Verwalten der Windows LAPS-Richtlinie mit Microsoft Intune
Wenn Sie bereit sind, die Windows Local Administrator Password Solution (Windows LAPS) auf Windows-Geräten zu verwalten, die Sie mit Microsoft Intune verwalten, können Die Informationen in diesem Artikel Ihnen helfen, das Intune Admin Center für Folgendes zu verwenden:
- Erstellen und Zuweisen einer Intune-LAPS-Richtlinie zu Geräten
- Zeigen Sie die Details des lokalen Administratorkontos eines Geräts an.
- Rotieren Sie das Kennwort für das verwaltete Konto manuell.
- Verwenden sie Berichte für die LAPS-Richtlinie.
Bevor Sie Richtlinien erstellen, machen Sie sich mit den Informationen in Microsoft Intune-Unterstützung für Windows LAPS vertraut, einschließlich:
- Eine Übersicht über die Windows LAPS-Richtlinie und die Funktionen von Intune.
- Die Voraussetzungen für die Verwendung von Intune-Richtlinien für LAPS.
- Die Berechtigungen der rollenbasierten Administratorsteuerung (Role-Based Admin Control, RBAC), über die Ihr Konto zum Verwalten der LAPS-Richtlinie verfügen muss.
- Häufig gestellte Fragen, die Einblicke in die Konfiguration und Verwendung der Intune-LAPS-Richtlinie bieten können.
Gilt für:
- Windows 10
- Windows 11
Informationen zur Laps-Richtlinie in Intune
Intune bietet Unterstützung zum Konfigurieren von Windows LAPS auf Geräten über das Profil Lokale Administratorkennwortlösung (Windows LAPS), das über Endpunktsicherheitsrichtlinien für den Kontoschutz verfügbar ist.
Intune-Richtlinien verwalten LAPS mithilfe des Windows LAPS-Konfigurationsdienstanbieters (CSP). Windows LAPS-CSP-Konfigurationen haben Vorrang vor allen vorhandenen Konfigurationen aus anderen LAPS-Quellen, z. B. GPOs oder dem Legacy-Microsoft LAPS-Tool .
Windows LAPS ermöglicht die Verwaltung eines einzelnen lokalen Administratorkontos pro Gerät. Die Intune-Richtlinie kann mithilfe der Richtlinieneinstellung Administratorkontoname angeben, für welches lokale Administratorkonto sie gilt. Wenn der in der Richtlinie angegebene Kontoname nicht auf dem Gerät vorhanden ist, wird kein Konto verwaltet. Wenn der Administratorkontoname jedoch leer bleibt, verwendet die Richtlinie standardmäßig das integrierte lokale Administratorkonto für Geräte, das durch den bekannten relativen Bezeichner (RID) identifiziert wird.
Hinweis
Stellen Sie sicher, dass die Voraussetzungen für Intune zur Unterstützung von Windows LAPS in Ihrem Mandanten erfüllt sind, bevor Sie Richtlinien erstellen.
Die LAPS-Richtlinien von Intune erstellen keine neuen Konten oder Kennwörter. Stattdessen verwalten sie ein Konto, das sich bereits auf dem Gerät befindet.
Konfigurieren und Zuweisen von LAPS-Richtlinien sorgfältig. Der Windows LAPS-CSP unterstützt eine einzelne Konfiguration für jede LAPS-Einstellung auf einem Gerät. Geräte, die mehrere Intune-Richtlinien erhalten, die in Konflikt stehende Einstellungen enthalten, können richtlinien nicht verarbeiten. Konflikte können auch die Sicherung des verwalteten lokalen Administratorkontos und des Kennworts in Ihrem Mandantenverzeichnis verhindern.
Um potenzielle Konflikte zu reduzieren, empfehlen wir, jedem Gerät eine einzelne LAPS-Richtlinie über Gerätegruppen und nicht über Benutzergruppen zuzuweisen. Die LAPS-Richtlinie unterstützt zwar Zuweisungen von Benutzergruppen, kann jedoch zu einem Zyklus von Änderungen der LAPS-Konfigurationen führen, wenn sich ein anderer Benutzer bei einem Gerät anmeldet. Häufig geänderte Richtlinien können Konflikte, mangelnde Gerätekonformität mit Anforderungen und Verwirrung darüber verursachen, welches lokale Administratorkonto von einem Gerät derzeit verwaltet wird.
Erstellen einer LAPS-Richtlinie
Wichtig
Stellen Sie sicher, dass Sie LAPS in Microsoft Entra aktiviert haben, wie in der Dokumentation Aktivieren von Windows LAPS mit Microsoft Entra ID beschrieben.
