменены. Однако SID учетной записи останется прежним.

Прежде чем сбросить пароль LAPS

После сброса пароля LAPS