Windows Local Administrator Password Solution in Microsoft Entra ID
Jedes Windows-Gerät verfügt über ein integriertes lokales Administratorkonto, das Sie schützen müssen, um PtH- (Pass-the-Hash) und Lateral Movement-Angriffe zu verhindern. Viele Kunden haben unser eigenständiges, lokales Produkt Local Administrator Password Solution (LAPS) für die Verwaltung lokaler Administratorkennwörter auf ihren in die Domäne eingebundenen Windows-Computern verwendet. Mit der Microsoft Entra-Unterstützung für Windows LAPS bieten wir eine konsistente Benutzeroberfläche sowohl für in Microsoft Entra eingebundene Geräte als auch für hybride in Microsoft Entra eingebundene Geräte.
Die Microsoft Entra-Unterstützung für LAPS umfasst die folgenden Funktionen:
- Aktivieren von Windows LAPS mit Microsoft Entra ID: Aktivieren Sie eine mandantenweite Richtlinie und eine clientseitige Richtlinie zum Sichern des lokalen Administratorkennworts in Microsoft Entra ID.
- Verwalten lokaler Administratorkennwörter: Konfigurieren Sie clientseitige Richtlinien zum Festlegen von Kontoname, Kennwortalter, Länge, Komplexität, manueller Kennwortzurücksetzung usw.
- Wiederherstellen lokaler Administratorkennwörter: Verwenden Sie API-/Portalfunktionen für die Wiederherstellung lokaler Administratorkennwörter.
- Auflisten aller Geräte mit Windows LAPS-Aktivierung: Verwenden Sie API-/Portalfunktionen, um alle Windows-Geräte mit Windows LAPS-Aktivierung in Microsoft Entra ID aufzulisten.
- Autorisieren der Wiederherstellung lokaler Administratorkennwörter: Verwenden Sie RBAC-Richtlinien (Role Based Access Control, rollenbasierte Zugriffssteuerung) mit benutzerdefinierten Rollen und Verwaltungseinheiten.
- Überwachen der Aktualisierung und Wiederherstellung des lokalen Administratorkennworts: Verwenden Sie API-/Portalfunktionen für Überwachungsprotokolle, um Ereignisse zur Kennwortaktualisierung und -wiederherstellung zu überwachen.
- Richtlinien für bedingten Zugriff zur Wiederherstellung des lokalen Administratorkennworts: Konfigurieren Sie Richtlinien für bedingten Zugriff für Verzeichnisrollen, die zur Kennwortwiederherstellung autorisiert sind.
Hinweis
Windows LAPS mit Microsoft Entra ID wird für Windows-Geräte, die bei Microsoft Entra registriert sind, nicht unterstützt.
Local Administrator Password Solution wird nur auf Windows-Plattformen unterstützt.
Um mehr über Windows LAPS zu erfahren, beginnen Sie mit den folgenden Artikeln in der Windows-Dokumentation:
- Was ist das Windows LAPS? – Einführung in Windows LAPS und die Windows LAPS-Dokumentationsreihe.
- Windows LAPS-CSP: Sehen Sie sich die vollständigen Details für LAPS-Einstellungen und -Optionen an. Die Intune-Richtlinie für LAPS verwendet diese Einstellungen, um den LAPS-CSP auf Geräten zu konfigurieren.
- Microsoft Intune-Unterstützung für Windows LAPS
- Windows LAPS-Architektur
Requirements (Anforderungen)
Unterstützte Azure-Regionen und Windows-Distributionen
Diese Funktion ist jetzt in den folgenden Azure-Clouds verfügbar:
- Azure Global
- Azure Government
- Microsoft Azure von 21Vianet
Betriebssystemupdates
Dieses Feature ist jetzt auf den folgenden Windows-Betriebssystemplattformen mit dem angegebenen oder einem höheren Update verfügbar:
- Windows 11 22H2 – Update vom 11. April 2023
- Windows 11 21H2 – Update vom 11. April 2023
- Windows 10 20H2, 21H2 und 22H2 – Update vom 11. April 2023
- Windows Server 2022 – Update vom 11. April 2023
- Windows Server 2019 – Update vom 11. April 2023
Join-Typen
LAPS wird nur auf Microsoft Entra eingebundenen oder Microsoft Entra hybrid eingebundenen Geräten unterstützt. Microsoft Entra registrierte Geräte werden nicht unterstützt.
Lizenzanforderungen
LAPS steht allen Kunden mit Microsoft Entra ID Free- oder höheren Lizenzen zur Verfügung. Andere verwandte Features wie Verwaltungseinheiten, benutzerdefinierte Rollen, bedingter Zugriff und Intune haben andere Lizenzierungsanforderungen.
