Bereitstellung von Azure AD LAPS mit Intune - Schritt für Schritt

Azure AD LAPS (Local Administrator Password Solution) ermöglicht die Verwaltung eines einzigen lokalen Administratorkontos auf Azure Active Directory oder lokalen Active Directory-verbundenen Geräten. Das Passwort ist dann in AD geschützt, während der Zugriff auf das Passwort an bestimmte Benutzer delegiert werden kann.

Die Konfiguration und Bereitstellung von modernem Azure AD LAPS wird mit Microsoft Intune vereinfacht. Sobald es in Ihrem Tenant aktiviert ist, kann ein einziges Konfigurationsprofil verwendet werden, um Windows LAPS zu konfigurieren (in der neuesten Version von Windows-Betriebssystemen integriert). Das Passwort kann dann manuell über das Azure AD- oder Intune-Verwaltungsportal abgerufen und geändert werden.

In diesem Tutorial zeige ich Ihnen, wie Sie Azure AD LAPS über das Microsoft Intune-Verwaltungsportal konfigurieren.

Über LAPS mit Intune

Das Azure AD LAPS-Szenario wird von den neuen Windows LAPS-Funktionen unterstützt, die direkt in das Windows-Betriebssystem integriert sind. Dies bedeutet, dass es schnell und einfach bereitgestellt werden kann, ohne dass zusätzliche Client-Software installiert werden muss.

Die Kehrseite der Medaille liegt in den Anforderungen. Windows LAPS wird nur von den neuesten Betriebssystemen unterstützt, d. h., wenn Sie nicht auf dem neuesten Stand sind und die Windows-Funktionsupdates nicht konsequent durchführen (was für manche ein Problem ist), kann es sein, dass einige Geräte nicht gesichert sind. Daher ist es wichtig, dass die Anforderungen sorgfältig geprüft werden, um die Sicherheitsvorteile zu nutzen, die Azure AD LAPS mit Intune bieten kann. Im Grunde genommen geht es um alles oder nichts: Wenn Sie eine Lücke lassen, wird der Hacker sie finden.

Die Bereitstellung von Azure AD LAPS wird durch die Verwendung von Microsoft Intune vereinfacht. Für diejenigen, die nur über begrenzte Verwaltungsfähigkeiten verfügen, kann Azure AD LAPS jedoch auch über Gruppenrichtlinien, manuell über Registrierungsschlüssel oder über Windows CSP-Einstellungen in Intune bereitgestellt werden. Aus welchem Grund auch immer mehrere Bereitstellungsmethoden für einen einzelnen Computer gelten, die Windows CSP/Intune-Einstellungen haben immer Vorrang. Intune wird immer die empfohlene Wahl sein, da es einfach ist, die Berichtsfunktionen gut sind und keine Sichtverbindung zu einem Domänencontroller erforderlich ist.

Anforderungen

Azure AD LAPS nutzt die in das Windows-Betriebssystem integrierte Windows LAPS-Komponente, die in den folgenden Windows-Versionen verfügbar ist. Sie können die nachstehenden Links verwenden, um die erforderlichen Update-Dateien manuell aus dem Microsoft Update-Katalog herunterzuladen.

  • Windows 11 22H2
  • Windows 11 21H2
  • Windows 10 - 11. April 2023
  • Windows Server 2022
  • Windows Server 2019

Glücklicherweise ist LAPS in jeder kostenlosen Version von Azure Active Directory enthalten. Wenn Sie also eine Microsoft 365-Lizenz in Ihrem Tenant haben, können Sie das LAPS-Kennwort in Azure Active Directory speichern. Wie Sie jedoch erwarten können, benötigen Sie für die Verwaltung über Intune mindestens eine Microsoft Intune Plan 1-Lizenz, die das grundlegende Intune-Abonnement darstellt. Es wird auch während eines Probeabonnements unterstützt.

Aktivieren Sie Azure AD LAPS

Um die Implementierung von Azure AD LAPS zu unterstützen, müssen Sie zunächst Windows LAPS für Azure AD im Azure AD Management Portal aktivieren. Führen Sie dazu einfach die folgenden Schritte aus:

  1. Anmeldung bei https://entra.microsoft.com/
  2. Wählen Sie Azure Active Directory, Alle Geräte, Geräteeinstellungen.
3. Setzen Sie "Lokale Azure AD-Administratorkennwortlösung (Local Administrator Password Solution, LAPS) (Vorschau) aktivieren" auf "Ja" und klicken Sie dann auf "Speichern".

