Konfigurieren von LAPS unter Teams-Räume unter Windows

• Gilt für::

  Microsoft Teams

Dieser Artikel bietet eine Übersicht über LAPS, seine Architektur und die Schritte zum Konfigurieren von LAPS für Teams-Räume unter Windows.

Die Windows-Lösung für lokale Administratorkennwörter (Laps) ist ein Windows-Feature, das das Kennwort des lokalen Administratorkontos verwaltet und in Microsoft Entra (Entra Joined) oder Active Directory (AD) sichert. Es bietet erweiterten Schutz vor Kennwortangriffen auf lokale Administratorkonten und erfüllt die wichtigsten Kundenanforderungen für die Bereitstellung von Teams-Räume auf Windows-Geräten.

Was ist LAPS?

LAPS ist eine Lösung, die automatisch ein zufälliges und komplexes Kennwort für das lokale Administratorkonto auf jedem Windows-Gerät generiert und sicher in Entra oder Active Directory speichert. Das Kennwort wird in regelmäßigen Abständen gemäß der konfigurierten Richtlinie geändert und kann von autorisierten Benutzern abgerufen werden, wenn Zugriff erforderlich ist. LAPS verringert das Risiko von Lateral Movement- und Rechteausweitungsangriffen, die dasselbe lokale Administratorkennwort auf mehreren Geräten ausnutzen. Es vereinfacht die Verwaltung lokaler Administratorkennwörter und entfällt die Notwendigkeit manueller oder skriptbasierter Lösungen.

Windows LAPS-Architektur

LAPS besteht aus den folgenden Komponenten:

• Eine regelmäßige Hintergrundaufgabe wird auf jedem Windows-Gerät ausgeführt und führt die Kennwortänderungs- und Sicherungsvorgänge aus.
• Ein PowerShell-Modul, das Cmdlets zum Verwalten und Abrufen der Kennwörter bereitstellt.
• Aktivieren Sie Microsoft Entra Schemaerweiterung für lokale Administratorkennwortlösung (Local Administrator Password Solution, LAPS) für AD, die ein Attribut zum Speichern des Kennworts und zugehöriger Informationen hinzufügt.

LAPS-Architektur und -Workflow:

LAPS-Bereitstellung

Vor der Bereitstellung unter Teams-Räume unter Windows sollten Sie Folgendes berücksichtigen:

• LAPS sollte nach Möglichkeit mit Entra ID bereitgestellt werden, da es eine bessere Sicherheit und Skalierbarkeit als Active Directory bietet.
• Die Geräte müssen in Entra oder Hybrid Entra eingebunden sein und von Intune verwaltet werden, bevor Sie mit der LAPS-Bereitstellung fortfahren.
• Peripheriegeräte oder Endpunkte, die mithilfe der Anmeldeinformationen des lokalen Administrators eine Verbindung mit dem Teams-Räume auf einem Windows-Gerät herstellen, verlieren beim Neustart oder beim Ändern des Kennworts die Verbindung. Einige OEM-Implementierungen verwenden diese Methode zum Verbinden von Raumcontrollern. Der OEM sollte zur Kompatibilität und alternativen Lösungen konsultiert werden.
• Alle Anleitungen in diesem Dokument wurden für OEM-Builds konfiguriert und getestet und schließen benutzerdefinierte Images aus.
• Sie verfügen über eine dedizierte Gerätegruppe für Teams-Räume auf Windows-Geräten für die Richtlinienverwaltung und -zuweisung. Wenn dies nicht verfügbar ist, erstellen Sie eine, bevor Sie fortfahren.

Hinweis

Einige OEMs wie Crestron benötigen den lokalen Benutzernamen und das Kennwort, um Peripheriegeräte wie Touchcontroller zu verbinden. Wenden Sie sich vor der Implementierung an Crestron, um weitere Informationen zu den Auswirkungen der Änderung des Kennworts für das lokale Konto zu erfahren.

Die Bereitstellung von LAPS für Teams-Räume auf Windows-Geräten erfordert Folgendes:

• Konfigurieren der Entra ID-Einstellungen zum Aktivieren von LAPS.
• Erstellen und Zuweisen der LAPS-Richtlinie in Intune.
• Überprüfen der Kennwortänderung und -sicherung auf den Geräten.

Entra-Konfiguration

So aktivieren Sie LAPS in Entra ID:

1. Navigieren Sie in das Verzeichnis https://entra.microsoft.com.
2. Klicken Sie aufIdentitätsgeräte>>Alle Geräte.
3. Wählen Sie Geräteeinstellungen aus.
4. Aktivieren Sie Microsoft Entra Lokale Administratorkennwortlösungen aktivieren auf Ja.
5. Klicken Sie auf Speichern.

