Ein How-To für Entra ID only Umgebungen

In diesem Beitrag beschreibe ich wie Windows LAPS (Local Administrator Password Solution) in einer Entra ID only Umgebung mit Intune bereitgestellt werden kann.

Hinweis: Die Funktion ist in Verbindung mit Intune aktuell als öffentliche Vorschau verfügbar und kann sich daher noch ändern.
Außerdem gibt es Einschränkungen in Zusammenhang mit legacy LAPS.
Details dazu können in der Microsoft Dokumentation nachgelesen werden: Windows LAPS overview | Microsoft Learn

Was ist LAPS?

Die Funktion “Local Administrator Password Solution” kurz LAPS ist eine Lösung von Microsoft zur Verwaltung eines lokalen Administratorkontos. LAPS übernimmt für dieses lokale Konto die Verwaltung des Passwortes und schreibt dieses wahlweise in das lokale oder in das Entra ID. Anschließend wird das Passwort regelmäßig, individuell pro Gerät ausgetauscht. Damit wird sichergestellt, dass über dieses Konto kein lateral Movement (Springen von einem Client auf andere) möglich ist.

Vorbereitungen

Um LAPS konfigurieren zu können, müssen zwei wesentliche Vorbereitungen getroffen werden:

Zum einen müssen die Systemvoraussetzungen erfüllt sein. Die Clients müssen die Updates aus April 2023 installiert haben. Die Funktion ist nur in der globalen Cloud verfügbar.
Details und Links zu den Updates stellt Microsoft in der Dokumentation Windows LAPS Voraussetzungen bereit.

[Update] Die Accountverwaltung ist seit Windows 11 24H2 mit der Intune-Richtlinie möglich. Das zusätzliche Anlegen des Accounts ist nicht mehr erforderlich.

Bereitstellung des Benutzers via Skript [Deprecated]

Dieser Schritt ist nicht mehr erforderlich und wurde daher aus dem Artikel entfernt.

LAPS im Entra ID aktivieren

Damit die LAPS-Informationen ins Entra ID geschrieben werden können, muss die Funktion in den Einstellungen des Entra ID aktiviert werden. Dafür klickt man im Microsoft Entra admin center auf Geräte und dort auf Geräteeinstellungen. Anschließend ist in dem Abschnitt “Lokale Administratoreinstellungen” ein Schalter zum Aktivieren von LAPS.

LAPS im Entra Portal aktivieren

Nun sind die Vorbereitungen abgeschlossen und LAPS kann konfiguriert werden.

LAPS konfigurieren

Die Konfiguration für LAPS erfolgt im Microsoft Intune Portal im Bereich “Endpunktsicherheit”. Dort gibt es im Bereich “Account Schutz” die Möglichkeit die neue LAPS-Richtlinie zu erstellen.

Richtlinie in Intune erstellen

Im ersten Schritt wird der Name der Richtlinie und eine Beschreibung erstellt.

Name und Beschreibung der LAPS Richtlinie

Anschließend erfolgt die Konfiguration der einzelnen Einstellungen.
Hier werden alle relevanten Einstellungen für die Richtlinie gesetzt.
Als Speicherort der Zugangsdaten wird “Entra ID only” ausgewählt (1) und ein maximales Kennwortalter definiert. [Update] Sofern Windows 11 24H2 und neuer im Einsatz ist, kann das “automatische Account Management” genutzt werden. Dafür wird der Administrator Account Name dort nicht mehr konfiguriert (2), sondern am Ende bei (4)

Für die Passwortkomplexität sollte die Passphrase mit der komplexesten Stufe “Kurze Wörter mit eindeutigen Präfixen” gewählt werden und die Anzahl der Wörter auf mindestens 3 gesetzt werden. Die Passwortlänge hingegen wird auf “nicht konfiguriert” gestellt. Es ist wichtig, dass die Passphrase nicht zu lang ist, da es auch von Hand eingeben muss. Zu kurz sollte es aber auch nicht sein, damit es nicht zu leicht zu erraten ist. Weitere Details zu den verfügbaren Passwort- Passphrase-Optionen können “hier” nachgelesen werden.

Im vorletzten Teil der Konfiguration kann noch eine Aktion ausgewählt werden, was nach der Anmeldung mit diesem Konto passieren soll. Hier kann derzeit aus drei Optionen gewählt werden:

  • Das Passwort wird zurückgesetzt.

  • Das Passwort wird zurückgesetzt und der verwaltete Account abgemeldet.

  • Das Passwort wird zurückgesetzt und das Gerät wird neu gestartet.

Am Ende kann seit Windows 11 24H2 das automatische Management konfiguriert werden, um zusätzliche Sicherheit mittels einzigartiger Konten zu erlangen. Dafür wird das automatische Account Management aktiviert, der Account aktiviert und anschließend wird der Prefix definiert.

Achtung: Wird der Account Prefix im Nachhinein aktiviert, wird ein zusätzlicher Account angelegt und der alte Account verwaist auf dem System und muss eigenständig entfernt werden.

LAPS Richtlinieneinstellungen

Abschließend wird diese Richtlinie einer Gerätegruppe zugewiesen und die Richtlinie erstellt.

Damit ist die Bereitstellung von LAPS abgeschlossen und spätestens nach 24 Stunden sollten die Passwortinformationen beim Gerät zu sehen sein.

LAPS Passwort eines Gerätes auslesen

Fehlersuche

Sollten die LAPS-Passwortinformationen nicht am Gerät auftauchen, kann im Eventlog des Gerätes geprüft werden, woran es liegt. Dafür gibt es in der Microsoft Dokumentation eine ausführliche Beschreibung.

Monitoring

Die Zugriffe auf die Passwortinformationen werden im Entra ID Audit Log gespeichert. Die zugehörige Aktivität heißt “Recover device local administrator password”.