Zum Erstellen oder Verwalten einer LAPS-Richtlinie muss Ihr Konto über anwendbare Rechte aus der Kategorie Sicherheitsbaseline verfügen. Standardmäßig sind diese Berechtigungen in der integrierten Rolle Endpoint Security Manager enthalten. Um benutzerdefinierte Rollen zu verwenden, stellen Sie sicher, dass die benutzerdefinierte Rolle die Rechte aus der Kategorie Sicherheitsbaselines enthält. Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerungen für LAPS.
Bevor Sie eine Richtlinie erstellen, können Sie details zu den verfügbaren Einstellungen in der Windows LAPS CSP-Dokumentation überprüfen.
Melden Sie sich beim Microsoft Intune Admin Center an, wechseln Sie zu Endpunktsicherheit>Kontoschutz, und wählen Sie dann Richtlinie erstellen aus.
Legen Sie plattform auf Windows 10 und höher, Profil auf Lokale Administratorkennwortlösung (Windows LAPS) fest, und wählen Sie dann Erstellen aus.
Geben Sie unter Grundlagen die folgenden Eigenschaften ein:
- Name: Geben Sie einen aussagekräftigen Namen für das Profil ein. Benennen Sie Profile, damit Sie sie später leicht identifizieren können.
- Beschreibung: Geben Sie eine Beschreibung für das Profil ein. Diese Einstellung ist optional, wird jedoch empfohlen.
Konfigurieren Sie unter Konfigurationseinstellungen eine Auswahl für Sicherungsverzeichnis , um den Typ des Verzeichnisses zu definieren, das zum Sichern des lokalen Administratorkontos verwendet werden soll. Sie können sich auch dafür entscheiden, kein Konto und Kennwort zu sichern. Der Verzeichnistyp bestimmt auch, welche zusätzlichen Einstellungen in dieser Richtlinie verfügbar sind.
Wichtig
Beachten Sie beim Konfigurieren einer Richtlinie, dass der Sicherungsverzeichnistyp in der Richtlinie vom Jointyp des Geräts unterstützt werden muss, dem die Richtlinie zugewiesen ist. Wenn Sie beispielsweise das Verzeichnis auf Active Directory festlegen und das Gerät nicht in die Domäne eingebunden ist (aber mitglied von Microsoft Entra), kann das Gerät die Richtlinieneinstellungen von Intune ohne Fehler anwenden, aber LAPS auf dem Gerät kann diese Konfiguration nicht erfolgreich zum Sichern des Kontos verwenden.
Überprüfen und konfigurieren Sie nach dem Konfigurieren von Backup Directory die verfügbaren Einstellungen, um die Anforderungen Ihrer Organisation zu erfüllen.
Wählen Sie auf der Seite Bereichsmarkierungen alle anzuwendenden Bereichsmarkierungen und dann Weiter aus.
Wählen Sie unter Zuweisungen die Gruppen aus, die diese Richtlinie erhalten sollen. Es wird empfohlen, Die LAPS-Richtlinie Gerätegruppen zuzuweisen. Richtlinien, die Benutzergruppen zugewiesen sind, folgen einem Benutzer von Gerät zu Gerät. Wenn sich der Benutzer eines Geräts ändert, gilt möglicherweise eine neue Richtlinie für das Gerät und führt zu inkonsistentem Verhalten, einschließlich des Kontos, das das Gerät sichert oder wann das Kennwort für verwaltete Konten als nächstes rotiert wird.
Hinweis
Wie bei allen Intune-Richtlinien versucht Intune, wenn eine neue Richtlinie für ein Gerät gilt, dieses Gerät zu benachrichtigen, um die Richtlinie einzuchecken und zu verarbeiten.
Bis ein Gerät erfolgreich bei Intune eincheckt und seine LAPS-Richtlinie erfolgreich verarbeitet, stehen Daten zum verwalteten lokalen Administratorkonto nicht zum Anzeigen oder Verwalten innerhalb des Admin Centers zur Verfügung.
Weitere Informationen zum Zuweisen von Profilen finden Sie unter Zuweisen von Benutzer- und Geräteprofilen.
Überprüfen Sie unter Überprüfen + erstellen Ihre Einstellungen, und wählen Sie dann Erstellen aus. Wenn Sie auf Erstellen klicken, werden die Änderungen gespeichert, und das Profil wird zugewiesen. Die Richtlinie wird auch in der Richtlinienliste angezeigt.
Anzeigen des Status von Geräteaktionen
Wenn Ihr Konto über Berechtigungen verfügt, die den Berechtigungen für Sicherheitsbaselines entsprechen, die Berechtigungen für alle Richtlinienvorlagen in der Workload Endpunktsicherheit gewähren, können Sie das Intune Admin Center verwenden, um den Status von Geräteaktionen anzuzeigen, die für das Gerät angefordert wurden.
