Microsoft Entra(Azure AD)で Windows Local Administraor Password Solution(Windows LAPS)がパブリックプレビューになった情報です。
Introducing Windows Local Administrator Password Solution with Microsoft Entra (Azure AD) - Microsoft Community Hub
LAPS とは、Windows デバイスのローカル管理者アカウントのパスワードを定期的にローテーションして Active Directory(オンプレAD)にバックアップし、指定されたローカル管理者アカウントのパスワードを管理するために使用される機能で、Microsoft のダウンロードセンターから入手できるソリューション(レガシーLAPS)でした。
これが、Azure AD Join や Hybrid Azure AD Join の両方でも利用できるようになり、2023年4月11日の最新セキュリティ更新プログラムから、以下の Windows に組み込まれました。
・Windows 10 20H2 以降
・Windows 11 21H2 以降
・Windows Server 2019 以降
また、新しい組み込みの LAPS には幾つかの機能更新があります。
・テナント全体ポリシーとクライアント側ポリシーを使用して Windows LAPS を有効化し、ローカル管理者のパスワードを Azure AD にバックアップ
・ ローカル管理者のパスワード管理用に Microsoft Intune ポータルを使用してクライアント側ポリシーを構成
アカウント名、パスワード有効期間、長さ、複雑さ、リセット、などを設定
・ Microsoft Entra/Microsoft Intune ポータル、または Graph API 経由で保存されたパスワードを回復
・ Microsoft Entra ポータル、または Graph API で、すべての LAPS 対応デバイスを列挙
・ カスタムロールで、Azure AD ロールベースのアクセス制御(RBAC)ポリシー
・ Microsoft Entra ポータル、または Graph API で監査ログを表示
しかし本記述時点(4/26)で、以下のブログには Note にバグ報告が追記されており、注意が必要です。
By popular demand: Windows LAPS available now! - Microsoft Community Hub
Note:
・2023年4月11日のアップデートではレガシー LAPS と相互運用のバグ報告を確認している
・2023年4月11日のアップデートとレガシーLAPS ポリシーが適用されているマシンにレガシーLAPS GPO CSE をインストールすると、Windows LAPS とレガシーLAPS の両方が壊れる。