Lokale Administratorpasswörter sind in vielen IT-Umgebungen ein stilles Sicherheitsrisiko. In der Hektik des Tagesgeschäfts - bzw. weil IT-Abteilungen sich schlichtweg nicht kümmern - wird oft übersehen, dass auf zahlreichen Windows-Geräten identische oder nie rotierte Passwörter aktiv sind – ein offenes Einfallstor für Angriffe mit Eskalationspotenzial. Zwar existieren Lösungen wie LAPS seit Jahren, doch viele IT-Abteilungen schrecken vor komplexer Konfiguration oder fehlender Cloud-Integration zurück. Mit der Weiterentwicklung von Windows LAPS und der nativen Unterstützung in Microsoft Intune verändert sich das Spielfeld – und öffnet die Tür für eine moderne, skalierbare Absicherung der lokalen Adminrechte.
Das Wichtigste in Kürze
- Windows LAPS ermöglicht die automatisierte, sichere Verwaltung lokaler Adminpasswörter – nativ integriert ab April 2023 auf modernen Windows-Versionen.
- Über Microsoft Intune lassen sich LAPS-Richtlinien zentral konfigurieren und auf Geräte anwenden – auch für Entra ID-gebundene Clients.
- Die Einrichtung erfordert ein benutzerdefiniertes Administratorkonto sowie ggf. eine Schema-Erweiterung bei Active Directory in hybriden Umgebungen.
- Der klassische Microsoft LAPS (Legacy) wird weiterhin unterstützt, ist aber nicht mit Windows LAPS kombinierbar und auf neuen Systemen blockiert.
1. Einführung in Windows LAPS
Windows LAPS (Local Administrator Password Solution) ist Microsofts Antwort auf ein lange unterschätztes Problem: die sichere Verwaltung lokaler Administratorpasswörter auf Windows-Endgeräten. Ziel ist es, für jedes Gerät ein eindeutiges, regelmäßig wechselndes Passwort zu generieren und dieses verschlüsselt in einem zentralen Verzeichnis zu speichern – sei es in Active Directory oder Entra ID.
Der Vorteil liegt auf der Hand: Selbst, wenn ein einzelnes Gerät kompromittiert wird, bleibt der Schaden isoliert. Kein flächendeckender Zugang mehr durch ein universelles Admin-Passwort, kein manuelles Zurücksetzen durch Helpdesk-Mitarbeiter, keine Listen mit gemeinsam genutzten Zugangsdaten in irgendwelchen Excel-Dateien.
Mit dem modernen LAPS-Ansatz in Kombination mit Microsoft Intune lassen sich diese Sicherheitsmechanismen cloudbasiert und automatisiert implementieren – ohne die klassische, komplexere Group-Policy-Infrastruktur. Das macht die Lösung besonders attraktiv für Unternehmen, die auf Microsoft 365 und moderne Arbeitsplatzkonzepte setzen.
2. Voraussetzungen für die Implementierung
Vor der Einrichtung von Windows LAPS über Microsoft Intune muss sichergestellt sein, dass die Umgebung alle grundlegenden Voraussetzungen erfüllt. Fehlen bestimmte Bedingungen, kann es zu unerwartetem Verhalten oder nicht greifenden Richtlinien kommen.
Lizenzanforderungen
Windows LAPS ist ab bestimmten Windows-Versionen standardmäßig enthalten und erfordert keine zusätzliche Lizenz. Für die Verwaltung über Intune werden jedoch entsprechende Microsoft Intune-Lizenzen benötigt, wie sie beispielsweise in Microsoft 365 E3/E5 oder Enterprise Mobility + Security E3/E5 enthalten sind. Soll die Speicherung der Passwörter in der Cloud erfolgen, ist zusätzlich eine Entra ID P1- oder P2-Lizenz erforderlich.
Unterstützte Windows-Versionen
Die moderne Windows LAPS-Integration – also die cloudfähige Version mit Intune-Unterstützung – wird ab folgenden Versionen vollständig unterstützt:
- Windows 11 23H2 und alle späteren Windows-Client-Releases
- Windows 11 22H2 ab dem Update vom 11. April 2023
- Windows 11 21H2 ab dem Update vom 11. April 2023
- Windows 10 ab dem Update vom 11. April 2023
- Windows Server 23H2 und alle späteren Windows-Server-Releases
- Windows Server 2022 ab dem Update vom 11. April 2023
- Windows Server 2019 ab dem Update vom 11. April 2023
Geräte, die diese Mindestanforderungen nicht erfüllen, können LAPS-Richtlinien unter Umständen nicht korrekt verarbeiten oder keine Passwörter sichern.
