Windows LAPS (Local Administrator Password Solution) bietet die zentrale, einfache und sichere Verwaltung von lokalen Administratorkennwörtern über Microsoft Intune. Jedes Gerät erhält ein eigenes, zeitlich befristetes lokales Administratorkennwort. Windows LAPS verwaltet die Administratorkennwörter eigenständig in Bezug auf Ablauf und Rotation. Die Kennwörter werden entweder in Microsoft Entra ID (ehemals Azure Active Directory) oder im lokalen Active Directory gespeichert.

Durch die zentrale Verwaltung aller lokalen Administratorkennwörter wird die Kontrolle und Überwachung vereinfacht. Die zeitgesteuerte Rotation der Kennwörter reduziert deren Expositionsdauer erheblich. Zudem wird der Zugriff auf die gespeicherten Kennwörter streng kontrolliert, was unbefugte Zugriffe erschwert und insgesamt die Sicherheit der Netzwerkumgebung erhöht.

Diese Anleitung zeigt, wie man Windows LAPS in Microsoft Intune konfiguriert, um lokale Administratorkennwörter in Microsoft Entra ID zu speichern.

Voraussetzungen und Lizenzierung

Betriebssysteme

Folgende vollständig gepatchte Betriebssysteme unterstützen Windows LAPS:

  • Windows 11: aktuelle unterstützte Version (empfohlen: Version 24H2, da sie Unterstützung bei der automatischen Verwaltung des Administratorkontos bietet)
  • Windows 10: Aktuelle unterstützte Version
  • Windows Server 2022
  • Windows Server 2019

Lizenzierung

  • Microsoft Entra ID Free oder höher
    (bei der Verwendung von Verwaltungseinheiten Microsoft Entra ID P1 oder höher)
  • Microsoft Intune Plan 1 oder höher

Eine Übersicht der Microsoft 365 Lizenzpakete mit deren Features kann unter https://m365maps.com/ abgerufen werden.

Rollen

Um das lokale Administratorkennwort abzurufen, ist eine Rolle mit der Berechtigung microsoft.directory/deviceLocalCredentials/password/read notwendig. Diese Berechtigung ist Bestandteil der folgenden Rollen:

  • globaler Administrator
  • Intune Administrator
  • Cloudgeräteadministrator

Windows LAPS aktivieren

Die Aktivierung von Windows LAPS wird im Microsoft Entra Admin Center (https://entra.microsoft.com) durchgeführt.

Identität > Geräte > Alle Geräte > Geräteeinstellungen öffnen und das Feature Aktivieren der lokalen Microsoft Entra-Administratorkennwortlösung (Local Administrator Password Solution, LAPS) aktivieren.

Windows LAPS konfigurieren

Intune Richtlinie erstellen

Die Richtlinie für Windows LAPS wird im Microsoft Intune Admin Center (https://intune.microsoft.com) erstellt.

Diese Anleitung nutzt die Funktionen zur automatischen Verwaltung des Administratorkontos und setzt Windows 11 24H2 voraus. Da diese Einstellungen zum Zeitpunkt des Erstellens dieses Posts noch nicht über das GUI vorgenommen werden können, wird eine Konfigurationsrichtlinie verwendet.

Neue Konfigurationsrichtlinie unter Geräte > Geräte verwalten > Konfiguration > Erstellen > Neue Richtlinie anlegen.

Plattform Windows 10 und höher (1), Profiltyp Vorlagen (2), Vorlage Benutzerdefiniert (3) auswählen und die Richtlinie mit Erstellen (4) erstellen.

Das Konfigurationsrichtlinie benennen (z.B. WCP_LAPS) und auf Weiter klicken.

Windows LAPS konfigurieren:
Alle Richtlinien sind ausführlich unter LAPS-CSP | Microsoft Learn beschrieben. Die nachfolgende Konfiguration von Windows LAPS dient als Vorschlag und kann individuell angepasst und erweitert werden kann.

