Windows LAPS-beleid beheren met Microsoft Intune
Wanneer u klaar bent om de Windows Local Administrator Password Solution (Windows LAPS) te beheren op Windows-apparaten die u beheert met Microsoft Intune, kunt u de Intune beheercentrum gebruiken om het volgende te doen:
- Maak en wijs Intune LAPS-beleid toe aan apparaten.
- De details van het lokale beheerdersaccount van een apparaat weergeven.
- Draai het wachtwoord voor het beheerde account handmatig.
- Gebruik rapporten over LAPS-beleid.
Voordat u beleidsregels maakt, moet u bekend zijn met de informatie in Microsoft Intune ondersteuning voor Windows LAPS, waaronder:
- Een overzicht van het Windows LAPS-beleid en de mogelijkheden van Intune.
- De vereisten voor het gebruik van Intune-beleid voor LAPS.
- De machtigingen voor op rollen gebaseerd beheer (RBAC) die uw account nodig heeft om LAPS-beleid te beheren.
- Veelgestelde vragen die inzicht kunnen bieden in het configureren en gebruiken van Intune LAPS-beleid.
Van toepassing op:
- Windows 10
- Windows 11
Over Intune LAPS-beleid
Intune biedt ondersteuning voor het configureren van Windows LAPS op apparaten via het profiel Lokale beheerderswachtwoordoplossing (Windows LAPS), beschikbaar via eindpuntbeveiligingsbeleid voor accountbeveiliging.
Intune-beleid laps beheren met behulp van de Windows LAPS-configuratieserviceprovider (CSP). Windows LAPS CSP-configuraties hebben voorrang op en overschrijven bestaande configuraties van andere LAPS-bronnen, zoals GPO's of het verouderde Hulpprogramma Microsoft LAPS .
Met Windows LAPS kunt u één lokaal beheerdersaccount per apparaat beheren. Intune beleid kan opgeven op welk lokaal beheerdersaccount het van toepassing is door gebruik te maken van de beleidsinstelling Administrator Account Name. Als de accountnaam die is opgegeven in het beleid niet aanwezig is op het apparaat, wordt er geen account beheerd. Wanneer de naam van het beheerdersaccount echter leeg is gelaten, wordt het beleid standaard ingesteld op het ingebouwde lokale beheerdersaccount van het apparaat dat wordt geïdentificeerd met de bekende relatieve id (RID).
Opmerking
Zorg ervoor dat aan de vereisten voor Intune ter ondersteuning van Windows LAPS in uw tenant wordt voldaan voordat u beleidsregels maakt.
Het LAPS-beleid van Intune maakt geen nieuwe accounts of wachtwoorden. In plaats daarvan beheren ze een account dat zich al op het apparaat bevindt.
Configureer en wijs LAPS-beleid zorgvuldig toe. De Windows LAPS CSP ondersteunt één configuratie voor elke LAPS-instelling op een apparaat. Apparaten die meerdere Intune-beleidsregels ontvangen die conflicterende instellingen bevatten, kunnen het beleid niet verwerken. Conflicten kunnen ook de back-up van het beheerde lokale beheerdersaccount en wachtwoord naar de map van uw tenants voorkomen.
Om potentiële conflicten te verminderen, raden we u aan om één LAPS-beleid toe te wijzen aan elk apparaat via apparaatgroepen en niet via gebruikersgroepen. Hoewel HET LAPS-beleid gebruikersgroeptoewijzingen ondersteunt, kunnen ze resulteren in een cyclus van het wijzigen van LAPS-configuraties telkens wanneer een andere gebruiker zich aanmeldt bij een apparaat. Regelmatig veranderend beleid kan leiden tot conflicten, een gebrek aan naleving van de vereisten voor apparaten en verwarring creëren over welk lokaal beheerdersaccount van een apparaat momenteel wordt beheerd.
Een LAPS-beleid maken
Belangrijk
Zorg ervoor dat u LAPS hebt ingeschakeld in Microsoft Entra, zoals beschreven in de documentatie Windows LAPS inschakelen met Microsoft Entra ID.
