Windows LAPS ist ein von Microsoft entwickeltes Tool zur Verwaltung lokaler Administratorkennwörter in Windows-Umgebungen. Es ermöglicht Administratoren, zufallsgenerierte und eindeutige Passwörter für lokale Administratorkonten auf Windows-Computern zu erstellen und zu verwalten. Neben der Verwaltung von lokalen Administratorpasswörtern bietet Windows LAPS auch die Möglichkeit, die generierten Passwörter sicher im Azure Active Directory (AD) zu speichern.
Wie du nun das Azure AD und die benötigten Richtlinien für Windows LAPS im Intune konfigurierst, zeige ich dir in diesem Beitrag.
Table of Contents
- Ersteinrichtung (nur Deutsch)
- Konfiguration im Azure AD
- LAPS Benutzer manuell erstellen (bevorzugt)
- Lokalen Administrator aktivieren und umbenennen
- Windows LAPS Policy in Intune
- LAPS Passwörter anzeigen
- Kennwort manuell rotieren
- Zusammenfassung
Ersteinrichtung (nur Deutsch)
Konfiguration im Azure AD
Im Azure AD musst du das Feature nur mit einem Klick aktivieren.
Dies machst du unter:
Entra / Azure AD
Devices > Device settings:
"Enable Azure AD Local Administrator Password Solution (LAPS)" > Yes
In der Geräte Übersicht im Azure AD sowie Intune wirst du den Menüpunkt "Local administrator password recovery" bereits vor der Aktivierung sehen. Er wird aber leer bleiben und wenn du eine Richtlinie erstellst, nicht abgefüllt werden.
LAPS Benutzer manuell erstellen (bevorzugt)
LAPS bietet erhöhte Sicherheit durch die Verwaltung von sich häufig ändernden Passwörtern für lokale Administratorkonten. Standardmäßig zielt es jedoch häufig auf das integrierte Administratorkonto (identifiziert durch eine bekannte Sicherheits-ID oder SID) ab. Dies funktioniert zwar, aber die Erstellung eines separaten lokalen Administratorkontos speziell für LAPS bietet zusätzliche Vorteile:
- Verringerte Angriffsfläche: Das integrierte Administratorkonto ist ein Hauptziel für Angreifer. Durch Deaktivieren dieses Kontos und Verwendung eines dedizierten LAPS-Kontos wird die Angriffsfläche und das potenzielle Risiko einer Kompromittierung verringert.
- Verbesserte Berechtigungsverwaltung: Da der einzige Zweck des dedizierten LAPS-Kontos in der Verwaltung von administrativen Aufgaben durch LAPS besteht, wird die Berechtigungsverwaltung gestärkt. Dies minimiert das Risiko unbefugter Zugriffsversuche auf das integrierte Administratorkonto.
- klare Trennung der Aufgaben: Ein separates Konto für LAPS bekräftigt das Prinzip der geringsten Privilegien. Es trennt administrative Aufgaben, die von LAPS verwaltet werden, von anderen potenziellen Verwendungen des integrierten Administratorkontos.
- Flexibilität bei der Kontoverwaltung: Ein dediziertes LAPS-Konto ermöglicht Ihnen die Verwaltung seiner Berechtigungen und die Deaktivierung bei Bedarf, ohne das integrierte Administratorkonto zu beeinträchtigen.
Das Erstellen eines dedizierten lokalen Administratorkontos für LAPS ist ein einfacher Prozess, der per Script durchgeführt werden kann.
Lokalen Administrator aktivieren und umbenennen
Um nicht vom Standardnamen des Administrators abhängig sein zu müssen, benennen wir diesen um. Im gleichen Zug aktivieren wir ihn auch gleich. Ein Passwort setzten wir aber nicht, da dies dann von LAPS übernommen wird.
Dazu erstellen wir ein neues Profil auf Basis des "Settings Catalogs:
Intune > Devices > Windows > Configuration profiles
+ Create profile
Aus den Settings fügen wird die folgenden zwei hinzu:
- Accounts Rename Administrator Account
- Accounts Enable Administrator Account Status
Diese findest du am schnellsten mit der Kategorie "Local Policies Security Options"
Hier aktiveren wir den Account dann und vergeben den gewünschten Namen.
Bei der Zuweisung macht es Sinn, dies zuerst auf eine Testgruppe zu machen. Hier bist du aber frei, wichtig ist einfach, dass diese Settings auf alle Geräte, welche im nächsten Schritt die LAPS Policy erhalten, verteilt wird.
Windows LAPS Policy in Intune
Nachdem du nun Windows LAPS in Azure AD aktiviert und den lokalen Administrator angepasst hast, erstellst du eine Richtlinie im Microsoft Intune Admin Center. Mit dieser Richtlinie definierst du unter anderem Komplexität und Zyklus der Kennwörter.
