RSS Feed RSS
windows_laps_intune
CloudEndpoint ManagementGuides

Configurare Windows LAPS in Microsoft Intune

570 Visualizzazioni

Simone Termine

Introduzione

In qualunque ambiente enterprise, l’account Amministratore locale è quasi sempre un requisito operativo inevitabile, e serve per scenari di emergenza, per recovery, per interventi fuori banda o quando l’endpoint non riesce più a parlare correttamente con i servizi di gestione. Il problema nasce quando quella credenziale è statica, condivisa o poco governata e diventa un acceleratore perfetto per attacchi di lateral movement e, nella pratica quotidiana, un rischio operativo enorme.

Windows Local Administrator Password Solution (Windows LAPS) è la risposta moderna di Microsoft. È una funzionalità nativa di Windows che gestisce e ruota in automatico la password di un account amministratore locale e ne esegue il backup in una directory scelta, in modo che un amministratore autorizzato possa recuperarla quando serve. Windows LAPS supporta backup verso Microsoft Entra ID (per device Entra-joined) oppure verso Windows Server Active Directory (per device domain-joined o hybrid-joined). Non è possibile fare backup contemporaneo su entrambe.

Microsoft Intune, attraverso le policy di Endpoint security per Account protection, permette di distribuire e governare Windows LAPS in modo centralizzato con requisiti password, pianificazione della rotazione, scelta della directory di backup, visibilità e azioni operative (come la rotazione manuale), più report e audit.
In questa guida vedremo nel dettaglio:

  • Differenze LAPS vs Windows LAPS
  • Come configurare Windows LAPS con Microsoft Intune
  • Troubleshooting
  • Conclusioni

Differenze LAPS vs Windows LAPS

Quando si parla di LAPS spesso si fa confusione tra il prodotto storico (legacy Microsoft LAPS) e l’implementazione moderna (Windows LAPS).

Legacy Microsoft LAPS è una soluzione legacy basata su un’installazione MSI e su una Client-Side Extension applicata tramite Group Policy. Nello scenario Active Directory, la password dell’account amministratore locale veniva salvata sul computer object in attributi dedicati come ms-Mcs-AdmPwd (password in chiaro) e ms-Mcs-AdmPwdExpirationTime (scadenza password). Microsoft ha dichiarato questo prodotto deprecato sulle versioni più recenti. Infatti, a partire da Windows 11 23H2 e versioni successive, l’installazione del pacchetto MSI del legacy Microsoft LAPS è bloccata e Microsoft non considera più evoluzioni o modifiche al codice del prodotto legacy. La direzione ufficiale è adottare Windows LAPS.

Windows LAPS (Windows Local Administrator Password Solution) è invece una funzionalità inbox integrata nel sistema operativo e resa disponibile tramite aggiornamenti di piattaforma. È supportata su Windows 11 23H2 e successivi e, inoltre, su altre versioni client che abbiano ricevuto l’aggiornamento dell’11 aprile 2023 o successivo (stesso principio per varie versioni server).

Rispetto al legacy, Windows LAPS introduce funzionalità e scenari aggiuntivi, come backup delle password anche in Microsoft Entra ID, opzioni avanzate in Active Directory (inclusa la gestione di attributi cifrati e la history, dove applicabile), un set di impostazioni di policy più ricco (ad esempio le post-authentication actions) e un canale eventi dedicato per troubleshooting e auditing operativo. Inoltre, per supportare una migrazione graduale, Windows LAPS può operare in legacy Microsoft LAPS emulation mode, ovvero può onorare le impostazioni GPO del legacy LAPS con limitazioni dichiarate.

Differenze chiave di schema e storage

Se viene scelto Active Directory come directory di backup, Windows LAPS non riutilizza gli attributi del legacy Microsoft LAPS, ma introduce un set dedicato di attributi sul computer object, ad esempio msLAPS-PasswordExpirationTime e msLAPS-Password, e, dove si abilita la cifratura, attributi dedicati come msLAPS-EncryptedPassword e msLAPS-EncryptedPasswordHistory. Questo aspetto è rilevante sia in fase di migrazione (perché i dati vecchi e nuovi convivono su attributi diversi), sia per la corretta delega dei permessi, perché Windows LAPS introduce anche diritti estesi specifici collegati alla gestione degli attributi cifrati (ad esempio ms-LAPS-Encrypted-Password-Attributes).

Il legacy Microsoft LAPS, invece, si appoggia al set storico di attributi ms-Mcs-*, in particolare ms-Mcs-AdmPwd (password in chiaro) e ms-Mcs-AdmPwdExpirationTime (scadenza). In ambito di migrazione è utile ricordare che alcuni cmdlet/strumenti Windows LAPS non operano sugli attributi legacy (ad esempio la modifica della scadenza legacy) proprio perché si tratta di storage distinti.

