Erste Schritte mit Windows LAPS und Microsoft Entra ID
Erfahren Sie mehr zu den ersten Schritten mit Windows Local Administrator Password Solution (Windows LAPS) und Microsoft Entra ID. In diesem Artikel werden die grundlegenden Verfahren für die Verwendung von Windows LAPS zum Sichern von Kennwörtern in Microsoft Entra ID und zum Abrufen dieser Kennwörter beschrieben.
Unterstützte Azure-Clouds
Informationen dazu, welche spezifischen Clouds unterstützt werden, finden Sie unter Windows Kennwortlösung für lokale Administratoren (Windows Local Administrator Password Solution, LAPS) in Microsoft Entra ID und Microsoft Intune-Unterstützung für Windows LAPS.
Aktivieren Sie LAPS in Microsoft Entra ID in den Geräteeinstellungen
Wichtig
Standardmäßig erlaubt Microsoft Entra ID verwalteten Geräten nicht, neue Windows LAPS-Passwörter an Microsoft Entra ID zu senden. Sie müssen das Feature zuerst von Ihrem*r IT-Administrator*in auf Microsoft Entra-Mandantenebene aktivieren lassen. Weitere Informationen finden Sie unter Aktivieren von Windows LAPS mit Microsoft Entra ID.
Konfigurieren der Geräterichtlinie
Führen Sie zum Konfigurieren der Geräterichtlinie die folgenden Aufgaben aus:
- Wählen eines Mechanismus zur Richtlinienbereitstellung
- Grundlegendes zu Richtlinien für den Microsoft Entra-Modus
- Konfigurieren bestimmter Richtlinien
Wählen eines Mechanismus zur Richtlinienbereitstellung
Der erste Schritt ist die Wahl, wie die Richtlinie auf Ihre Geräte angewendet werden soll.
Die bevorzugte Option für in Microsoft Entra eingebundene Geräte ist Microsoft Intune mit dem Windows LAPS-Konfigurationsdienstanbieter (CSP).
Wenn Ihre Geräte mit Microsoft Entra verbunden sind, Sie aber nicht Microsoft Intune verwenden, können Sie trotzdem Windows LAPS für Microsoft Entra ID bereitstellen. In diesem Szenario müssen Sie die Richtlinie manuell bereitstellen (z. B. durch direkte Änderung der Registrierung oder Verwendung von Gruppenrichtlinie für lokale Computer). Weitere Informationen finden Sie unter Konfigurieren von Windows LAPS-Richtlinieneinstellungen.
Hinweis
Wenn Ihre Geräte hybrid in lokales Windows Server Active Directory eingebunden sind, können Sie eine Richtlinie mithilfe von Windows LAPS-Gruppenrichtlinie bereitstellen.
Geltende Richtlinien für den Microsoft Entra-Modus
Der Windows LAPS CSP und das Windows LAPS-Gruppenrichtlinienobjekt verwalten dieselben Einstellungen, aber nur eine Teilmenge dieser Einstellungen gilt für Windows LAPS im Azure-Modus.
Für das Sichern von Kennwörtern in Microsoft Entra ID gelten die folgenden Einstellungen:
- BackupDirectory
- PasswordAgeDays
- PasswordComplexity
- PasswordLength
- AdministratorAccountName
- PostAuthenticationResetDelay
- PostAuthenticationActions
Einfacher ausgedrückt: Die Windows Server Active Directory-spezifischen Richtlinieneinstellungen sind nicht sinnvoll und werden beim Sichern des Kennworts in Microsoft Entra ID nicht unterstützt.
Konfigurieren bestimmter Richtlinien
Sie müssen mindestens die Einstellung BackupDirectory mit dem Wert 1 (Kennwörter in Microsoft Entra ID sichern) konfigurieren.
Wenn Sie die Einstellung AdministratorAccountName nicht konfigurieren, verwaltet Windows LAPS standardmäßig das integrierte lokale Administratorkonto. Dieses integrierte Konto wird automatisch anhand seiner bekannten relativen ID (RID) identifiziert und sollte niemals mithilfe seines Namens identifiziert werden. Der Name des integrierten lokalen Administratorkontos hängt vom Standardgebietsschema des Geräts ab.
Wenn Sie ein benutzerdefiniertes lokales Administratorkonto konfigurieren möchten, sollten Sie die Einstellung AdministratorAccountName mit dem Namen dieses Kontos konfigurieren.
Wichtig
Wenn Sie Windows LAPS zum Verwalten eines benutzerdefinierten lokalen Administratorkontos konfigurieren, müssen Sie sicherstellen, dass das Konto erstellt wird. Windows LAPS erstellt das Konto nicht. Es empfiehlt sich, zum Erstellen des Kontos den CSP für Konten zu verwenden.
