Erste Schritte mit Windows LAPS und Microsoft Entra ID

• Gilt für::

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows 11, ✅ Windows 10

Erfahren Sie mehr zu den ersten Schritten mit Windows Local Administrator Password Solution (Windows LAPS) und Microsoft Entra ID. In diesem Artikel werden die grundlegenden Verfahren für die Verwendung von Windows LAPS zum Sichern von Kennwörtern in Microsoft Entra ID und zum Abrufen dieser Kennwörter beschrieben.

Unterstützte Azure-Clouds

Informationen dazu, welche spezifischen Clouds unterstützt werden, finden Sie unter Windows Kennwortlösung für lokale Administratoren (Windows Local Administrator Password Solution, LAPS) in Microsoft Entra ID und Microsoft Intune-Unterstützung für Windows LAPS.

Aktivieren Sie LAPS in Microsoft Entra ID in den Geräteeinstellungen

Wichtig

Standardmäßig erlaubt Microsoft Entra ID verwalteten Geräten nicht, neue Windows LAPS-Passwörter an Microsoft Entra ID zu senden. Sie müssen das Feature zuerst von Ihrem*r IT-Administrator*in auf Microsoft Entra-Mandantenebene aktivieren lassen. Weitere Informationen finden Sie unter Aktivieren von Windows LAPS mit Microsoft Entra ID.

Konfigurieren der Geräterichtlinie

Führen Sie zum Konfigurieren der Geräterichtlinie die folgenden Aufgaben aus:

• Wählen eines Mechanismus zur Richtlinienbereitstellung
• Grundlegendes zu Richtlinien für den Microsoft Entra-Modus
• Konfigurieren bestimmter Richtlinien

Wählen eines Mechanismus zur Richtlinienbereitstellung

Der erste Schritt ist die Wahl, wie die Richtlinie auf Ihre Geräte angewendet werden soll.

Die bevorzugte Option für in Microsoft Entra eingebundene Geräte ist Microsoft Intune mit dem Windows LAPS-Konfigurationsdienstanbieter (CSP).

Wenn Ihre Geräte mit Microsoft Entra verbunden sind, Sie aber nicht Microsoft Intune verwenden, können Sie trotzdem Windows LAPS für Microsoft Entra ID bereitstellen. In diesem Szenario müssen Sie die Richtlinie manuell bereitstellen (z. B. durch direkte Änderung der Registrierung oder Verwendung von Gruppenrichtlinie für lokale Computer). Weitere Informationen finden Sie unter Konfigurieren von Windows LAPS-Richtlinieneinstellungen.

Hinweis

Wenn Ihre Geräte hybrid in lokales Windows Server Active Directory eingebunden sind, können Sie eine Richtlinie mithilfe von Windows LAPS-Gruppenrichtlinie bereitstellen.

Geltende Richtlinien für den Microsoft Entra-Modus

Der Windows LAPS CSP und das Windows LAPS-Gruppenrichtlinienobjekt verwalten dieselben Einstellungen, aber nur eine Teilmenge dieser Einstellungen gilt für Windows LAPS im Azure-Modus.

Für das Sichern von Kennwörtern in Microsoft Entra ID gelten die folgenden Einstellungen:

• BackupDirectory
• PasswordAgeDays
• PasswordComplexity
• PasswordLength
• AdministratorAccountName
• PostAuthenticationResetDelay
• PostAuthenticationActions

Einfacher ausgedrückt: Die Windows Server Active Directory-spezifischen Richtlinieneinstellungen sind nicht sinnvoll und werden beim Sichern des Kennworts in Microsoft Entra ID nicht unterstützt.

Konfigurieren bestimmter Richtlinien

Sie müssen mindestens die Einstellung BackupDirectory mit dem Wert 1 (Kennwörter in Microsoft Entra ID sichern) konfigurieren.

Wenn Sie die Einstellung AdministratorAccountName nicht konfigurieren, verwaltet Windows LAPS standardmäßig das integrierte lokale Administratorkonto. Dieses integrierte Konto wird automatisch anhand seiner bekannten relativen ID (RID) identifiziert und sollte niemals mithilfe seines Namens identifiziert werden. Der Name des integrierten lokalen Administratorkontos hängt vom Standardgebietsschema des Geräts ab.

Wenn Sie ein benutzerdefiniertes lokales Administratorkonto konfigurieren möchten, sollten Sie die Einstellung AdministratorAccountName mit dem Namen dieses Kontos konfigurieren.

Wichtig

Wenn Sie Windows LAPS zum Verwalten eines benutzerdefinierten lokalen Administratorkontos konfigurieren, müssen Sie sicherstellen, dass das Konto erstellt wird. Windows LAPS erstellt das Konto nicht. Es empfiehlt sich, zum Erstellen des Kontos den CSP für Konten zu verwenden.

Sie können andere Einstellungen, z. B. PasswordLength, nach Bedarf für Ihre Organisation konfigurieren.

