Windows LAPS | Entra ID (ehem. Azure AD)

Windows LAPS ist ein von Microsoft entwickeltes Tool zur Verwaltung lokaler Administratorkennwörter in Windows-Umgebungen. Es ermöglicht Administratoren, zufallsgenerierte und eindeutige Passwörter für lokale Administratorkonten auf Windows-Computern zu erstellen und zu verwalten. Neben der Verwaltung von lokalen Administratorpasswörtern bietet Windows LAPS auch die Möglichkeit, die generierten Passwörter sicher im Azure Active Directory (AD) zu speichern.
Wie du nun das Azure AD und die benötigten Richtlinien für Windows LAPS im Intune konfigurierst, zeige ich dir in diesem Beitrag.

Table of Contents

• Ersteinrichtung (nur Deutsch)
• Konfiguration im Azure AD
• Lokalen Administrator aktivieren und umbenennen
• Windows LAPS Policy in Intune
• LAPS Passwörter anzeigen
  • LAPS Kennwörter in Intune
  • LAPS Kennwörter in Entra / Azure AD
• Kennwort manuell rotieren
• Zusammenfassung

Ersteinrichtung (nur Deutsch)

Konfiguration im Azure AD

Im Azure AD musst du das Feature nur mit einem Klick aktivieren.
Dies machst du unter:
Entra / Azure AD
Devices > Device settings:
"Enable Azure AD Local Administrator Password Solution (LAPS)" > Yes

In der Geräte Übersicht im Azure AD sowie Intune wirst du den Menüpunkt "Local administrator password recovery" bereits vor der Aktivierung sehen. Er wird aber leer bleiben und wenn du eine Richtlinie erstellst, nicht abgefüllt werden.

Lokalen Administrator aktivieren und umbenennen

Um nicht vom Standardnamen des Administrators abhängig sein zu müssen, benennen wir diesen um. Im gleichen Zug aktivieren wir ihn auch gleich. Ein Passwort setzten wir aber nicht, da dies dann von LAPS übernommen wird.

Dazu erstellen wir ein neues Profil auf Basis des "Settings Catalogs:
Intune > Devices > Windows > Configuration profiles
+ Create profile

Aus den Settings fügen wird die folgenden zwei hinzu:
- Accounts Rename Administrator Account
- Accounts Enable Administrator Account Status

Diese findest du am schnellsten mit der Kategorie "Local Policies Security Options"
Hier aktiveren wir den Account dann und vergeben den gewünschten Namen.

Bei der Zuweisung macht es Sinn, dies zuerst auf eine Testgruppe zu machen. Hier bist du aber frei, wichtig ist einfach, dass diese Settings auf alle Geräte, welche im nächsten Schritt die LAPS Policy erhalten, verteilt wird.

Windows LAPS Policy in Intune

Nachdem du nun Windows LAPS in Azure AD aktiviert und den lokalen Administrator angepasst hast, erstellst du eine Richtlinie im Microsoft Intune Admin Center. Mit dieser Richtlinie definierst du unter anderem Komplexität und Zyklus der Kennwörter.

Erstellt wird sie in Intune unter:
Endpoint security > Account protection
+ Create Policy (Windows 10 and later, Local admin password solution (Windows LAPS))

In den Settings kannst du nun das Verhalten des Accounts und den Speicherort des Kennworts auswählen:

LAPS Passwörter anzeigen

Die durch Windows LAPS generierten Passwörter, welche im Azure AD abgespeichert werden, können über verschiedene Wege eingesehen werden. Nachstehend gehe ich auf die Wege via Intune und Azure AD beziehungsweise Entra ein.

Es ist auch möglich, die Kennwörter via PowerShell Graph API auszulesen. Dazu findest du auf Microsoft Learn einen Beitrag: Get started with Windows LAPS and Azure Active Directory | Microsoft Learn

LAPS Kennwörter in Intune

In Intune kannst du die Passwörter auf jedem Windows Objekt, für welches LAPS konfiguriert ist, kopieren / anzeigen.

• Devices > Windows > Select a Device
  > Local admin password

LAPS Kennwörter in Entra / Azure AD

In Entra und im Azure AD hast du eine schöne Übersicht zu allen Geräten / Passwörter.
Diese findest du unter:

• Devices > Local administrator password recovery

Kennwort manuell rotieren

Möchtest du nicht bis zum Ablauf eines Kennworts warten und es vorgängig rotieren, kannst du das entweder via Intune oder PowerShell machen. Der Weg via PowerShell ist beim oben erwähnten Artikel auf Microsoft Learn beschrieben.

In Intune funktioniert es auf jedem Gerät, ganz einfach via "Device Action".
Wähle das Gerät dazu in der Übersicht aus und klicke auf "Rotate local admin password" und anschliessend auf "Yes".

Zusammenfassung

Dass Windows LAPS jetzt cloud-nativ in Azure AD und mit Intune funktioniert, ist grossartig. Darauf habe ich lange gewartet. Die ersten Erfahrungen sind sehr gut und ich bin mir sicher, dass viele Organisationen diese Funktionalität adaptieren werden. Dass der lokale Administrator separat konfiguriert werden muss, ist etwas unschön, aber zum Glück einfach zu handhaben.