Icon

Intune LAPS

Einzigartige, rotierende lokale Administratorpasswörter auf jedem Windows-Gerät. Gesichert in Entra ID. Kein gemeinsames Geheimnis mehr, das jeden Laptop entsperrt.

One Local Admin Password on Every Device Is Always on Every Device



On most mid-market Windows devices, the local administrator password is the same. It was set during imaging five years ago. It is written in a password manager. It is shared with the helpdesk. One phished credential, one stolen laptop, and an attacker has the key to every other device — classic lateral movement.



This is not a failure of your IT team. The old Microsoft LAPS needed on-prem AD, GPO, a schema extension, and careful maintenance. Windows LAPS changed that: it is built into Windows 11 and Windows 10 22H2, managed via Intune, and backs up to Entra ID. The license is already yours. What is missing: the policy design, the migration from legacy LAPS or static passwords, and the operational runbook.



Traditional consulting for LAPS? Five figures. The consultant configures, leaves a document, leaves. Your helpdesk is back to sharing a password next time somebody new joins.

AKTIVITÄTEN IM DETAIL

LIEFERUMFANG

  • Voraussetzungen überprüfen: Intune Plan 1, Entra ID Free, Windows 11 22H2+ oder Windows 10 22H2 mit KB5025221

  • Windows LAPS in den Mandanteneinstellungen von Entra ID aktivieren (Entra admin center → Geräte → Geräteeinstellungen)

  • Aktuellen lokalen Adminstatus inventarisieren: statische Kennwörter, klassisches Microsoft LAPS, GPO-basiertes LAPS, nicht verwaltete Geräte

  • Intune-LAPS-Richtlinie entwerfen: Zielkonto (integriertes RID- oder benanntes Konto), Kennwortkomplexität, Länge (14–64 Zeichen), Rotationsplan (30–90 Tage)

  • Sicherungsspeicher auswählen: Entra ID (empfohlen für Cloud- oder hybrid eingebundene Geräte), lokales AD (nur domänengebundene Geräte)

  • Rollenbasierte Zugriffssteuerung: Welche Intune-Administratoren Kennwörter lesen und rotieren können — Endpoint Security Manager-Rolle

  • In Pilot-Gerätegruppe bereitstellen (10–20 Geräte), Sicherung im Intune admin center validieren, manuelle Rotation testen

  • Gestaffelte Bereitstellung nach Gerätegruppe — Welle für Welle, mit Compliance-Überwachung

  • Altes LAPS außer Betrieb nehmen: GPO-Entfernung, Deinstallation von klassischem MS LAPS, Bereinigung des Kennworttresors

  • Helpdesk-Runbook: ein aktuelles Kennwort abrufen, manuelle Rotation, Fehlerbehebung bei Sicherungsfehlern

3 Schritte. Vom Start zum fertigen Projekt.

So läuft ein typisches Microsoft-Projekt mit DAMALO.

Schritt 1

Blueprint wählen und Umgebung analysieren

Wählen Sie einen bewährten Blueprint. KI-Agenten berücksichtigen ihre Lizenzen, aktuelle Konfiguration und Compliance-Anforderungen im Plan. Keine allgemeinen Ratschläge.

Schritt 2

Plan erhalten und Umsetzung starten

Prüfen Sie den Plan. KI-Agenten entwerfen die Architektur, Aufgaben und gleichen Abhängigkeiten mit den Microsoft-Best Practices ab. Auf Ihren Tenant zugeschnitten.

Schritt 3

Geführte Umsetzung bis zum Abschluss

Schritt für Schritt ausführen. KI-Agenten stellen PowerShell-Skripte, Deep Links zum Admin Center und Anleitungen bereit. Jede Änderung wird automatisch dokumentiert.

Das Ergebnis: Ein abgeschlossenes Microsoft-Projekt in 1-2 Wochen. Dokumentiert. Audit-ready. Von Ihrem Team verstanden. Jederzeit anpassbar. Keine Change Requests. Keine Nachbeauftragung.

So funktioniert es

3 Schritte. Vom Start zum fertigen Projekt.

So läuft ein typisches Microsoft-Projekt mit DAMALO.

