Microsoftは4月の月例更新プログラムで、Windows LAPS(Local Administrator Password Solution)の提供を開始しました。この機能はWindows 10、Windows 11やサーバーで利用可能で、Azure Active Directoryに参加しているデバイス、またはWindows Server Active Directoryに参加しているデバイスのローカル管理者アカウントのパスワードを自動的に管理し、バックアップする事ができるというものです。
しかしこのWindows LAPSと従来のレガシーLAPSと間で相互運用の問題が発生しており、Microsoftが警告を行っています(Neowin)。
この情報によると、最新の月例更新プログラムが適用された環境にレガシーLAPS(MSIパッケージ)をインストールすると、レガシーおよび新しいWindows LAPSの両方が正常に機能しなくなるとのこと。この場合イベントログID 10031または10032が生成され「LAPS blocked an external request that tried to modify the password of the current managed account.」というメッセージが表示されるそうです。
Microsoftはこの問題の修正に取り組んでおり、レガシーLAPSをアンインストールするか、以下のレジストリキー以下の値を全て削除する回避策を案内しています。
HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\State
またこちらのページにもより詳細な回避策が掲載されています。
The April 11, 2023 update has two potential regressions related to interoperability with legacy LAPS scenarios. Please read the following to understand the scenario parameters plus possible workarounds.
Issue #1: If you install the legacy LAPS CSE on a device patched with the April 11, 2023 security update and an applied legacy LAPS policy, both Windows LAPS and legacy LAPS will enter a broken state where neither feature will update the password for the managed account. Symptoms include Windows LAPS event log IDs 10031 and 10033, as well as legacy LAPS event ID 6. Microsoft is working on a fix for this issue.
Two primary workarounds exist for the above issue:
a. Uninstall the legacy LAPS CSE (result: Windows LAPS will take over management of the managed account)
b. Disable legacy LAPS emulation mode (result: legacy LAPS will take over management of the managed account)
Issue #2: If you apply a legacy LAPS policy to a device patched with the April 11, 2023 update, Windows LAPS will immediately enforce\honor the legacy LAPS policy, which may be disruptive (for example if done during OS deployment workflow). Disable legacy LAPS emulation mode may also be used to prevent those issues.