Microsoft Intune-Unterstützung für Windows LAPS

Jeder Windows-Computer verfügt über ein integriertes lokales Administratorkonto, das nicht gelöscht werden kann und über vollständige Berechtigungen für das Gerät verfügt. Das Schützen dieses Kontos ist ein wichtiger Schritt zum Schutz Ihrer Organisation. Windows-Geräte enthalten windows local Administrator Password Solution (LAPS), eine integrierte Lösung zur Verwaltung lokaler Administratorkonten.

Sie können Microsoft Intune-Endpunktsicherheitsrichtlinien für den Kontoschutz verwenden, um LAPS auf Geräten zu verwalten, die bei Intune registriert sind. Intune-Richtlinien haben folgende Möglichkeiten:

• Erzwingen von Kennwortanforderungen für lokale Administratorkonten
• Sichern eines lokalen Administratorkontos von Geräten in Active Directory (AD) oder Microsoft Entra
• Planen Sie die Rotation dieser Kontokennwörter, um sie zu schützen.

Sie können auch Details zu den verwalteten lokalen Administratorkonten im Intune Admin Center anzeigen und deren Kontokennwörter außerhalb einer geplanten Rotation manuell rotieren.

Die Verwendung von Intune LAPS-Richtlinien hilft Ihnen, Windows-Geräte vor Angriffen zu schützen, die darauf abzielen, lokale Benutzerkonten wie Pass-the-Hash- oder Lateral Traversal-Angriffe auszunutzen. Die Verwaltung von LAPS mit Intune kann auch dazu beitragen, die Sicherheit für Remote-Helpdesk-Szenarien zu verbessern und Geräte wiederherzustellen, auf die andernfalls nicht zugegriffen werden kann.

Die Intune LAPS-Richtlinie verwaltet die Einstellungen, die über den Windows LAPS-CSP verfügbar sind. Die Verwendung des CSP durch Intune ersetzt die Verwendung von Legacy-Microsoft LAPS oder anderen LAPS-Verwaltungslösungen, wobei CSP-basiert Vorrang vor anderen LAPS-Verwaltungsquellen hat.

Die Intune-Unterstützung für Windows LAPS umfasst die folgenden Funktionen:

• Festlegen von Kennwortanforderungen : Definieren Sie Kennwortanforderungen, einschließlich Komplexität und Länge für das lokale Administratorkonto auf einem Gerät.
• Rotieren von Kennwörtern : Mit der Richtlinie können Geräte die Kennwörter des lokalen Administratorkontos automatisch nach einem Zeitplan rotieren lassen. Sie können auch das Intune Admin Center verwenden, um das Kennwort für ein Gerät als Geräteaktion manuell zu rotieren.
• Sicherungskonten und Kennwörter : Sie können festlegen, dass Geräte ihr Konto und Kennwort entweder in der Microsoft Entra ID in der Cloud oder in Ihrem lokalen Active Directory sichern möchten. Kennwörter werden mithilfe einer starken Verschlüsselung gespeichert.
• Konfigurieren von Aktionen nach der Authentifizierung : Definieren Sie Aktionen, die ein Gerät ausführt, wenn das Kennwort des lokalen Administratorkontos abläuft. Die Aktionen reichen vom Zurücksetzen des verwalteten Kontos, um ein neues sicheres Kennwort zu verwenden, das Abmelden des Kontos oder das Ausführen von beidem und dem anschließenden Herunterschalten des Geräts. Sie können auch verwalten, wie lange das Gerät nach ablaufen des Kennworts wartet, bevor Sie diese Aktionen ausführen.
• Anzeigen von Kontodetails : Intune-Administratoren mit ausreichenden RBAC-Berechtigungen (Role-Based Administrative Control) können Informationen zu einem lokalen Administratorkonto für Geräte und dessen aktuellem Kennwort anzeigen. Sie können auch sehen, wann dieses Kennwort zuletzt rotiert (zurückgesetzt) wurde und wann es als nächstes rotiert werden soll.
• Anzeigen von Berichten : Intune bietet Berichte zur Kennwortrotation, einschließlich Details zur manuellen und geplanten Kennwortrotation in der Vergangenheit.