Hinzufügen (1) anklicken und folgende OMA-URI Einstellungen setzen:

Name (2)OMA-URI (3)Datentyp (4)Wert (5)
Speicherort des lokalen Administratorkennworts./Device/Vendor/MSFT/LAPS/Policies/BackupDirectoryGanze Zahl1
Maximales Kennwortalter in Tagen, bevor das Kennwort rotiert wird./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDaysGanze Zahl30
Automatische Kontoverwaltung aktivieren./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabledBoolescher WertTrue
Automatisch verwaltetes Konto aktivieren./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccountBoolescher WertTrue
Name des Administratorkontos festlegen./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefixZeichenfolgeccladmin
Zufälliger nummerischer Suffix bei jeder Rotation an den Namen des Administratorkontos anhängen./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeNameBoolescher WertTrue
Konto festlegen, welches automatisch verwaltet wird./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTargetGanze Zahl1
Kennwortkomplexität festlegen./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexityGanze Zahl7
Kennwortlänge festlegen./Device/Vendor/MSFT/LAPS/Policies/PasswordLengthGanze Zahl16
Aktion auswählen, die nach der Authentifizierung ausgeführt wird./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActionsGanze Zahl3
Zeitspanne in Stunden, bis die gewählte Aktion ausgeführt wird./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelayGanze Zahl24

Die Zuweisung an Geräte kann hier individuell den eigenen Bedürfnissen angepasst werden.

Die Anwendbarkeitsregeln können bei Bedarf erstellt werden.

Die gewählten Einstellungen werden zur Prüfung nochmals angezeigt und mit einem Klick auf Erstellen wird die Richtlinie erstellt.

Nach kurzer Zeit ist die neue Richtlinie für Windows LAPS erstellt.

Windows LAPS Kennwort abrufen

Es gibt mehrere Möglichkeiten, das lokale Administratorkennwort eines Geräts abzurufen. Nachfolgend ist das Vorgehen für Microsoft Entra Admin Center, Microsoft Azure Portal und Microsoft Intune beschrieben.

Microsoft Entra

Anmelden am Microsoft Entra Admin Center (https://entra.microsoft.com/).

Identität > Geräte > Alle Geräte öffnen und Gerät auswählen, von welchem das lokale Administratorkennwort angezeigt werden soll.

Unter Wiederherstellung des lokalen Administratorkennworts > Lokales Administratorkennwort anzeigen werden der Benutzername für den lokalen Administrator und das Kennwort angezeigt.

Microsoft Azure Portal

Anmelden am Microsoft Azure Portal (https://portal.azure.com).

Microsoft Entra ID > Verwalten > Geräte > Alle Geräte öffnen und Gerät auswählen, von welchem das lokale Administratorkennwort angezeigt werden soll.

Unter Wiederherstellung des lokalen Administratorkennworts > Lokales Administratorkennwort anzeigen werden der Benutzername für den lokalen Administrator und das Kennwort angezeigt.

Windows LAPS in Microsoft Azure Portal - Show credentials of local administrator

Microsoft Intune

Anmelden am Microsoft Intune Admin Center (https://intune.microsoft.com).

Geräte > Nach Plattform > Windows öffnen

Gerät auswählen, von welchem das lokale Administratorkennwort angezeigt werden soll.

Unter Lokales Administratorkennwort > Lokales Administratorkennwort anzeigen werden der Benutzername für den lokalen Administrator und das Kennwort angezeigt.

Wer hat das lokale Administratorkennwort abgerufen?

In den Audit Logs von Microsoft Entra lässt sich klar nachvollziehen, welcher User Principal Name Zugriff auf das lokale Administratorkennwort hatte.

Microsoft Entra Admin Center (https://entra.microsoft.com) > Identität > Überwachung und Integrität > Überwachungsprotokolle öffnen.
Filter auf die Ausgabe setzen:

  • Dienst (1) = Device Registration Service
  • Aktivität (2) = Recover device local administrator password
  • Ziel (3) = entspricht dem Hostnamen des Geräts. Sollte der Filter nicht sichtbar sein, kann dieser durch die Option Filter hinzufügen ergänzt werden

Log Eintrag des Geräts öffnen.

Im detaillierten Audit Log wird der Account, der das lokale Administratorkennwort eingesehen hat, unter dem Abschnitt Benutzerprinzipalname aufgeführt.

Windows LAPS Kennwort Abfrage auf eine Gruppe von Geräten beschränken

Mithilfe von Verwaltungseinheiten können Zugriffe auf Windows LAPS Kennworte granular gesteuert werden. Der Benutzer erhält nur auf die Verwaltungseinheit die Rolle des Cloudgeräteadministrators. Damit wird sichergestellt, dass der Benutzer mit Windows LAPS nur die Kennwörter von Geräten anzeigen darf, welche dieser Verwaltungseinheit zugeordnet sind.
Die Verwendung von Verwaltungseinheiten setzt eine Microsoft Entra ID P1 Lizenz voraus.

