Windows LAPS (Local Administrator Password Solution) bietet die zentrale, einfache und sichere Verwaltung von lokalen Administratorkennwörtern in Microsoft Intune. Jedes Gerät erhält ein eigenes, zeitlich befristetes Administratorkennwort. Windows LAPS verwaltet die Administratorkennwörter in Bezug auf Ablauf und Rotation selbständig. Die Administratorkennwörter werden entweder in Azure Active Directory oder lokalem Active Directory gespeichert.
Windows LAPS bietet damit höheren Schutz z.B. gegen Pass-the-Hash und Lateral Traversal-Angriffen.
Diese Anleitung konfiguriert Windows LAPS in Microsoft Intune mit Administratorkennwörter in Azure Active Directory.
Voraussetzungen und Lizenzierung
Windows LAPS in Microsoft Intune hat folgende Anforderungen:
Microsoft Intune Service Level April 2023 (2304) oder neuer
Folgende Betriebssysteme werden für Windows LAPS unterstützt:
- Windows 11 22H2 – April 11 2023 Update
- Windows 11 21H2 – April 11 2023 Update
- Windows 10 – April 11 2023 Update
- Windows Server 2022 – April 11 2023 Update
- Windows Server 2019 – April 11 2023 Update
Lizenzierung
- Azure AD Free oder höher
(bei der Verwendung von Verwaltungseinheiten Azure AD Premium 1 oder höher) - Microsoft Intune Plan 1 oder höher
Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.
Rollen
Um das lokale Administratorkenntwort abzurufen, ist eine Rolle mit der Berechtigung microsoft.directory/deviceLocalCredentials/password/read notwendig. Diese Berechtigung ist Bestandteil der folgenden Rollen:
- globaler Administrator
- Intune Administrator
- Cloudgeräteadministrator
Windows LAPS aktivieren
Die Aktivierung von Windows LAPS wird im Azure Portal (https://portal.azure.com) durchgeführt.
Öffne Azure Active Directory > Devices > Device Settings und aktiviere das Feature Enable Azure AD Local Administrator Password Solution (LAPS)
Windows LAPS konfigurieren
Intune Richtlinie erstellen
Die Richtlinie für Windows LAPS wird im Microsoft Intune admin center (https://endpoint.microsoft.com) erstellt.
Öffne Endpoint Security > Account protection und erstelle eine neue Richtlinie mit Create Policy
Plattform Windows 10 and later und Profil Local admin password solution (Windows LAPS) auswählen und die Richtlinie mit Create erstellen
Einen aussagekräftigen Namen für die neue Richtlinie hinterlegen.
Konfigurationseinstellungen festlegen:
- Speicherort des lokalen Administratorkennworts angeben
- maximales Kennwortalter, bevor das Kennwort rotiert wird, festlegen
– ohne Angaben wird das Kennwort alle 30 Tage rotiert
– bei Speicherort Azure AD ist der minimal zulässige Wert 1 Tag
– bei Speicherort AD ist der mininal zulässige Wert 7 Tage
– maximal Wert beträgt 365 Tage - Kontoname für Administrator wählen
– ohne Angabe wird Administrator verwendet - Kennwortkomplexität auswählen
– ohne Angabe werden Gross- und Kleinbuchstaben, Zahlen und Sonderzeichen verwendet - Kennwortlänge (Empfehlung: > 24 Zeichen)
– ohne Angabe werden 8 Zeichen verwendet - Aktion auswählen, die nach der Authentifizierung ausgeführt wird
– ohne Angabe wird das Kennwort geändert und das Konto abgemeldet - Zeitspanne, bis die gewählte Aktion aus «Aktion nach der Authentifizierung» (Punkt 6) ausgeführt wird
– ohne Angabe wird die Verzögerung auf 24 Stunden gesetzt
– Zulässige Werte liegen zwischen 0 (deaktiviert) und 24 Stunden
Die Tags können nach eigenen Vorgaben hinzugefügt werden.
Die Zuweisung an Geräte kann hier individuell den eigenen Bedürfnissen angepasst werden.
Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Create wird die Richtlinie für Windows LAPS erstellt.
