• 操作環境：
  • OS:Windows 11
  • Webブラウザー:Edge
• 使用プラン：Microsoft 365 Business Premium
• 管理デバイス環境：Windows 11

• この記事で紹介するLAPSの設定について
• Entra管理C LAPS有効化
• Intune管理C アカウント保護ポリシー追加
• Intune管理C ポリシーの適用確認
• 動作確認
• おわりに

この記事で紹介するLAPSの設定について

この記事では、Microsoft Intuneを使用したLAPS(Local Administrator Password Solution)の設定方法を紹介します。Entra参加済かつIntune未使用の場合でもLAPSは使用できるようですが、この記事では取り扱いません。

Entra管理C LAPS有効化

まずはテナント全体でLAPSを有効化します。

WebブラウザーよりMicrosoft Entra管理センターにアクセスし、左メニューの[デバイス>すべてのデバイス]を選択し、サブメニューの[管理>デバイスの設定]を選択します。[Microsoft Entra Local Administrator Password Solution(LAPS)の有効化]で[はい]を選択し、[保存]を選択します。

Intune管理C アカウント保護ポリシー追加

Intuneのアカウント保護ポリシーを使い、ローカル管理者のパスワード管理の設定を行います。

WebブラウザーよりMicrosoft Intune管理センターにアクセスし、左メニューの[エンドポイントセキュリティ]を選択し、サブメニューの[管理>アカウント保護]を選択し、[ポリシーの作成]を選択します。

以下の通り設定し、[作成]を選択します。

• プラットフォーム：Windows
• プロファイル：Local admin password solution(Windows LAPS)

[構成設定]ステップで以下の通り設定し、[次へ]を選択します。

• バックアップディレクトリ：パスワードをAzure ADのみにバックアップする
• 管理者アカウント名：構成済み：admin

この設定により、ローカル管理者アカウントadminのパスワードが30日間でローテーションされ、EntraやIntuneの画面でその値を確認できるようになります。
[スコープタグ]ステップは何も指定せず [次へ]を選択します。

[割り当て]ステップでこのポリシーの適用対象にしたいデバイスグループを選択します。この例では組織内の全Windowsデバイスを包含するグループを選択していますが、一部のデバイスに絞ったグループを選択することもできます。
[ターゲットの種類]で[含める]を選択し、[次へ]を選択します。

[確認して作成]ステップで設定内容を確認し、問題なければ[保存]を選択します。

対象デバイスに図表3-3で指定したローカル管理者アカウント(この例ではadmin)が作成されていない場合は、作成しておきます。未作成のままですと、工程4で適用エラーが発生するようです。

Intune管理C ポリシーの適用確認

追加したポリシーの適用状況を確認します。

サブメニューの[アカウント保護]の一覧で、追加したポリシー(この例では[WindowsPCローカル管理者アカウント管理(LAPS)])を選択します。

成功/エラー等の件数画面が表示されたら、[レポートの表示]を選択します。
対象のデバイスやログインユーザーの行を選択すると、さらに詳細を確認できます。

動作確認

Intune管理センター(Entra管理センターでも良い)で対象デバイスのローカル管理者のパスワードを確認します。

左メニューの[デバイス]を選択し、サブメニューの[プラットフォーム別>Windows]を選択します。
対象デバイス名のリンクを選択します。

サブメニューの[モニター>ローカル管理者パスワード]を選択し、[ローカル管理者パスワードの表示]リンクを選択します。
右側に表示されたアカウント名とパスワードを確認します。

図表5-2で確認したローカル管理者のアカウント名とパスワードを使って、対象のデバイスにサインインしてみます。

ローカル管理者でサインインできました。

おわりに

組織で管理しているWindows PCのローカル管理者アカウントのパスワード管理について、おのおの別の値を設定・管理するのはとても手間です。とは言え、同じ値を設定しておくのもセキュリティ面が心配です。
Intuneを導入済であれば、この記事で紹介したような簡単な設定により、パスワードの自動定期ローテーションを実施でき、管理センターで値の照会も行うことができるようになります。