本站域名:http://goxia.maytide.net or http://sufan.maytide.net
移动设备请访问:http://goxia.maytide.net/m转载文章,请务必保留出处与作者信息,未经许可严禁用于商业用途!
微软公布 Windows App 预览
微软公布 Windows App 预览
微软最近公布了一款新的应用 - Windows App,从官方介绍看 Windows App 是通往 Azure Virtual Desktop、Windows 365、Microsoft Dev Box、Remote Desktop Service、Remote Desktop 的网关,旨在安全地连接到 Windows 设备和应用。
简单理解,gOxiA 认为 Windows App 是一款 RDP 应用的大统一版本,在未来我们仅需要这一款应用便可以在不同的平台(Windows、macOS、iOS、iPadOS、Android、Web 浏览器)和设备(台式机、笔记本、平板、手机)上访问 Windows 或 Windows 应用。 也类似网上其他媒体讲的 Windows 像一个应用一样允许被访问和使用。Windows 运行在云端了,RDP 客户端支持所有主流平台,可不 "any where, any way access Windows."!!!
由于当前还处于公共预览阶段,并非所有版本和功能都可用,下表为当前的支持情况。
现在 Windows App 可以通过 Web 方式访问,或者从 MSStore 安装 Windows App,但 iOS 等平台版本还是需要申请测试名额,只能再等等!
- Windows 10/11
- macOS
- iOS/iPadOS
- Web 浏览器
打开 Windows App 并成功登录,可以看到在界面下主要分为两种资源类型:设备 和 应用。其中设备主要包含了“W365、AVD、DevBox”这里的资源,而应用主要包含的是“Remote App”。
因 gOxiA 的测试账号仅分配了 AVD 和 Remote App 资源,如下图所示。在连接应用时可以看到运用了 RemoteApp 技术。
对于 Windows App 还是有很多期待的,除了支持主流平台,尽可能的提供最优的连接体验外,也希望能支持更多的企业需求。
HOWTO: 使用 Intune 配置 LAPS
HOWTO: 使用 Intune 配置 LAPS
大家在熟悉“HOWTO: 使用 Intune 为 Windows 启用本地管理员”之后,接下来就跟随 gOxiA 了解如何为 Entra(AAD)账号启用 LAPS(Windows Local Administrator Password Solution),以及使用 Intune 配置 LAPS 策略。首先我们需要先在 Microsoft Entra 管理中心为设备启用本地管理员密码解决方案(LAPS)。
进入 Microsoft Entra 管理中心导航至“标识 - 设备 - 设备设置”,在右侧内容窗格中找到“本地管理员设置”,将“启用 Microsoft Entra 本地管理员密码解决方案(LAPS)”配置为“是”。简单一部便可谓云账号启用 LAPS,实属方便!但需要注意只有安装了2023年4月11日累计更新的 Windows 10/11/Server 2019/Server 2022 才受支持。
此外,若要允许对应管理员查看密码和密码元数据,需要授予相关权限:
- microsoft.directory/deviceLocalCredentials/password/read操作
- microsoft.directory/deviceLocalCredentials/standard/read操作
如果列出所有通过 LAPS 管理的设备,可以在 Microsoft Entra 管理中心导航至“标识 - 设备 - 本地管理员密码恢复”进行查阅。也可以通过 Intune 管理中心,找到设备,在监视器选项中找到“本地管理员密码”。
若要使用 Intune 来配置 LAPS 策略,可以在 Intune 管理中心 导航至“终结点安全性 - 账户保护”创建 LAPS 默认策略。
此外,也可以通过设备配置文件为 LAPS 创建策略(配置文件类型:模板;模板名称:管理模板,可找到 LAPS),其中包含以下几项:
- Do not allow password expiration time longer than required by policy