{{laps="/dev/components"}}
Active Directory- und Entra ID-Unterstützung
Windows LAPS kann Passwörter entweder in lokalem Active Directory oder in Entra ID (vormals Azure AD) speichern. In Hybrid-Szenarien – also bei Geräten, die sowohl mit AD als auch mit Entra ID verbunden sind – ist vorab eine Schema-Erweiterung des lokalen Active Directory notwendig. Dies geschieht über den PowerShell-Befehl: Update-LapsADSchema. Für reine Azure AD-Umgebungen ist dieser Schritt nicht erforderlich.
Erstellung eines benutzerdefinierten Administrator-Kontos
Windows LAPS legt kein eigenes Administratorkonto an. Die Lösung erwartet, dass ein solches bereits vorhanden ist – mit dem in der Richtlinie angegebenen Namen. Ist dies nicht der Fall, schlägt die Passwortverwaltung fehl. Daher sollte vorab ein benutzerdefiniertes lokales Administratorkonto erstellt werden. Dies kann entweder über ein PowerShell-Skript im Intune-Kontext oder über eine Gruppenrichtlinie erfolgen.
3. Einrichten von Windows LAPS mit Microsoft Intune
Die Integration von Windows LAPS in Microsoft Intune ermöglicht eine zentrale, cloudbasierte Steuerung lokaler Administratorpasswörter – ganz ohne klassische GPOs oder zusätzliche Tools. Der Einrichtungsprozess gliedert sich in drei zentrale Schritte: Richtlinie erstellen, Einstellungen konfigurieren und Geräte zuweisen.
Erstellen einer LAPS-Richtlinie in Intune
In der Intune-Verwaltungskonsole steht unter Endpoint Security > Kontoschutz die Option zur Erstellung einer neuen LAPS-Richtlinie bereit. Als Plattform wird „Windows 10 und höher“ gewählt, anschließend kann die Konfiguration beginnen.
Konfigurieren der Richtlinieneinstellungen
Im Richtlinieneditor lassen sich zentrale Parameter festlegen:
- Backup-Verzeichnis: Wahlweise Active Directory, Entra ID oder keine Speicherung. Für cloudbasierte Umgebungen empfiehlt sich Entra ID.
- Passwortalter: Gibt an, wie oft das Passwort automatisch geändert wird. Ein Intervall von 30 Tagen gilt als sicherer Standard.
- Passwortkomplexität: Definiert Länge und Zusammensetzung des Passworts (Groß-/Kleinbuchstaben, Sonderzeichen, Zahlen).
- Administrator-Kontoname: Optional lässt sich der zu verwaltende lokale Admin benennen, um von Standardnamen wie „Administrator“ abzuweichen.
Zuweisen der Richtlinie zu Geräten
Die fertige Richtlinie wird anschließend einer oder mehreren Gerätegruppen zugewiesen. Sobald die betroffenen Endpunkte die Konfiguration erhalten, wird LAPS aktiv und beginnt mit der Verwaltung der Administratorpasswörter.
4. Verwalten von LAPS-Passwörtern
Sobald Windows LAPS aktiv ist, übernimmt das System automatisch die Verwaltung der lokalen Administratorpasswörter – inklusive Rotation, Speicherung und Protokollierung. Für Administratoren ergeben sich dadurch neue Möglichkeiten zur Einsicht und Kontrolle, aber auch klare Verantwortlichkeiten im Umgang mit sensiblen Informationen.
Anzeigen von Konto- und Passwortdetails
Die gespeicherten Passwörter lassen sich zentral über die Microsoft Intune Admin-Konsole einsehen. Unter Geräte > [Gerätename] > Lokales Administratorkonto wird das jeweils aktuelle Passwort angezeigt, inklusive Ablaufdatum und Änderungsverlauf. Der Zugriff ist rollenbasiert beschränkt und protokolliert – ein entscheidender Sicherheitsvorteil gegenüber herkömmlichen Lösungen.