Un altro punto operativo cruciale è che legacy Microsoft LAPS e Windows LAPS possono coesistere solo a condizioni controllate: Microsoft supporta lo scenario “side-by-side” a patto che i due sistemi gestiscano account locali diversi. Se accidentalmente tentano di gestire lo stesso account, si entra in un territorio ad alto rischio (rotazioni non previste, perdita di controllo operativo e troubleshooting complesso). Inoltre, quando sul dispositivo è presente una policy Windows LAPS, la policy legacy viene sempre ignorata. Questo vale indipendentemente da come la policy Windows LAPS è stata applicata (CSP/Intune, Group Policy, o anche impostazioni scritte a registro).

Policy roots a registro e ordine deterministico

Windows LAPS modella in modo esplicito i diversi meccanismi di gestione assegnando a ciascuno una root di registro distinta. Le root documentate da Microsoft sono:

  • LAPS CSP (Intune/MDM): HKLM\Software\Microsoft\Policies\LAPS
  • LAPS Group Policy: HKLM\Software\Microsoft\Windows\CurrentVersion\Policies\LAPS
  • LAPS Local Configuration (test/dev): HKLM\Software\Microsoft\Windows\CurrentVersion\LAPS\Config
  • Legacy Microsoft LAPS: HKLM\Software\Policies\Microsoft Services\AdmPwd

Il comportamento è deterministico, ovvero Windows LAPS scorre le root dall’alto verso il basso e seleziona come “active policy” la prima root in cui trova almeno un’impostazione definita esplicitamente. Da quel momento, le impostazioni non vengono ereditate o mixate tra root diverse; se nella root scelta mancano alcuni valori, vengono applicati i default. Questo dettaglio è estremamente utile in troubleshooting perché consente di spiegare con precisione quale canale stia effettivamente governando il comportamento LAPS sul client.

Nota pratica: se almeno una impostazione LAPS viene configurata via CSP (quindi via Intune/MDM), le impostazioni configurate via GPO vengono ignorate.

Come configurare Windows LAPS con Microsoft Intune

Questa guida assume che stiate già gestendo endpoint Windows con Microsoft Intune e che vogliate distribuire Windows LAPS tramite le policy di sicurezza degli endpoint in Endpoint security > Account protection con il profilo “Local admin password solution (Windows LAPS)”. In questa demo l’obiettivo è configurare il backup in Microsoft Entra ID, tipico scenario cloud-first, perché consente anche la consultazione della password direttamente dal portale Intune (a differenza del backup su Active Directory on-premises).

Importante: quando il backup avviene in Microsoft Entra ID, le credenziali LAPS vengono archiviate sul device object in Entra. Di conseguenza, se eliminate il device object da Microsoft Entra ID, la credenziale LAPS associata a quel dispositivo viene persa e la password memorizzata in Entra ID non è più recuperabile con funzionalità native. L’unica eccezione è avere un workflow personalizzato che recuperi e archivi le password esternamente prima della cancellazione. Questo punto impatta direttamente i processi di offboarding, re-provisioning e di device cleanup (soprattutto quando la rimozione del device object è parte della procedura standard).

Prerequisiti fondamentali

Prima di configurare qualunque cosa in Microsoft Intune, è opportuno verificare con rigore i prerequisiti. In assenza anche di uno solo di questi requisiti, il comportamento più frequente è che la policy risulti correttamente assegnata (e talvolta anche apparentemente applicata), ma il backup non venga completato; di conseguenza la password non risulta consultabile e/o la rotazione manuale può fallire.

Licensing e servizi richiesti

Microsoft Intune supporta Windows LAPS nel tenant con una sottoscrizione minima Microsoft Intune Plan 1 (è valida anche una sottoscrizione di prova). Per il backup delle password in cloud è sufficiente Microsoft Entra ID Free: con Entra ID Free sono disponibili le funzionalità LAPS in Entra, mentre eventuali funzionalità correlate (ad esempio ruoli personalizzati, Conditional Access o altre capability di governance) possono avere requisiti di licenza differenti.

