Windows LAPS mit Entra ID und Intune: Lokale Adminpasswörter sicher verwalten
Windows LAPS rotiert lokale Administratorpasswörter auf allen Windows-Clients automatisch und speichert sie sicher in Entra ID – ausrollbar via Intune ohne zusätzliche Software. Lateral-Movement-Angriffe verlieren damit ihre wichtigste Grundlage.
Jeder Windows-Client hat einen lokalen Administrator – und in vielen Umgebungen lautet das Passwort auf jedem Gerät gleich. Genau das machen sich Angreifer bei Lateral-Movement- und Pass-the-Hash-Angriffen zunutze: Ein kompromittiertes Gerät reicht, um sich im gesamten Netzwerk auszubreiten. Windows LAPS (Local Administrator Password Solution) löst dieses Problem, indem es jedem Gerät ein eigenes, zeitlich begrenztes Passwort verpasst und dieses sicher in Microsoft Entra ID speichert. Seit April 2023 ist LAPS nativ in Windows eingebaut – kein separates Tool, kein MSI-Paket, kein Schema-Update für reine Cloud-Umgebungen. Diese Anleitung zeigt dir, wie du Windows LAPS in einer Entra-ID- und Intune-Umgebung in rund 45 Minuten produktionsreif ausrollst.
Voraussetzungen
- Windows-Client: Windows 11 ab 21H2 mit April-2023-Kumulativupdate (KB5025224) oder Windows 11 23H2+ (LAPS nativ); Windows 10 ab April-2023-Update; Windows Server 2019/2022 mit April-2023-Patch oder Windows Server 2025 nativ
- Geräteverbindung: Geräte müssen vollständig Entra-joined oder Hybrid-joined sein – reine „Workplace Joined“ (Entra Registered) Geräte werden nicht unterstützt
- Microsoft Entra ID: Beliebige Lizenz (Free genügt) für die LAPS-Grundfunktion; Entra ID P1/P2 nur für Custom Roles und Administrative Units
- Microsoft Intune: Intune-Lizenz für das zentrale Management (alternativ GPO/Registry für Hybrid-Joined-Szenarien)
- Entra-ID-Rollen: Zum Einrichten: Global Administrator oder Intune Administrator; zum Passwort-Abruf: Cloud Device Administrator oder Intune Administrator
- PowerShell: Windows LAPS PowerShell-Modul ist nativ integriert (kein separater Download); Microsoft Graph PowerShell für API-basierten Abruf optional
Schritt 1: LAPS auf Tenant-Ebene in Entra ID aktivieren
Dieser Schritt muss genau einmal pro Tenant durchgeführt werden, bevor ein einziges Gerät sein Passwort hochladen kann. Ohne diese Aktivierung schlägt die Passwortübertragung vom Client mit einem Fehler fehl – ein häufiger Fallstrick beim ersten Rollout.
Öffne das Entra Admin Center unter https://entra.microsoft.com und navigiere zu:
Entra ID > Devices > Overview > Device settingsSetze die Einstellung „Enable Local Administrator Password Solution (LAPS)“ auf Yes und klicke auf Save.
Alternativ lässt sich die Aktivierung über die Microsoft Graph API durchführen:
PATCH https://graph.microsoft.com/beta/policies/deviceRegistrationPolicy
Body:
{
"localAdminPassword": {
"isEnabled": true
}
}Verifizieren: Lade die Device-Settings-Seite neu – die LAPS-Einstellung muss auf „Yes“ stehen. Erst dann kann mit der Richtlinienerstellung fortgefahren werden.
Schritt 2: Intune-Richtlinie erstellen
Die LAPS-Konfiguration wird in Intune unter „Endpoint Security“ gepflegt, nicht unter „Device Configuration“. Der verwendete Windows LAPS CSP hat die höchste Priorität und überschreibt GPO- sowie Legacy-LAPS-Konfigurationen.
Öffne das Intune Admin Center unter https://intune.microsoft.com und navigiere zu:
Endpoint security > Account protection > Create PolicyWähle folgende Optionen:
- Platform: Windows
- Profile: Local admin password solution (Windows LAPS)
Die empfohlene Basiskonfiguration für reine Entra-ID-Umgebungen sieht wie folgt aus:
| Einstellung | Empfohlener Wert | Hinweis |
|---|---|---|
| Backup Directory | Microsoft Entra ID (1) | Wert 2 = on-prem AD; nie beides gleichzeitig |
| Password Age Days | 30 | Min. 7 Tage bei Entra ID; Max. 365 |
| Password Length | 14 | Min. 8; Max. 64; ignoriert wenn Passphrase aktiv |
| Password Complexity | 4 (Groß+Klein+Zahlen+Sonderz.) | Werte 5–8 nur Win11 24H2+ / Server 2025 |
| Administrator Account Name | (leer) | Leer = Built-in Admin per RID; Konto muss bereits existieren |
| Post-Auth Reset Delay | 24 Stunden | 0 = Post-Auth-Aktionen deaktiviert |
| Post-Auth Actions | 3 (Reset + Abmelden) | Automatische Rotation nach Admin-Sitzung |
Unter Assignments die Richtlinie ausschließlich an Gerätegruppen zuweisen – niemals an Benutzergruppen. Bei benutzergruppenbasierter Zuweisung ändert sich die LAPS-Konfiguration bei jedem Benutzerwechsel und kann zu Konflikten führen.