Nach kurzer Zeit ist die neue Richtlinie für Windows LAPS erstellt.
Lokales Administratorkonto aktivieren
Das lokale Administratorkonto ist standardmässig auf jedem Windows Gerät deaktiviert. Für die erfolgreiche Verwendung von Windows LAPS stellt ein Konfigurationsprofil sicher, dass das lokale Administratorkonto auf dem Gerät aktiviert ist. Das Konfigurationsprofil wird im Microsoft Intune admin center (https://endpoint.microsoft.com) erstellt.
Öffne Devices > Configuration profiles und erstelle ein neues Profil mit Create profile
Plattform Windows 10 and later und Profiltyp Templates auswählen.
Als Template Custom auswählen.
Einen aussagekräftigen Namen für das neue Profil hinterlegen.
Die folgenden Einstellungen aktivieren das lokale Administratorenkonto:
Name: frei wählbar
OMA-URI: ./Device/Vendor/MSFT/Policy/Config/LocalPoliciesSecurityOptions/Accounts_EnableAdministratorAccountStatus
Datentyp: Ganze Zahl
Wert: 1
Die Zuweisung an Geräte kann hier individuell den eigenen Bedürfnissen angepasst werden.
Falls benötigt, können die Anwendbarkeitsregeln definiert werden.
Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Create wird das Profil erstellt.
Nach kurzer Zeit ist das Konfigurationsprofil für das aktivieren des lokalen Administratorkontos erstellt.
Windows LAPS Kennwort abrufen
Es gibt mehrere Möglichkeiten, das lokale Administratorkennwort eines Geräts abzurufen. Nachfolgend ist das Vorgehen für Microsoft Entra, Microsoft Azure Portal und Microsoft Intune beschrieben.
Microsoft Entra
Anmelden am Microsoft Entra admin center (https://entra.microsoft.com/).
Devices > All devices öffnen und Gerät auswählen, von welchem das lokale Administratorkennwort angezeigt werden soll.
Unter Local admin password > Show local administrator password werden der Benutzername für den lokalen Administrator und das Kennwort angezeigt.
Microsoft Azure Portal
Anmelden am Microsoft Azure Portal (https://portal.azure.com).
Azure Active Directory > Devices > All devices öffnen und Gerät auswählen, von welchem das lokale Administratorkennwort angezeigt werden soll.
Unter Local admin password > Show local administrator password werden der Benutzername für den lokalen Administrator und das Kennwort angezeigt.
Microsoft Intune
Anmelden am Microsoft Intune admin center (https://endpoint.microsoft.com).
Devices > Windows öffnen
Gerät auswählen, von welchem das lokale Administratorkennwort angezeigt werden soll.
Unter Local admin password > Show local administrator password werden der Benutzername für den lokalen Administrator und das Kennwort angezeigt.
Wer hat das lokale Administratorkennwort abgerufen?
In den Audit Logs in Microsoft Entra ist ersichtlich, welcher User Principal Name das lokale Administratorkennwort abgerufen hat.
Microsoft Entra > Monitoring & health > Audit logs öffnen
Filter auf die Ausgabe setzen:
- Service = Device Registration Service
- Activity = Recover device local administrator password
Log Eintrag des Geräts öffnen
Das detaillierte Audit Log zeigt beim Eintrag Successfully recovered local credential by device id unter User Principal Name jenen Account an, welcher das lokale Administratorkennwort angezeigt hat.
Windows LAPS Kennwort Abfrage auf eine Gruppe von Geräten beschränken
Mithilfe von Verwaltungseinheiten können Zugriffe auf Windows LAPS Kennworte granular gesteuert werden. Der Benutzer erhält nur auf die Verwaltungseinheit die Rolle des Cloudgeräteadministrators. Damit wird sichergestellt, dass der Benutzer mit Windows LAPS nur die Kennworte von Geräten anzeigen darf, welche dieser Verwaltungseinheit zugeordnet sind.
Die Verwendung von Verwaltungseinheiten setzt eine Azure AD Premium 1 Lizenz voraus.