Sistema operativo supportato per l’uso via Intune (Windows LAPS CSP)

Se l’intenzione è gestire Windows LAPS tramite Microsoft Intune, i dispositivi devono supportare il Windows LAPS CSP. Microsoft specifica che i dispositivi possono avere qualunque edizione di Windows supportata da Intune, ma devono eseguire una delle versioni seguenti (con la build minima e l’aggiornamento richiesto):

  • Windows 11, versione 22H2 (build 22621.1555 o successiva) con KB5025239
  • Windows 11, versione 21H2 (build 22000.1817 o successiva) con KB5025224
  • Windows 10, versione 22H2 (build 19045.2846 o successiva) con KB5025221
  • Windows 10, versione 21H2 (build 19044.2846 o successiva) con KB5025221
  • Windows 10, versione 20H2 (build 19042.2846 o successiva) con KB5025221
  • Windows 10 Enterprise LTSC 2019 e versioni LTSC successive

Importante: Windows 10 ha raggiunto la fine del supporto il 14 ottobre 2025; i dispositivi possono ancora essere gestiti da Intune, ma la funzionalità non è garantita e può variare. Se l’obiettivo è una configurazione LAPS stabile nel tempo, conviene tenerne conto in fase di piano di rollout.

Join state in linea con la directory di backup (vincolo architetturale)

Windows LAPS consente di configurare un solo tipo di directory di backup per ciascun dispositivo: Microsoft Entra ID (cloud) oppure Windows Server Active Directory (on-premises), ma non entrambe contemporaneamente. La directory selezionata deve inoltre essere compatibile con lo stato di join del dispositivo. I dispositivi Microsoft Entra joined e Microsoft Entra hybrid joined supportano il backup in Microsoft Entra ID; per il backup in Active Directory è necessario che il dispositivo sia domain-joined (e quindi, nello scenario ibrido, anche i dispositivi hybrid-joined risultano compatibili). I dispositivi workplace-joined (WPJ) non sono supportati per Windows LAPS tramite Intune.

Un dettaglio operativo importante è che l’incompatibilità non sempre emerge come errore di assegnazione in Intune. Se, ad esempio, configurate la directory di backup su Active Directory on-premises ma il dispositivo non è domain-joined, il client può comunque accettare i setting della policy ricevuti da Intune; tuttavia Windows LAPS non può completare il backup perché la destinazione non è supportata dal join type. Questo comportamento è previsto e documentato nella pagina Microsoft Intune support for Windows LAPS.

Abilitazione LAPS in Microsoft Entra ID (solo per Microsoft Entra join)

Se intendete eseguire il backup delle password in Microsoft Entra ID su dispositivi Microsoft Entra joined, dovete abilitare Windows LAPS a livello tenant nelle impostazioni dispositivo di Microsoft Entra ID (vedi Figura 9). In assenza di questa abilitazione, lo scenario tipico è che i dispositivi ricevano la policy, ma non riescano a pubblicare (postare) le credenziali in Entra ID, con conseguente assenza della password consultabile dal portale. Microsoft specifica inoltre che, per i dispositivi Microsoft Entra hybrid joined, questa abilitazione non è richiesta.

Operativamente, l’impostazione si abilita dal Microsoft Entra admin center con un account che abbia ruolo Cloud Device Administrator. Ne parlo al capitolo “Configurazione step by step in Microsoft Entra”. In alternativa, è possibile abilitarla anche via Microsoft Graph aggiornando la deviceRegistrationPolicy, ma ne parleremo in un altro articolo.

Ruoli e permessi

Per evitare che la demo (e poi la produzione) si trasformi in un problema di permessi, conviene distinguere fin da subito i ruoli operativi:

  • Creazione e gestione delle policy LAPS in Intune: servono permessi nella categoria RBAC “Security baselines”; per impostazione predefinita sono inclusi nel ruolo Intune “Endpoint Security Manager”.
  • Recupero/visualizzazione password in Intune (quando il backup è in Entra ID): l’accesso è governato da permission e ruoli Microsoft Entra legati alle device local credentials, e la documentazione Intune chiarisce che, se l’account non ha i diritti necessari, la password resta non consultabile (anche se la policy funziona).
  • Rotazione manuale da Intune (device action “Rotate Local admin password”): oltre ai permessi Entra per accedere alla sezione, Microsoft documenta tre permessi Intune specifici che sono “Managed devices: Read“, “Organization: Read“ e “Remote tasks: Rotate Local Admin Password“.