Schritt 1

Blueprint wählen und Umgebung analysieren

Wählen Sie einen bewährten Blueprint. KI-Agenten berücksichtigen ihre Lizenzen, aktuelle Konfiguration und Compliance-Anforderungen im Plan. Keine allgemeinen Ratschläge.

Schritt 2

Plan erhalten und Umsetzung starten

Prüfen Sie den Plan. KI-Agenten entwerfen die Architektur, Aufgaben und gleichen Abhängigkeiten mit den Microsoft-Best Practices ab. Auf Ihren Tenant zugeschnitten.

Schritt 3

Geführte Umsetzung bis zum Abschluss

Schritt für Schritt ausführen. KI-Agenten stellen PowerShell-Skripte, Deep Links zum Admin Center und Anleitungen bereit. Jede Änderung wird automatisch dokumentiert.

Das Ergebnis: Ein abgeschlossenes Microsoft-Projekt in 1-2 Wochen. Dokumentiert. Audit-ready. Von Ihrem Team verstanden. Jederzeit anpassbar. Keine Change Requests. Keine Nachbeauftragung.

So funktioniert's im Detail

Nächste Schritte nach Intune LAPS

Ein sauber konfigurierter Tenant ist die Grundlage. Diese Blueprints bauen direkt darauf auf.

Icon
Intune Device Enrollment

Microsoft 365

Problem: Ohne zentrale Geräteverwaltung fehlen Compliance-Kontrolle und durchsetzbare Sicherheitsrichtlinien.

Umfang: Vorhandene Windows-Geräte in Intune über Hybrid Join oder Entra Join — öffentliche DNS-CNAMEs für die automatische Erkennung — Compliance-Basislinie (BitLocker, Firewall, Defender, Secure Boot, Mindest-OS) — GPO für automatische MDM-Registrierung — Nachweis des Nutzens: eine Softwarebereitstellung + ein Konfigurationsprofil — gestaffelte Wellenbereitstellung mit Compliance-Überwachung

Ergebnis: Vorhandene Windows-Geräte sind registriert, die Compliance-Baseline ist aktiv, Proof-of-Value-Szenarien sind bereitgestellt — bereit für gerätebasierten Conditional Access.

Intune aktivieren

Icon
Intune Device Enrollment

Microsoft 365

Problem: Ohne zentrale Geräteverwaltung fehlen Compliance-Kontrolle und durchsetzbare Sicherheitsrichtlinien.

Umfang: Vorhandene Windows-Geräte in Intune über Hybrid Join oder Entra Join — öffentliche DNS-CNAMEs für die automatische Erkennung — Compliance-Basislinie (BitLocker, Firewall, Defender, Secure Boot, Mindest-OS) — GPO für automatische MDM-Registrierung — Nachweis des Nutzens: eine Softwarebereitstellung + ein Konfigurationsprofil — gestaffelte Wellenbereitstellung mit Compliance-Überwachung

Ergebnis: Vorhandene Windows-Geräte sind registriert, die Compliance-Baseline ist aktiv, Proof-of-Value-Szenarien sind bereitgestellt — bereit für gerätebasierten Conditional Access.

Intune aktivieren

Icon
Intune Autopilot

Microsoft 365

Problem: Manuelles Provisionieren bindet Ressourcen, verzögert den Produktivstart und ist fehleranfällig.

Leistungsumfang: - Windows Autopilot (User-Driven/Self-Deployment) konfigurieren - Enrollment Status Page und Entra Join einrichten - Standard-Apps bereitstellen, Compliance- und Konfigurations-Policies setzen - End-to-End-Tests mit Pilotgeräten

Ergebnis: Halbierte Installationszeit, schnell startende Mitarbeiter und messbar reduzierter IT-Aufwand.

Start Autopilot

Icon
Intune Autopilot

Microsoft 365

Problem: Manuelles Provisionieren bindet Ressourcen, verzögert den Produktivstart und ist fehleranfällig.

Leistungsumfang: - Windows Autopilot (User-Driven/Self-Deployment) konfigurieren - Enrollment Status Page und Entra Join einrichten - Standard-Apps bereitstellen, Compliance- und Konfigurations-Policies setzen - End-to-End-Tests mit Pilotgeräten

Ergebnis: Halbierte Installationszeit, schnell startende Mitarbeiter und messbar reduzierter IT-Aufwand.

