Condividi tramite

Configurazione dei GIRI su Teams Rooms in Windows

  • Articolo
  • Si applica a:
    Microsoft Teams

Questo articolo fornisce una panoramica di LAPS, la relativa architettura e la procedura per configurare LAPS per Teams Rooms in Windows.

La soluzione LAPS (Local Administrator Password Solution) di Windows è una funzionalità di Windows che gestisce e esegue il backup della password dell'account amministratore locale per Microsoft Entra aggiunti (Entra join) o Active Directory (AD). Fornisce una protezione avanzata contro gli attacchi con password dell'account amministratore locale e soddisfa i requisiti principali dei clienti per la distribuzione di Teams Rooms nei dispositivi Windows.

Che cos'è LAPS?

LAPS è una soluzione che genera automaticamente una password casuale e complessa per l'account amministratore locale in ogni dispositivo Windows e la archivia in modo sicuro in Entra o Active Directory. La password viene periodicamente modificata in base ai criteri configurati e può essere recuperata dagli utenti autorizzati quando è richiesto l'accesso. LAPS riduce il rischio di movimenti laterali e attacchi di escalation dei privilegi che sfruttano la stessa password di amministratore locale su più dispositivi. Semplifica la gestione delle password dell'amministratore locale ed elimina la necessità di soluzioni manuali o con script.

Architettura LAPS di Windows

LAPS è costituito dai seguenti componenti:

  • Viene eseguita un'attività periodica in background in ogni dispositivo Windows ed esegue le operazioni di modifica della password e backup.
  • Modulo di PowerShell che fornisce cmdlet per amministrare e recuperare le password.
  • Abilitare Microsoft Entra'estensione dello schema LAPS (Local Administrator Password Solution) per AD che aggiunge un attributo per l'archiviazione della password e delle informazioni correlate.

Architettura LAPS e flusso di lavoro:

Architettura WINDOWS LAPS con un dispositivo gestito, Azure Active Directory e Windows Server ActiveDirectory.

Distribuzione LAPS

Prima di distribuire in Teams Rooms in Windows, è consigliabile considerare:

  • I LAPS devono essere distribuiti utilizzando l'ID Entra, ove possibile, in quanto offrono una maggiore sicurezza e scalabilità rispetto ad Active Directory.
  • I dispositivi devono essere Entra aggiunti o Hybrid Entra aggiunti e gestiti da Intune prima di procedere con la distribuzione LAPS.
  • Tutte le periferiche o gli endpoint che si connettono al Teams Rooms nel dispositivo Windows con le credenziali di amministratore locale perderanno la connessione al riavvio o alla modifica della password. Alcune implementazioni OEM usano questo metodo per la connessione dei controller della sala. L'OEM dovrebbe essere consultato per la compatibilità e soluzioni alternative.
  • Che tutte le indicazioni in questo documento sono state configurate e testate in base alle build OEM ed esclude eventuali immagini personalizzate.
  • Avere un gruppo di dispositivi dedicato per Teams Rooms nei dispositivi Windows per la gestione e l'assegnazione dei criteri. Se questa opzione non è disponibile, crearne una prima di procedere.

Nota

Alcuni OEM come Crestron richiedono il nome utente locale e la password per connettere periferiche come i controller touch. Per altre informazioni sull'impatto della modifica della password dell'account locale, contattare Crestron prima dell'implementazione.

La distribuzione dei LAPS per Teams Rooms nei dispositivi Windows richiede:

  • Configurazione delle impostazioni di ENTRA ID per abilitare i LAPS.
  • Creazione e assegnazione dei criteri LAPS in Intune.
  • Verifica della modifica della password e del backup nei dispositivi.

Configurazione Entra

Per abilitare i LAPS in ENTRA ID:

  1. Passare a https://entra.microsoft.com.
  2. Fai clic suIdentity DevicesAll Devices.ClickIdentity> Devices > All Devices.
  3. Seleziona Impostazioni dispositivo.
  4. Impostare Abilita Microsoft Entra soluzioni per le password dell'amministratore locale su .
  5. Fare clic su Salva.

Configurazione Intune

Per creare e assegnare i criteri LAPS in Intune, seguire questa procedura:

  1. Vai al Centro Intune Amministrazione all'indirizzo https://intune.microsoft.com.
  2. Selezionare Sicurezza endpoint nel riquadro di spostamento sinistro.
  3. Seleziona Protezione account.
  4. Selezionare Crea criterio.
  5. Per Piattaforma, seleziona Windows 10 e versioni successive e profilo Soluzione per la password di amministratore locale (LAPS di Windows).For Platform, select Windows 10 and later and profile Local admin password solution (Windows LAPS).
  6. Fare clic su Crea.

Per configurare le impostazioni dei criteri:

  1. Immettere il nome di un criterio, ad esempio Teams Rooms in Criteri PER LAPS di Windows.
  2. Immettere una descrizione, se necessario, quindi fare clic su Avanti.
  3. Selezionare Directory di backup per eseguire il backup della password solo in Azure AD.
  4. Attiva o disattiva i giorni di età della password per configurare e immettere il valore desiderato.
  5. Configurare Nome account amministratore e immettere Amministrazione in modo che corrisponda al nome utente predefinito dell'account di amministratore locale nella Teams Rooms nella console Windows.
  6. Selezionare il metodo di complessità della password desiderato.
  7. Impostare Lunghezza password per configurare e immettere la lunghezza desiderata per la password con un minimo di 8 e un massimo di 64.
  8. Fare clic due volte su Avanti se non si usano i tag di ambito.

Per assegnare i criteri a un gruppo di Teams Rooms gestiti da Intune nei dispositivi Windows:

  1. Selezionare Attività.
  2. Selezionare il gruppo che contiene il Teams Rooms nei dispositivi Windows e limitare correttamente il criterio. Selezionare Avanti.
  3. Dopo aver verificato che il criterio e l'ambito siano corretti, selezionare Crea per applicare il criterio ai dispositivi inclusi nell'ambito.
  4. Attendere fino a un'ora per l'applicazione del criterio e la modifica della password.

Gestione DEI LAPS

Per recuperare la password dell'amministratore locale dal Centro Amministrazione Entra:

  1. Passare a https://entra.microsoft.com.
  2. Fai clic suIdentity DevicesAll Devices.ClickIdentity> Devices > All Devices.
  3. Seleziona Ripristino password amministratore locale.
  4. Cerca un dispositivo abilitato o seleziona un dispositivo dall'elenco prepopolato.
  5. Fare clic su Mostra password amministratore locale.
  6. Fare clic su Mostra per visualizzare la password. Prendi nota dei timestamp dell'ultima e successiva rotazione.

Per rivedere i log di controllo in Entra:

  1. Passare a https://entra.microsoft.com.
  2. Fare clic su Identity>Devices>All Devices>Audit Logs.
  3. Seleziona Attività per filtrare in base alla password dell'amministratore locale del dispositivo di aggiornamento o allapassword dell'amministratore locale del dispositivo ecover R per rivedere gli eventi.

Riepilogo

LAPS è una funzionalità di Windows che migliora la sicurezza e la gestione delle password degli amministratori locali per Teams Rooms nei dispositivi Windows. Genera e esegue automaticamente il backup delle password per Entra e consente agli utenti autorizzati di recuperarle quando necessario. Laps impedisce inoltre il riutilizzo delle password e semplifica la rotazione delle password. In questo documento vengono illustrati i passaggi per distribuire e service LAPS per Teams Rooms nei dispositivi Windows usando Entra e Intune.