Als u LAPS-beleid wilt maken of beheren, moet uw account beschikken over toepasselijke rechten uit de categorie Beveiligingsbasislijn . Deze machtigingen zijn standaard opgenomen in de ingebouwde rol Endpoint Security Manager. Als u aangepaste rollen wilt gebruiken, moet u ervoor zorgen dat de aangepaste rol de rechten uit de categorie Beveiligingsbasislijnen bevat. Zie Op rollen gebaseerde toegangsbeheer voor LAPS.
Voordat u een beleid maakt, kunt u details bekijken over de beschikbare instellingen in de Windows LAPS CSP-documentatie .
Meld u aan bij het Microsoft Intune-beheercentrum, ga naar Eindpuntbeveiliging>Accountbeveiliging en selecteer vervolgens Beleid maken.
Stel Platform in op Windows 10 en hoger, Profiel op Lokale beheerderswachtwoordoplossing (Windows LAPS) en selecteer vervolgens Maken.
Voer bij Basisinformatie de volgende eigenschappen in:
- Naam: een unieke beschrijvende naam voor het beleid. Geef profielen een naam, zodat u ze later eenvoudig kunt herkennen.
- Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
In Configuratie-instellingen configureert u een keuze voor Back-upmap om het type map te definiëren dat moet worden gebruikt voor het maken van een back-up van het lokale beheerdersaccount. U kunt er ook voor kiezen geen back-up te maken van een account en wachtwoord. Het type Directory bepaalt ook welke aanvullende instellingen beschikbaar zijn in dit beleid.
Belangrijk
Houd er bij het configureren van een beleid rekening mee dat het type back-upmap in het beleid moet worden ondersteund door het jointype van het apparaat waaraan het beleid is toegewezen. Als u bijvoorbeeld de map instelt op Active Directory en het apparaat niet lid is van een domein (maar lid is van Microsoft Entra), kan het apparaat de beleidsinstellingen van Intune zonder fouten toepassen, maar laps op het apparaat kan die configuratie niet gebruiken om een back-up van het account te maken.
Nadat u Back-upmap hebt geconfigureerd, controleert en configureert u de beschikbare instellingen om te voldoen aan de vereisten van uw organisatie.
Selecteer op de pagina Bereiktags de gewenste bereiktags die u wilt toepassen en selecteer vervolgens Volgende.
Selecteer bij Toewijzingen de groepen die dit beleid moeten ontvangen. U wordt aangeraden LAPS-beleid toe te wijzen aan apparaatgroepen. Beleidsregels die zijn toegewezen aan gebruikersgroepen volgen een gebruiker van apparaat naar apparaat. Wanneer de gebruiker van een apparaat verandert, kan er een nieuw beleid van toepassing zijn op het apparaat en inconsistent gedrag veroorzaken, waaronder welk account het apparaat een back-up maakt of wanneer het wachtwoord voor beheerde accounts de volgende wisseling wordt uitgevoerd.
Opmerking
Net als bij alle Intune beleidsregels, probeert Intune wanneer een nieuw beleid van toepassing is op een apparaat, dat apparaat te laten weten dat het beleid moet worden ingecheckt en verwerkt.
Totdat een apparaat is ingecheckt bij Intune en het LAPS-beleid verwerkt, zijn gegevens over het beheerde lokale beheerdersaccount niet beschikbaar om vanuit het beheercentrum weer te geven of te beheren.
Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.
Controleer in Beoordelen en maken uw instellingen en selecteer vervolgens Maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de beleidslijst.
Status van apparaatacties weergeven
Wanneer uw account machtigingen heeft die gelijkwaardig zijn aan de machtigingen voor beveiligingsbasislijnen die rechten verlenen voor alle beleidssjablonen in de workload Eindpuntbeveiliging, kunt u het Intune beheercentrum gebruiken om de status van apparaatacties te bekijken die voor het apparaat zijn aangevraagd.
Zie Op rollen gebaseerde toegangsbeheer voor LAPS voor meer informatie.
Ga in het Microsoft Intune-beheercentrum naar Apparaten>Alle apparaten en selecteer een apparaat met een LAPS-beleid dat een back-up maakt van een lokaal beheerdersaccount. Intune geeft het deelvenster Overzicht van apparaten weer.