Verifizieren: Die Richtlinie erscheint unter „Endpoint security > Account protection“ mit Status „Enabled“. In der Zuweisungsübersicht sind ausschließlich Gerätegruppen sichtbar.
Schritt 3: Policy-Verarbeitung auf dem Client anstoßen
Nach dem Zuweisen der Richtlinie synchronisiert Intune die Einstellungen beim nächsten Check-in-Zyklus (normalerweise innerhalb von 8 Stunden). Für einen sofortigen Test kannst du die Policy-Verarbeitung auf dem Zielgerät manuell auslösen:
# PowerShell auf dem Zielgerät als Administrator ausführen:
Invoke-LapsPolicyProcessingDen Erfolg prüfst du anschließend im Windows-Ereignisprotokoll:
# Letzte 10 LAPS-Ereignisse anzeigen:
Get-WinEvent -LogName "Microsoft-Windows-LAPS/Operational" | Select-Object -First 10Relevante Event-IDs im Überblick:
| Event ID | Bedeutung |
|---|---|
| 10029 | Passwort erfolgreich in Entra ID gespeichert |
| 10027 | Fehler beim Passwort-Upload (z. B. LAPS auf Tenant-Ebene nicht aktiviert) |
| 20000 | CSP-Warnung (häufig bei Autopilot-Geräten in der Initialisierungsphase) |
Verifizieren: Event ID 10029 im Protokoll „Microsoft-Windows-LAPS/Operational“ bestätigt, dass das Passwort erfolgreich in Entra ID hinterlegt wurde.
Schritt 4: Passwort abrufen
Es gibt drei Wege, das aktuelle LAPS-Passwort abzurufen. Welchen du wählst, hängt von deinem Workflow und den verfügbaren Berechtigungen ab.
Variante A: Intune Admin Center
Der einfachste Weg für den Helpdesk-Alltag:
Intune Admin Center:
Devices > All Devices > [Gerät auswählen] > Monitor > Local admin password > ShowVariante B: Entra Admin Center
Entra Admin Center:
Entra ID > Devices > Overview > Local administrator password recoveryVariante C: PowerShell via Microsoft Graph
# Microsoft Graph PowerShell installieren (einmalig):
Install-Module Microsoft.Graph -Scope AllUsers
# Anmelden:
Connect-MgGraph -TenantId "DEINE-TENANT-ID" -ClientId "DEINE-APP-ID"
# Passwort-Metadaten abrufen (benötigt: DeviceLocalCredential.ReadBasic.All):
Get-LapsAADPassword -DeviceIds "GeraeteName"
# Passwort im Klartext abrufen (benötigt: DeviceLocalCredential.Read.All):
Get-LapsAADPassword -DeviceIds "GeraeteName" -IncludePasswords -AsPlainTextWelche Entra-Rolle für den Passwort-Abruf benötigt wird, zeigt die folgende Übersicht:
| Entra-Rolle | Passwort (Klartext) | Metadaten |
|---|---|---|
| Cloud Device Administrator | Ja | Ja |
| Intune Administrator | Ja | Ja |
| Helpdesk Administrator | Nein | Ja |
| Security Administrator | Nein | Ja |
| Security Reader | Nein | Ja |
| Custom Role (P1/P2) | Konfigurierbar | Konfigurierbar |
Schritt 5: Passwort manuell rotieren
Nach einer administrativen Fernwartungssitzung oder einem Sicherheitsvorfall sollte das Passwort sofort rotiert werden. Dafür stehen zwei Wege bereit:
Variante A: PowerShell direkt auf dem Gerät
# Als lokaler Administrator auf dem Zielgerät:
Reset-LapsPasswordVariante B: Intune Admin Center (Remote)
Devices > All Devices > [Gerät] > ... (Ellipsis-Menü) > Rotate local admin passwordHinweis: Die Remote-Rotation über Intune schlägt fehl, wenn das Gerät zum Zeitpunkt der Anfrage offline ist. In diesem Fall führt das Gerät die Rotation beim nächsten Intune-Check-in automatisch durch.
