Windows LAPS mit AzureAD und Intune

von Fabian Alfes
27. April 2023
2 Minuten zu lesen
Autor
Fabian Alfes
Mein Name ist Fabian Alfes und ich bin Ihr Ansprechpartner für alle Themen rund um Cloud & Collaboration, on-Prem, Hybrid oder Cloud-only. Kommen Sie mit Ihren individuellen Projekten gerne auf mich zu.
Zum Experten Profil
Teilen:
Kategorien:
  • Cloud & Collaboration

LAPS für Windows in klassischen On-Premise Umgebungen gibt es schon lange. Nach langer Wartezeit und „private Preview“ steht LAPS nun in „public preview“ zur Verfügung.

Voraussetzungen:

  • Mindestens Windows 10 20H2, Windows 11 21H2 oder Windows Server 2019 mit den Sicherheitsupdates vom 11.04.2023

Mit diesen Updates wird LAPS direkt in das Betriebssystem integriert. Eine manuelle Installation ist nicht mehr notwendig.

Konfiguration

Entra Admin Center

LAPS muss zunächst global im Tenant aktiviert werden.

Quelle: https://entra.microsoft.com/#view/Microsoft_AAD_Devices/DevicesMenuBlade/~/DeviceSettings/menuId/Devices

Intune Admin Center

Alle weiteren Einstellungen werden dann in Intune konfiguriert. Unter Endpunktsicherheit -> Kontoschutz werden die Einstellungen vorgenommen.

Quelle: https://endpoint.microsoft.com/#view/Microsoft_Intune_Workflows/SecurityManagementMenu/~/accountprotection

Weitere Infos

Die LAPS-Richtlinie legt das zu verwaltende Konto auf dem Gerät nicht automatisch an. Das muss von anderer Stelle sichergestellt sein. Das ist über Intune z.B. mit OMA-URIs möglich.

Gibt man in der LAPS-Richtline keinen Kontonamen an, verwaltet LAPS das standardmäßige „Administrator“-Konto. Dieses ist aber grundsätzlich deaktiviert. Um es automatisiert zu aktiveren, kann Intune uns wiederrum behilflich sein.

Abrufen des Kennworts

Um das Kennwort nun abzurufen, gibt es mehrere Möglichkeiten. In Intune auf der Geräte-Detail Ansicht:

 

Oder in AzureAD bzw. Entra:

Quelle: https://techcommunity.microsoft.com/t5/intune-customer-success/announcing-windows-laps-management-through-microsoft-intune/ba-p/3801584

Mehr zur Einrichtung von LAPS finden Sie auch hier:

Microsoft LAPS – eine Anleitung für eine professionelle Einrichtung

Sollten Sie weitere Fragen zum Thema rund um LAPS haben, dann melden Sie sich gerne bei uns.

Was ist Microsoft LAPS?

Microsoft LAPS (Local Administrator Password Solution) ist ein kostenloser Zusatz für Microsoft Active Directory (AD), der es IT-Administratoren ermöglicht, automatisch zufällige, lokale Administratorkennwörter für Windows-Computer in einem Netzwerk zu generieren, zu verwalten und zu aktualisieren. Das Tool verbessert die Sicherheit, indem es sicherstellt, dass alle lokalen Administratorkennwörter innerhalb eines Netzwerks einmalig, zufällig und stark sind.

Microsoft LAPS ist eine einfache, aber wirksame Lösung zur Verbesserung der Sicherheit von Windows-Computern in einem Netzwerk. Unternehmen sollten es in Betracht ziehen, es als Teil ihrer IT-Sicherheitsstrategie zu implementieren, um das Risiko von Cyber-Angriffen zu minimieren.

Inhaltsverzeichnis:
Konfiguration
Weitere Infos
Abrufen des Kennworts
Was ist Microsoft LAPS?
Das könnte Sie auch interessieren
Microsoft LAPS: eine Anleitung für die professionelle Einrichtung Nutzen Sie bereits Microsoft LAPS, um Ihre Administratoren-Konten vor unbefugten Zugriffen zu schützen. Wir erklären Ihnen, was Microsoft LAPS kann und wie Sie es in den ersten Schritten professionell einrichten.
07.10.2022
David Hänel