Francesco FaccoWindows LAPS con Automatic Account Management via Microsoft Intune
Windows LAPS (Local Administrator Password Solution) è lo strumento Microsoft pensato per gestire in modo sicuro e automatizzato le password degli account locali. Il suo obiettivo principale è ruotare periodicamente la password dell’account amministratore locale, che può essere sia quello predefinito “Administrator” sia un account personalizzato creato dall’IT.
Con l’aggiornamento Windows 11 24H2, arriva una novità importante: una nuova modalità di gestione automatica dell’account di destinazione. Gli amministratori possono ora scegliere tra due opzioni di configurazione: Manual e Automatic, semplificando ulteriormente la sicurezza e la governance degli endpoint.
In questo articolo approfondiremo il funzionamento della modalità automatica di Windows LAPS, come gestire in automatico l’account amministratore locale con Windows LAPS su Windows 11 tramite Microsoft Intune, i vantaggi per gli ambienti enterprise e i passaggi consigliati per una corretta implementazione tecnica e architetturale.
Per la gestione dell’account di destinazione sono disponibili due modalità distinte:
La modalità Manual account management è quella predefinita. In questa modalità, l’amministratore IT è responsabile della configurazione di tutti gli aspetti dell’account gestito, ad eccezione della password, che viene invece gestita e controllata da Windows LAPS.
La modalità Automatic account management è opzionale. In questa modalità, Windows LAPS si occupa della configurazione completa dell’account gestito, compresa la creazione e l’eliminazione dell’account stesso, se necessario, oltre alla gestione della relativa password.
Come scegliere la modalità migliore?
La modalità Manual è la scelta migliore nei casi in cui sia necessaria una configurazione specifica e dettagliata dell’account di destinazione.
La modalità Automatic è invece ideale per scenari con requisiti meno complessi, ad esempio quando è sufficiente avere un account gestito pronto all’uso con una configurazione di base e privilegi da Administrator. Questa modalità supporta anche la creazione di un account personalizzato.
Se con la modalità Manual abbiamo la possibilità di gestire un account particolare e personalizzato, la modalità Automatic ci offre quache possibilità in più. Ecco una tabella comparativa delle funzionalità messe a disposizione dalle due modalità:
| Funzionalità | Manual mode | Automatic mode |
| Password gestita da Windows LAPS | Sì | Sì |
| Possibilità di personalizzare l’account da parte dell’amministratore IT | Sì | No |
| Supporta la creazione automatica dell’account | No | Sì |
| Supporta la generazione automatica del nome dell’account | No | Sì |
| Supporta l’abilitazione/disabilitazione automatica dell’account | No | Sì |
| Supporta la randomizzazione del nome dell’account | No | Sì |
| Supporta l’integrazione con le policy sugli account locali | No | Sì |
Come gestire la soluzione tramite Microsoft Intune?
Per prima cosa, accedere al portale amministrativo di Intune (https://intune.microsoft.com).
Andare nella sezione Endpoint Security > Account protection
Figura 1: Menù da cui partire per configurare la policy LAPS
Successivamente, fare click su + Create Policy e selezionare il profilo LAPS
Figura 2: Profilo da selezionare per configurare una nuova policy LAPS
Creare una nuova policy con un nome parlante e una descrizione opzionale, ad esempio:
Figura 3: Nuova policy, nome e descrizione (opzionale)
Nella sezione “Configuration settings” troviamo le impostazioni di base della policy e, in fondo, la nuova funzionalità di gestione automatica dell’account:
Figura 4: Nuovo menù relativo ai settings dedicati alla gestione automatica dell’account
Per la configurazione delle impostazioni base, vi rimando agli altri articoli presenti sul sito, per comodità qui trovate riportati i settings di default:
Figura 5: Impostazioni di default per una policy LAPS gestita e sicura
Per quanto riguarda, invece, la configurazione della gestione automatica dell’account, per prima cosa bisogna attivare la funzionalità:
Figura 6: Abilitazione della gestione automatica dell’account in LAPS
Una volta attivata, compariranno altri menù che potremo utilizzare per la configurazione della soluzione:
Figura 7: Menù di configurazione della gestione automatica dell’account amministratore locale
Ecco la spiegazione delle nuove impostazioni
- Automatic Account Management Enable Account: ci permette di scegliere se l’account che stiamo creando e gestendo debba essere abilitato o disabilitato. Questa tipologia di setting permette di avere la gestione della password anche degli account disabilitati, mantenendo quindi un controllo totale.
- Automatic Account Management Randomize Name: ci permette di aggiungere un suffisso numerico randomico al nome dell’account amministratore che stiamo gestendo. Questo ci garantisce che ogni client che riceve la policy avrà un utente amministratore dal nome unico e diverso da tutti gli altri. N.B. Per impostazione predefinita, questo setting è disabilitato.
- Automatic Account Management Target: ci permette di specificare se la policy si applica all’utente Administrator oppure ad un nuovo utente creato appositamente (l’impostazione predefinita crea un nuovo utente).
- Automatic Account Management Name or Prefix: ci permette di configurare il nome o il prefisso dell’account da creare. Se specificato, insieme al suffisso numerico -se impostato- comporrà il nome unico dell’utente amministratore locale di ciascun client.
Una volta impostate tutte le caratteristiche della soluzione di interesse, assegnare la policy ad un gruppo di dispositivi o a tutti i dispositivi dell’organizzazione.
Figura 8: Assegnazione della policy a tutti i dispositivi dell’organizzazione
Come verificare il funzionamento?
Sul portale, nelle proprietà della policy, verificare il report e valutare se la policy si è applicata correttamente a tutti i dispositivi in scope
Figura 9: Policy applicata con successo
Nel dettaglio del report è possibile visualizzare i nomi delle macchine impattate dalla policy e l’utente associato
Figura 10: Dettaglio sull’applicazione della policy
Nelle proprietà dell’account computer, in Intune, è possibile vedere se la policy è stata recepita dal client
Figura 11: Dettaglio della policy applicata vista dalle proprietà del cliente in Intune
Sul client, tra i membri del gruppo Administrators locale, troveremo l’account creato con il naming definito nella policy
Figura 12: Membri del gruppo Administrators sul client
Come recupero le credenziali?
Le credenziali dell’amministratore locale gestito da LAPS sono salvate su Entra, nelle proprietà dell’account computer.
É possibile recuperarle da Intune, nelle proprietà del computer, nella sezione Local Admin Password
Figura 13: Credenziali dell’amministratore locale recuperabili da Intune
Oppure, le stesse informazioni sono presenti nel computer account registrato in Entra ID
Figura 14: Credenziali dell’amministratore locale recuperabili da Entra ID
Per concludere
Windows LAPS rappresenta oggi una soluzione efficace e integrata per la gestione automatica delle password degli account locali, migliorando la postura di sicurezza degli endpoint e riducendo i rischi legati all’uso di credenziali statiche o ripetute.
La scelta tra modalità manual e automatic dipende dalle esigenze specifiche del proprio ambiente. L’approccio automatico è generalmente consigliato per la sua semplicità di gestione e per le funzionalità avanzate che offre.
Configurare correttamente Windows LAPS, sfruttando le policy disponibili in Microsoft Intune, garantisce che ogni dispositivo sia conforme agli standard di sicurezza richiesti, con password robuste, uniche e aggiornate regolarmente.
Per ambienti moderni e cloud-first, l’integrazione di Windows LAPS con Intune rappresenta il passo naturale verso una gestione più sicura e centralizzata degli account locali.