Microsoft Intune – Configurazione delle password amministrative locali con Windows LAPS

Windows Local Administrator Password Solution (Windows LAPS) è un software Microsoft che permette di gestire le password degli amministratori locali in Windows. Quando installate il sistema operativo vi viene chiesto di inserire la password per l’utente amministratore locale del computer e spesso utilizzate questo account e la password impostata per potervi loggare localmente alla macchina se non riuscite a loggarvi al dominio. Gestire manualmente queste password, ammesso e non concesso che non sia un’unica password per tutti i vostri computer, è un’impresa non da poco quando si devono gestire centinaia se non migliaia di macchine. Immaginate cosa potrebbe succedere se la password venisse rivelata a persone indesiderate.

Windows LAPS permette di creare un repository centralizzato dove conservare le password per gli amministratori locali delle macchine che sono collegate al dominio o che sono joinate ad Azure AD e vi permette di:

  • Avere una password univoca e quindi diversa su ogni computer che LAPS gestisce
  • Cambiare regolarmente la password dell’amministratore locale
  • Conservare le password in un attributo del computer in Active Directory
  • Configurare e controllare gli accessi alle password
  • Trasmettere in maniera sicura le password ai computer gestiti

Per poter utilizzare Windows LAPS è necessario avere le seguenti versioni di Windows:

Per poter distribuire Windows LAPS in ambiente di dominio vi rimando alla lettura della guida Windows LAPS – Local Administrator Password Solution

In questa guida mi occuperò di gestire Windows LAPS con Microsoft Intune.

Attivazione della funzionalità Windows LAPS in Azure AD

Per attivare ed utilizzare Windows LAPS in Azure AD è necessario collegarsi al portale di Microsoft Entra e selezionare Devices > All Devices > Device settings. Nel pannello abilitate l’opzione chiamata Enable Azure AD Local Administrator Password Solution (LAPS) e fate clic su Save.

Figura 1: Abilitazione di Windows LAPS in Azure AD

Creazione del profilo di Endpoint Protection in Microsoft Intune per l’abilitazione di Windows LAPS

Dal portale di Microsoft Intune selezionate Endpoint Security > Account protection e fate clic su + Create Policy. Scelgiete come platform Windows 10 and later e come profile
Local admin password solution (Windows LAPS).

NOTA: La funzionalità è disponibile dalla Service Release 2304

Figura 2: Creazione della policy di Account protection

Figura 3: Scelta del profilo Local admin password solution (Windows LAPS)

Date un nome al profilo di configurazione ed una descrizione.

Figura 4: Nome e descrizione del profilo di configurazione

Nella scheda Configuration settings scegliete le configurazioni che volete applicare. Dal menù a tendina Backup Directory selezionate l’opzione Backup the password to Azure AD only.

Figura 5: Scelta del repository dove conservare le password di Windows LAPS

Decidete ogni quanto cambiare la password dell’amministratore di default (utente Administrator), indicate se avete scelto di utilizzare un altro amministratore, modificate la complessità della password e le azioni da effettuare dopo la scadenza del periodo configurato nel setting Post Authentication Reset Delay.

NOTA: L’opzione Administrator account name permette di definire il nome dell’account locale che deve essere gestito da Windows LAPS; nel caso in cui non venga specificato nulla, viene gestito l’account chiamato Administrator.

Figura 6: Configurazioni delle caratteristiche della password

Figura 7: Configurazioni scelte per Windows LAPS

Indicate uno scope tag per il profilo. Lo “scope tag” di un profilo di configurazione in Intune serve a identificare il profilo e a descrivere il suo scopo.

Figura 8: Dichiarazione dello scope tag del profilo

Assegnate il profilo di configurazione al gruppo di dispositivi che volete configurare. Io ho scelto di applicarlo a tutti i dispositivi.

Figura 9: Assegnazione del profilo ad un gruppo di dispositivi

Figura 10: Schermata finale di configurazione del profilo

Figura 11: Profilo di configurazione creato con successo

Attivazione dell’account Administrator per i computer Azure AD joined

Poiché ho scelto di configurare l’account Administrator e sto utilizzando computer che sono tutti Azure AD joined, sarà necessario prima riabilitare l’account che è disabilitato di default. Per farlo ho utilizzato il Settings catalog,di cui ho già avuto modo di parlare nella guida Microsoft Intune – Utilizzare il settings catalog per configurare dispositivi Windows, iOS/iPadOS e macOS

Per creare un nuovo configuration profile in Microsoft Intune aprite il portale https://intune.microsoft.com e selezionate Devices > Configuration profiles > + Create profile

Dal blade che si aprirà scegliete la piattaforma e il profile type. Io ho scelto Windows 10 e successivi e il profilo Settings catalog.

Figura 12: Scelta della piattaforma Windows 10 e successivi e del tipo di profilo Settings catalog

Inserite nel wizard il nome del profilo di configurazione e una descrizione.

Figura 13: Nome e descrizione del profilo di configurazione

Nella scheda Configuration settings fate clic su + Add settings e dal Settings picker cercate la configurazione che più vi interessa. Io ho cercato Enable Administrator e dopo un paio di secondi di caricamento mi ha mostrato l’unica configurazione disponibile, che poi è possibile selezionare mettendo un segno di spunta.

Figura 14: Abilitazione dell’account Administrator

Figura 15: Abilitazione dell’account Administrator

Indicate uno scope tag per il profilo. Lo “scope tag” di un profilo di configurazione in Intune serve a identificare il profilo e a descrivere il suo scopo.

Figura 16: Dichiarazione dello scope tag del profilo

Assegnate il profilo di configurazione al gruppo di dispositivi che volete configurare. Io ho scelto di applicarlo a tutti i dispositivi.

Figura 17: Assegnazione del profilo ad un gruppo di dispositivi

Figura 18: Schermata finale di configurazione del profilo

Figura 19: Profilo di configurazione creato con successo

Attendete il refresh delle configurazioni sul dispositivo oppure effettuate un Sync manuale e verificate che l’account Administrator sia attivo anche sulle macchine Azure AD joined.

Figura 20: L’account Administrator è stato attivato

Visualizzazione delle password modificate da Windows LAPS

Per vedere le password dell’amministratore locale di ogni singolo dispositivo potete utilizzare sia il portale di Microsoft Intune che il portale di Microsoft Entra o di Azure AD.

Dal portale di Intune selezionate Devices > All devices > Nome del dispositivo > Local admin password

Figura 21: Recupero della password dell’amministratore dal portale di Microsoft Intune

Dal portale DI Microsoft Entra selezionate Devices > All Devices > Nome del dispositivo > Local administrator password recovery (Preview)

Figura 22: Recupero della password dell’amministratore dal portale di Microsoft Entra

A questo punto potrete loggarvi sulla macchina utilizzando l’account amministrativo che avete configurato. Io ho lasciato la configurazione predefinita perciò utilizzerò l’account Administrator

Figura 23: Accesso alla macchina con l’account Administrator

Figura 24: Accesso alla macchina avvenuto con successo

Conclusioni

Windows Local Administrator Password Solution (Windows LAPS) permette di semplificare enormemente la gestione delle password degli amministratori locali e soprattutto aumenta il livello di sicurezza delle postazioni di lavoro. Molto spesso l’utilizzo della stessa password, che si ripete da diversi anni, è una vulnerabilità sensibile delle nostre macchine e le espone alla possibilità di essere facilmente attaccate o di essere amministrate da utenti non autorizzati. L’utilizzo di Intune per la sua configurazione permette di velocizzare enormemente la sua implementazione.