Windowsのローカル管理者のパスワード

Windowsのローカル管理者の運用・課題について

Windows PCの運用においてこんな状況ことないだろうか...？
・IT部門のメンテナンス用ユーザーとしてローカル管理者ユーザーが作成されている。
・どのPCにも同じアカウント名、パスワードが設定されている。
・PCは従業員、業務委託・派遣社員、外部ベンダー...などいろいろな人へ提供している。

ローカル管理者アカウントって、PC上では何でもできる最強なアカウントなので、何らかの理由でパスワードを突破されてしまうと危険がありますよね。

と、書きつつも、かなり限られた範囲ではあり、突破されるリスク・可能性がどれくらいあるか...というとあまり影響ない場合もあるかもしれません。

セキュリティ向上の一環で取り組む際に何かヒントになればと思い、今回はWindows LAPSについて紹介します。

Windows LAPSについて

Windows LAPS(Windows Local Administrator Password Solution)は名前の通り、ローカル管理者のパスワード管理をするソリューションです。

いい感じの響き！早速取り入れたい！と浮足立つ思いですが、これまでの運用方法の見直し・検討が必要な部分もありますので紹介していきます。

環境条件

・Windows 11
　ADドメイン参加済み・Entra ID参加済み = Hybrid Entra Join
　Intune登録済み
ゆえに、EMS E3, Microsoft 365 E3ライセンスは必要ですね。

設定方法

やることは大きく二つだけ。

• Entra IDでLAPSを有効化する。
• IntuneでLAPSのポリシーを作成・適用する
  今回はすでにPCに作成済みのローカルアカウントに対して、ポリシーを適用します。

もう少し具体的な..設定方法は...

1. Entra IDでLAPSを有効化する
   Entra ID > デバイス > デバイスの設定 から設定可能です。
   

2. Intuneでポリシーを作成する。
   　一旦、とりあえず設定。
   　※設定範囲もIntuneでは限定的にすることができるので、対象のデバイス・ユーザーにすることも可能です。
   　

3. 反映するまで放置。
   　急いで検証しない。スタンス。。

動作確認

• お、パスワードが格納されているじゃないか。これを使ってログインすればいいのか？
  
  

• ローカルアカウントでログインできました。

• PCごとにパスワード設定されているから、たとえユーザーに教える必要があったとしても安心。

Windows LAPSの導入にむけて

いかがでしたでしょうか？パスワードが自動的に更新されるのは良いと思いますが、現状のPC運用も踏まえて実施されることをオススメします。
・どんなシーンでローカル管理者アカウントを利用されるのかを整理する。
・整理した結果、クリティカルに影響する部分がなければ、LAPS使ってみるか！
　※クリティカルな影響ある場合も現在の運用方法を今後どうするかを検討される方がよいと思います。