- 启用此设置时,不允许计划的密码过期时间超过“密码设置”策略规定的密码期限。当检测到此类过期时,会立即更改密码,并根据策略设置密码过期。 禁用或未配置此设置时,密码过期时间可能比“密码设置”策略所需的时间长。
- Enable local admin password management
- 启用本地管理员帐户的密码管理 如果启用此设置,则管理本地管理员密码 如果禁用或未配置此设置,则不会管理本地管理员密码。
- Name of administrator account to manage
- 管理员帐户名称:要管理其密码的本地帐户的名称。 使用内置管理员帐户时不要配置。内置管理员帐户由已知 SID 自动检测,即使在重命名时也是如此。
- Password Settings
- 配置密码参数 密码复杂性:生成新密码时使用哪些字符 默认值:大写字母 + 小写字母 + 数字 + 特殊字符 密码长度 最少:8 个字符 最大值:64 个字符 默认值:14 个字符 密码期限(以天为单位) 最短:1 天 最长:365 天 默认值:30 天
基于 Microsoft Entra ID 对 LAPS 的支持包括以下功能:
- 使用 Microsoft Entra ID 启用 Windows LAPS - 启用租户范围的策略和客户端策略,以将本地管理员密码备份到 Microsoft Entra ID。
- 本地管理员密码管理 - 配置客户端策略以设置帐户名、密码期限、长度、复杂性、手动密码重置等。
- 恢复本地管理员密码 - 使用 API/门户体验恢复本地管理员密码。
- 枚举所有启用了 Windows LAPS 的设备 - 使用 API/门户体验枚举启用了 Windows LAPS 的 Microsoft Entra ID 中的所有 Windows 设备。
- 本地管理员密码恢复授权 - 将基于角色的访问控制 (RBAC) 策略与自定义角色和管理单元结合使用。
- 审核本地管理员密码更新和恢复 - 使用审核日志 API/门户体验来监视密码更新和恢复事件。
- 本地管理员密码恢复的条件访问策略 - 在具有密码恢复授权的目录角色上配置条件访问策略。
毋庸置疑,基于Microsoft Entra ID 的 LAPS 方案以及通过 Intune 管理的 LAPS 策略是最易于部署和配置的。
官方参考资料:
HOWTO: 使用 Intune 为 Windows 启用本地管理员
HOWTO: 使用 Intune 为 Windows 启用本地管理员
前面 gOxiA 与大家分享了“HOWTO: 启用本地 Windows Autopilot 重置设备”,文中提到要使用该功能必须要启用本地管理员。对基于 Intune 管理的 Windows PC 来说实施起来并不复杂,今天我们就快速熟悉这一操作流程。
在 Intune 管理中心 转至 设备-配置-策略,新建策略,平台为 Windows 10 和更高版本,配置文件类型为 设置目录。
在 设置选取器 中找到 本地策略安全选项,然后勾选“账户 - 启用 Administrator 账户状态”。
该策略对应的 CSP 为 Accounts_EnableAdministratorAccountStatus,详细信息如下:
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
格式:Int
值:1 启用;0 禁用(默认)
需要注意:如果在禁用管理员帐户后尝试重新启用管理员帐户,并且当前管理员密码不符合密码要求,则无法重新启用该帐户。
最后分配该策略,例如:所有设备,完成这些操作即完成配置。出于安全性考虑,我们也可以同时勾选“账户 - 重命名 Administrator 账户”,以降低穷举类的攻击。该策略对应的 CSP 为 Accounts_RenameAdministratorAccount,详细信息如下:
./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_RenameAdministratorAccount
格式:chr
虽然很轻松的完成了启用本地管理员的配置,但本地管理员的密码管理问题不容忽视。在过去我们需要编写一个脚本来配置本地管理员(Administrator)的密码,但无法实现动态维护,且存在一些安全隐患。现在,Microsoft Entra(AAD)内置了 LAPS(Windows Local Administrator Password Solution)的支持,可以很轻松的实现本地管理员密码轮换和管理,针对 LAPS 的启用会另起一篇日志与大家分享。