Sie können andere Einstellungen, z. B. PasswordLength, nach Bedarf für Ihre Organisation konfigurieren.
Aktualisieren eines Passworts in Microsoft Entra-ID
Windows LAPS verarbeitet die aktuell aktive Richtlinie regelmäßig (stündlich). Um Wartezeit nach Anwenden der Richtlinie zu vermeiden, können Sie das PowerShell-Cmdlet Invoke-LapsPolicyProcessing ausführen.
Um zu überprüfen, ob das Kennwort in Microsoft Entra ID erfolgreich aktualisiert wurde, suchen Sie im Ereignisprotokoll nach dem Ereignis 10029:
Abrufen eines Passworts aus Microsoft Entra-ID
Das Abrufen von in Microsoft Entra ID gespeicherten Windows LAPS-Kennwörtern wird mithilfe von Microsoft Graph unterstützt. Windows LAPS bietet ein PowerShell-Cmdlet (Get-LapsAADPassword), das einen Wrapper um die PowerShell-Bibliothek von Microsoft Graph darstellt. Sie können auch das Microsoft Entra ID- und/oder das Intune-Verwaltungsportal für den benutzeroberflächenbasierten Kennwortabruf verwenden. Windows LAPS bietet keine Benutzeroberflächenoptionen in Windows zum Abrufen von Microsoft Entra-Kennwörtern.
In den restlichen Anweisungen wird beschrieben, wie Sie mit dem Cmdlet Get-LapsAADPassword Windows LAPS-Kennwörter mithilfe von Microsoft Graph aus Microsoft Entra ID abrufen.
Installieren der PowerShell-Bibliothek von Microsoft Graph
Der erste Schritt ist das Installieren der PowerShell-Bibliothek von Microsoft Graph:
Install-Module Microsoft.Graph -Scope AllUsers
Möglicherweise müssen Sie das Repository als vertrauenswürdig konfigurieren, damit der Befehl erfolgreich ist:
Set-PSRepository PSGallery -InstallationPolicy Trusted
Erstellen einer registrierten Microsoft Entra-App zum Abrufen von Windows LAPS-Passwörtern
Der nächste Schritt besteht darin, eine Microsoft Entra-Anwendung zu erstellen, die mit den erforderlichen Berechtigungen konfiguriert ist. Informationen zu den grundlegenden Anweisungen zum Erstellen einer Microsoft Entra-Anwendung finden Sie unter Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.
Die App muss mit zwei Berechtigungen konfiguriert werden: Device.Read.All und entweder DeviceLocalCredential.ReadBasic.All oder DeviceLocalCredential.Read.All. DeviceManagementManagedDevices.Read.All kann auch erforderlich sein, um Kennwörter für Microsoft Managed Desktop-Geräte abzufragen.
Wichtig
- Erteilen Sie mit
DeviceLocalCredential.ReadBasic.AllBerechtigungen zum Lesen nicht sensibler Metadaten zu gespeicherten Windows LAPS-Kennwörtern. Beispiele hierfür sind der Zeitpunkt der Sicherung des Kennworts in Azure und die erwartete Ablaufzeit eines Kennworts. Diese Berechtigungsebene eignet sich für Berichterstellungs- und Complianceanwendungen. - Erteilen Sie mit
DeviceLocalCredential.Read.Allvollständige Berechtigungen zum Lesen aller gespeicherten Windows LAPS-Kennwörter, einschließlich der Klartextkennwörter selbst. Diese Berechtigungsebene ist vertraulich und sollte sorgfältig verwendet werden.
Abrufen des Passworts aus der Microsoft Entra-ID
Sie haben es fast geschafft! Melden Sie sich zunächst bei Microsoft Graph an. Rufen Sie dann mit dem Cmdlet Get-LapsAADPassword das Kennwort ab.
Melden Sie sich mithilfe des Cmdlets Connect-MgGraph bei Microsoft Graph an. Sie müssen Ihre Azure-Mandanten-ID und die Anwendungs-ID der Microsoft Entra ID-Anwendung kennen, die Sie zuvor erstellt haben. Führen Sie das Cmdlet einmal aus, um sich anzumelden. Beispiel:
PS C:\> Connect-MgGraph -Environment Global -TenantId acca2622-272f-413f-865f-a67416923a6b -ClientId 1c2e514c-2ef1-486d-adbb-8da208457957
Welcome To Microsoft Graph!
Tipp
Damit das Cmdlet Connect-MgGraph erfolgreich ist, müssen Sie möglicherweise Ihre PowerShell-Ausführungsrichtlinie ändern. Beispielsweise benötigen Sie möglicherweise für die erste Ausführung Set-ExecutionPolicy -ExecutionPolicy Unrestricted.
Nachdem Sie sich bei Microsoft Graph angemeldet haben, können Sie das Kennwort abrufen.
