Microsoft Entra接続デバイス向けLAPSポリシーの設定方法
デバイスのローカル管理者パスワードの管理に苦労していませんか?私も同じ経験があります。特に大規模な組織では、ローカル管理者パスワードを手動で管理するのは大変です。幸いなことに、Microsoft には Windows ローカル管理者パスワードソリューション (LAPS) という機能があります。デバイスが Microsoft Entra (旧 Azure AD) に参加していて、Intune で管理されている場合は、このガイドを参考に設定すれば、パスワードが簡単に変更されることなく、自動的にローテーションされるようになります。
一度設定すれば、ローカル管理者パスワードを安全に生成、保存、取得できるようになります。誰かがパスワードを忘れたり、最悪の場合、マシンを無防備な状態にしたままにしてしまったりした後に、慌ててパスワードのリセットをする必要がなくなります。Windowsが初期設定でこの機能を分かりやすく表示しないのは少し不思議ですが、いくつかの手順を踏むだけで、セキュリティに関する多くの面倒な作業を自動化できます。セキュリティ体制の強化、手作業の削減、必要なときに管理者認証情報に素早くアクセスできる機能が期待できます。もちろん、Windowsは必要以上に難しくしているものです。
Microsoft 365でLAPSを有効にする方法と、Entra参加デバイス向けにLAPSポリシーを展開する方法
要件:
- デバイスは Microsoft Entra に参加しています
- Intuneによって管理されています
- Microsoft 365の管理者権限が必要です(まあ、管理者権限が必要だからです)。
EntraでLAPSを有効にする
これは必須の手順です。そもそもこの機能が有効になっていないと、パスワードを管理できないためです。Entra管理センターにアクセスしてください。そこから、[デバイス] > [デバイス設定]に進みます。 [Microsoft Entraローカル管理者パスワードソリューション(LAPS)を有効にする]というトグルを探し、 [はい]に設定します。[保存]をクリックします。これで完了です。システムはローカルパスワードを管理できるようになります。
IntuneでLAPSポリシーを作成する
ここでは、パスワードの管理方法(ローテーション頻度、保存場所、パスワードの複雑さなど)を定義します。Microsoft Intune 管理センターにアクセスしてください。次に、[エンドポイント セキュリティ] > [アカウント 保護]に移動し、[新しいポリシーの作成] をクリックします。
- プラットフォームを選択: Windows
- プロファイル:ローカル管理者パスワードソリューション(Windows LAPS)
- 「作成」をクリック
「Entraデバイス用LAPSポリシー」のような分かりやすい名前を付け、必要に応じて説明を追加してください。「次へ」をクリックします。
ここでは、パスワードのバックアップ場所、有効期間、長さ、複雑さなどを設定します。ちょっとしたヒントですが、バックアップ先をMicrosoft Entra ID (または、お使いの環境が Azure AD の場合は Azure AD) に設定して、パスワードがクラウドに安全に保存されるようにすることをお勧めします。パスワードの設定については、通常、有効期間を 30 日、長さを 14 文字、文字と数字を組み合わせるようにしています。設定が完了したら、[次へ]をクリックして、ポリシーをデバイス グループに割り当てます。通常は「すべてのデバイス」を追加するだけですが、必要に応じてカスタマイズしてください。
選択内容を確認したら、「保存」をクリックして確定してください。あとはポリシーが適用されるまでしばらくお待ちください。適用には少し時間がかかる場合がありますので、後で再度確認してすべてが正しく設定されていることを確認してください。
デバイス上のローカル管理者パスワードにアクセスする
ポリシーの展開後、Intune または Entra でローカル管理者パスワードを確認できます。Entra管理センターにアクセスしてください。 [デバイス] > [すべてのデバイス]でデバイスを探します。デバイスを選択し、[ローカル管理者パスワードの回復]というオプションを探します。それをクリックし、[ローカル管理者パスワードを表示]を選択します。パスワードが表示されるので、トラブルシューティングや緊急時の管理者アクセスなど、必要なときにすばやくアクセスできます。
まとめ
Microsoft EntraでLAPSポリシーを設定するのはそれほど難しいことではありませんが、セキュリティ対策として非常に重要です。テナントでLAPSを有効にし、Intuneで新しいパスワード管理ポリシーを作成して、デバイスに割り当てます。すると、ローカル管理者パスワードが自動的に引き継がれ、安全に保存され、必要なときにすぐに取得できるようになります。ほんの数クリックで、組織のセキュリティ体制が大幅に強化されます。
それから、ポリシーが正しく適用されているか確認するようにしてください。すべて問題ないと思っていても、パスワードが適切にローテーションされていないことに気づくほど最悪なことはありません。設定によっては、初回はうまくいかない場合もありますが、再起動したり、デバイスの同期を強制実行したりすることで解決することが多いです。
まとめ
LAPSを導入すれば、後々の面倒を省くことができます。一度設定してしまえば、あとはレポートを監視して確認するだけです。パスワードを推測する必要が減り、セキュリティが強化される――それが目標です。これが役に立ち、少なくとも今後はデバイスのアップデートが少しでも楽になることを願っています。
まとめ
- Entra管理センターでLAPSを有効にしました
- Intuneでパスワード管理ポリシーを作成しました
- 適切なデバイスグループに割り当てました
- 必要に応じてパスワードを取得する方法を習得した
これで誰かの作業時間を少しでも短縮できれば幸いです。頑張ってください!そして、ポリシーにも注意を払うことを忘れないでください!