LAPS パスワード バックアップ ディレクトリの構成 この設定を使用して、ローカル管理者アカウントのパスワードをバックアップするディレクトリを構成します。 許可されている設定は次のとおりです: 0=無効 (パスワードはバックアップされません) 1=パスワードをAzure Active DirectoryにBackupする 2=パスワードを Active Directory にBackupする 指定しない場合、この設定の既定値は 0 (無効) になります。 この設定が 1 に構成されていて、マネージド デバイスがAzure Active Directoryに参加していない場合、ローカル管理者パスワードは管理されません。 この設定が 2 に構成されていて、マネージド デバイスが Active Directory に参加していない場合、ローカル管理者パスワードは管理されません。 この設定を無効にした場合、または構成しなかった場合、ローカル管理者パスワードは管理されません。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435を参照してください。 無効 Azure Active Directory Active Directory パスワードの設定 パスワード パラメーターを構成します パスワードの複雑さ: 新しいパスワードを生成するときに使用される文字 既定値: 大きい文字 + 小文字 + 数字 + 特殊文字 パスワードの長さ 最小: 8 文字 最大: 64 文字 既定値: 14 文字 パスワードの有効期間 (日数) 最小: 1 日 (バックアップ ディレクトリがAzure ADするように構成されている場合は 7 日間) 最大: 365 日 既定値: 30 日 パスフレーズの長さ 最小: 3 単語 最大: 10 語 既定値: 6 単語 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。 Electronic Benchmark Foundation の "Deep Dive: EFF のランダム パスフレーズの新しいワードリスト" から取得したパスフレーズの一覧。CC-BY-3.0 属性ライセンスで使用されます。詳細については、https://go.microsoft.com/fwlink/?linkid=2255471 を参照してください。 大文字 大文字 + 小文字 大文字 + 小文字 + 数字 大文字 + 小文字 + 数字 + 特殊文字 大文字 + 小文字 + 数字 + 特殊文字 (読みやすさの向上) パスフレーズ (長い単語) パスフレーズ (短い単語) パスフレーズ (一意のプレフィックスを含む短い単語) 管理する管理者アカウントの名前 このポリシー設定では、パスワードを管理するカスタム管理者アカウント名を指定します。 このポリシー設定を有効にすると、LAPS はこの名前のローカル アカウントのパスワードを管理します。 このポリシー設定を無効にした場合、または構成しなかった場合、LAPS は既知の Administrator アカウントのパスワードを管理します。 ビルトイン Administrator アカウントを管理するには、このポリシー設定を有効にしないでください。ビルトイン Administrator アカウントは既知の SID によって自動検出され、アカウント名に依存しません。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435を参照してください。 ポリシーで必要な時間よりも長いパスワードの有効期限を許可しない この設定が有効になっている場合、または構成されていない場合、"パスワードの設定" ポリシーで指定されたパスワードの有効期間を超える予定のパスワードの有効期限は許可されません。このような有効期限が検出されると、パスワードはすぐに変更され、ポリシーに従ってパスワードの有効期限が設定されます。 この設定を無効にすると、パスワードの有効期限が "パスワードの設定" ポリシーで要求されるよりも長くなる可能性があります。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。 パスワードの暗号化をオンにする この設定を有効にすると、管理パスワードは Active Directory に送信される前に暗号化されます。 この設定を有効にした場合は、1) パスワードが Active Directory にバックアップされるように構成されていること、2) Active Directory ドメインの機能レベルが Windows Server 2016 以上である場合を除き、効果はありません。 この設定を有効にし、ドメインの機能レベルが Windows Server 2016 以上の場合は、マネージド アカウントのパスワードが暗号化されます。 この設定を有効にし、ドメインの機能レベルが Windows Server 2016 未満の場合、マネージド アカウントのパスワードはディレクトリにバックアップされません。 