Aktualisieren eines Passworts in Microsoft Entra-ID

Windows LAPS verarbeitet die aktuell aktive Richtlinie regelmäßig (stündlich). Um Wartezeit nach Anwenden der Richtlinie zu vermeiden, können Sie das PowerShell-Cmdlet Invoke-LapsPolicyProcessing ausführen.

Um zu überprüfen, ob das Kennwort in Microsoft Entra ID erfolgreich aktualisiert wurde, suchen Sie im Ereignisprotokoll nach dem Ereignis 10029:

Abrufen eines Passworts aus Microsoft Entra-ID

Das Abrufen von in Microsoft Entra ID gespeicherten Windows LAPS-Kennwörtern wird mithilfe von Microsoft Graph unterstützt. Windows LAPS bietet ein PowerShell-Cmdlet (Get-LapsAADPassword), das einen Wrapper um die PowerShell-Bibliothek von Microsoft Graph darstellt. Sie können auch das Microsoft Entra ID- und/oder das Intune-Verwaltungsportal für den benutzeroberflächenbasierten Kennwortabruf verwenden. Windows LAPS bietet keine Benutzeroberflächenoptionen in Windows zum Abrufen von Microsoft Entra-Kennwörtern.

In den restlichen Anweisungen wird beschrieben, wie Sie mit dem Cmdlet Get-LapsAADPassword Windows LAPS-Kennwörter mithilfe von Microsoft Graph aus Microsoft Entra ID abrufen.

Installieren der PowerShell-Bibliothek von Microsoft Graph

Der erste Schritt ist das Installieren der PowerShell-Bibliothek von Microsoft Graph:

Install-Module Microsoft.Graph -Scope AllUsers

Möglicherweise müssen Sie das Repository als vertrauenswürdig konfigurieren, damit der Befehl erfolgreich ist:

Set-PSRepository PSGallery -InstallationPolicy Trusted

Erstellen einer registrierten Microsoft Entra-App zum Abrufen von Windows LAPS-Passwörtern

Der nächste Schritt besteht darin, eine Microsoft Entra-Anwendung zu erstellen, die mit den erforderlichen Berechtigungen konfiguriert ist. Informationen zu den grundlegenden Anweisungen zum Erstellen einer Microsoft Entra-Anwendung finden Sie unter Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform.

Die App muss mit zwei Berechtigungen konfiguriert werden: Device.Read.All und entweder DeviceLocalCredential.ReadBasic.All oder DeviceLocalCredential.Read.All. DeviceManagementManagedDevices.Read.All kann auch erforderlich sein, um Kennwörter für Microsoft Managed Desktop-Geräte abzufragen.

Wichtig

• Erteilen Sie mit DeviceLocalCredential.ReadBasic.All Berechtigungen zum Lesen nicht sensibler Metadaten zu gespeicherten Windows LAPS-Kennwörtern. Beispiele hierfür sind der Zeitpunkt der Sicherung des Kennworts in Azure und die erwartete Ablaufzeit eines Kennworts. Diese Berechtigungsebene eignet sich für Berichterstellungs- und Complianceanwendungen.
• Erteilen Sie mit DeviceLocalCredential.Read.All vollständige Berechtigungen zum Lesen aller gespeicherten Windows LAPS-Kennwörter, einschließlich der Klartextkennwörter selbst. Diese Berechtigungsebene ist vertraulich und sollte sorgfältig verwendet werden.

Abrufen des Passworts aus der Microsoft Entra-ID

Sie haben es fast geschafft! Melden Sie sich zunächst bei Microsoft Graph an. Rufen Sie dann mit dem Cmdlet Get-LapsAADPassword das Kennwort ab.

Melden Sie sich mithilfe des Cmdlets Connect-MgGraph bei Microsoft Graph an. Sie müssen Ihre Azure-Mandanten-ID und die Anwendungs-ID der Microsoft Entra ID-Anwendung kennen, die Sie zuvor erstellt haben. Führen Sie das Cmdlet einmal aus, um sich anzumelden. Beispiel:

PS C:\> Connect-MgGraph -Environment Global -TenantId aaaabbbb-0000-cccc-1111-dddd2222eeee -ClientId 00001111-aaaa-2222-bbbb-3333cccc4444

Welcome To Microsoft Graph!

Tipp

Damit das Cmdlet Connect-MgGraph erfolgreich ist, müssen Sie möglicherweise Ihre PowerShell-Ausführungsrichtlinie ändern. Beispielsweise benötigen Sie möglicherweise für die erste Ausführung Set-ExecutionPolicy -ExecutionPolicy Unrestricted.

Nachdem Sie sich bei Microsoft Graph angemeldet haben, können Sie das Kennwort abrufen.

Rufen Sie zunächst das Cmdlet Get-LapsAADPassword auf, und übergeben Sie den Namen des Geräts:

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice

DeviceName    DeviceId                             PasswordExpirationTime
----------    --------                             ----------------------
myAzureDevice be8ab291-6307-42a2-8fda-2f4ee78e51c8 7/31/2022 11:34:39 AM

Tipp

Übergeben Sie den Parameter -Verbose, um detaillierte Informationen über die Aktivitäten des Cmdlets Get-LapsAADPassword (oder jedes anderen Cmdlets im PowerShell-Modul von Windows LAPS) anzuzeigen.