In het deelvenster Overzicht van het apparaat kunt u de status van apparaatacties weergeven. Eerder aangevraagde acties en acties in behandeling worden weergegeven, inclusief de tijd van de aanvraag en of de actie is mislukt of geslaagd. In de volgende voorbeeldschermafbeelding is het wachtwoord van het lokale Beheer-account van een apparaat geroteerd.
Als u een actie selecteert in de lijst, wordt het deelvenster Status van apparaatactie geopend, waarin aanvullende details over die actie kunnen worden weergegeven.
Account- en wachtwoordgegevens weergeven
Als u account- en wachtwoordgegevens wilt weergeven, moet een account een van de volgende Microsoft Entra machtigingen hebben:
microsoft.directory/deviceLocalCredentials/password/read
microsoft.directory/deviceLocalCredentials/standard/read
Gebruik de volgende methoden om accounts deze machtigingen te verlenen:
- Wijs de volgende ingebouwde Microsoft Entra rol toe:
- Cloudapparaatbeheerder
Maak en wijs een aangepaste rol toe in Microsoft Entra ID die deze machtigingen verleent. Zie Een aangepaste rol maken en toewijzen in Microsoft Entra ID in de documentatie voor Microsoft Entra.
Zie Op rollen gebaseerde toegangsbeheer voor LAPS voor meer informatie.
Ga in het Microsoft Intune-beheercentrum naar Apparaten>Alle apparaten> selecteert u een Windows-apparaat om het deelvenster Overzicht te openen.
In het overzichtsvenster kunt u de apparaatactiesstatus bekijken. De status geeft huidige en eerdere acties weer, zoals wachtwoordrotatie.
Selecteer in het deelvenster Overzicht van apparaten onder Controlerende optie Lokaal beheerderswachtwoord. Als uw account voldoende machtigingen heeft, wordt het deelvenster Lokaal beheerderswachtwoord voor het apparaat geopend. Dit is dezelfde weergave die beschikbaar is in de Azure Portal.
De volgende informatie kan worden bekeken vanuit het beheercentrum. Het lokale beheerderswachtwoord kan echter alleen worden weergegeven wanneer er een back-up van het account is gemaakt naar Microsoft Entra. Het kan niet worden weergegeven voor een account waarvan een back-up is gemaakt naar een on-premises Active Directory (Windows Server Active Directory):
- Accountnaam : de naam van het lokale beheerdersaccount waarvan vanaf het apparaat een back-up is gemaakt.
- Beveiligings-id : de bekende SID voor het account waarvan vanaf het apparaat een back-up is gemaakt.
- Lokaal beheerderswachtwoord : standaard verborgen. Als uw account is gemachtigd, kunt u Weergeven selecteren om het wachtwoord weer te geven. U kunt vervolgens de optie Kopiëren gebruiken om het wachtwoord naar het klembord te kopiëren. Deze informatie is niet beschikbaar voor apparaten die een back-up maken van een on-premises Active Directory.
- Laatste wachtwoordrotatie : in UTC, de datum en tijd waarop het wachtwoord voor het laatst is gewijzigd of geroteerd door beleid.
- Volgende wachtwoordrotatie : in UTC, de volgende datum en tijd waarop het wachtwoord per beleid wordt geroteerd.
Hier volgen overwegingen voor het weergeven van een apparaataccount en wachtwoordgegevens:
Het ophalen (weergeven) van het wachtwoord voor een lokaal beheerdersaccount activeert een controlegebeurtenis.
U kunt geen wachtwoordgegevens weergeven voor de volgende apparaten:
- Apparaten waarvan een back-up is gemaakt van hun lokale beheerdersaccount naar een on-premises Active Directory
- Apparaten die zijn ingesteld om Active Directory te gebruiken voor het maken van een back-up van het accountwachtwoord.
Wachtwoorden handmatig draaien
HET LAPS-beleid bevat een planning voor het automatisch roteren van accountwachtwoorden. Naast een geplande rotatie kunt u de actie Intune apparaat van Lokaal beheerderswachtwoord draaien gebruiken om een apparaatwachtwoord handmatig te roteren, onafhankelijk van het draaischema dat is ingesteld door het LAPS-beleid voor apparaten.
Als u deze apparaatactie wilt gebruiken, moet uw account de volgende drie Intune machtigingen hebben:
- Beheerde apparaten: Lezen
- Organisatie: Lezen
- Externe taken: Lokaal Beheer wachtwoord draaien
Zie Op rollen gebaseerde toegangsbeheer voor LAPS.