Start Autopilot

Icon
Privileged Identity Management

Microsoft 365

Security

Problem: Permanent zugewiesene Admin-Rollen sind das bevorzugte Ziel von Angreifern und Insider-Threats.

Leistungsumfang: - Aktuelle Rollen-Zuweisungen erfassen - Kritische Rollen für PIM-Schutz identifizieren - Just-in-Time-Zugriff (JIT) und Approval-Workflows konfigurieren - Bestehende permanente Rollen in PIM migrieren

Ergebnis: Nachweisbar reduziertes Risiko — auch bei Account-Kompromittierung von Admin-Konten.

PIM implementieren

Icon
Privileged Identity Management

Microsoft 365

Security

Problem: Permanent zugewiesene Admin-Rollen sind das bevorzugte Ziel von Angreifern und Insider-Threats.

Leistungsumfang: - Aktuelle Rollen-Zuweisungen erfassen - Kritische Rollen für PIM-Schutz identifizieren - Just-in-Time-Zugriff (JIT) und Approval-Workflows konfigurieren - Bestehende permanente Rollen in PIM migrieren

Ergebnis: Nachweisbar reduziertes Risiko — auch bei Account-Kompromittierung von Admin-Konten.

PIM implementieren

In 30 Minuten zeigen wir Ihnen, wie die Tenant Readiness für Ihre Umgebung abläuft.

Einen Blueprint starten

Mit dem Gründer sprechen

Logo-Bild

DAMALO | Agentic AI Plattform für Microsoft Beratung und Implementierung. IT-Expertise für mittelständische Unternehmen zugänglich und erschwinglich machen.

Markenlogo
Markenlogo
Markenlogo
Markenlogo
Bitkom logo

Plattform

Produkt

Blueprints

Kunden

Team

Blog

Rechtliches

Impressum

Datenschutz

Kontakt

info@damalo.ai

LinkedIn

© 2026 DAMALO GmbH

Zurück nach oben

In 30 Minuten zeigen wir Ihnen, wie die Tenant Readiness für Ihre Umgebung abläuft.

Einen Blueprint starten

Mit dem Gründer sprechen

Logo-Bild

DAMALO | Agentic AI Plattform für Microsoft Beratung und Implementierung. IT-Expertise für mittelständische Unternehmen zugänglich und erschwinglich machen.

Markenlogo
Markenlogo
Markenlogo
Markenlogo
Bitkom logo

Plattform

Produkt

Blueprints

Kunden

Team

Blog

Rechtliches

Impressum

Datenschutz

Kontakt

info@damalo.ai

LinkedIn

© 2026 DAMALO GmbH

Zurück nach oben

In 30 Minuten zeigen wir Ihnen, wie die Tenant Readiness für Ihre Umgebung abläuft.

Einen Blueprint starten

Mit dem Gründer sprechen

Logo-Bild

DAMALO | Agentic AI Plattform für Microsoft Beratung und Implementierung. IT-Expertise für mittelständische Unternehmen zugänglich und erschwinglich machen.

Markenlogo
Markenlogo
Markenlogo
Markenlogo
Bitkom logo

Plattform

Produkt

Blueprints

Kunden

Team

Blog

Rechtliches

Impressum

Datenschutz

Kontakt

info@damalo.ai

LinkedIn

© 2026 DAMALO GmbH

Zurück nach oben

In 30 Minuten zeigen wir Ihnen, wie die Tenant Readiness für Ihre Umgebung abläuft.

Einen Blueprint starten

Mit dem Gründer sprechen

Logo-Bild

DAMALO | Agentic AI Plattform für Microsoft Beratung und Implementierung. IT-Expertise für mittelständische Unternehmen zugänglich und erschwinglich machen.

Markenlogo
Markenlogo
Markenlogo
Markenlogo
Bitkom logo

Plattform

Produkt

Blueprints

Kunden

Team

Blog

Rechtliches

Impressum

Datenschutz

Kontakt

info@damalo.ai

LinkedIn

© 2026 DAMALO GmbH

Zurück nach oben