この設定を無効にした場合、マネージド アカウントのパスワードは暗号化されません。 構成されていない場合、この設定は既定で有効になります。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435を参照してください。 承認されたパスワード復号化機能の構成 この設定は、暗号化されたパスワードの暗号化解除権限を持つ特定のユーザーまたはグループに対する制御の目的で構成されます。 パスワードの暗号化が有効になっていない場合は、この設定を構成しても効果がありません。 この設定を有効にすると、指定したグループは、暗号化されたパスワードの暗号化解除を実行できます。 この設定が無効または未構成の場合、暗号化されたパスワードの暗号化解除を実行できるのはドメイン管理者グループのみです。 この設定を構成する際は、グループまたはユーザーのドメイン修飾名、または文字列形式の SID を設定する必要があります。有効な設定の例: contoso\LAPSAdmins lapsadmins@contoso.com S-1-5-21-2127521184-1604012920-1887927527-35197 ユーザー名、グループ名、SID は、引用符やカッコで囲まないでください。 指定されたユーザーまたはグループは、管理対象デバイスで解決可能になっている必要があります。そうでない場合、パスワードはバックアップされません。 注: ディレクトリ サービス修復モード (DSRM) アカウントのパスワードがドメイン コントローラ上にバックアップされている場合、この設定は無視されます。そのようなシナリオでは、この設定にはドメイン コントローラーのドメインの Domain Admins グループが指定されていると見なされます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。 暗号化されたパスワード履歴のサイズを構成する この設定を使用して、Active Directory に保存される以前の暗号化されたパスワードの数を構成します。 1) パスワードが Active Directory にバックアップされるように構成されており、2) パスワードの暗号化が有効になっている場合を除き、この設定の構成は効果がありません。 この設定を有効にした場合、指定した数の古いパスワードが Active Directory に保存されます。 この設定を無効にした場合、または構成しなかった場合、古いパスワードは一切 Active Directory に保存されません。 この設定では、パスワードの最小値として 0 を指定できます。 この設定には、最大 12 個のパスワードが設定されています。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。 DSRM アカウントのパスワード バックアップを有効にする この設定を有効にすると、DSRM 管理者アカウントのパスワードが管理され、Active Directory にバックアップされます。 マネージド デバイスがドメイン コントローラーであり、パスワード暗号化も有効になっていない限り、この設定を有効にしても効果はありません。 この設定を有効にすると、ドメイン コントローラーの DSRM 管理者アカウントのパスワードが Active Directory にバックアップされます。 この設定を無効にした場合、または構成しなかった場合、ドメイン コントローラーの DSRM 管理者アカウントのパスワードは Active Directory にバックアップされません。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435を参照してください。 認証後アクション このポリシーは、マネージド アカウントによる認証の検出後に実行される認証後アクションを構成します。 支払猶予期間: 指定された認証後のアクションを実行するまでの認証後の待機時間 (時間単位) を指定します。 この設定が有効であり、0 より大きい場合、指定された認証後のアクションは、支払猶予期間の満了時点で実行されます。 この設定を無効にした場合、または構成しなかった場合は、既定の 24 時間の支払猶予期間後に、指定された認証後アクションが実行されます。 この設定が 0 の場合、認証後アクションは実行されません。 アクション: 支払猶予期間の満了時に実行するアクションを指定します。 パスワードのリセット: 支払猶予期間が満了すると、マネージド アカウントのパスワードがリセットされます。 パスワードをリセットし、マネージド アカウントをログオフします。支払猶予期間が満了すると、マネージド アカウントのパスワードがリセットされ、マネージド アカウントを使用しているすべての対話型ログオン セッションはログオフされます。 パスワードをリセットして再起動します。