Intune-Konfiguration

Zum Erstellen und Zuweisen der LAPS-Richtlinie in Intune sollten die folgenden Schritte ausgeführt werden:

1. Wechseln Sie zu Intune Admin Center unter https://intune.microsoft.com.
2. Wählen Sie im linken Navigationsbereich Endpunktsicherheit aus.
3. Wählen Sie Kontoschutz aus.
4. Wählen Sie Richtlinie erstellen aus.
5. Wählen Sie für PlattformWindows 10 und höher aus, und profilen Sie lokale Administratorkennwortlösung (Windows LAPS).
6. Klicken Sie auf Erstellen.

So konfigurieren Sie die Richtlinieneinstellungen:

1. Geben Sie einen Richtliniennamen ein, z. B. Teams-Räume unter Windows LAPS-Richtlinie.
2. Geben Sie bei Bedarf eine Beschreibung ein, und klicken Sie dann auf Weiter.
3. Wählen Sie Sicherungsverzeichnis aus, um Das Kennwort nur in Azure AD sichern zu verwenden.
4. Schalten Sie Die Kennwortalterstage um, um sie zu konfigurieren , und geben Sie den gewünschten Wert ein.
5. Wechseln Sie zum Konfigurieren des Administratorkontonamens, und geben Sie Admin ein, um dem vordefinierten Benutzernamen des lokalen Administratorkontos auf der Teams-Räume in der Windows-Konsole zu entsprechen.
6. Wählen Sie die gewünschte Kennwortkomplexitätsmethode aus.
7. Schalten Sie kennwortlänge um, um die gewünschte Kennwortlänge mit 8 minimum und 64 maximum einzugeben.
8. Klicken Sie zweimal auf Weiter , wenn Sie keine Bereichstags verwenden.

So weisen Sie die Richtlinie einer Gruppe von Intune verwalteten Teams-Räume auf Windows-Geräten zu:

1. Wählen Sie Zuweisungen aus.
2. Wählen Sie die Gruppe aus, die die Teams-Räume auf Windows-Geräten enthält, und legen Sie die Richtlinie richtig fest. Wählen Sie Weiter aus.
3. Nachdem Sie sich vergewissert haben, dass die Richtlinie und der Bereich korrekt sind, wählen Sie Erstellen aus, um die Richtlinie auf die geräteinternen Geräte anzuwenden.
4. Warten Sie bis zu einer Stunde, bis die Richtlinie angewendet und das Kennwort geändert wird.

LAPS-Verwaltung

So rufen Sie das lokale Administratorkennwort aus dem Entra Admin Center ab:

1. Navigieren Sie in das Verzeichnis https://entra.microsoft.com.
2. Klicken Sie aufIdentitätsgeräte>>Alle Geräte.
3. Wählen Sie Lokale Administratorkennwortwiederherstellung aus.
4. Suchen Sie nach einem aktivierten Gerät, oder wählen Sie aus der vorab aufgefüllten Liste aus.
5. Klicken Sie auf Lokales Administratorkennwort anzeigen.
6. Klicken Sie auf Anzeigen, um das Kennwort anzuzeigen. Notieren Sie sich die Zeitstempel der letzten und nächsten Rotation.

So überprüfen Sie die Überwachungsprotokolle in Entra:

1. Navigieren Sie in das Verzeichnis https://entra.microsoft.com.
2. Klicken Sie aufIdentitätsgeräte>>Alle Geräte>Überwachungsprotokolle.
3. Wählen Sie Aktivität aus, um nach lokalem Administratorkennwort des Geräts aktualisieren oder lokalesAdministratorkennwort des R ecover-Geräts zu filtern, um die Ereignisse zu überprüfen.

Zusammenfassung

LAPS ist ein Windows-Feature, das die Sicherheit und Verwaltung von lokalen Administratorkennwörtern für Teams-Räume auf Windows-Geräten verbessert. Es generiert und sichert die Kennwörter automatisch in Entra und ermöglicht autorisierten Benutzern, sie bei Bedarf abzurufen. LAPS verhindert außerdem die Wiederverwendung von Kennwörtern und vereinfacht die Kennwortrotation. Dieses Dokument enthält die Schritte zum Bereitstellen und Warten von LAPS für Teams-Räume auf Windows-Geräten mithilfe von Entra und Intune.

Zugehörige LAPS-Dokumentation

• Windows LAPS-Dokumentation
• Verwalten von Windows LAPS mit Microsoft Intune Richtlinien
• Lokale Windows-Administratorkennwortlösung in Microsoft Entra ID
• LAPS-CSP