Rufen Sie zunächst das Cmdlet Get-LapsAADPassword auf, und übergeben Sie den Namen des Geräts:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice
DeviceName DeviceId PasswordExpirationTime
---------- -------- ----------------------
myAzureDevice be8ab291-6307-42a2-8fda-2f4ee78e51c8 7/31/2022 11:34:39 AM
Tipp
Übergeben Sie den Parameter -Verbose, um detaillierte Informationen über die Aktivitäten des Cmdlets Get-LapsAADPassword (oder jedes anderen Cmdlets im PowerShell-Modul von Windows LAPS) anzuzeigen.
Das vorherige Beispiel erfordert, dass dem Client DeviceLocalCredential.Read.Basic-Berechtigungen erteilt werden. Die folgenden Beispiele erfordern, dass dem Client DeviceLocalCredential.Read.All-Berechtigungen erteilt werden.
Rufen Sie als Nächstes das Cmdlet Get-LapsAADPassword auf, um das tatsächliche Kennwort zurückzugeben:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : System.Security.SecureString
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime : 7/1/2022 11:34:39 AM
Das Kennwort, das in einem SecureString-Objekt zurückgegeben wird.
Schließlich können Sie zu Test- oder Ad-hoc-Zwecken mit dem Parameter -AsPlainText die Anforderung stellen, dass das Kennwort im Klartext angezeigt wird:
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : xzYVg,;rqQ+rkXEM0B29l3z!Ez.}T9rY8%67i1#TUk
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime : 7/1/2022 11:34:39 AM
Rotieren des Kennworts
Windows LAPS speichert lokal, wann das letzte gespeicherte Kennwort abläuft, und rotiert das Kennwort automatisch, sobald es abläuft. In einigen Fällen (z. B. nach einer Sicherheitsverletzung oder für Ad-hoc-Tests) müssen Sie ggf. das Kennwort frühzeitig rotieren. Mit dem Cmdlet Reset-LapsPassword können Sie eine manuelle Kennwortrotation erzwingen. Beispiel:
PS C:\> Reset-LapsPassword
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText
DeviceName : myAzureDevice
DeviceId : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account : Administrator
Password : &HK%tbA+k7,vcrI387k9([f+%w)9VZz98;,(@+Ai6b
PasswordExpirationTime : 7/31/2022 12:16:16 PM
PasswordUpdateTime : 7/1/2022 12:16:16 PM
Wichtig
- Microsoft Entra ID unterstützt nicht das Ablauflassen des aktuell gespeicherten Kennworts eines Geräts durch Änderung des Zeitstempels für den Ablauf des Kennworts in Microsoft Entra ID. Dies ist ein Entwurfsunterschied zum auf Windows Server Active Directory basierenden Windows LAPS.
- Vermeiden Sie eine zu häufige Verwendung des Cmdlets
Reset-LapsPassword. Falls erkannt, kann die Aktivität gedrosselt werden.
Windows LAPS und Microsoft Entra Connect in Hybridumgebungen
Windows LAPS ist nicht auf Microsoft Entra Connect angewiesen, und es gibt keine Abhängigkeiten zwischen diesen beiden Technologien. Verwaltete Windows LAPS-Geräte, die ihre Kennwörter in Microsoft Entra ID sichern, tun dies direkt über HTTPS und sind nicht auf Datensynchronisierung angewiesen.
Darüber hinaus können die Microsoft Entra ID- und Intune-Geräteverwaltungsportale nur Kennwörter anzeigen und verwalten, die direkt von einem Windows LAPS-Gerät gesichert wurden. Das Konfigurieren von Microsoft Entra Connect zum Synchronisieren der Windows LAPS-Attribute für die lokale Active Directory-Instanz mit Microsoft Entra ID ist kein getestetes Szenario. Die manuelle Synchronisierung der Windows LAPS-Attribute für die lokale Active Directory-Instanz mit Microsoft Entra ID führt nicht dazu, dass diese Attribute in den Microsoft Entra ID- oder Intune-Geräteverwaltungsportalen angezeigt werden.
Es ist zwar nicht für die ordnungsgemäße Ausführung von Windows LAPS erforderlich, aber wenn Sie Ihr lokales Active Directory-Schema im Rahmen einer bewährten Methode erweitern, sollten Sie auch Ihr Microsoft Entra Connect-Verzeichnisschema aktualisieren. Weitere Informationen finden Sie unter Aktualisieren des Verzeichnisschemas.
Weitere Informationen
- Einführung von Windows Local Administrator Password Solution in Microsoft Entra ID
- Windows Local Administrator Password Solution in Microsoft Entra ID
- Microsoft Intune
- Microsoft Intune-Unterstützung für Windows LAPS
- Windows LAPS CSP
- Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform
- Windows LAPS Troubleshooting Guidance (Leitfaden zur Problembehandlung für Windows LAPS)