Verwaltungseinheit anlegen
Die Verwaltungseinheit wird in Microsoft Entra oder dem Azure Portal angelegt. Diese Anleitung verwendet Microsoft Entra.
Verwaltungseinheit unter Roles & admins > Admin units > Add anlegen.
Name für Verwaltungseinheit eingeben.
Alle Benutzer der Rolle Geräteadministrator zuweisen, welche die Windows LAPS Kennwörter der Geräte dieser Verwaltungseinheit abrufen dürfen.
Verwaltungseinheit mit Create erstellen.
Geräte einer Verwaltungseinheit zuweisen
Verwaltungseinheit in Microsoft Entra unter Roles & admins > Admin units aufrufen.
Devices > Add devices aufrufen und Geräte der Verwaltungseinheit zuweisen.
Benutzer mit der Rolle Geräteadministrator auf dieser Verwaltungseinheit können nun die Windows LAPS Kennworte aller aufgeführten Geräte abrufen.
Bei berechtigten Geräten wird Local administrator password recovery angezeigt.
Bei unberechtigten Geräte wird Local administrator password recovery nicht angezeigt.
Windows LAPS Kennworthistorie abrufen
PowerShell ermöglicht es, die Kennworthistorie des lokalen Administratorkontos auszulesen. Dies kann nützlich sein, wenn ein Gerät auf einen früheren Wiederherstellungspunkt zurückgesetzt wird und dadurch das aktuelle lokale Administratorkennwort nicht gültig ist. Mit PowerShell werden maximal die letzten drei lokalen Administratorenkennworte angezeigt.
Um die Windows LAPS Kennworthistorie abrufen zu können, wird das PowerShell Cmdlet Microsoft.Graph benötigt.
1 | Install-Module microsoft.graph -Scope AllUsers |
Verbindung zu Microsoft Graph herstellen und die beiden Berechtigungen Device.Read.All und DeviceLocalCredential.Read.All setzen.
1 | Connect-MgGraph -Scope "Device.Read.All","DeviceLocalCredential.Read.All" |
Mit dem cmdlet Get-LapsAADPassword werden die letzten drei lokalen Administratorkennworte angezeigt.
Parameter -DeviceIDs mit dem Gerätenamen ersetzen.
1 | Get-LapsAADPassword -DeviceIds OMUVWSWX001 -IncludePasswords -AsPlainText -IncludeHistory |
Die Ausgabe zeigt die letzten drei lokalen Administratorkennworte (1-3) in Klartext mit dem jeweiligen Ablaufdatum an.
Windows LAPS Kennwort manuell rotieren
Windows LAPS rotiert das Kennwort automatisch gemäss Einstellungen in den Richtlinien. Wenn das Kennwort vor Erreichen des maximalen Kennwortalters geändert werden muss, muss dies manuell im Microsoft Intune admin center (https://endpoint.microsoft.com) durchgeführt werden.
Devices > Windows öffnen
Gerät auswählen, auf welchem das Kennwort für den lokalen Administrator rotiert werden soll.
In der Übersicht (Overview) auf die drei Punkte klicken und Rotate local admin password auswählen.
Die Meldung mit Yes bestätigen. Beim nächsten Neustart rotiert Windows LAPS das Kennwort auf diesem Geräts.
Fehlersuche und Fehlerbehebung
Windows LAPS speichert die Aktivitäten in den folgenden Protokollen.
Überwachungsprotokoll in Microsoft Intune
In den Überwachungsprotokollen von Microsoft Intune admin center (https://endpoint.microsoft.com) werden alle Aktivitäten von Windows LAPS geschrieben.
Öffne Tenant administration > Audit logs > Filter
Setze den Filter Category auf Device
Log Eintrag auswählen, um mehr Details zum Ereignis zu erhalten.
Ereignisanzeige auf Gerät
Aktivitäten von Windows LAPS werden in der Ereignisanzeige des Geräts gespeichert.
Öffne Event Viewer > Application and Services Logs > Microsoft > Windows > LAPS um die Aktivitäten zu verfolgen.
Folge mir auf LinkedIn und lasse Dich über meine aktuellen Beiträge informieren.