Schritt 6: Audit-Logs auswerten
Jeder Passwort-Abruf und jede Rotation wird automatisch in den Entra-Audit-Logs protokolliert. Das ist wichtig für Compliance-Anforderungen und die Nachvollziehbarkeit im Sicherheitsvorfall.
Entra Admin Center:
Entra ID > Devices > Overview > Audit logs
Relevante Activity-Filter:
"Update device local administrator password" → Passwort wurde rotiert
"Recover device local administrator password" → Passwort wurde abgerufenDie Logs enthalten den Zeitstempel, den Ausführenden (UPN) und das betroffene Gerät – ausreichend für ein vollständiges Aktivitätsprotokoll ohne zusätzliches SIEM.
Vollständige Policy-Einstellungen (Referenz)
Die folgende Tabelle zeigt alle konfigurierbaren LAPS-Parameter mit Standardwerten und Plattformbeschränkungen:
| Einstellung | Standard | Min | Max | Plattformbeschränkung |
|---|---|---|---|---|
| BackupDirectory | 0 (Deaktiviert) | 0 | 2 | 1=Entra, 2=AD |
| PasswordAgeDays | 30 Tage | 7 (Entra) / 1 (AD) | 365 | – |
| PasswordLength | 14 Zeichen | 8 | 64 | Ignoriert bei Passphrase |
| PasswordComplexity | 4 | 1 | 8 | Werte 5–8 nur Win11 24H2+ / Server 2025 |
| PassphraseLength | 6 Wörter | 3 | 10 | Nur Win11 24H2+ / Server 2025 |
| PostAuthResetDelay | 24 Stunden | 0 | 24 h | 0 = PostAuthActions deaktiviert |
| PostAuthenticationActions | 3 (Reset+Abmelden) | 1 | 11 | Wert 11 nur Win11 24H2+ / Server 2025 |
| AdministratorAccountName | Built-in Admin (RID) | – | – | Konto muss bereits existieren |
| AutomaticAccountManagement | False | – | – | Nur Win11 24H2+ / Server 2025 |
Die Registry-Pfade für die CSP-gesetzten Werte (zur Diagnose auf dem Client) lauten:
HKLM\Software\Microsoft\Policies\LAPS
BackupDirectory = 1 (DWORD)
PasswordAgeDays = 30 (DWORD)
PasswordLength = 14 (DWORD)
PasswordComplexity = 4 (DWORD)Troubleshooting / Typische Fehler
Event 10027: Passwort-Upload schlägt fehl
Der häufigste Fehler beim ersten Rollout. Ursache ist fast immer, dass LAPS auf Tenant-Ebene noch nicht aktiviert wurde. Prüfe im Entra Admin Center unter „Device settings“, ob die LAPS-Einstellung auf „Yes“ steht.
Richtlinie wird als „Conflict“ angezeigt
Erhält ein Gerät zwei konkurrierende LAPS-Richtlinien, werden beide als „Conflict“ markiert und keine davon angewendet – das Passwort wird in diesem Fall auch nicht gesichert. Lösung: Überschneidungen in den Gerätegruppenzuweisungen beseitigen und sicherstellen, dass jedes Gerät nur eine LAPS-Richtlinie erhält.
Benutzerdefiniertes Konto existiert nicht
Windows LAPS erstellt das verwaltete Konto nicht selbst. Wird ein benutzerdefinierter Kontoname konfiguriert, muss das Konto separat über den Accounts CSP (oder ein Intune-Skript) angelegt werden, bevor LAPS es verwalten kann.
PasswordComplexity 5–8 wird ignoriert
Werte für Passphrasen und erweiterte Komplexitätsstufen funktionieren ausschließlich auf Windows 11 24H2+ und Windows Server 2025. Ältere Systeme fallen ohne Fehlermeldung auf den Default-Wert 4 zurück. Empfehlung: Separate Richtlinien für ältere und neue Betriebssystemversionen erstellen.
Remote-Rotation schlägt fehl
Die manuelle Passwort-Rotation über das Intune-Portal funktioniert nur, wenn das Gerät online ist. Bei offline Geräten erfolgt die Rotation automatisch beim nächsten Intune-Check-in. Das Passwort im Portal bleibt bis dahin gültig und lesbar.
Gerät gelöscht – Passwort verloren
Nach der Löschung eines Geräts in Entra ID ist das gespeicherte LAPS-Passwort unwiederbringlich verloren. Es gibt keinen Recovery-Weg. Bei geplanter Geräteausmusterung das Passwort vorher notieren, falls noch lokaler Zugriff benötigt wird.
