TeamViewer 中的 Windows LAPS(本地管理员密码解决方案)集成可帮助 IT 管理员在远程支持会话期间安全地检索和注入本地管理员凭据。这种集成可确保在不影响安全性或暴露密码的情况下提升访问权限。它的工作原理是将 TeamViewer 连接到 Microsoft Entra ID 和 Intune,允许直接从 TeamViewer 会话中注入密码和可选轮换。
本文适用于所有 TeamViewer Tensor 许可证持有者。
要求
若要使用 Windows LAPS 集成,请执行以下操作:
- 目标设备必须满足以下条件:
- TeamViewer 托管设备 , 并运行 至少是2025年发布的 TeamViewer 版本。
- 已部署 Windows LAPS 策略 。
- 作为公司设备加入 Entra 或 Intune 注册 (不支持 BYOD,即自带设备) 。
- 支持人员必须满足以下条件:
- 在 Windows 上使用 TeamViewer 完整客户端。
- 拥有 Entra 租户权限,可访问设备凭据。
- 必须在 Web 客户端的 TeamViewer 管理员设置 中启用集成。
如何设置 Windows LAPS 集成
步骤 1:将 TeamViewer 连接到 Entra 租户
- 打开 TeamViewer Web 客户端 并转到 管理员设置 ➜ 常规 ➜ 集成。
- 单击 “授权” 以开始连接过程。
- 使用有权授权连接的 Microsoft 帐户登录。
- 代表您的公司确认连接。
步骤 2:启用 LAPS 集成连接器
- 在同一 集成部分 中,单击 LAPS 集成下的 授权 。
- 系统会重定向到 Entra,以批准连接器的权限:
- DeviceLocalCredential.Read.All
- DeviceManagementManagedDevices.Read.All
- DeviceManagementManagedDevices.PrivilegedOperations.All
注意: 这些是使用 LAPS 集成的支持者将通过其 TeamViewer 客户端使用的权限。支持者的设备直接从 Intune 租户请求所有密码,确保它们保留在基础结构中。
- 授权后,返回 TeamViewer 并 打开或关闭集成。
- (可选)在每次会话后启用 密码轮换 。
步骤 3:在会话期间使用 Windows LAPS 集成
- 使用 TeamViewer 完整客户端连接到 托管设备 。
- 从会话工具栏打开 Windows LAPS 集成 。
- 单击 使用 Entra 授权并 登录。
- 授权后,单击自动 填充密码 以将管理员密码注入远程设备。
与安全相关的信息
- 密码作为击键安全地注入,并且永远不会通过 TeamViewer 后台系统。
- 该集成使用 PKCE 进行安全令牌交换。
- 所有密码请求都是从支持者设备向 Intune 租户发出的。密码永远不会通过 TeamViewer 的云基础设施传输。