Um ausführlichere Informationen zu Windows LAPS zu erhalten, beginnen Sie mit den folgenden Artikeln in der Windows-Dokumentation:

• Was ist Windows LAPS? – Einführung in Windows LAPS und den Windows LAPS-Dokumentationssatz.
• Windows LAPS CSP : Zeigen Sie die vollständigen Details für LAPS-Einstellungen und -Optionen an. Die Intune-Richtlinie für LAPS verwendet diese Einstellungen, um den LAPS-CSP auf Geräten zu konfigurieren.

Gilt für:

• Windows 10
• Windows 11

Voraussetzungen

Im Folgenden sind die Anforderungen für Intune zur Unterstützung von Windows LAPS in Ihrem Mandanten aufgeführt:

Lizenzierungsanforderungen

• Intune-Abonnement - Microsoft Intune Plan 1, der das grundlegende Intune-Abonnement ist. Sie können Windows LAPS auch mit einem kostenlosen Testabonnement für Intune verwenden.

• Microsoft Entra ID – Microsoft Entra ID Free, die kostenlose Version von Microsoft Entra ID, die beim Abonnieren von Intune enthalten ist. Mit Microsoft Entra ID Free können Sie alle Features von LAPS nutzen.

Active Directory-Unterstützung

Die Intune-Richtlinie für Windows LAPS kann ein Gerät so konfigurieren, dass ein lokales Administratorkonto und kennwort in einem der folgenden Verzeichnistypen gesichert werden:

Hinweis

Geräte, die in den Arbeitsplatz eingebunden sind (WPJ), werden von Intune für LAPS nicht unterstützt.

• Cloud – Cloud unterstützt die Sicherung ihrer Microsoft Entra-ID für die folgenden Szenarien:

  • Hybride Einbindung in Microsoft Entra

  • Einbindung von Microsoft Entra

    Die Unterstützung für die Microsoft Entra-Einbindung erfordert, dass Sie LAPS in Ihrer Microsoft Entra-ID aktivieren. Die folgenden Schritte können Ihnen dabei helfen, diese Konfiguration abzuschließen. Für den größeren Kontext sehen Sie sich diese Schritte in der Microsoft Entra-Dokumentation unter Aktivieren von Windows LAPS mit Microsoft Entra ID an. Microsoft Entra Hybrid Join erfordert nicht, dass LAPS in Microsoft Entra aktiviert ist.

    Aktivieren sie LAPS in Microsoft Entra:

    1. Melden Sie sich beim Microsoft Entra Admin Center als Cloudgeräteadministrator an.
    2. Navigieren Sie zu Identitätsgeräte>>Übersicht>Geräteeinstellungen.
    3. Wählen Sie Ja für die Einstellung Lokale Administratorkennwortlösung aktivieren (LAPS) und dann Speichern aus. Sie können auch die Microsoft Graph-API update deviceRegistrationPolicy verwenden.

    Weitere Informationen finden Sie unter Windows Local Administrator Password Solution in Microsoft Entra ID in der Microsoft Entra-Dokumentation.

• Lokal : Lokal unterstützt die Sicherung in Windows Server Active Directory (lokales Active Directory).

  Wichtig

  LAPS auf Windows-Geräten kann so konfiguriert werden, dass ein oder der andere Verzeichnistyp verwendet wird, aber nicht beides. Beachten Sie außerdem, dass das Sicherungsverzeichnis vom Gerätebeitrittstyp unterstützt werden muss. Wenn Sie das Verzeichnis auf ein lokales Active Directory festlegen und das Gerät nicht in die Domäne eingebunden ist, akzeptiert es die Richtlinieneinstellungen von Intune, aber LAPS kann diese Konfiguration nicht erfolgreich verwenden.

