Geçtiğimiz yıl Entra ID ile LAPS yönetimini nasıl yapabileceğinizi hem kendi blogumda hem de mshowto’daki teknik yazımda sizlere anlatmıştım. Yazıyı kaçıranlar için linki aşağıda paylaşacağım, bugün ise Azure Virtual Desktop ortamında Entra ID’ye join edilmiş session host’ları Windows LAPS ile yerel yönetici parolalarını çok daha güvenli şekilde nasıl saklayabileceğinizi anlatacağım. Sabit bir administrator parolası kullanmak yerine, her sanal makine için farklı ve düzenli olarak değişen bir parola oluşturulmasını sağlayabilirsiniz.
Microsoft Entra ID ile Windows LAPS Yönetimi
Windows LAPS etkinleştirildiğinde, her AVD session host için benzersiz bir yerel yönetici parolası oluşturulur. Bu parola belirli aralıklarla otomatik olarak değiştirilir ve güncel hali Entra ID’ye kaydedilir. Böylece bir sunucunun parolası ele geçirilse bile diğer session host’lar etkilenmez.
Bu yapı Entra ID’ye join edilmiş veya hybrid join yapılmış cihazlarda çalışır. Windows 10, Windows 11 ve Windows Server 2022 desteklenir. Eğer cihazlar Intune ile yönetiliyorsa kurulum ve yönetim daha kolay hale gelir. Ancak yalnızca “Entra registered” olan cihazlarda çalışmaz; cihazların doğrudan Entra ID’ye join edilmiş olması gerekir.
Kurulum için önce Entra yönetim merkezinde LAPS özelliğini tenant seviyesinde açmanız gerekir:
- Entra ID > Devices > Device Settings
- “Enable Local Administrator Password Solution (LAPS)” seçeneğini etkinleştirin.
Resim-1
Resim-2
Ardından yeni bir AVD session host oluştururken etki alanı türü olarak “Join to Entra ID” seçin ve cihazların otomatik olarak Intune’a kaydolmasını sağlayın. Bu sayede LAPS politikası cihazlara otomatik olarak uygulanır. İsterseniz aynı ayarları Intune yerine GPO ile de dağıtabilirsiniz.
Resim-3
Bir cihazın yerel yönetici parolasını görüntülemek için aşağıdaki PowerShell komutunu kullanabilirsiniz: Get-LapsAADPassword –DeviceName “SimpliXKara01”
Bu komutu çalıştırabilmek için deviceLocalCredential.Read.All yetkisine sahip olmanız gerekir. Genellikle Cloud Device Administrator rolü bu işlem için yeterlidir. Grafik arayüzü tercih edenler ise Intune Portal veya Entra ID admin center üzerinden de görebilirler.
Resim-4
En iyi uygulama olarak, parolaların 7–14 günde bir otomatik değiştirilmesini ve parola görüntüleme yetkilerinin mümkün olduğunca sınırlandırılmasını öneririm. Gerekirse PIM veya Just-in-Time erişim de kullanılabilir.
Eğer parola Entra ID üzerinde görünmüyorsa önce Intune senkronizasyonunu ve cihazın Microsoft servislerine erişebildiğini kontrol edin. Get-LapsAADPassword komutu çalışmıyorsa gerekli rol ve izinleri doğrulayın. Parola değişmiyorsa da LAPS politikasının gerçekten uygulandığından ve parola değiştirme süresinin dolduğundan emin olun.
Bir sonraki Azure makalesinde görüşmek üzere.
Referanslar:
TAGs: azure, azure virtual desktop, LAPS, Entra ID, Intune