Een LAPS-beleid instellen voor apparaten die zijn gekoppeld aan Microsoft Entra

📅
🕑 4 minuten lezen

Heeft u moeite om de lokale beheerderswachtwoorden op uw apparaten onder controle te krijgen? Dat herken ik. Het handmatig beheren van lokale beheerderswachtwoorden is een hele klus, vooral in een grote organisatie. Gelukkig heeft Microsoft een oplossing genaamd Windows Local Administrator Password Solution (LAPS).Als uw apparaten zijn gekoppeld aan Microsoft Entra (voorheen Azure AD) en worden beheerd via Intune, helpt deze handleiding u bij het instellen ervan, zodat wachtwoorden niet langer automatisch worden gewijzigd.

Eenmaal ingesteld, kunt u veilig lokale beheerderswachtwoorden genereren, opslaan en ophalen, zonder dat u in paniek een wachtwoord hoeft te resetten nadat iemand het wachtwoord is vergeten of, erger nog, een computer onbeveiligd heeft achtergelaten. Het is een beetje vreemd dat Windows dit niet direct duidelijk maakt, maar met een paar stappen automatiseert u een hoop beveiligingsproblemen. Verwacht een betere beveiliging, minder handmatig werk en de mogelijkheid om snel toegang te krijgen tot beheerdersgegevens wanneer dat nodig is – want Windows moet het natuurlijk altijd ingewikkelder maken dan nodig.

LAPS inschakelen in Microsoft 365 en een LAPS-beleid implementeren voor apparaten die zijn gekoppeld aan Entra

Vereisten:

  • De apparaten zijn aangesloten bij Microsoft Entra.
  • Beheerd door Intune
  • Zorg dat je over beheerdersgegevens voor Microsoft 365 beschikt (want ja, beheerdersfuncties).

Schakel LAPS in in Entra

Dit is een noodzakelijke stap, want u kunt wachtwoorden niet beheren als deze functie niet is ingeschakeld. Ga naar het Entra-beheercentrum. Ga daar naar Apparaten > Apparaatinstellingen. Zoek de schakelaar met de tekst ‘ Microsoft Entra Local Administrator Password Solution (LAPS) inschakelen’ en zet deze op ‘ Ja’. Opslaan. Klaar. Het systeem is nu klaar om lokale wachtwoorden te beheren.

Maak een LAPS-beleid aan in Intune.

Hier definieert u *hoe* wachtwoorden worden beheerd, zoals instellingen voor de frequentie van het wijzigen van wachtwoorden, de opslaglocatie en de complexiteit van het wachtwoord. Ga naar het Microsoft Intune-beheercentrum. Ga vervolgens naar Eindpuntbeveiliging > Accountbeveiliging en klik op Een nieuw beleid maken.

  • Selecteer platform: Windows
  • Profiel: Lokale beheerderswachtwoordoplossing (Windows LAPS)
  • Klik op Aanmaken

Geef het een duidelijke naam, bijvoorbeeld “LAPS-beleid voor Entra-apparaten”, en voeg eventueel een beschrijving toe. Klik op Volgende.

Hier configureert u zaken zoals de back-uplocatie, de geldigheidsduur, de lengte en de complexiteit van wachtwoorden. Een kleine tip: stel uw back-up in op Microsoft Entra ID (of Azure AD, als dat uw omgeving is), zodat wachtwoorden veilig in de cloud worden opgeslagen. Voor de wachtwoordinstellingen kies ik meestal voor 30 dagen, een lengte van 14 tekens en een combinatie van letters en cijfers. Klik na afloop op Volgende en wijs het beleid toe aan uw apparaatgroepen. Meestal voeg ik gewoon ‘Alle apparaten’ toe, maar pas dit naar behoefte aan.

Bekijk je keuzes en klik vervolgens op ‘Opslaan’ om ze te voltooien. Wacht nu tot het beleid van kracht wordt. Dit kan soms even duren, dus kom later terug om te controleren of alles correct is ingesteld.

Toegang krijgen tot het lokale beheerderswachtwoord op een apparaat.

Nadat het beleid is uitgerold, kunt u het lokale beheerderswachtwoord bekijken in Intune of Entra. Ga naar het Entra-beheercentrum. Zoek uw apparaat onder Apparaten > Alle apparaten. Selecteer het apparaat en zoek vervolgens naar de optie ‘ Lokaal beheerderswachtwoord herstellen’. Klik hierop en selecteer ‘ Lokaal beheerderswachtwoord weergeven’. Het wachtwoord wordt weergegeven, zodat u er snel toegang toe hebt wanneer dat nodig is, bijvoorbeeld voor het oplossen van problemen of voor noodbeheer.

Samenvatting

Het instellen van een LAPS-beleid in Microsoft Entra is niet ingewikkeld, maar het is wel een cruciale beveiligingsmaatregel. U schakelt LAPS in de tenant in, maakt een nieuw wachtwoordbeheerbeleid aan in Intune en wijst dit toe aan uw apparaten. Binnen de kortste keren worden lokale beheerderswachtwoorden automatisch vernieuwd, veilig opgeslagen en zijn ze klaar voor gebruik wanneer nodig. Met slechts een paar klikken wordt de beveiliging van uw organisatie aanzienlijk verbeterd.

Oh, en controleer ook of het beleid correct is toegepast. Niets is erger dan denken dat alles in orde is, om er vervolgens achter te komen dat wachtwoorden niet worden geroteerd zoals het hoort. Bij sommige systemen werkt het de eerste keer niet helemaal, maar een herstart of een geforceerde synchronisatie van het apparaat lost dit vaak op.

Samenvatting

Het implementeren van LAPS kan een hoop problemen in de toekomst voorkomen. Zodra het is ingesteld, hoef je er weinig meer aan te doen dan de rapporten te controleren en te bekijken. Minder giswerk over wachtwoorden en meer beveiliging – dat is het doel. Laten we hopen dat dit helpt en dat ten minste één apparaatupdate vanaf nu eenvoudiger wordt.

Samenvatting

  • LAPS is ingeschakeld in het Entra-beheercentrum.
  • Ik heb een wachtwoordbeheerbeleid aangemaakt in Intune.
  • Het is toegewezen aan de juiste apparaatgroepen.
  • Ik heb geleerd hoe ik wachtwoorden kan achterhalen wanneer dat nodig is.

Hopelijk scheelt dit iemand een paar uur. Veel succes, en vergeet niet de regels in de gaten te houden!