Windows LAPS | Entra ID (ehem. Azure AD)
- Florian Salzmann
- Veröffentlicht am 02 May, 2023
- Aktualisiert am 18 Jun, 2024
- 03 Mins read
- Entra ID (ehem. Azure AD),Microsoft Intune,Windows 10,Windows 11,Security Baselines
Windows LAPS ist ein von Microsoft entwickeltes Tool zur Verwaltung lokaler Administratorkennwörter in Windows-Umgebungen. Es ermöglicht Administratoren, zufallsgenerierte und eindeutige Passwörter für lokale Administratorkonten auf Windows-Computern zu erstellen und zu verwalten. Neben der Verwaltung von lokalen Administratorpasswörtern bietet Windows LAPS auch die Möglichkeit, die generierten Passwörter sicher im Azure Active Directory (AD) zu speichern.
Wie du nun das Azure AD und die benötigten Richtlinien für Windows LAPS im Intune konfigurierst, zeige ich dir in diesem Beitrag.
Ersteinrichtung (nur Deutsch)
Konfiguration im Azure AD
Im Azure AD musst du das Feature nur mit einem Klick aktivieren.
Dies machst du unter:
Entra / Azure AD
Devices > Device settings:
“Enable Azure AD Local Administrator Password Solution (LAPS)” > Yes

In der Geräte Übersicht im Azure AD sowie Intune wirst du den Menüpunkt “Local administrator password recovery” bereits vor der Aktivierung sehen. Er wird aber leer bleiben und wenn du eine Richtlinie erstellst, nicht abgefüllt werden.
LAPS Benutzer manuell erstellen (bevorzugt)
LAPS bietet erhöhte Sicherheit durch die Verwaltung von sich häufig ändernden Passwörtern für lokale Administratorkonten. Standardmäßig zielt es jedoch häufig auf das integrierte Administratorkonto (identifiziert durch eine bekannte Sicherheits-ID oder SID) ab. Dies funktioniert zwar, aber die Erstellung eines separaten lokalen Administratorkontos speziell für LAPS bietet zusätzliche Vorteile:
- Verringerte Angriffsfläche: Das integrierte Administratorkonto ist ein Hauptziel für Angreifer. Durch Deaktivieren dieses Kontos und Verwendung eines dedizierten LAPS-Kontos wird die Angriffsfläche und das potenzielle Risiko einer Kompromittierung verringert.
- Verbesserte Berechtigungsverwaltung: Da der einzige Zweck des dedizierten LAPS-Kontos in der Verwaltung von administrativen Aufgaben durch LAPS besteht, wird die Berechtigungsverwaltung gestärkt. Dies minimiert das Risiko unbefugter Zugriffsversuche auf das integrierte Administratorkonto.
- klare Trennung der Aufgaben: Ein separates Konto für LAPS bekräftigt das Prinzip der geringsten Privilegien. Es trennt administrative Aufgaben, die von LAPS verwaltet werden, von anderen potenziellen Verwendungen des integrierten Administratorkontos.
- Flexibilität bei der Kontoverwaltung: Ein dediziertes LAPS-Konto ermöglicht Ihnen die Verwaltung seiner Berechtigungen und die Deaktivierung bei Bedarf, ohne das integrierte Administratorkonto zu beeinträchtigen.
Das Erstellen eines dedizierten lokalen Administratorkontos für LAPS ist ein einfacher Prozess, der per Script durchgeführt werden kann.
Create Local LAPS Account @GitHub
Lokalen Administrator aktivieren und umbenennen
Um nicht vom Standardnamen des Administrators abhängig sein zu müssen, benennen wir diesen um. Im gleichen Zug aktivieren wir ihn auch gleich. Ein Passwort setzten wir aber nicht, da dies dann von LAPS übernommen wird.
Dazu erstellen wir ein neues Profil auf Basis des “Settings Catalogs:
Intune > Devices > Windows > Configuration profiles
+ Create profile


Aus den Settings fügen wird die folgenden zwei hinzu:
- Accounts Rename Administrator Account
- Accounts Enable Administrator Account Status
Diese findest du am schnellsten mit der Kategorie “Local Policies Security Options”
Hier aktiveren wir den Account dann und vergeben den gewünschten Namen.


Bei der Zuweisung macht es Sinn, dies zuerst auf eine Testgruppe zu machen. Hier bist du aber frei, wichtig ist einfach, dass diese Settings auf alle Geräte, welche im nächsten Schritt die LAPS Policy erhalten, verteilt wird.
Windows LAPS Policy in Intune
Nachdem du nun Windows LAPS in Azure AD aktiviert und den lokalen Administrator angepasst hast, erstellst du eine Richtlinie im Microsoft Intune Admin Center. Mit dieser Richtlinie definierst du unter anderem Komplexität und Zyklus der Kennwörter.
Erstellt wird sie in Intune unter:
Endpoint security > Account protection
+ Create Policy (Windows 10 and later, Local admin password solution (Windows LAPS))

In den Settings kannst du nun das Verhalten des Accounts und den Speicherort des Kennworts auswählen:

LAPS Passwörter anzeigen
Die durch Windows LAPS generierten Passwörter, welche im Azure AD abgespeichert werden, können über verschiedene Wege eingesehen werden. Nachstehend gehe ich auf die Wege via Intune und Azure AD beziehungsweise Entra ein.
Es ist auch möglich, die Kennwörter via PowerShell Graph API auszulesen. Dazu findest du auf Microsoft Learn einen Beitrag: Get started with Windows LAPS and Azure Active Directory | Microsoft Learn
LAPS Kennwörter in Intune
In Intune kannst du die Passwörter auf jedem Windows Objekt, für welches LAPS konfiguriert ist, kopieren / anzeigen.
- Devices > Windows > Select a Device
> Local admin password

LAPS Kennwörter in Entra / Azure AD
In Entra und im Azure AD hast du eine schöne Übersicht zu allen Geräten / Passwörter.
Diese findest du unter:
- Devices > Local administrator password recovery

Kennwort manuell rotieren
Möchtest du nicht bis zum Ablauf eines Kennworts warten und es vorgängig rotieren, kannst du das entweder via Intune oder PowerShell machen. Der Weg via PowerShell ist beim oben erwähnten Artikel auf Microsoft Learn beschrieben.
In Intune funktioniert es auf jedem Gerät, ganz einfach via “Device Action”.
Wähle das Gerät dazu in der Übersicht aus und klicke auf “Rotate local admin password” und anschliessend auf “Yes”.

Zusammenfassung
Dass Windows LAPS jetzt cloud-nativ in Azure AD und mit Intune funktioniert, ist grossartig. Darauf habe ich lange gewartet. Die ersten Erfahrungen sind sehr gut und ich bin mir sicher, dass viele Organisationen diese Funktionalität adaptieren werden. Dass der lokale Administrator separat konfiguriert werden muss, ist etwas unschön, aber zum Glück einfach zu handhaben.