Damit ist der Tenant für LAPS vorbereitet.

Weiter geht es in der Endpuntsicherheit im Bereich Intune

Erstellen eines LAPS-Konfigurationsprofils

Nachdem LAPS für Ihren Tenant aktiviert wurde, können Sie nun ein Konfigurationsprofil erstellen, das alle Einstellungen für Azure AD LAPS enthält, die auf Ihre Geräte angewendet werden sollen.

  1. melden Sie sich bei Intune https://intune.microsoft.com/ an.
  2. Wählen Sie Endpunktsicherheit.
3. Wählen Sie Kontoschutz
4. Klicken Sie auf "Richtlinie erstellen", um eine neue Endpunktschutzrichtlinie für Azure AD LAPS zu erstellen. 5. Wählen Sie im Pop-Out-Fenster folgende Einstellung und klicken Sie auf Erstellen.
6. Wählen Sie einen sprechenden Namen und klicken Sie auf weiter.
7. Definieren Sie Ihre Azure AD LAPS-Konfigurationseinstellungen. Verwenden Sie meine Einstellungen wie empfohlen:

Hinweis: Wenn in dieser Einstellung ein benutzerdefinierter Name für ein verwaltetes lokales Administratorkonto angegeben ist, muss dieses Konto auf andere Weise erstellt werden. Wenn Sie einen Namen in dieser Einstellung angeben, wird das Konto dazu nicht automatisch erstellt.

  1. Klicken Sie auf Alle Geräte hinzufügen, um diese Richtlinie auf alle unterstützten Geräte anzuwenden, die in Intune registriert sind. Sie können hier auch beliebige Gerätefilter definieren, um bestimmte Geräte von der Azure AD LAPS-Richtlinie auszuschließen. Klicken Sie dann auf Weiter.
9. Überprüfen Sie schließlich Ihre Einstellungen und klicken Sie auf Erstellen.

Prüfen, ob Azure AD LAPS erfolgreich ist

Bei der Bereitstellung von Azure AD LAPS müssen Sie Ihre Geräte nicht neu starten, im Gegensatz zur vorherigen Version von LAPS, bei der ein Neustart erforderlich war, um die MSI über GPO bereitzustellen. Das heißt, wenn die Richtlinie das nächste Mal auf Ihr Gerät angewendet wird, wird LAPS konfiguriert.

Sie können überprüfen, ob die Richtlinie wie erwartet bereitgestellt wurde, indem Sie das Fenster mit dem Richtlinienbericht aufrufen:

Über das Intune-Portal: Endpunktsicherheit > Kontoschutz > Ihre LAPS-Richtlinie > Bericht anzeigen.

Azure AD LAPS-Kennwort anzeigen und ändern

Das Anzeigen und Ändern des LAPS-Kennworts für ein Gerät kann schnell und einfach über das Azure AD-Portal oder das Intune-Portal erfolgen.

Azure AD-Portal

Gehen Sie folgendermaßen vor, um das LAPS-Kennwort über das Azure AD-Portal anzuzeigen:

Geräte > Wiederherstellung des lokalen Administratorkennworts > Wählen Sie Ihr Gerät aus > Lokales Administratorkennwort.

Intune-Portal

Um das LAPS-Kennwort über das Intune-Portal anzuzeigen, gehen Sie wie folgt vor:

Geräte > Alle Geräte > Wählen Sie Ihr Gerät > Lokales Administratorkennwort > Lokales Administratorkennwort

Um das Kennwort vor der festgelegten Ablaufzeit zu ändern, wählen Sie das Gerät in Intune aus, klicken Sie auf die 3 Punkte oben rechts und dann auf Lokales Administratorkennwort ändern.

Um das Kennwort vor der festgelegten Ablaufzeit zu ändern, wählen Sie das Gerät in Intune aus, klicken Sie auf die 3 Punkte oben rechts und dann auf Lokales Administratorkennwort ändern.

LAPS blockiert auch externe Versuche, das Passwort zu ändern, auch wenn Sie die Funktion “Passwort zurücksetzen” in Azure für virtuelle Maschinen verwenden.

Hier geht es zum zweiten Teil der LAPS-Einrichtung Intune LAPS Remediation