Legacy-LAPS-MSI blockiert
Ab Windows 11 23H2 ist das alte Legacy-Microsoft-LAPS-MSI-Paket blockiert. Falls noch Legacy-LAPS-Installationen im Einsatz sind, müssen diese vor dem Upgrade auf 23H2 auf Windows LAPS migriert werden.
Häufige Fragen
Brauche ich für Windows LAPS eine bezahlte Entra-Lizenz?
Nein. Für die reine LAPS-Funktion mit Entra-ID-Backup genügt Microsoft Entra ID Free. Entra ID P1 oder P2 ist nur erforderlich, wenn du Custom Roles für granulare Passwort-Zugriffsberechtigungen oder Administrative Units nutzen möchtest.
Muss ich Microsoft Intune verwenden?
Nein – Intune ist nicht zwingend erforderlich. Für Hybrid-Joined-Geräte kann LAPS auch über Gruppenrichtlinien konfiguriert werden (das ADMX-Template aus %windir%\PolicyDefinitions\LAPS.admx muss manuell in den SYSVOL Central Store kopiert werden). Intune bietet jedoch zentrales Management, Monitoring und die manuelle Passwort-Rotation direkt aus dem Portal.
Kann ich das Passwort gleichzeitig in Entra ID und Active Directory sichern?
Nein. Windows LAPS unterstützt nur ein Backup-Verzeichnis gleichzeitig. Bei Hybrid-Joined-Geräten muss zwischen Entra ID und on-premises AD gewählt werden.
Was passiert bei Richtlinien-Konflikten?
Erhält ein Gerät zwei LAPS-Richtlinien mit widersprüchlichen Einstellungen, werden beide als „Conflict“ markiert und keine angewendet. Das Passwort wird dann nicht gesichert. Abhilfe schafft das Bereinigen der Gruppenüberschneidungen in den Richtlinienzuweisungen.
Werden LAPS-Passwörter über Entra Connect synchronisiert?
Nein. Die Synchronisation von LAPS-Attributen aus on-premises AD nach Entra ID via Entra Connect ist kein unterstütztes Szenario. Entra-ID-basiertes LAPS kommuniziert vollständig direkt vom Gerät per HTTPS mit Entra ID – ohne Entra Connect.
Fazit
Windows LAPS ist eine der wirkungsvollsten Sicherheitsmaßnahmen, die du in einer Windows-Umgebung mit minimalem Aufwand einführen kannst. Der technische Rollout – Tenant-Aktivierung, Intune-Richtlinie, Zuweisung an Gerätegruppen – ist in unter einer Stunde erledigt. Was danach bleibt, ist ein erheblich kleineres Angriffsfenster für Lateral-Movement-Angriffe: Jedes Gerät hat ein einzigartiges, rotierendes lokales Adminpasswort, jeder Abruf wird protokolliert, und der Helpdesk kann Passwörter gezielt abrufen, ohne Domänen-Adminrechte zu benötigen.
Besonders für KMU, die bereits auf Intune und Entra ID setzen, ist der ROI enorm: Keine zusätzliche Lizenz, keine zusätzliche Software, kein Schema-Update – lediglich eine Richtlinie und ein Klick in den Device Settings. Wer noch Legacy-LAPS im Einsatz hat, sollte die Migration spätestens vor dem nächsten Upgrade auf Windows 11 23H2 abschließen, da das alte MSI-Paket dort blockiert wird.
Als logische Ergänzung zu LAPS empfehlen sich MFA und Conditional Access in Entra ID sowie das Absichern von Admin-Konten mit Pflicht-MFA und Break-Glass-Notfallkonten. Wer Privileged-Access-Management weiterdenken möchte, findet in Entra PIM für Just-in-Time-Adminrechte den nächsten konsequenten Schritt. Für BitLocker-Recovery-Keys gilt übrigens eine sehr ähnliche Logik – die Anleitung BitLocker Recovery-Keys sicher verwalten zeigt, wie beides zusammenspielt.
Weiterführende Anleitungen und Quellen
- Microsoft 365: MFA und Conditional Access in Entra ID einrichten
- Microsoft 365 Admin absichern: Pflicht-MFA 2026 und Break-Glass-Notfallkonten
- Entra Privileged Identity Management (PIM): Just-in-Time-Adminrechte für KMU
- BitLocker im Betrieb richtig ausrollen: Recovery-Keys sicher verwalten
- Windows LAPS Übersicht – Microsoft Learn (offizielle Dokumentation)
- Windows LAPS mit Microsoft Entra ID verwenden – Microsoft Entra Doku
- Intune-Richtlinien für Windows LAPS bereitstellen – Microsoft Intune Doku
