So richten Sie eine LAPS-Richtlinie für in Microsoft Entra eingebundene Geräte ein

📅
🕑 4 Minuten Lesezeit

Sie möchten die lokalen Administratorkennwörter auf Ihren Geräten verwalten? Ja, das kenne ich. Die manuelle Verwaltung lokaler Administratorkennwörter ist mühsam, insbesondere in großen Unternehmen. Zum Glück bietet Microsoft die Windows Local Administrator Password Solution (LAPS) an. Wenn Ihre Geräte in Microsoft Entra (ehemals Azure AD) eingebunden und über Intune verwaltet werden, hilft Ihnen diese Anleitung dabei, die Kennwortverwaltung so einzurichten, dass die Kennwörter nicht einfach ungeschützt sind und sich automatisch ändern.

Nach der Einrichtung können Sie lokale Administratorkennwörter sicher generieren, speichern und abrufen – ohne in Panik geraten zu müssen, wenn jemand sein Kennwort vergisst oder, schlimmer noch, den Rechner ungeschützt lässt. Es ist etwas seltsam, dass Windows dies nicht standardmäßig so offensichtlich macht, aber mit wenigen Schritten automatisieren Sie eine Menge Sicherheitsprobleme. Freuen Sie sich auf eine verbesserte Sicherheitslage, weniger manuelle Arbeit und den schnellen Zugriff auf Administratoranmeldeinformationen bei Bedarf – denn natürlich muss Windows es unnötig kompliziert machen.

So aktivieren Sie LAPS in Microsoft 365 und stellen eine LAPS-Richtlinie für in Entra eingebundene Geräte bereit

Anforderungen:

  • Die Geräte sind mit Microsoft Entra verbunden.
  • Verwaltet von Intune
  • Sie benötigen Administratoranmeldeinformationen für Microsoft 365 (weil, nun ja, Administratoraufgaben).

LAPS in Entra aktivieren

Dies ist ein notwendiger Schritt, da die Passwortverwaltung nur möglich ist, wenn diese Funktion aktiviert ist.Öffnen Sie das Entra Admin Center. Gehen Sie dort zu „Geräte“ > „Geräteeinstellungen“. Suchen Sie den Schalter „Microsoft Entra Local Administrator Password Solution (LAPS) aktivieren“ und stellen Sie ihn auf „Ja“. Speichern Sie die Einstellungen. Fertig. Das System ist nun bereit zur Verwaltung lokaler Passwörter.

Erstellen einer LAPS-Richtlinie in Intune

Hier legen Sie fest, *wie* Passwörter verwaltet werden – Einstellungen wie die Häufigkeit der Passwortrotation, den Speicherort und die Passwortkomplexität.Öffnen Sie das Microsoft Intune Admin Center. Gehen Sie dann zu „Endpunktsicherheit“ > „Kontoschutz“ und klicken Sie auf „Neue Richtlinie erstellen “.

  • Plattform auswählen: Windows
  • Profil: Lösung für lokale Administratorkennwörter (Windows LAPS)
  • Klicken Sie auf Erstellen

Geben Sie der Richtlinie einen aussagekräftigen Namen wie „LAPS-Richtlinie für Entra-Geräte“ und fügen Sie bei Bedarf eine Beschreibung hinzu. Klicken Sie auf Weiter.

Hier konfigurieren Sie Einstellungen wie Speicherort, Gültigkeitsdauer, Länge und Komplexität der Passwortsicherung. Ein kleiner Tipp: Verwenden Sie für die Sicherung Ihre Microsoft Enterprise ID (oder Azure AD, falls Sie diese Umgebung nutzen), damit Passwörter sicher in der Cloud gespeichert werden. Bei den Passworteinstellungen wähle ich üblicherweise 30 Tage Gültigkeitsdauer, 14 Zeichen Länge und eine Kombination aus Buchstaben und Zahlen. Klicken Sie anschließend auf „ Weiter“ und weisen Sie die Richtlinie Ihren Gerätegruppen zu. Normalerweise füge ich einfach „Alle Geräte“ hinzu, passe die Einstellungen aber bei Bedarf an.

Überprüfen Sie Ihre Auswahl und klicken Sie anschließend auf „Speichern“. Warten Sie nun, bis die Richtlinie angewendet wird – dies kann etwas dauern. Prüfen Sie daher später noch einmal, ob alles korrekt eingerichtet ist.

Zugriff auf das lokale Administratorkennwort auf einem Gerät

Nach der Implementierung der Richtlinie können Sie das lokale Administratorkennwort in Intune oder Entra einsehen. Gehen Sie dazu zum Entra Admin Center. Suchen Sie Ihr Gerät unter „Geräte“ > „Alle Geräte“. Wählen Sie das Gerät aus und suchen Sie nach der Option „ Wiederherstellung des lokalen Administratorkennworts“. Klicken Sie darauf und wählen Sie anschließend „ Lokales Administratorkennwort anzeigen“. Das Kennwort wird angezeigt und ermöglicht Ihnen bei Bedarf – beispielsweise zur Fehlerbehebung oder für den Notfallzugriff auf das Administratorkennwort – einen schnellen Zugriff.

Zusammenfassung

Die Einrichtung einer LAPS-Richtlinie in Microsoft Entra ist kinderleicht, aber ein entscheidender Sicherheitsschritt. Sie aktivieren LAPS im Tenant, erstellen eine neue Kennwortverwaltungsrichtlinie in Intune und weisen diese Ihren Geräten zu. Schon bald werden lokale Administratorkennwörter automatisch rotiert, sicher gespeichert und bei Bedarf abgerufen. Mit wenigen Klicks verbessern Sie die Sicherheit Ihres Unternehmens deutlich.

Und überprüfen Sie unbedingt, ob die Richtlinie korrekt angewendet wurde – es gibt nichts Ärgerlicheres, als zu denken, alles sei in Ordnung, nur um dann festzustellen, dass die Passwörter nicht wie vorgesehen rotiert werden. Bei manchen Konfigurationen klappt es beim ersten Mal nicht, aber ein Neustart oder eine erzwungene Gerätesynchronisierung behebt das Problem oft.

Zusammenfassung

Die Einführung von LAPS kann zukünftig viel Ärger ersparen. Nach der Einrichtung muss man lediglich die Berichte überwachen und auswerten. Weniger Rätselraten bei Passwörtern und mehr Sicherheit – das ist das Ziel. Hoffentlich hilft das, und zumindest ein Geräteupdate wird ab sofort einfacher.

Zusammenfassung

  • LAPS im Entra-Admincenter aktiviert
  • Eine Kennwortverwaltungsrichtlinie in Intune erstellt
  • Ich habe es den richtigen Gerätegruppen zugewiesen.
  • Ich habe gelernt, wie man bei Bedarf Passwörter wiederherstellt.

Hoffentlich spart das jemandem da draußen ein paar Stunden. Viel Glück und denkt daran, die Richtlinien im Auge zu behalten!