Device Edition und Plattform

Geräte können über eine beliebige Windows-Edition verfügen, die Von Intune unterstützt, muss jedoch mit einer der folgenden Versionen ausgeführt werden, um den Windows LAPS-CSP zu unterstützen:

• Windows 10, Version 22H2 (19045.2846 oder höher) mit KB5025221
• Windows 10, Version 21H2 (19044.2846 oder höher) mit KB5025221
• Windows 10, Version 20H2 (19042.2846 oder höher) mit KB5025221
• Windows 11, Version 22H2 (22621.1555 oder höher) mit KB5025239
• Windows 11, Version 21H2 (22000.1817 oder höher) mit KB5025224

GCC High-Unterstützung

Die Intune-Richtlinie für Windows LAPS wird für GCC High-Umgebungen unterstützt.

Rollenbasierte Zugriffssteuerungen für LAPS

Zum Verwalten von LAPS muss ein Konto über ausreichende RBAC-Berechtigungen (Role-Based Access Control) verfügen, um eine gewünschte Aufgabe auszuführen. Im Folgenden finden Sie die verfügbaren Aufgaben mit den erforderlichen Berechtigungen:

• Erstellen und Zugreifen auf eine LAPS-Richtlinie : Damit Sie mit LAPS-Richtlinien arbeiten und diese anzeigen können, müssen Ihrem Konto ausreichende Berechtigungen aus der Intune-RBAC-Kategorie für Sicherheitsbaselines zugewiesen sein. Diese sind standardmäßig in der integrierten Rolle Endpoint Security Manager enthalten. Um benutzerdefinierte Rollen zu verwenden, stellen Sie sicher, dass die benutzerdefinierte Rolle die Rechte aus der Kategorie Sicherheitsbaselines enthält.

• Rotieren des lokalen Administratorkennworts : Um das Intune Admin Center zum Anzeigen oder Rotieren eines Lokalen Administratorkontokennworts für Geräte verwenden zu können, müssen Ihrem Konto die folgenden Intune-Berechtigungen zugewiesen sein:

  • Verwaltete Geräte: Lesen
  • Organisation: Lesen
  • Remotetasks: Rotieren des lokalen Administratorkennworts

• Abrufen des lokalen Administratorkennworts : Zum Anzeigen von Kennwortdetails muss Ihr Konto über eine der folgenden Microsoft Entra-Berechtigungen verfügen:

  • microsoft.directory/deviceLocalCredentials/password/read , um LAPS-Metadaten und -Kennwörter zu lesen.
  • microsoft.directory/deviceLocalCredentials/standard/read , um LAPS-Metadaten mit Ausnahme von Kennwörtern zu lesen.

  Informationen zum Erstellen benutzerdefinierter Rollen, die diese Berechtigungen erteilen können, finden Sie unter Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID in der Microsoft Entra-Dokumentation.

• Anzeigen von Microsoft Entra-Überwachungsprotokollen und -ereignissen : Um Details zu LAPS-Richtlinien und aktuellen Geräteaktionen wie Kennwortrotationsereignissen anzuzeigen, muss Ihr Konto Berechtigungen haben, die der integrierten Intune-Rolle "Schreibgeschützter Operator" entsprechen.

Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.

LAPS-Architektur

Informationen zur Windows LAPS-Architektur finden Sie unter Windows LAPS-Architektur in der Windows-Dokumentation.

Häufig gestellte Fragen

Kann ich die Intune-LAPS-Richtlinie verwenden, um ein lokales Administratorkonto auf einem Gerät zu verwalten?

Ja. Die Intune-LAPS-Richtlinie kann verwendet werden, um jedes lokale Administratorkonto auf einem Gerät zu verwalten. LAPS unterstützt jedoch nur ein Konto pro Gerät:

• Wenn eine Richtlinie keinen Kontonamen angibt, verwaltet Intune das standardmäßige integrierte Administratorkonto unabhängig vom aktuellen Namen auf dem Gerät.
• Sie können das Konto ändern, das Intune für ein Gerät verwaltet, indem Sie die dem Gerät zugewiesene Richtlinie ändern oder die aktuelle Richtlinie bearbeiten, um ein anderes Konto anzugeben.
• Wenn einem Gerät zwei separate Richtlinien zugewiesen sind, die beide ein anderes Konto angeben, tritt ein Konflikt auf, der gelöst werden muss, bevor das Konto des Geräts verwaltet werden kann.