支払猶予期間が満了すると、マネージド アカウントのパスワードがリセットされ、マネージド デバイスが再起動されます。 パスワードをリセットし、マネージド アカウントをログオフし、残りのプロセスを終了します。支払猶予期間が満了すると、マネージド アカウントのパスワードがリセットされ、マネージド アカウントを使用するすべての対話型ログオン セッションがログオフされ、残りのプロセスがすべて終了します。 (注: 対話型ログオン セッションの終了後も、マネージド アカウントで他の認証セッションが使用される場合があります。以前のパスワードの使用を長くするための唯一の堅牢な方法は、デバイスを再起動することです。) この設定を無効にした場合、または構成しなかった場合、認証後アクションの既定値は "パスワードをリセットしてマネージド アカウントをログオフする" になります。 注: ドメイン コントローラー上の DSRM アカウントは、認証後のアクション向けに構成できません。このポリシーはドメイン コントローラーに影響せず、DC 向けに構成されている場合でも無視されます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。 無効 - 何もしない パスワードをリセット パスワードをリセットし、マネージド アカウントをログオフする パスワードをリセットしてデバイスを再起動する パスワードをリセットし、マネージド アカウントからログオフし、残りのプロセスをすべて終了します 自動アカウント管理を構成する このポリシーは、自動アカウント管理のポリシー オプションを構成します。 管理するターゲット アカウントを指定する: 組み込みの管理者アカウントまたはカスタム アカウントのどちらを管理するかを指定します。 自動アカウント名 (または名前のプレフィックス): 管理アカウントに使用する名前または名前のプレフィックスを指定します。 このポリシー設定が構成されている場合、Windows LAPS はターゲット アカウントのアカウント名または名前のプレフィックスとして使用します。 このポリシー設定が構成されていない場合、Windows LAPS は "WLapsAdmin"をアカウント名または名前のプレフィックスとして使用します。 注: アカウント名のランダム化が構成されている場合、この名前はプレフィックスとして処理されます。以下のコメントを参照してください。 管理アカウントを有効にする: 管理アカウントを有効にするかどうかを指定します。 このポリシー設定が構成されている場合、Windows LAPS は指定された管理アカウントを有効にします。 このポリシー設定が構成されていない場合、Windows LAPS は指定された管理アカウントを無効にします。 注: Windows LAPS は、アカウントが有効または無効の状態で維持されているかどうかに関係なく、管理アカウントのパスワードを定期的に保持およびローテーションします。 管理アカウントの名前をランダム化する: 管理アカウントの名前をランダムな数値サフィックスでランダム化するかどうかを指定します。 このポリシー設定が構成されている場合、Windows LAPS は管理対象の自動アカウント名に 8 桁のランダムな数値サフィックスを追加し、パスワードがローテーションされるたびに管理アカウントの名前を再ランダム化します。 このポリシー設定が構成されていない場合、Windows LAPS は、構成済みの管理対象の自動アカウント名を使用します。 管理対象の自動アカウント名のプレフィックスが構成されている場合、Windows LAPS では、その名前の最初の 12 文字までがランダムな名前のプレフィックスとして使用されます。管理対象の自動アカウント名が構成されていない場合、Windows LAPS は "WLapsAdmin"を名前のプレフィックスとして使用します。 注: ドメイン コントローラーの DSRM アカウントを自動アカウント管理用に構成することはできません。このポリシーはドメイン コントローラーには影響しません。DC 用に構成されている場合でも無視されます。 詳細については、https://go.microsoft.com/fwlink/?linkid=2188435 を参照してください。 組み込みの管理者アカウントを管理する カスタム管理者アカウントを管理する アカウント名または名前のプレフィックスを指定する 自動アカウント名をランダム化するかどうかを指定します。 少なくとも Microsoft Windows 10 以降 バックアップ ディレクトリ パスワードの複雑さ パスワードの長さ パスワードの有効期間 (日数) パスフレーズの長さ (単語数) 管理者のアカウント名 承認されたパスワード復号化機能 暗号化されたパスワード履歴のサイズ 猶予期間 (時間): 操作: 管理するターゲット アカウントを指定する: 自動アカウント名 (または名前のプレフィックス): 管理アカウントを有効にする 管理アカウントの名前をランダム化する