Erforderliche Rollen oder Berechtigungen
Neben den integrierten Microsoft Entra-Rollen wie Cloudgeräteadministrator und Intune-Administrator, denen die Berechtigung device.LocalCredentials.Read.All gewährt wird, können Sie benutzerdefinierte Microsoft Entra-Rollen oder Verwaltungseinheiten verwenden, um die Wiederherstellung des lokalen Administratorkennworts zu autorisieren. Zum Beispiel:
Benutzerdefinierten Rollen muss die Berechtigung microsoft.directory/deviceLocalCredentials/password/read zugewiesen werden, um die Wiederherstellung des lokalen Administratorkennworts zu autorisieren. Sie können eine benutzerdefinierte Rolle erstellen und Berechtigungen über das Microsoft Entra Admin Center, die Microsoft Graph-API oder PowerShell zuweisen. Wenn Sie die benutzerdefinierte Rolle erstellt haben, können Sie sie Benutzer*innen zuweisen.
Sie können auch eine Microsoft Entra ID-Verwaltungseinheit erstellen, Geräte hinzufügen und der Verwaltungseinheit die Rolle „Cloudgeräteadministrator“ zuweisen, um die Wiederherstellung des lokalen Administratorkennworts zu autorisieren.
Aktivieren von Windows LAPS mit Microsoft Entra ID
Um Windows LAPS mit Microsoft Entra ID zu aktivieren, müssen Sie Aktionen in Microsoft Entra ID und auf den Geräten ausführen, die Sie verwalten möchten. Wir empfehlen Organisationen die Verwaltung von Windows LAPS mit Microsoft Intune. Wenn Ihre Geräte mit Microsoft Entra verbunden sind, Microsoft Intune aber nicht nutzen oder unterstützen, können Sie Windows LAPS für Microsoft Entra ID manuell bereitstellen. Weitere Informationen finden Sie im Artikel Konfigurieren von Windows LAPS-Richtlinieneinstellungen.
Melden Sie sich beim Microsoft Entra Admin Center mindestens mit der Rolle Cloudgeräteadministrator an.
Browsen Sie zu Identität>Geräte>Übersicht>Geräteeinstellungen.
Wählen Sie Ja für die Einstellung Local Administrator Password Solution (LAPS) aktivieren und dann Speichern aus. Sie können für diese Aufgabe auch die Microsoft Graph-API Update deviceRegistrationPolicy verwenden.
Konfigurieren Sie eine clientseitige Richtlinie, und legen Sie das BackUpDirectory auf Microsoft Entra ID fest.
- Wenn Sie Microsoft Intune verwenden, um clientseitige Richtlinien zu verwalten, finden Sie weitere Informationen unter Verwalten von Windows LAPS mit Microsoft Intune.
- Wenn Sie Gruppenrichtlinienobjekte (GPOs) verwenden, um clientseitige Richtlinien zu verwalten, lesen Sie Windows LAPS-Gruppenrichtlinie.
Wiederherstellen von Kennwort- und Kennwortmetadaten des lokalen Administrators
Um das lokale Administratorkennwort für ein in Microsoft Entra ID eingebundenes Windows-Gerät anzuzeigen, müssen Sie die Berechtigung haben, die Aktion microsoft.directory/deviceLocalCredentials/password/read durchzuführen.
Um die Metadaten des lokalen Administratorkennworts für ein in Microsoft Entra ID eingebundenes Windows-Gerät anzuzeigen, müssen Sie die Berechtigung haben, die Aktion microsoft.directory/deviceLocalCredentials/standard/read durchzuführen.
Den folgenden integrierten Rollen wird die Berechtigung, diese Aktionen durchzuführen, standardmäßig gewährt:
| Integrierte Rolle | microsoft.directory/deviceLocalCredentials/standard/read und microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Cloudgeräteadministrator | Ja | Ja |
| Intune-Dienstadministrator | Ja | Ja |
| Helpdeskadministrator | Nein | Ja |
| Sicherheitsadministrator | Nein | Ja |
| Sicherheitsleseberechtigter | Nein | Ja |
Allen Rollen, die nicht aufgeführt sind, erhalten nicht die Berechtigung, eine der beiden Aktionen auszuführen.
Sie können auch die Microsoft Graph-API Get deviceLocalCredentialInfo verwenden, um das lokale Administratorkennwort wiederherzustellen. Wenn Sie die Microsoft Graph-API verwenden, wird das Kennwort als Base64-codierter Wert zurückgegeben, den Sie vor der Verwendung decodieren müssen.