Manuelles Zurücksetzen von Passwörtern
Neben der automatischen Rotation besteht die Möglichkeit, Passwörter manuell zurückzusetzen. Dies kann z. B. bei einem Incident notwendig werden oder wenn ein Gerät aus dem Lifecycle genommen wird. Die Option „Zurücksetzen“ initiiert sofort eine Neugenerierung des Passworts auf dem betreffenden Gerät.
Automatische Passwortrotation konfigurieren
Der Zyklus für die automatische Rotation wird über die Intune-Richtlinie definiert. Eine regelmäßige Änderung – idealerweise alle 30 Tage oder bei jeder Anmeldung – sorgt dafür, dass kompromittierte Zugangsdaten nur von begrenztem Wert sind. Die Rotation erfolgt im Hintergrund und erfordert keinen Benutzerzugriff.
5. Best Practices und häufige Fehlerbehebungen
Der produktive Einsatz von Windows LAPS in Kombination mit Intune bringt nicht nur Vorteile, sondern auch Fallstricke mit sich – besonders in hybriden oder heterogenen IT-Umgebungen. Ein sauberer Rollout und eine kontinuierliche Überwachung sind entscheidend für den nachhaltigen Erfolg der Lösung.
Vermeidung von Richtlinienkonflikten
Ein häufiger Fehler tritt auf, wenn mehrere Konfigurationsquellen konkurrieren – etwa eine alte Gruppenrichtlinie, die parallel zu einer Intune-Richtlinie greift. Um Konflikte zu vermeiden, sollte sichergestellt werden, dass ausschließlich moderne LAPS-Konfigurationen im Einsatz sind. Legacy-LAPS sollte deaktiviert werden, sobald die neue Variante aktiv ist.
Sicherstellen der Gerätekompatibilität
Nicht alle Geräte unterstützen LAPS vollständig – vor allem, wenn es an aktuellen Updates fehlt. Eine automatisierte Compliance-Überprüfung vor der Richtlinienzuweisung hilft, inkompatible Systeme vorab zu erkennen. Zudem sollten während der Pilotphase regelmäßig Event-Logs und Intune-Reports geprüft werden.
Empfohlene Sicherheitsmaßnahmen
Der Zugriff auf LAPS-Passwörter sollte strikt rollenbasiert erfolgen – idealerweise über Privileged Identity Management (PIM) in Entra ID. Zusätzlich empfiehlt sich die Aktivierung von Audit-Logs, um alle Zugriffe nachvollziehbar zu protokollieren. Auch die Wahl eines individuellen, nicht standardmäßigen Admin-Kontonamens trägt zur Absicherung bei.
{{cta-box="/dev/components"}}
6. Fazit
Windows LAPS in Verbindung mit Microsoft Intune schafft eine moderne, skalierbare Lösung für eines der ältesten Sicherheitsprobleme im Windows-Umfeld: die unsachgemäße Verwaltung lokaler Administratorpasswörter. Durch die Kombination aus automatischer Rotation, zentraler Speicherung und granularer Zugriffskontrolle wird ein bedeutender Angriffspunkt effektiv entschärft.
Besonders in Cloud-first- oder Hybrid-Umgebungen bietet die Integration in Intune einen klaren Vorteil gegenüber klassischen GPO-basierten Methoden. Der Schlüssel zum Erfolg liegt dabei nicht nur in der technischen Umsetzung, sondern auch in einer durchdachten Rollout-Strategie, klaren Zuständigkeiten und einer konsequenten Überwachung.
Wer LAPS richtig einsetzt, legt den Grundstein für eine sicherere und effizientere Endpoint-Infrastruktur – und reduziert gleichzeitig den operativen Aufwand im IT-Alltag.
Thore beschäftigt sich seit 2011 ausschließlich mit Endpoint Management und Endpoint Security Themen. Anfangs fokussiert auf Softwarepaketierung und Softwareverteilung mit Microsoft MECM/SCCM und Ivanti DSM ist er heute gefragter Gesprächspartner, wenn es um Unified Endpoint Management, Systemhärtung, Patch Management und Endpoint Protection geht. Im Fokus stehen dabei insbesondere die Microsoft Technologien Intune, Configuration Manager, Entra und Defender. Thore ist Mitgründer des Expertenzirkels "Endpoint Management" im IAMCP e.V.