Erstellt wird sie in Intune unter:
Endpoint security > Account protection
+ Create Policy (Windows 10 and later, Local admin password solution (Windows LAPS))
In den Settings kannst du nun das Verhalten des Accounts und den Speicherort des Kennworts auswählen:
LAPS Passwörter anzeigen
Die durch Windows LAPS generierten Passwörter, welche im Azure AD abgespeichert werden, können über verschiedene Wege eingesehen werden. Nachstehend gehe ich auf die Wege via Intune und Azure AD beziehungsweise Entra ein.
Es ist auch möglich, die Kennwörter via PowerShell Graph API auszulesen. Dazu findest du auf Microsoft Learn einen Beitrag: Get started with Windows LAPS and Azure Active Directory | Microsoft Learn
LAPS Kennwörter in Intune
In Intune kannst du die Passwörter auf jedem Windows Objekt, für welches LAPS konfiguriert ist, kopieren / anzeigen.
- Devices > Windows > Select a Device
> Local admin password
LAPS Kennwörter in Entra / Azure AD
In Entra und im Azure AD hast du eine schöne Übersicht zu allen Geräten / Passwörter.
Diese findest du unter:
- Devices > Local administrator password recovery
Kennwort manuell rotieren
Möchtest du nicht bis zum Ablauf eines Kennworts warten und es vorgängig rotieren, kannst du das entweder via Intune oder PowerShell machen. Der Weg via PowerShell ist beim oben erwähnten Artikel auf Microsoft Learn beschrieben.
In Intune funktioniert es auf jedem Gerät, ganz einfach via "Device Action".
Wähle das Gerät dazu in der Übersicht aus und klicke auf "Rotate local admin password" und anschliessend auf "Yes".
Zusammenfassung
Dass Windows LAPS jetzt cloud-nativ in Azure AD und mit Intune funktioniert, ist grossartig. Darauf habe ich lange gewartet. Die ersten Erfahrungen sind sehr gut und ich bin mir sicher, dass viele Organisationen diese Funktionalität adaptieren werden. Dass der lokale Administrator separat konfiguriert werden muss, ist etwas unschön, aber zum Glück einfach zu handhaben.
Generell mal Danke für diesen - aber auch die anderen sehr hilfreichen Beiträge hier!
Sehr gerne und vielen Dank für Dein Feedback! 🙂
Hallöchen,
ist das LAPS Kennwort in Azure sicher? Ist es BestPractise und von Microsoft empfohlen? Überlege es auch von lokal in die Cloud zu legen.
Hallo Jan, ja das ist da verschlüsselt und macht einiges einfacher (gerade, wenn die Geräte nicht im Haus sind).
Einziger Punkt, der aktuell noch von einem Switch hindern könnte ist, dass es in Entra noch keine schöne Rolle für das Einsehen des LAPS-Kennworts gibt. Stand jetzt braucht der User die Intune Admin Rolle. Da geht aber sicher bald was.
Hallo Florian -
Laut Microsoft dürfen das Passwort nur die Rollen "Global Administrator", "Intune Administrator" oder der "Cloudgeräteadministrator" auslesen. Das taugt aber für die Praxis kaum.
Ich habe eine benutzerdefinierte Rolle für meine Standort-Admins gebaut, mit der Berechtigung:
"microsoft.directory/deviceLocalCredentials/password/read" und
"microsoft.directory/deviceLocalCredentials/standard/read"
Funktioniert aber nicht. Kannst du mir sagen, was fehlt oder wie die Rolle aussehen müsste?
Vielen Dank vorweg !!
Bin ich völlig bei dir 😉
Hast du die Rolle gemäs diesem Artikel gemacht? https://learn.microsoft.com/en-us/mem/intune/protect/windows-laps-overview#role-based-access-controls-for-laps
Hallo Florian,
dank diesem Artikel konnte ich es realisieren:
https://niklastinner.medium.com/windows-laps-azure-ad-and-administrative-units-f3ca4972ec87
Hallo Florian,
kann ich die Rotation nach X Tagen auch generell abschalten? LAPS-Beschreibung kann ich nur zwischen 1 und 365 Tagen wählen. Was aber, wenn ich den Knopf bei "Kennwortalter in Tagen" gar nicht aktiviere? Rotiert er dann nicht oder nimmt er den Standardwert von 30 Tagen?
Hallo Frank,
Ohne konfiguration nimmt er den Standart Wert von 30 Tagen.
Hast du einen speziellen Grund, warum du die Rotation abschalten möchtest?