Microsoft Intune-ondersteuning voor Windows LAPS
Elke Windows-computer heeft een ingebouwd lokaal beheerdersaccount dat niet kan worden verwijderd en dat volledige machtigingen heeft voor het apparaat. Het beveiligen van dit account is een belangrijke stap bij het beveiligen van uw organisatie. Windows-apparaten bevatten Windows Local Administrator Password Solution (LAPS), een ingebouwde oplossing voor het beheren van lokale beheerdersaccounts.
U kunt microsoft Intune-eindpuntbeveiligingsbeleid gebruiken voor accountbeveiliging om LAPS te beheren op apparaten die zijn ingeschreven bij Intune. Intune-beleid kan:
- Wachtwoordvereisten afdwingen voor lokale beheerdersaccounts
- Een back-up maken van een lokaal beheerdersaccount vanaf apparaten naar uw Active Directory (AD) of Microsoft Entra
- Plan rotatie van die accountwachtwoorden om ze veilig te houden.
U kunt ook details bekijken over de beheerde lokale beheerdersaccounts in het Intune-beheercentrum en hun accountwachtwoorden handmatig roteren buiten een geplande rotatie.
Het gebruik van Intune LAPS-beleid helpt u Windows-apparaten te beschermen tegen aanvallen die zijn gericht op het misbruiken van lokale gebruikersaccounts, zoals pass-the-hash- of lateral-traversal-aanvallen. Het beheren van LAPS met Intune kan ook helpen bij het verbeteren van de beveiliging voor externe helpdeskscenario's en het herstellen van apparaten die anders niet toegankelijk zijn.
Intune LAPS-beleid beheert de instellingen die beschikbaar zijn via de Windows LAPS CSP. Het gebruik van de CSP door Intune vervangt het gebruik van verouderde Microsoft LAPS - of andere LAPS-beheeroplossingen, waarbij CSP voorrang heeft op andere LAPS-beheerbronnen.
Intune-ondersteuning voor Windows LAPS bevat de volgende mogelijkheden:
- Wachtwoordvereisten instellen : definieer wachtwoordvereisten, waaronder complexiteit en lengte voor het lokale beheerdersaccount op een apparaat.
- Wachtwoorden roteren : met beleid kunt u apparaten automatisch de wachtwoorden van het lokale beheerdersaccount laten roteren volgens een schema. U kunt ook het Intune-beheercentrum gebruiken om het wachtwoord voor een apparaat handmatig te roteren als apparaatactie.
- Back-upaccounts en wachtwoorden : u kunt ervoor kiezen om apparaten een back-up te laten maken van hun account en wachtwoord in Microsoft Entra ID in de cloud of in uw on-premises Active Directory. Wachtwoorden worden opgeslagen met behulp van sterke versleuteling.
- Acties na verificatie configureren : definieer acties die een apparaat uitvoert wanneer het wachtwoord van het lokale beheerdersaccount verloopt. Acties variëren van het opnieuw instellen van het beheerde account om een nieuw beveiligd wachtwoord te gebruiken, het account af te melden of beide uit te voeren en vervolgens het apparaat uit te schakelen. U kunt ook beheren hoe lang het apparaat wacht nadat het wachtwoord is verlopen voordat u deze acties uitvoert.
- Accountdetails weergeven : Intune-beheerders met voldoende RBAC-machtigingen (op rollen gebaseerd beheer) kunnen informatie bekijken over een lokaal beheerdersaccount van een apparaat en het huidige wachtwoord. U kunt ook zien wanneer dat wachtwoord voor het laatst is geroteerd (opnieuw instellen) en wanneer het volgende is gepland om te draaien.
- Rapporten weergeven : Intune biedt rapporten over wachtwoordrotatie, inclusief details over eerdere handmatige en geplande wachtwoordrotatie.
Als u meer wilt weten over Windows LAPS, begint u met de volgende artikelen in de Windows-documentatie:
- Wat is Windows LAPS? – Inleiding tot Windows LAPS en de Windows LAPS-documentatieset.
- Windows LAPS CSP : bekijk de volledige details voor LAPS-instellingen en -opties. Intune-beleid voor LAPS gebruikt deze instellingen om de LAPS-CSP op apparaten te configureren.
Van toepassing op:
- Windows 10
- Windows 11
Vereisten
Hier volgen de vereisten voor Intune voor de ondersteuning van Windows LAPS in uw tenant:
Licentievereisten
Intune-abonnement - Microsoft Intune-abonnement 1, het basisabonnement op Intune. U kunt Windows LAPS ook gebruiken met een gratis proefabonnement voor Intune.
Microsoft Entra ID : Microsoft Entra ID Free, de gratis versie van Microsoft Entra ID die wordt meegeleverd wanneer u zich abonneert op Intune. Met Microsoft Entra ID Free kunt u alle functies van LAPS gebruiken.
Active Directory-ondersteuning
Intune-beleid voor Windows LAPS kan een apparaat configureren voor het maken van een back-up van een lokaal beheerdersaccount en wachtwoord naar een van de volgende adreslijsttypen:
Opmerking
Apparaten die lid zijn van de werkplek (WPJ) worden niet ondersteund door Intune voor LAPS.
Cloud – Cloud ondersteunt back-ups naar uw Microsoft Entra ID voor de volgende scenario's:
Microsoft Entra Hybrid Join
Microsoft Entra-deelname
Voor ondersteuning van Microsoft Entra Join moet u LAPS inschakelen in uw Microsoft Entra-id. De volgende stappen kunnen u helpen bij het voltooien van deze configuratie. Voor de bredere context bekijkt u deze stappen in de Microsoft Entra-documentatie op Windows LAPS inschakelen met Microsoft Entra ID. Voor Microsoft Entra Hybrid Join hoeft LAPS niet te zijn ingeschakeld in Microsoft Entra.
Laps inschakelen in Microsoft Entra:
- Meld u aan bij het Microsoft Entra-beheercentrum als cloudapparaatbeheerder.
- Blader naarOverzicht>van identiteitsapparaten>>Apparaatinstellingen.
- Selecteer Ja voor de instelling Local Administrator Password Solution (LAPS) inschakelen en selecteer Opslaan. U kunt ook de Microsoft Graph API Update deviceRegistrationPolicy gebruiken.
Zie Windows Local Administrator Password Solution in Microsoft Entra ID in de Microsoft Entra-documentatie voor meer informatie.
On-premises : on-premises ondersteunt back-ups naar Windows Server Active Directory (on-premises Active Directory).
Belangrijk
LAPS op Windows-apparaten kunnen worden geconfigureerd voor het gebruik van het ene adreslijsttype of het andere, maar niet beide. Houd er ook rekening mee dat de back-upmap moet worden ondersteund door het type apparaatdeelname. Als u de map instelt op een on-premises Active Directory en het apparaat geen lid is van een domein, accepteert het de beleidsinstellingen van Intune, maar kan deze configuratie niet worden gebruikt.
Device Edition en Platform
Apparaten kunnen elke Windows-editie hebben die Intune ondersteunt, maar moeten een van de volgende versies uitvoeren om de Windows LAPS-CSP te ondersteunen:
- Windows 10, versie 22H2 (19045.2846 of hoger) met KB5025221
- Windows 10, versie 21H2 (19044.2846 of hoger) met KB5025221
- Windows 10, versie 20H2 (19042.2846 of hoger) met KB5025221
- Windows 11, versie 22H2 (22621.1555 of hoger) met KB5025239
- Windows 11, versie 21H2 (22000.1817 of hoger) met KB5025224
GCC Hoge ondersteuning
Intune-beleid voor Windows LAPS wordt ondersteund voor GCC High-omgevingen.
Op rollen gebaseerde toegangsbeheer voor LAPS
Als u LAPS wilt beheren, moet een account voldoende RBAC-machtigingen (op rollen gebaseerd toegangsbeheer) hebben om een gewenste taak te voltooien. Hier volgen de beschikbare taken met de vereiste machtigingen:
LAPS-beleid maken en openen : als u met LAPS-beleid wilt werken en weergeven, moet aan uw account voldoende machtigingen zijn toegewezen vanuit de Intune RBAC-categorie voor beveiligingsbasislijnen. Deze zijn standaard opgenomen in de ingebouwde rol Endpoint Security Manager. Als u aangepaste rollen wilt gebruiken, moet u ervoor zorgen dat de aangepaste rol de rechten uit de categorie Beveiligingsbasislijnen bevat.
Lokaal beheerderswachtwoord draaien : als u het Intune-beheercentrum wilt gebruiken om het lokale beheerdersaccountwachtwoord van een apparaat weer te geven of te draaien, moet aan uw account de volgende Intune-machtigingen zijn toegewezen:
- Beheerde apparaten: Lezen
- Organisatie: Lezen
- Externe taken: Lokaal beheerderswachtwoord draaien
Lokaal beheerderswachtwoord ophalen : als u wachtwoordgegevens wilt weergeven, moet uw account een van de volgende Microsoft Entra-machtigingen hebben:
-
microsoft.directory/deviceLocalCredentials/password/read
om LAPS-metagegevens en -wachtwoorden te lezen. -
microsoft.directory/deviceLocalCredentials/standard/read
om LAPS-metagegevens te lezen, met uitzondering van wachtwoorden.
Als u aangepaste rollen wilt maken die deze machtigingen kunnen verlenen, raadpleegt u Een aangepaste rol maken en toewijzen in Microsoft Entra ID in de Microsoft Entra-documentatie.
-
Microsoft Entra-auditlogboeken en -gebeurtenissen weergeven: als u details wilt weergeven over LAPS-beleid en recente apparaatacties, zoals wachtwoordrotatiegebeurtenissen, moet uw account machtigingen hebben die gelijkwaardig zijn aan de ingebouwde Intune-rol Alleen-lezenoperator.
Zie Op rollen gebaseerd toegangsbeheer voor Microsoft Intune voor meer informatie.
LAPS-architectuur
Zie Windows LAPS-architectuur in de Windows-documentatie voor meer informatie over de Windows LAPS-architectuur .
Veelgestelde vragen
Kan ik Intune LAPS-beleid gebruiken om een lokaal beheerdersaccount op een apparaat te beheren?
Ja. Intune LAPS-beleid kan worden gebruikt om elk lokaal beheerdersaccount op een apparaat te beheren. LAPS ondersteunt echter slechts één account per apparaat:
- Wanneer een beleid geen accountnaam opgeeft, beheert Intune het standaard ingebouwde beheerdersaccount, ongeacht de huidige naam op het apparaat.
- U kunt het account wijzigen dat Door Intune voor een apparaat wordt beheerd door het toegewezen beleid van het apparaat te wijzigen of het huidige beleid te bewerken om een ander account op te geven.
- Als er twee afzonderlijke beleidsregels worden toegewezen aan een apparaat die beide een ander account opgeven, treedt er een conflict op dat moet worden opgelost voordat het account van het apparaat kan worden beheerd.
Wat gebeurt er als ik LAPS-beleid met Intune implementeer op een apparaat dat al LAPS-configuraties van een andere bron heeft?
Het beleid op basis van CSP van Intune overschrijft alle andere bronnen van LAPS-beleid, zoals van GPO's of een configuratie van verouderde Microsoft LAPS. Zie Ondersteunde beleidswortels in de Windows LAPS-documentatie voor meer informatie.
Kan Windows LAPS lokale beheerdersaccounts maken op basis van de naam van het beheerdersaccount die is geconfigureerd met laps-beleid?
Nee. Windows LAPS kan alleen accounts beheren die al op het apparaat bestaan. Als een beleid een account opgeeft op naam dat niet op het apparaat bestaat, is het beleid van toepassing en wordt er geen fout gerapporteerd. Er wordt echter geen back-up van het account gemaakt.
Draait Windows LAPS het wachtwoord voor een apparaat dat is uitgeschakeld in Microsoft Entra en maakt er een back-up van?
Nee. Windows LAPS vereist dat het apparaat de status Ingeschakeld heeft voordat wachtwoordrotatie- en back-upbewerkingen kunnen worden toegepast.
Wat gebeurt er wanneer een apparaat wordt verwijderd in Microsoft Entra?
Wanneer een apparaat wordt verwijderd in Microsoft Entra, gaat de LAPS-referentie die aan dat apparaat is gekoppeld verloren en gaat het wachtwoord dat is opgeslagen in Microsoft Entra ID verloren. Tenzij u een aangepaste werkstroom hebt om LAPS-wachtwoorden op te halen en extern op te slaan, is er geen methode in Microsoft Entra ID om het beheerde LAPS-wachtwoord voor een verwijderd apparaat te herstellen.
Welke rollen zijn nodig om LAPS-wachtwoorden te herstellen?
De volgende ingebouwde Microsoft Entra-rollen zijn gemachtigd om LAPS-wachtwoorden te herstellen: Cloudapparaatbeheerder en Intune-beheerder.
Welke rollen zijn nodig om LAPS-metagegevens te lezen?
De volgende ingebouwde Rollen voor Microsoft Entra-rollen worden ondersteund voor het weergeven van metagegevens over LAPS, waaronder de apparaatnaam, laatste wachtwoordrotatie en volgende wachtwoordrotatie:
- Beveiligingslezer
U kunt ook de volgende rollen gebruiken:
- Cloudapparaatbeheerder
- Intune-beheerder
- Helpdeskbeheerder
- Beveiligingsbeheerder
Waarom wordt de knop Lokaal beheerderswachtwoord grijs weergegeven en niet toegankelijk?
Op dit moment is voor toegang tot dit gebied de Intune-machtiging Lokaal beheerderswachtwoord roteren vereist. Zie Op rollen gebaseerd toegangsbeheer voor Microsoft Intune.
Wat gebeurt er wanneer het account dat is opgegeven door het beleid wordt gewijzigd?
Omdat Windows LAPS slechts één lokaal beheerdersaccount op een apparaat tegelijk kan beheren, wordt het oorspronkelijke account niet meer beheerd door HET LAPS-beleid. Als het apparaat een back-up van dat account maakt, wordt er een back-up van het nieuwe account gemaakt en zijn details over het vorige account niet meer beschikbaar vanuit het Intune-beheercentrum of vanuit de map die is opgegeven voor het opslaan van de accountgegevens.