Windows LAPS-beleid beheren met Microsoft Intune

  • Artikel

Wanneer u klaar bent om de Windows Local Administrator Password Solution (Windows LAPS) te beheren op Windows-apparaten die u beheert met Microsoft Intune, kunt u het Intune-beheercentrum gebruiken om het volgende te doen:

  • Intune LAPS-beleid maken en toewijzen aan apparaten.
  • De details van het lokale beheerdersaccount van een apparaat weergeven.
  • Draai het wachtwoord voor het beheerde account handmatig.
  • Gebruik rapporten over LAPS-beleid.

Voordat u beleidsregels maakt, moet u bekend zijn met de informatie in Microsoft Intune ondersteuning voor Windows LAPS, waaronder:

  • Een overzicht van het Windows LAPS-beleid en de mogelijkheden van Intune.
  • De vereisten voor het gebruik van Intune-beleid voor LAPS.
  • De machtigingen voor op rollen gebaseerd beheer (RBAC) die uw account nodig heeft om LAPS-beleid te beheren.
  • Veelgestelde vragen die inzicht kunnen bieden in het configureren en gebruiken van Intune LAPS-beleid.

Van toepassing op:

  • Windows 10
  • Windows 11

Over Intune LAPS-beleid

Intune biedt ondersteuning voor het configureren van Windows LAPS op apparaten via het profiel Lokale beheerderswachtwoordoplossing (Windows LAPS), beschikbaar via eindpuntbeveiligingsbeleid voor accountbeveiliging.

Intune-beleid beheert LAPS met behulp van de Windows LAPS-configuratieserviceprovider (CSP). Windows LAPS CSP-configuraties hebben voorrang op en overschrijven bestaande configuraties van andere LAPS-bronnen, zoals GPO's of het verouderde Hulpprogramma Microsoft LAPS .

Met Windows LAPS kunt u één lokaal beheerdersaccount per apparaat beheren. Intune-beleid kan opgeven op welk lokaal beheerdersaccount het van toepassing is door gebruik te maken van de beleidsinstelling Administrator Account Name. Als de accountnaam die is opgegeven in het beleid niet aanwezig is op het apparaat, wordt er geen account beheerd. Wanneer de naam van het beheerdersaccount echter leeg is gelaten, wordt het beleid standaard ingesteld op het ingebouwde lokale beheerdersaccount van het apparaat dat wordt geïdentificeerd met de bekende relatieve id (RID).

Opmerking

Zorg ervoor dat aan de vereisten voor Intune voor de ondersteuning van Windows LAPS in uw tenant wordt voldaan voordat u beleid maakt.

Met het LAPS-beleid van Intune worden geen nieuwe accounts of wachtwoorden gemaakt. In plaats daarvan beheren ze een account dat zich al op het apparaat bevindt.

Configureer en wijs LAPS-beleid zorgvuldig toe. De Windows LAPS CSP ondersteunt één configuratie voor elke LAPS-instelling op een apparaat. Apparaten die meerdere Intune-beleidsregels ontvangen die conflicterende instellingen bevatten, kunnen het beleid niet verwerken. Conflicten kunnen ook de back-up van het beheerde lokale beheerdersaccount en wachtwoord naar de map van uw tenants voorkomen.

Om potentiële conflicten te verminderen, raden we u aan om één LAPS-beleid toe te wijzen aan elk apparaat via apparaatgroepen en niet via gebruikersgroepen. Hoewel HET LAPS-beleid gebruikersgroeptoewijzingen ondersteunt, kunnen ze resulteren in een cyclus van het wijzigen van LAPS-configuraties telkens wanneer een andere gebruiker zich aanmeldt bij een apparaat. Regelmatig veranderend beleid kan leiden tot conflicten, een gebrek aan naleving van de vereisten voor apparaten en verwarring creëren over welk lokaal beheerdersaccount van een apparaat momenteel wordt beheerd.

Een LAPS-beleid maken

Belangrijk

Zorg ervoor dat u LAPS hebt ingeschakeld in Microsoft Entra, zoals beschreven in de documentatie Windows LAPS inschakelen met Microsoft Entra-id.

Als u LAPS-beleid wilt maken of beheren, moet uw account beschikken over toepasselijke rechten uit de categorie Beveiligingsbasislijn . Deze machtigingen zijn standaard opgenomen in de ingebouwde rol Endpoint Security Manager. Als u aangepaste rollen wilt gebruiken, moet u ervoor zorgen dat de aangepaste rol de rechten uit de categorie Beveiligingsbasislijnen bevat. Zie Op rollen gebaseerde toegangsbeheer voor LAPS.

Voordat u een beleid maakt, kunt u details bekijken over de beschikbare instellingen in de Windows LAPS CSP-documentatie .

  1. Meld u aan bij het Microsoft Intune-beheercentrum, ga naar Eindpuntbeveiliging>Accountbeveiliging en selecteer vervolgens Beleid maken.

    Schermafbeelding die laat zien waar u in het beheercentrum een LAPS-beleid maakt.

    Stel Platform in op Windows 10 en hoger, Profiel op Lokale beheerderswachtwoordoplossing (Windows LAPS) en selecteer vervolgens Maken.

  2. Voer bij Basisinformatie de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het profiel. Geef profielen een naam, zodat u ze later eenvoudig kunt herkennen.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  3. In Configuratie-instellingen configureert u een keuze voor Back-upmap om het type map te definiëren dat moet worden gebruikt voor het maken van een back-up van het lokale beheerdersaccount. U kunt er ook voor kiezen geen back-up te maken van een account en wachtwoord. Het type Directory bepaalt ook welke aanvullende instellingen beschikbaar zijn in dit beleid.

    Schermopname met de opties voor de instelling Back-upmap.

    Belangrijk

    Houd er bij het configureren van een beleid rekening mee dat het type back-upmap in het beleid moet worden ondersteund door het jointype van het apparaat waaraan het beleid is toegewezen. Als u bijvoorbeeld de map instelt op Active Directory en het apparaat niet lid is van een domein (maar lid is van Microsoft Entra), kan het apparaat de beleidsinstellingen van Intune zonder fouten toepassen, maar kan LAPS op het apparaat die configuratie niet gebruiken om een back-up van het account te maken.

    Nadat u Back-upmap hebt geconfigureerd, controleert en configureert u de beschikbare instellingen om te voldoen aan de vereisten van uw organisatie.

  4. Selecteer op de pagina Bereiktags de gewenste bereiktags die u wilt toepassen en selecteer vervolgens Volgende.

  5. Selecteer bij Toewijzingen de groepen die dit beleid moeten ontvangen. U wordt aangeraden LAPS-beleid toe te wijzen aan apparaatgroepen. Beleidsregels die zijn toegewezen aan gebruikersgroepen volgen een gebruiker van apparaat naar apparaat. Wanneer de gebruiker van een apparaat verandert, kan er een nieuw beleid van toepassing zijn op het apparaat en inconsistent gedrag veroorzaken, waaronder welk account het apparaat een back-up maakt of wanneer het wachtwoord voor beheerde accounts de volgende wisseling wordt uitgevoerd.

    Opmerking

    Net als bij alle Intune-beleidsregels probeert Intune, wanneer een nieuw beleid van toepassing is op een apparaat, dat apparaat te waarschuwen om het beleid in te checken en te verwerken.

    Totdat een apparaat is ingecheckt bij Intune en het LAPS-beleid heeft verwerkt, zijn gegevens over het beheerde lokale beheerdersaccount niet beschikbaar om vanuit het beheercentrum weer te geven of te beheren.

    Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

  6. Controleer in Beoordelen en maken uw instellingen en selecteer vervolgens Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de beleidslijst.

Status van apparaatacties weergeven

Wanneer uw account machtigingen heeft die gelijkwaardig zijn aan de machtigingen voor beveiligingsbasislijnen die rechten verlenen aan alle beleidssjablonen in de workload Eindpuntbeveiliging, kunt u het Intune-beheercentrum gebruiken om de status van apparaatacties te bekijken die voor het apparaat zijn aangevraagd.

Zie Op rollen gebaseerde toegangsbeheer voor LAPS voor meer informatie.

  1. Ga in het Microsoft Intune-beheercentrum naar Apparaten>Alle apparaten en selecteer een apparaat met een LAPS-beleid dat een back-up maakt van een lokaal beheerdersaccount. In Intune wordt het deelvenster Overzicht van apparaten weergegeven.

  2. In het deelvenster Overzicht van het apparaat kunt u de status van apparaatacties weergeven. Eerder aangevraagde acties en acties in behandeling worden weergegeven, inclusief de tijd van de aanvraag en of de actie is mislukt of geslaagd. In de volgende voorbeeldschermafbeelding is het wachtwoord van het lokale Beheer-account van een apparaat geroteerd.

    Schermafbeelding van de status van de apparaatacties voor een apparaat, waarbij één actie is voltooid en een huidige actie in behandeling is.

  3. Als u een actie selecteert in de lijst, wordt het deelvenster Status van apparaatactie geopend, waarin aanvullende details over die actie kunnen worden weergegeven.

Account- en wachtwoordgegevens weergeven

Als u account- en wachtwoordgegevens wilt weergeven, moet een account een van de volgende Microsoft Entra machtigingen hebben:

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Gebruik de volgende methoden om accounts deze machtigingen te verlenen:

  • Wijs een van de volgende ingebouwde Microsoft Entra rollen toe:
    • Algemene beheerder
    • Cloudapparaat Beheer

Maak en wijs een aangepaste rol toe in Microsoft Entra id die deze machtigingen verleent. Zie Een aangepaste rol maken en toewijzen in Microsoft Entra id in de Microsoft Entra documentatie.

Zie Op rollen gebaseerde toegangsbeheer voor LAPS voor meer informatie.

  1. Ga in het Microsoft Intune-beheercentrum naar Apparaten>Alle apparaten> selecteert u een Windows-apparaat om het deelvenster Overzicht te openen.

    In het overzichtsvenster kunt u de apparaatactiesstatus bekijken. De status geeft huidige en eerdere acties weer, zoals wachtwoordrotatie.

  2. Selecteer in het deelvenster Overzicht van apparaten onder Controlerende optie Lokaal beheerderswachtwoord. Als uw account voldoende machtigingen heeft, wordt het deelvenster Lokaal beheerderswachtwoord voor het apparaat geopend. Dit is dezelfde weergave die beschikbaar is in de Azure Portal.

    Schermafbeelding met het deelvenster wachtwoord voor lokale beheerders voor een Windows-apparaat.

    De volgende informatie kan worden bekeken vanuit het beheercentrum. Het lokale beheerderswachtwoord kan echter alleen worden weergegeven wanneer er een back-up van het account is gemaakt naar Microsoft Entra. Het kan niet worden weergegeven voor een account waarvan een back-up is gemaakt naar een on-premises Active Directory (Windows Server Active Directory):

    • Accountnaam : de naam van het lokale beheerdersaccount waarvan vanaf het apparaat een back-up is gemaakt.
    • Beveiligings-id : de bekende SID voor het account waarvan vanaf het apparaat een back-up is gemaakt.
    • Lokaal beheerderswachtwoord : standaard verborgen. Als uw account is gemachtigd, kunt u Weergeven selecteren om het wachtwoord weer te geven. U kunt vervolgens de optie Kopiëren gebruiken om het wachtwoord naar het klembord te kopiëren. Deze informatie is niet beschikbaar voor apparaten die een back-up maken van een on-premises Active Directory.
    • Laatste wachtwoordrotatie : in UTC, de datum en tijd waarop het wachtwoord voor het laatst is gewijzigd of geroteerd door beleid.
    • Volgende wachtwoordrotatie : in UTC, de volgende datum en tijd waarop het wachtwoord per beleid wordt geroteerd.

Hier volgen overwegingen voor het weergeven van een apparaataccount en wachtwoordgegevens:

  • Het ophalen (weergeven) van het wachtwoord voor een lokaal beheerdersaccount activeert een controlegebeurtenis.

  • U kunt geen wachtwoordgegevens weergeven voor de volgende apparaten:

    • Apparaten waarvan een back-up is gemaakt van hun lokale beheerdersaccount naar een on-premises Active Directory
    • Apparaten die zijn ingesteld om Active Directory te gebruiken voor het maken van een back-up van het accountwachtwoord.

Wachtwoorden handmatig draaien

HET LAPS-beleid bevat een planning voor het automatisch roteren van accountwachtwoorden. Naast een geplande rotatie kunt u de Intune-apparaatactie lokaal beheerderswachtwoord roteren gebruiken om het wachtwoord van een apparaat handmatig te roteren, onafhankelijk van het draaischema dat is ingesteld door het LAPS-beleid voor apparaten.

Als u deze apparaatactie wilt gebruiken, moet uw account de volgende drie Intune-machtigingen hebben:

  • Beheerde apparaten: Lezen
  • Organisatie: Lezen
  • Externe taken: Lokaal Beheer wachtwoord draaien

Zie Op rollen gebaseerde toegangsbeheer voor LAPS.

Een wachtwoord draaien

  1. Ga in het Microsoft Intune-beheercentrum naar Apparaten>Alle apparaten en selecteer het Windows-apparaat met het account dat u wilt draaien.

  2. Vouw tijdens het weergeven van de apparaatdetails het beletselteken (...) aan de rechterkant van de menubalk uit om de beschikbare opties weer te geven en selecteer vervolgens Lokaal beheerderswachtwoord draaien.

    Schermafbeelding van de uitgevouwen menuopties voor apparaatacties.

  3. Wanneer u Lokaal beheerderswachtwoord draaien selecteert, geeft Intune een waarschuwing weer die bevestiging vereist voordat het wachtwoord wordt gedraaid.

    Nadat u de intentie om het wachtwoord te draaien hebt bevestigd, start Intune het proces, dat enkele minuten kan duren. Gedurende deze tijd wordt in het detailvenster van het apparaat een banner en de status Apparaatacties weergegeven die aangeven dat de actie In behandeling is.

Na een geslaagde rotatie wordt de bevestiging weergegeven in de status Apparaatacties als Voltooid.

Hier volgen overwegingen voor handmatige wachtwoordrotatie:

  • De apparaatactie Lokaal beheerderswachtwoord roteren is beschikbaar voor alle Windows-apparaten, maar elk apparaat dat geen back-up van de account- en wachtwoordgegevens heeft gemaakt, kan een draaiaanvraag niet voltooien.

  • Elke handmatige rotatiepoging resulteert in een controlegebeurtenis. Geplande wachtwoordrotaties registreren ook een auditgebeurtenis.

  • Wanneer een wachtwoord handmatig wordt gedraaid, wordt de tijd naar de volgende geplande wachtwoordrotatie opnieuw ingesteld. De tijd tot de volgende geplande rotatie wordt beheerd via de instelling PasswordAgeDays in het LAPS-beleid.

    Dit werkt als volgt: Een apparaat ontvangt een beleid op 1 maart, waarmee PasswordAgeDays wordt ingesteld op 10 dagen. Het resultaat is dat het apparaat het wachtwoord na 10 dagen, op 11 maart, automatisch roteert. Op 5 maart roteert een beheerder handmatig het wachtwoord van dat apparaat en de actie waarmee de begindatum voor PasswordAgeDays opnieuw wordt ingesteld op 5 maart. Als gevolg hiervan zal het apparaat nu automatisch het wachtwoord 10 dagen later, op 15 maart, draaien.

  • Voor Microsoft Entra gekoppelde apparaten moet het apparaat online zijn op het moment dat de handmatige rotatie wordt aangevraagd. Als het apparaat niet online is op het moment van de aanvraag, resulteert dit in een fout.

  • Wachtwoordrotatie wordt niet ondersteund als bulkactie. U kunt slechts één apparaat tegelijk draaien.

Beleidsconflicten voorkomen

De volgende details kunnen u helpen conflicten te voorkomen en inzicht te verkrijgen in het verwachte gedrag van apparaten die worden beheerd door HET LAPS-beleid.

Wanneer aan een apparaat met een geslaagd beleid twee of meer beleidsregels worden toegewezen die een conflict veroorzaken:

  • Instellingen die op het apparaat zijn gebruikt, blijven op het apparaat op de waarde die voor het laatst is ingesteld. Beide beleidsregels, het oorspronkelijke en het nieuwe beleid, melden dat ze in conflict zijn.
  • Als u het conflict wilt oplossen, verwijdert u beleidstoewijzingen totdat het conflicterende beleid niet van toepassing is, of configureert u het toepasselijke beleid opnieuw om dezelfde configuratie in te stellen, waardoor het conflict wordt verwijderd.

Wanneer een apparaat dat geen LAPS-beleid heeft, tegelijkertijd twee conflicterende beleidsregels ontvangt:

  • Instellingen worden niet naar het apparaat verzonden en beide beleidsregels worden gerapporteerd als conflicten.
  • Zolang er een conflict blijft bestaan, zijn de instellingen van het beleid niet van toepassing op het apparaat.

Als u conflicten wilt oplossen, moet u beleidstoewijzingen van het apparaat verwijderen of instellingen in toepasselijk beleid opnieuw configureren totdat er geen conflicten meer overblijven.

Volgende stappen