Een wachtwoord draaien
Ga in het Microsoft Intune-beheercentrum naar Apparaten>Alle apparaten en selecteer het Windows-apparaat met het account dat u wilt draaien.
Vouw tijdens het weergeven van de apparaatdetails het beletselteken (...) aan de rechterkant van de menubalk uit om de beschikbare opties weer te geven en selecteer vervolgens Lokaal beheerderswachtwoord draaien.
Wanneer u Lokaal beheerderswachtwoord roteren selecteert, geeft Intune een waarschuwing weer die bevestiging vereist voordat het wachtwoord wordt gedraaid.
Nadat u de intentie om het wachtwoord te draaien hebt bevestigd, start Intune het proces. Dit kan enkele minuten duren. Gedurende deze tijd wordt in het detailvenster van het apparaat een banner en de status Apparaatacties weergegeven die aangeven dat de actie In behandeling is.
Na een geslaagde rotatie wordt de bevestiging weergegeven in de status Apparaatacties als Voltooid.
Hier volgen overwegingen voor handmatige wachtwoordrotatie:
De apparaatactie Lokaal beheerderswachtwoord roteren is beschikbaar voor alle Windows-apparaten, maar elk apparaat dat geen back-up van de account- en wachtwoordgegevens heeft gemaakt, kan een draaiaanvraag niet voltooien.
Elke handmatige rotatiepoging resulteert in een controlegebeurtenis. Geplande wachtwoordrotaties registreren ook een auditgebeurtenis.
Wanneer een wachtwoord handmatig wordt gedraaid, wordt de tijd naar de volgende geplande wachtwoordrotatie opnieuw ingesteld. De tijd tot de volgende geplande rotatie wordt beheerd via de instelling PasswordAgeDays in het LAPS-beleid.
Dit werkt als volgt: Een apparaat ontvangt een beleid op 1 maart, waarmee PasswordAgeDays wordt ingesteld op 10 dagen. Het resultaat is dat het apparaat het wachtwoord na 10 dagen, op 11 maart, automatisch roteert. Op 5 maart roteert een beheerder handmatig het wachtwoord van dat apparaat en de actie waarmee de begindatum voor PasswordAgeDays opnieuw wordt ingesteld op 5 maart. Als gevolg hiervan zal het apparaat nu automatisch het wachtwoord 10 dagen later, op 15 maart, draaien.
Voor Microsoft Entra gekoppelde apparaten moet het apparaat online zijn op het moment dat de handmatige rotatie wordt aangevraagd. Als het apparaat niet online is op het moment van de aanvraag, resulteert dit in een fout.
Wachtwoordrotatie wordt niet ondersteund als bulkactie. U kunt slechts één apparaat tegelijk draaien.
Beleidsconflicten voorkomen
De volgende details kunnen u helpen conflicten te voorkomen en inzicht te verkrijgen in het verwachte gedrag van apparaten die worden beheerd door HET LAPS-beleid.
Wanneer aan een apparaat met een geslaagd beleid twee of meer beleidsregels worden toegewezen die een conflict veroorzaken:
- Instellingen die op het apparaat zijn gebruikt, blijven op het apparaat op de waarde die voor het laatst is ingesteld. Beide beleidsregels, het oorspronkelijke en het nieuwe beleid, melden dat ze in conflict zijn.
- Als u het conflict wilt oplossen, verwijdert u beleidstoewijzingen totdat het conflicterende beleid niet van toepassing is, of configureert u het toepasselijke beleid opnieuw om dezelfde configuratie in te stellen, waardoor het conflict wordt verwijderd.
Wanneer een apparaat dat geen LAPS-beleid heeft, tegelijkertijd twee conflicterende beleidsregels ontvangt:
- Instellingen worden niet naar het apparaat verzonden en beide beleidsregels worden gerapporteerd als conflicten.
- Zolang er een conflict blijft bestaan, zijn de instellingen van het beleid niet van toepassing op het apparaat.
Als u conflicten wilt oplossen, moet u beleidstoewijzingen van het apparaat verwijderen of instellingen in toepasselijk beleid opnieuw configureren totdat er geen conflicten meer overblijven.