Verwaltungseinheit anlegen

Die Verwaltungseinheit wird in Microsoft Entra Admin Center oder dem Azure Portal angelegt. Diese Anleitung verwendet Microsoft Entra Admin Center (https://entra.microsoft.com).

Verwaltungseinheit unter Identität > Rollen und Administratoren > Verwaltungseinheiten > Hinzufügen anlegen.

Name für Verwaltungseinheit eingeben.

Alle Benutzer der Rolle Geräteadministrator zuweisen, welche die Windows LAPS Kennwörter der Geräte dieser Verwaltungseinheit abrufen dürfen.

Verwaltungseinheit mit Erstellen erstellen.

Die Verwaltungseinheit ist erstellt.

Geräte einer Verwaltungseinheit zuweisen

Verwaltungseinheit im Microsoft Entra Admin Center (https://entra.microsoft.com) unter Identität > Rollen und Administratoren > Verwaltungseinheiten auswählen.

Geräte > Gerät hinzufügen aufrufen.

Geräte der Verwaltungseinheit zuweisen.

Benutzer mit der Rolle Geräteadministrator auf dieser Verwaltungseinheit können nun die Windows LAPS Kennworte aller aufgeführten Geräte abrufen.

Bei berechtigten Geräten wird Wiederherstellung des lokalen Administratorkennworts angezeigt.

Bei unberechtigten Geräten wird Wiederherstellung des lokalen Administratorkennworts nicht angezeigt.

Windows LAPS Kennworthistorie abrufen

PowerShell ermöglicht es, die Kennworthistorie des lokalen Administratorkontos auszulesen. Dies kann nützlich sein, wenn ein Gerät auf einen früheren Wiederherstellungspunkt zurückgesetzt wird und dadurch das aktuelle lokale Administratorkennwort nicht gültig ist. Mit PowerShell werden maximal die letzten drei lokalen Administratorenkennworte angezeigt.

Um die Windows LAPS Kennworthistorie abrufen zu können, wird das PowerShell Cmdlet Microsoft.Graph benötigt.

Verbindung zu Microsoft Graph herstellen und die beiden Berechtigungen Device.Read.All und DeviceLocalCredential.Read.All setzen.

Mit dem cmdlet Get-LapsAADPassword werden die letzten drei lokalen Administratorkennworte angezeigt.
Parameter -DeviceIDs mit dem Gerätenamen ersetzen.

Die Ausgabe zeigt die letzten drei lokalen Administratorkennworte (1-3) in Klartext mit dem jeweiligen Ablaufdatum an.

Windows LAPS Kennwort manuell rotieren

Windows LAPS rotiert das Kennwort automatisch gemäss Einstellungen in den Richtlinien. Wenn das Kennwort vor Erreichen des maximalen Kennwortalters geändert werden soll, muss dies manuell im Microsoft Intune Admin Center (https://intune.microsoft.com) durchgeführt werden.

Gerät > Nach Plattform > Windows öffnen

Gerät auswählen, auf welchem das Kennwort für den lokalen Administrator rotiert werden soll.

In der Übersicht auf die drei Punkte klicken und Lokales Administratorkennwort rotieren auswählen.

Die Meldung mit Ja bestätigen. Beim nächsten Neustart rotiert Windows LAPS das Kennwort auf diesem Geräts.

Fehlersuche und Fehlerbehebung

Windows LAPS speichert die Aktivitäten in den folgenden Protokollen.

Überwachungsprotokoll in Microsoft Intune

In den Überwachungsprotokollen von Microsoft Intune Admin Center (https://intune.microsoft.com) werden alle Aktivitäten von Windows LAPS geschrieben.

Mandantenadministrator > Überwachungsprotokolle

Setze den Filter Kategorie (1) auf Device wähle die Zeitspanne, Datum (2).

Log Eintrag auswählen, um mehr Details zum Ereignis zu erhalten.

Ereignisanzeige auf Gerät

Aktivitäten von Windows LAPS werden in der Ereignisanzeige des Geräts gespeichert.

Öffne Ereignisanzeige > Anwendungs- und Dienstprotokolle > Microsoft > Windows > LAPS um die Aktivitäten zu verfolgen.


Folge mir auf LinkedIn und BlueSky, um stets über meine neuesten Beiträge auf dem Laufenden zu bleiben.

War dieser Beitrag hilfreich für dich? Zeige deine Begeisterung mit dem herrlichen Aroma eines frisch gebrühten Kaffees für mich!

Buy me a coffee