Was geschieht, wenn ich eine LAPS-Richtlinie mit Intune auf einem Gerät bereit stelle, das bereits ÜBER LAPS-Konfigurationen aus einer anderen Quelle verfügt?

Die CSP-basierte Richtlinie von Intune setzt alle anderen Quellen der LAPS-Richtlinie außer Kraft, z. B. von Gruppenrichtlinienobjekten oder einer Konfiguration von Legacy Microsoft LAPS. Weitere Informationen finden Sie unter Unterstützte Richtlinienwurzeln in der Windows LAPS-Dokumentation.

Kann Windows LAPS lokale Administratorkonten basierend auf dem Administratorkontonamen erstellen, der mithilfe der LAPS-Richtlinie konfiguriert wurde?

Nein Windows LAPS kann nur Konten verwalten, die bereits auf dem Gerät vorhanden sind. Wenn eine Richtlinie ein Konto anhand des Namens angibt, das auf dem Gerät nicht vorhanden ist, gilt die Richtlinie und meldet keinen Fehler. Es wird jedoch kein Konto gesichert.

Rotiert Windows LAPS das Kennwort für ein Gerät, das in Microsoft Entra deaktiviert ist, und stellt es fest?

Nein Windows LAPS erfordert, dass sich das Gerät in einem aktivierten Zustand befindet, bevor Kennwortrotation und Sicherungsvorgänge angewendet werden können.

Was geschieht, wenn ein Gerät in Microsoft Entra gelöscht wird?

Wenn ein Gerät in Microsoft Entra gelöscht wird, gehen die LAPS-Anmeldeinformationen, die an dieses Gerät gebunden waren, verloren, und das kennwort, das in der Microsoft Entra-ID gespeichert ist, geht verloren. Es sei denn, Sie verfügen über einen benutzerdefinierten Workflow zum Abrufen und externen Speichern von LAPS-Kennwörtern, es gibt keine Methode in Microsoft Entra ID, um das von LAPS verwaltete Kennwort für ein gelöschtes Gerät wiederherzustellen.

Welche Rollen sind zum Wiederherstellen von LAPS-Kennwörtern erforderlich?

Die folgenden integrierten Microsoft Entra-Rollen verfügen über die Berechtigung zum Wiederherstellen von LAPS-Kennwörtern: Cloudgeräteadministrator und Intune-Dienstadministrator.

Welche Rollen sind zum Lesen von LAPS-Metadaten erforderlich?

Die folgenden integrierten Microsoft Entra-Rollenrollen werden unterstützt, um Metadaten zu LAPS anzuzeigen, einschließlich des Gerätenamens, der letzten Kennwortrotation und der nächsten Kennwortrotation:

• Sicherheitsleseberechtigter

Sie können auch die folgenden Rollen verwenden:

• Cloudgeräteadministrator
• Intune-Dienstadministrator
• Helpdeskadministrator
• Sicherheitsbeauftragte

Warum ist die Schaltfläche Lokales Administratorkennwort abgeblendet und nicht zugänglich?

Derzeit ist für den Zugriff auf diesen Bereich die Intune-Berechtigung Lokales Administratorkennwort rotieren erforderlich. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerung für Microsoft Intune.

Was geschieht, wenn das von der Richtlinie angegebene Konto geändert wird?

Da Windows LAPS jeweils nur ein lokales Administratorkonto auf einem Gerät verwalten kann, wird das ursprüngliche Konto nicht mehr von der LAPS-Richtlinie verwaltet. Wenn das Gerät dieses Konto durch die Richtlinie gesichert hat, wird das neue Konto gesichert, und Details zum vorherigen Konto sind nicht mehr im Intune Admin Center oder im Verzeichnis verfügbar, das zum Speichern der Kontoinformationen angegeben ist.

Nächste Schritte

• Erstellen einer Richtlinie für LAPS
• Anzeigen von Berichten für LAPS
• Kontoschutzrichtlinie für Endpunktsicherheit in Intune