Auflisten aller Geräte mit Windows LAPS-Aktivierung
Um alle Windows LAPS-Geräte aufzulisten, können Sie zu Identität>Geräte>Übersicht>Lokales Administratorkennwort wiederherstellen navigieren oder die Microsoft Graph-API verwenden.
Überwachen der Aktualisierung und Wiederherstellung des lokalen Administratorkennworts
Um Überwachungsereignisse anzuzeigen, können Sie zu Identität>Geräte>Übersicht>Überwachungsprotokolle navigieren, dann den Filter Aktivität verwenden und nach Lokales Administratorkennwort des Geräts aktualisieren oder Lokales Administratorkennwort des Geräts wiederherstellen suchen.
Richtlinien für bedingten Zugriff für die Wiederherstellung des lokalen Administratorkennworts
Richtlinien für bedingten Zugriff können auf die integrierten Rollen zugreifen, um den Zugriff auf die Wiederherstellung lokaler Administratorkennwörter zu schützen. Ein Beispiel für eine Richtlinie, die eine Multi-Faktor-Authentifizierung erfordert, finden Sie im Artikel Allgemeine Richtlinie für bedingten Zugriff: Erfordern der MFA für Administratoren.
Hinweis
Andere Rollentypen wie Rollen, die auf den Bereich der Verwaltungseinheit bezogen sind, und benutzerdefinierte Rollen werden nicht unterstützt.
Häufig gestellte Fragen
Wird Windows LAPS mit Microsoft Entra-Verwaltungskonfiguration von Gruppenrichtlinienobjekten (GPOs) unterstützt?
Ja, nur für in Microsoft Entra Hybrid eingebundene Geräte. Weitere Informationen finden Sie unter Windows LAPS-Gruppenrichtlinie.
Wird Windows LAPS mit Microsoft Entra-Verwaltungskonfiguration von der Verwaltung mobiler Geräte (MDM) unterstützt?
Ja, für Microsoft Entra Join/Microsoft Entra Hybrid Join (mitverwaltete) Geräte. Kunden und Kundinnen können Microsoft Intune oder eine andere MDM-Drittanbieterlösung (Mobile Device Management, Verwaltung mobiler Geräte) ihrer Wahl verwenden.
Was geschieht, wenn ein Gerät in Microsoft Entra ID gelöscht wird?
Wenn ein Gerät in Microsoft Entra ID gelöscht wird, gehen die LAPS-Anmeldeinformationen, die an dieses Gerät gebunden waren, verloren, und das in Microsoft Entra ID gespeicherte Kennwort geht verloren. Wenn Sie über keinen benutzerdefinierten Workflow zum Abrufen von LAPS-Kennwörtern und zum externen Speichern dieser Kennwörter verfügen, gibt es in Microsoft Entra ID keine Methode zum Wiederherstellen des verwalteten LAPS-Kennworts für ein gelöschtes Gerät.
Welche Rollen sind zum Wiederherstellen von LAPS-Kennwörtern erforderlich?
Die folgenden integrierten Rollen von Microsoft Entra verfügen über die Berechtigung zum Wiederherstellen von LAPS-Kennwörtern: „Cloudgeräteadministrator“ und „Intune-Administrator“.
Welche Rollen sind zum Lesen von LAPS-Metadaten erforderlich?
Die folgenden integrierten Rollen werden unterstützt, um Metadaten zu LAPS anzuzeigen, einschließlich des Gerätenamens, der letzten Kennwortrotation und der nächsten Kennwortrotation: „Cloudgeräteadministrator“, „Intune-Administrator“, „Helpdeskadministrator“, „Sicherheitsleseberechtigter“ und „Sicherheitsadministrator“.
Werden benutzerdefinierte Rollen unterstützt?
Ja. Wenn Sie über Microsoft Entra ID P1 or P2 verfügen, können Sie eine benutzerdefinierte Rolle mit den folgenden RBAC-Berechtigungen erstellen:
- Zum Lesen von LAPS-Metadaten: microsoft.directory/deviceLocalCredentials/standard/read
- Zum Lesen von LAPS-Kennwörtern: microsoft.directory/deviceLocalCredentials/password/read
Was geschieht, wenn das durch die Richtlinie angegebene lokale Administratorkonto geändert wird?
Da Windows LAPS jeweils nur ein lokales Administratorkonto auf einem Gerät verwalten kann, wird das ursprüngliche Konto nicht mehr von der LAPS-Richtlinie verwaltet. Wenn die Richtlinie die Sicherung dieses Kontos auf dem Gerät erfordert, wird das neue Konto gesichert, und Details zum vorherigen Konto sind nicht mehr im Intune Admin Center oder in dem Verzeichnis verfügbar, das zum Speichern der Kontoinformationen angegeben wurde.