Configurazione step by step in Microsoft Intune

A questo punto possiamo procedere con la configurazione in Microsoft Intune. Aprite Microsoft Intune admin center e navigate in Endpoint security > Account protection, quindi selezionate Create Policy. Impostate Platform > Windows e come Profile > Local admin password solution (Windows LAPS), poi Create

Windows_LAPS_1
Figura 1: Windows LAPS policy in Microsoft Intune – Part 1

Nella pagina Basics compilate il campo Name e, se utile ai fini di governance e manutenibilità, anche il campo Description (facoltativo) seguendo una naming convention chiara; quindi proseguite selezionando Next

Windows_LAPS_2
Figura 2: Windows LAPS policy in Microsoft Intune – Part 2

Arrivate alla pagina Configuration settings: qui selezionate prima Backup Directory. Il tipo di directory, oltre a determinare dove verrà salvata la password, influenza anche quali setting aggiuntivi sono disponibili nel profilo. Questa sezione è quella dove si vince o si perde la qualità della configurazione, perché Intune sta pilotando direttamente il comportamento del Windows LAPS CSP. Il punto chiave è che alcune impostazioni sono sempre disponibili, altre compaiono (o hanno senso) solo in base al valore scelto per Backup Directory.

In questa guida la policy verrà configurata per eseguire il backup della password in Microsoft Entra ID. Questo semplifica molto la validazione, perché la password può essere recuperata direttamente dal portale Intune (cosa che non è possibile quando il backup è su Active Directory on-prem). Di seguito vi lascio i dettagli della configurazione del nostro esempio:

  • Backup Directory = “Backup the password to Microsoft Entra ID only”
  • Password Age Days = 7
  • Administrator Account Name = Not configured
  • Password Complexity = “Large letters + small letters + numbers + special characters (Default)”
  • Password Length = 14
  • Post Authentication Actions = Not configured
  • Post Authentication Reset Delay = Not configured
  • Automatic Account Management Enabled = Not configured

Nota: Potete aumentare o diminuire la complessità della vostra configurazione come più vi conviene. Per tutti i dettagli delle impostazioni disponibili potete consultare la pagina Microsoft Configure policy settings for Windows LAPS.

Una volta terminata la configurazione, procediamo facendo click su Next

Windows_LAPS_3
Figura 3: Configuration settings Windows LAPS policy in Microsoft Intune – Part 3

Nella sezione Scope tags (opzionale) lasciare Default, oppure selezionare uno scope tags già creato in precedenza nel vostro ambiente Intune. Nel nostro caso lasceremo quello di default. Successivamente cliccate su Next.

Windows_LAPS_4
Figura 4: Scope tags Windows LAPS policy in Microsoft Intune – Part 4

Nella sezione Assignments assegnate la policy al target desiderato. Cercate il gruppo su cui volete applicare la configurazione tramite il campo di ricerca, selezionatelo e proseguite con Next

Windows_LAPS_5
Figura 5: Assignments Windows LAPS policy in Microsoft Intune – Part 5

Arrivati alla sezione Review + create, verificate che tutti i dettagli della configurazione siano corretti, inclusi i gruppi di assegnazione. Se è tutto ok, proseguire cliccando su Save.

Windows_LAPS_6
Figura 6: Review and create Windows LAPS policy in Microsoft Intune – Part 6

A questo punto, tornando nella pagina principale di Endpoint security > Account protection, troverete la policy Windows LAPS appena creata nell’elenco delle policy disponibili; da qui sarà possibile aprirla per verificare assegnazioni e stato di distribuzione.

Windows_LAPS_7
Figura 7: Overview Windows LAPS policy

Configurazione step by step in Microsoft Entra

A questo punto spostiamoci su Microsoft Entra accendendo al Microsoft Entra admin center. Navighiamo in Entra ID > Devices, una volta arrivati nella pagina di overview, andiamo su Device settings

Windows_LAPS_8
Figura 8: Enable Windows LAPS in Microsoft Entra ID – Part 1

Scorrete fino alla sezione Local administrator settings e abilitate l’opzione “Enable Local Administrator Password Solution (LAPS)” impostandola su Yes; quindi selezionate Save per confermare la modifica.

Windows_LAPS_9
Figura 9: Enable Windows LAPS in Microsoft Entra ID – Part 2

Dopo pochi secondi, le impostazioni saranno state applicate.

Windows_LAPS_10
Figura 10: Enable Windows LAPS in Microsoft Entra ID – Part 3

Troubleshooting

Vediamo adesso come verificare che l’impostazione sia attiva e arrivata al nostro device di test. Come prima cosa, apriamo la nostra policy Windows LAPS

Windows_LAPS_11
Figura 11: Troubleshooting Windows LAPS – Part 1

Possiamo notare che la policy è già stata applicata e riporta lo status Success. Per approfondire facciamo click sul button View report

Windows_LAPS_12
Figura 12: Troubleshooting Windows LAPS – Part 2

In questa pagina vediamo apparire il nostro pc di test in status Success. Facciamo click sul nome del nostro dispositivo per vedere lo status di ciascun setting distribuito tramite la policy di Windows LAPS

Windows_LAPS_13
Figura 13: Troubleshooting Windows LAPS – Part 3

Nella pagina che segue, vediamo che ciascun settaggio distribuito riposta lo status Success, sintomo del fatto che la configurazione è stata recepita e applicata correttamente.

