Intune LAPS
Ensuring a clean and license-compliant base configuration for your M365 and Entra environment. The foundation for all subsequent Microsoft projects.
Ein lokales Admin-Passwort auf jedem Gerät ist immer auf jedem Gerät vorhanden
Auf den meisten Windows-Geräten im Mid-Market ist das lokale Administratorkennwort dasselbe. Es wurde vor fünf Jahren beim Imaging festgelegt. Es steht in einem Passwortmanager. Es wird mit dem Helpdesk geteilt. Ein abgefischter Zugang, ein gestohlener Laptop, und ein Angreifer hat den Schlüssel zu jedem anderen Gerät — klassischer lateraler Bewegungsangriff.
Das ist kein Versagen Ihres IT-Teams. Das alte Microsoft LAPS benötigte ein lokales AD, GPO, eine Schema-Erweiterung und sorgfältige Wartung. Windows LAPS hat das geändert: Es ist in Windows 11 und Windows 10 22H2 integriert, wird über Intune verwaltet und in Entra ID gesichert. Die Lizenz gehört Ihnen bereits. Was fehlt: das Richtliniendesign, die Migration von Legacy-LAPS oder statischen Kennwörtern und das operative Runbook.
Traditionelle Beratung für LAPS? Fünfstellige Beträge. Der Berater richtet alles ein, hinterlässt ein Dokument und geht wieder. Ihr Helpdesk teilt beim nächsten neuen Mitarbeiter wieder ein Passwort.
AKTIVITÄTEN IM DETAIL
LIEFERUMFANG
Voraussetzungen überprüfen: Intune Plan 1, Entra ID Free, Windows 11 22H2+ oder Windows 10 22H2 mit KB5025221
Windows LAPS in den Mandanteneinstellungen von Entra ID aktivieren (Entra admin center → Geräte → Geräteeinstellungen)
Aktuellen lokalen Adminstatus inventarisieren: statische Kennwörter, klassisches Microsoft LAPS, GPO-basiertes LAPS, nicht verwaltete Geräte
Intune-LAPS-Richtlinie entwerfen: Zielkonto (integriertes RID- oder benanntes Konto), Kennwortkomplexität, Länge (14–64 Zeichen), Rotationsplan (30–90 Tage)
Sicherungsspeicher auswählen: Entra ID (empfohlen für Cloud- oder hybrid eingebundene Geräte), lokales AD (nur domänengebundene Geräte)
Rollenbasierte Zugriffssteuerung: Welche Intune-Administratoren Kennwörter lesen und rotieren können — Endpoint Security Manager-Rolle
In Pilot-Gerätegruppe bereitstellen (10–20 Geräte), Sicherung im Intune admin center validieren, manuelle Rotation testen
Gestaffelte Bereitstellung nach Gerätegruppe — Welle für Welle, mit Compliance-Überwachung
Altes LAPS außer Betrieb nehmen: GPO-Entfernung, Deinstallation von klassischem MS LAPS, Bereinigung des Kennworttresors
Helpdesk-Runbook: ein aktuelles Kennwort abrufen, manuelle Rotation, Fehlerbehebung bei Sicherungsfehlern
Voraussetzungen überprüfen: Intune Plan 1, Entra ID Free, Windows 11 22H2+ oder Windows 10 22H2 mit KB5025221
Windows LAPS in den Mandanteneinstellungen von Entra ID aktivieren (Entra admin center → Geräte → Geräteeinstellungen)
Aktuellen lokalen Adminstatus inventarisieren: statische Kennwörter, klassisches Microsoft LAPS, GPO-basiertes LAPS, nicht verwaltete Geräte
Intune-LAPS-Richtlinie entwerfen: Zielkonto (integriertes RID- oder benanntes Konto), Kennwortkomplexität, Länge (14–64 Zeichen), Rotationsplan (30–90 Tage)
Sicherungsspeicher auswählen: Entra ID (empfohlen für Cloud- oder hybrid eingebundene Geräte), lokales AD (nur domänengebundene Geräte)
Rollenbasierte Zugriffssteuerung: Welche Intune-Administratoren Kennwörter lesen und rotieren können — Endpoint Security Manager-Rolle
In Pilot-Gerätegruppe bereitstellen (10–20 Geräte), Sicherung im Intune admin center validieren, manuelle Rotation testen
Gestaffelte Bereitstellung nach Gerätegruppe — Welle für Welle, mit Compliance-Überwachung
Altes LAPS außer Betrieb nehmen: GPO-Entfernung, Deinstallation von klassischem MS LAPS, Bereinigung des Kennworttresors
Helpdesk-Runbook: ein aktuelles Kennwort abrufen, manuelle Rotation, Fehlerbehebung bei Sicherungsfehlern
Intune-LAPS-Richtlinie: Konfiguriert und je Gerätegruppe zugewiesen — Kennwortkomplexität, Rotation, Sicherungsziel
Entra-ID-Konfiguration: Lokale Administrator-Kennwortlösung auf Mandantenebene aktiviert
Legacy-LAPS-Außerbetriebnahme: GPO entfernt, Legacy-Agent deinstalliert, statische Kennwörter rotiert und außer Betrieb genommen
RBAC-Modell: Definierte Rollen für Kennwortabruf und Rotation, abgestimmt auf Ihre Helpdesk-Struktur
Pilot-Validierungsbericht: End-to-End-Test auf 10–20 Geräten mit Sicherungsüberprüfung und manueller Rotation
Helpdesk-Runbook: Kennwortabruf, manuelle Rotation, Problembehandlung bei der Sicherung
Vollständige Projektdokumentation: Alle Konfigurationsentscheidungen lückenlos dokumentiert
3 Schritte. Vom Start zum fertigen Projekt.
So läuft ein typisches Microsoft-Projekt mit DAMALO.
Schritt 1
Blueprint wählen und Umgebung analysieren
Wählen Sie einen bewährten Blueprint. KI-Agenten berücksichtigen ihre Lizenzen, aktuelle Konfiguration und Compliance-Anforderungen in den Plan ein. Keine allgemeinen Ratschläge.
Schritt 2
Plan erhalten und Umsetzung starten
Prüfen Sie den Plan. KI-Agenten entwerfen die Architektur, Aufgaben und gleichen Abhängigkeiten mit den Microsoft-Best Practices ab. Auf Ihren Tenant zugeschnitten.
Schritt 3
Geführte Umsetzung bis zum Abschluss
Schritt für Schritt ausführen. KI-Agenten stellen PowerShell-Skripte, Deep Links zum Admin Center und Anleitungen bereit. Jede Änderung wird automatisch dokumentiert.
Das Ergebnis: Ein abgeschlossenes Microsoft-Projekt in 1-2 Wochen. Dokumentiert. Audit-ready. Von Ihrem Team verstanden. Jederzeit anpassbar. Keine Change Requests. Keine Nachbeauftragung.
Next steps after Intune LAPS
Ein sauber konfigurierter Tenant ist die Grundlage. Diese Blueprints bauen direkt darauf auf.