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerungen für LAPS.
Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Alle Geräte , und wählen Sie ein Gerät aus, das über eine LAPS-Richtlinie verfügt, die ein lokales Administratorkonto sichert. Intune zeigt den Bereich Übersicht dieser Geräte an.
Im Bereich Übersicht des Geräts können Sie den Status der Geräteaktionen anzeigen. Zuvor angeforderte Aktionen und ausstehende Aktionen werden angezeigt, einschließlich des Zeitpunkts der Anforderung und ob die Aktion fehlgeschlagen ist oder erfolgreich war. Im folgenden Beispielscreenshot wurde das Kennwort für das lokale Administratorkonto eines Geräts erfolgreich rotiert.
Wenn Sie eine Aktion aus der Liste auswählen, wird der Bereich Geräteaktionsstatus geöffnet, in dem zusätzliche Details zu dieser Aktion angezeigt werden können.
Anzeigen von Konto- und Kennwortdetails
Um Konto- und Kennwortdetails anzuzeigen, muss ein Konto über eine der folgenden Microsoft Entra-Berechtigungen verfügen:
microsoft.directory/deviceLocalCredentials/password/read
microsoft.directory/deviceLocalCredentials/standard/read
Verwenden Sie die folgenden Methoden, um Konten diese Berechtigungen zu gewähren:
- Weisen Sie die folgende integrierte Microsoft Entra-Rolle zu:
- Cloudgeräteadministrator
Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID, die diese Berechtigungen gewährt. Weitere Informationen finden Sie unter Erstellen und Zuweisen einer benutzerdefinierten Rolle in Microsoft Entra ID in der Microsoft Entra-Dokumentation.
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerungen für LAPS.
Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Alle Geräte> wählen Sie ein Windows-Gerät aus, um den zugehörigen Bereich Übersicht zu öffnen.
Im Übersichtsbereich können Sie den Gerätestatus Geräteaktionen anzeigen. Der Status zeigt aktuelle und vergangene Aktionen an, z. B. Kennwortrotation.
Wählen Sie im Bereich Übersicht der Geräte unter Überwachen die Option Lokales Administratorkennwort aus. Wenn Ihr Konto über ausreichende Berechtigungen verfügt, wird der Bereich Lokales Administratorkennwort für das Gerät geöffnet. Dies ist dieselbe Ansicht, die im Azure-Portal verfügbar ist.
Die folgenden Informationen können im Admin Center angezeigt werden. Das lokale Administratorkennwort kann jedoch nur angezeigt werden, wenn das Konto in Microsoft Entra gesichert wurde. Es kann nicht für ein Konto angezeigt werden, das in einem lokalen Active Directory (Windows Server Active Directory) gesichert ist:
- Kontoname : Der Name des lokalen Administratorkontos, das vom Gerät gesichert wurde.
- Sicherheits-ID : Die bekannte SID für das Konto, das vom Gerät gesichert wird.
- Lokales Administratorkennwort : Standardmäßig ausgeblendet. Wenn Ihr Konto über die Berechtigung verfügt, können Sie Anzeigen auswählen, um das Kennwort anzuzeigen. Anschließend können Sie die Option Kopieren verwenden, um das Kennwort in die Zwischenablage zu kopieren. Diese Informationen sind für Geräte, die in einem lokalen Active Directory sichern, nicht verfügbar.
- Letzte Kennwortrotation : In UTC das Datum und die Uhrzeit der letzten Änderung oder Rotation des Kennworts durch die Richtlinie.
- Nächste Kennwortrotation : In UTC das nächste Datum und die nächste Uhrzeit, zu der das Kennwort pro Richtlinie rotiert wird.
Im Folgenden finden Sie Überlegungen zum Anzeigen eines Gerätekontos und Kennwortinformationen:
Das Abrufen (Anzeigen) des Kennworts für ein lokales Administratorkonto löst ein Überwachungsereignis aus.
Kennwortdetails für die folgenden Geräte können nicht angezeigt werden:
- Geräte, bei denen ihr lokales Administratorkonto in einem lokalen Active Directory gesichert ist
- Geräte, die für die Verwendung von Active Directory festgelegt sind, um das Kontokennwort zu sichern.
Manuelles Rotieren von Kennwörtern
Die LAPS-Richtlinie enthält einen Zeitplan für die automatische Rotation von Kontokennwörtern. Zusätzlich zu einer geplanten Rotation können Sie die Intune-Geräteaktiondes Lokalen Administratorkennworts rotieren verwenden, um ein Gerätekennwort unabhängig vom Rotationszeitplan, der von der LAPS-Richtlinie für Geräte festgelegt wird, manuell zu rotieren.
Um diese Geräteaktion verwenden zu können, muss Ihr Konto über die folgenden drei Intune-Berechtigungen verfügen:
- Verwaltete Geräte: Lesen
- Organisation: Lesen
- Remotetasks: Rotieren des lokalen Administratorkennworts
Weitere Informationen finden Sie unter Rollenbasierte Zugriffssteuerungen für LAPS.
So rotieren Sie ein Kennwort
Wechseln Sie im Microsoft Intune Admin Center zu Geräte>Alle Geräte, und wählen Sie das Windows-Gerät mit dem Konto aus, das Sie rotieren möchten.
Erweitern Sie beim Anzeigen der Gerätedetails die Auslassungspunkte (...) auf der rechten Seite der Menüleiste, um die verfügbaren Optionen anzuzeigen, und wählen Sie dann Lokales Administratorkennwort rotieren aus.
Wenn Sie Lokales Administratorkennwort rotieren auswählen, zeigt Intune eine Warnung an, die eine Bestätigung erfordert, bevor das Kennwort rotiert wird.
Nachdem Sie die Absicht bestätigt haben, das Kennwort zu rotieren, initiiert Intune den Prozess, der einige Minuten dauern kann. Während dieser Zeit werden im Bereich "Gerätedetails" ein Banner und ein Status "Geräteaktionen " angezeigt, die angeben, dass die Aktion ausstehend ist.
Nach einer erfolgreichen Rotation wird die Bestätigung im Status Geräteaktionen als Abgeschlossen angezeigt.
Im Folgenden finden Sie Überlegungen zur manuellen Kennwortrotation:
Die Geräteaktion Lokales Administratorkennwort rotieren ist für alle Windows-Geräte verfügbar, aber jedes Gerät, das sein Konto und die Kennwortdaten nicht erfolgreich gesichert hat, kann eine Rotationsanforderung nicht abschließen.
Jeder manuelle Rotationsversuch führt zu einem Überwachungsereignis. Geplante Kennwortrotationen protokollieren auch ein Überwachungsereignis.
Wenn ein Kennwort manuell rotiert wird, wird die Zeit bis zur nächsten geplanten Kennwortrotation zurückgesetzt. Die Zeit bis zur nächsten geplanten Rotation wird über die Einstellung PasswordAgeDays in der LAPS-Richtlinie verwaltet.
So funktioniert das: Ein Gerät erhält am 1. März eine Richtlinie, die PasswordAgeDays auf 10 Tage festlegt. Das Ergebnis ist, dass das Gerät sein Kennwort am 11. März nach 10 Tagen automatisch rotiert. Am 5. März rotiert ein Administrator manuell das Kennwort dieses Geräts und eine Aktion, die das Startdatum für PasswordAgeDays auf den 5. März zurücksetzt. Daher rotiert das Gerät sein Kennwort jetzt automatisch 10 Tage später, am 15. März.
Bei in Microsoft Entra eingebundenen Geräten muss das Gerät zum Zeitpunkt der Anforderung der manuellen Rotation online sein. Wenn das Gerät zum Zeitpunkt der Anforderung nicht online ist, führt dies zu einem Fehler.
Die Kennwortrotation wird nicht als Massenaktion unterstützt. Sie können nur ein einzelnes Gerät gleichzeitig rotieren.
Vermeiden von Richtlinienkonflikten
Die folgenden Details können Ihnen helfen, Konflikte zu vermeiden und das erwartete Verhalten von Geräten zu verstehen, die von der LAPS-Richtlinie verwaltet werden.
Wenn einem Gerät mit einer erfolgreichen Richtlinie zwei oder mehr Richtlinien zugewiesen werden, die einen Konflikt verursachen:
- Einstellungen, die auf dem Gerät verwendet wurden, verbleiben auf dem Gerät bei dem zuletzt festgelegten Wert. Beide Richtlinien, die ursprüngliche und die neue, melden, dass sie in Konflikt sind.
- Um den Konflikt zu beheben, entfernen Sie entweder Richtlinienzuweisungen, bis die in Konflikt stehende Richtlinie nicht angewendet wird, oder konfigurieren Sie die anwendbaren Richtlinien neu, um dieselbe Konfiguration festzulegen und den Konflikt zu entfernen.
Wenn ein Gerät ohne LAPS-Richtlinie zwei in Konflikt stehende Richtlinien gleichzeitig empfängt:
- Einstellungen werden nicht an das Gerät gesendet, und für beide Richtlinien werden Konflikte gemeldet.
- Während ein Konflikt besteht, gelten einstellungen aus den Richtlinien nicht für das Gerät.
Um Konflikte zu lösen, müssen Sie entweder Richtlinienzuweisungen vom Gerät entfernen oder Einstellungen in anwendbaren Richtlinien neu konfigurieren, bis keine konflikte mehr vorhanden sind.