Das vorherige Beispiel erfordert, dass dem Client DeviceLocalCredential.Read.Basic-Berechtigungen erteilt werden. Die folgenden Beispiele erfordern, dass dem Client DeviceLocalCredential.Read.All-Berechtigungen erteilt werden.

Rufen Sie als Nächstes das Cmdlet Get-LapsAADPassword auf, um das tatsächliche Kennwort zurückzugeben:

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : System.Security.SecureString
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime     : 7/1/2022 11:34:39 AM

Das Kennwort, das in einem SecureString-Objekt zurückgegeben wird.

Schließlich können Sie zu Test- oder Ad-hoc-Zwecken mit dem Parameter -AsPlainText die Anforderung stellen, dass das Kennwort im Klartext angezeigt wird:

PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : xzYVg,;rqQ+rkXEM0B29l3z!Ez.}T9rY8%67i1#TUk
PasswordExpirationTime : 7/31/2022 11:34:39 AM
PasswordUpdateTime     : 7/1/2022 11:34:39 AM

Rotieren des Kennworts

Windows LAPS speichert lokal, wann das letzte gespeicherte Kennwort abläuft, und rotiert das Kennwort automatisch, sobald es abläuft. In einigen Fällen (z. B. nach einer Sicherheitsverletzung oder für Ad-hoc-Tests) müssen Sie ggf. das Kennwort frühzeitig rotieren. Mit dem Cmdlet Reset-LapsPassword können Sie eine manuelle Kennwortrotation erzwingen. Beispiel:

PS C:\> Reset-LapsPassword
PS C:\> Get-LapsAADPassword -DeviceIds myAzureDevice -IncludePasswords -AsPlainText

DeviceName             : myAzureDevice
DeviceId               : be8ab291-6307-42a2-8fda-2f4ee78e51c8
Account                : Administrator
Password               : &HK%tbA+k7,vcrI387k9([f+%w)9VZz98;,(@+Ai6b
PasswordExpirationTime : 7/31/2022 12:16:16 PM
PasswordUpdateTime     : 7/1/2022 12:16:16 PM

Wichtig

• Microsoft Entra ID unterstützt nicht das Ablauflassen des aktuell gespeicherten Kennworts eines Geräts durch Änderung des Zeitstempels für den Ablauf des Kennworts in Microsoft Entra ID. Dies ist ein Entwurfsunterschied zum auf Windows Server Active Directory basierenden Windows LAPS.
• Vermeiden Sie eine zu häufige Verwendung des Cmdlets Reset-LapsPassword. Falls erkannt, kann die Aktivität gedrosselt werden.

Windows LAPS und Microsoft Entra Connect in Hybridumgebungen

Windows LAPS ist nicht auf Microsoft Entra Connect angewiesen, und es gibt keine Abhängigkeiten zwischen diesen beiden Technologien. Verwaltete Windows LAPS-Geräte, die ihre Kennwörter in Microsoft Entra ID sichern, tun dies direkt über HTTPS und sind nicht auf Datensynchronisierung angewiesen.

Darüber hinaus können die Microsoft Entra ID- und Intune-Geräteverwaltungsportale nur Kennwörter anzeigen und verwalten, die direkt von einem Windows LAPS-Gerät gesichert wurden. Das Konfigurieren von Microsoft Entra Connect zum Synchronisieren der Windows LAPS-Attribute für die lokale Active Directory-Instanz mit Microsoft Entra ID ist kein getestetes Szenario. Die manuelle Synchronisierung der Windows LAPS-Attribute für die lokale Active Directory-Instanz mit Microsoft Entra ID führt nicht dazu, dass diese Attribute in den Microsoft Entra ID- oder Intune-Geräteverwaltungsportalen angezeigt werden.

Es ist zwar nicht für die ordnungsgemäße Ausführung von Windows LAPS erforderlich, aber wenn Sie Ihr lokales Active Directory-Schema im Rahmen einer bewährten Methode erweitern, sollten Sie auch Ihr Microsoft Entra Connect-Verzeichnisschema aktualisieren. Weitere Informationen finden Sie unter Aktualisieren des Verzeichnisschemas.

Weitere Informationen

• Einführung von Windows Local Administrator Password Solution in Microsoft Entra ID
• Windows Local Administrator Password Solution in Microsoft Entra ID
• Microsoft Intune
• Microsoft Intune-Unterstützung für Windows LAPS
• Windows LAPS CSP
• Schnellstart: Registrieren einer Anwendung bei Microsoft Identity Platform
• Windows LAPS Troubleshooting Guidance (Leitfaden zur Problembehandlung für Windows LAPS)

Nächste Schritte

• Konfigurieren von Windows LAPS-Richtlinieneinstellungen
• Verwenden von Windows LAPS-Ereignisprotokollen
• Wichtige Konzepte in Windows LAPS