Importante: in questa sezione le informazioni possono impiegare fino a 20 minuti prima che appaiano in questo report.

Windows_LAPS_14
Figura 14: Troubleshooting Windows LAPS – Part 4

Attenzione: se utilizzate, come in questa demo, l’account built-in Administrator, assicuratevi che sia attivo sui vostri dispositivi. In alternativa potete abilitarlo tramite la creazione di un Settings catalog Local Policies Security Options > Accounts Enable Administrator Account Status > Accounts Enable Administrator Account Status (Enabled)

Windows_LAPS_15
Figura 15: Troubleshooting Windows LAPS – Part 5

Se i vostri dispositivi sono hybrid joned, assicuratevi anche che le Password Policy del vostro dominio siano in linea con le impostazioni di Windows LAPS distribuite via Microsoft Intune. In caso di incompatibilità, Windows LAPS può fallire la generazione della password.

Windows_LAPS_16
Figura 16: Troubleshooting Windows LAPS – Part 6

Check Local admin password via Microsoft Intune

Adesso che abbiamo terminato le configurazioni e verificato che il dispositivo pilota ha recepito le policy, vediamo come recuperare la chiave LAPS direttamente dal portale Intune. Come prima cosa, nel Microsoft Intune admin center navighiamo in Devices > Windows

Windows_LAPS_17
Figura 17: Show recovery key Windows LAPS – Part 1

Proseguiamo selezionando il dispositivo per il quale vogliamo ottenere la password LAPS

Windows_LAPS_18
Figura 18: Show recovery key Windows LAPS – Part 2

Nella pagina di overview del dispositivo selezionato, proseguiamo facendo click nella sezione Local admin password

Windows_LAPS_19
Figura 19: Show recovery key Windows LAPS – Part 3

Nella sezione Local admin password troverete la possibilità di visualizzare la password dell’account gestito da Windows LAPS. Selezionate “Show local administrator password”: nel pannello che si apre sulla destra del portale vengono mostrati i dettagli principali, inclusi il nome dell’account gestito, la password LAPS (oscurata finché non viene rivelata), e le informazioni di rotazione (Last password rotation e Next password rotation).

Windows_LAPS_20
Figura 20: Show recovery key Windows LAPS – Part 4

Per visualizzare la password sarà sufficiente fare click sull’icona a forma di occhio. Per copiarla, potete utilizzare il pulsante Copy (button azzurro) presente nella stessa schermata

Windows_LAPS_21
Figura 21: Show recovery key Windows LAPS – Part 5

Conclusioni

Windows LAPS è il modo moderno e supportato da Microsoft per governare in modo sicuro l’account amministratore locale con password robuste, rotazione automatica e backup centralizzato. Dal punto di vista architetturale, la scelta più importante resta la directory di backup, perché per ciascun dispositivo potete scegliere Microsoft Entra ID oppure Windows Server Active Directory, ma non entrambe contemporaneamente, e la scelta deve essere coerente con lo stato di join del dispositivo.

Configurandolo tramite Microsoft Intune avete un modello operativo pulito: una policy dichiarativa, assegnazioni controllate e verifiche tramite report dedicati, utili anche per individuare rapidamente conflitti tra profili che impediscono l’applicazione di specifici setting. Questo è il punto che, nella pratica, fa la differenza tra una configurazione “fatta” e una configurazione realmente governata e manutenibile nel tempo. Se adottate il backup in Microsoft Entra ID, il vantaggio operativo è la possibilità di recuperare la password direttamente dal portale Intune e di tracciare l’operazione. La semplice visualizzazione della password genera un audit event, e lo stesso vale per gli eventi legati all’aggiornamento e al recupero delle credenziali a livello Entra. Questo vi consente di costruire un processo helpdesk controllato, con separazione dei ruoli (chi configura vs chi recupera/ruota) e tracciabilità end-to-end.

Infine, trattate Windows LAPS come parte del lifecycle management del dispositivo. In particolare, nello scenario con Entra, la credenziale è legata al device object; quindi, le procedure di offboarding e cleanup devono essere in linea con le esigenze di recupero password (soprattutto prima di cancellazioni definitive).

Potrebbe anche interessarti

microsoft_intune_suite

Microsoft Intune Suite: funzionalità, attivazione e licensing

Cloud-Native Identity con Azure Files

mbam_migrate_intune_bitlocker

BitLocker: come spostare l’encryption da MBAM a Intune

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *