...

Voor een succesvolle implementatie van LAPS is grondige planning en voorbereiding vereist, evenals een goede kennis van Active Directory en Group Policy management. Het wordt sterk aanbevolen om de officiële documentatie van Microsoft en best practices te volgen bij het implementeren van LAPS. 

5. Implementatie van LAPS met Intune

Indien u gebruik maakt van Intune is het implementeren van LAPS niet moeilijk. Hier volgt een overzicht van het proces:

1. LAPS inschakelen in Microsoft Entra:

   1. Meld u aan bij het Microsoft Entra beheercentrum als Cloudapparaatbeheerder.

   2. Navigeer naar 'Identiteit > Apparaten > Overzicht > Apparaatinstellingen'.

   3. Selecteer 'Ja' voor de optie 'Local Administrator Password Solution (LAPS) inschakelen' en klik op 'Opslaan'.

2. Een LAPS-beleid maken in Intune:

   1. Log in op het Microsoft Intune-beheercentrum en ga naar 'Endpointbeveiliging > Accountbeveiliging', en kies vervolgens 'Beleid maken'.

   2. Stel het platform in op 'Windows 10 en hoger', stel het profiel in op 'Local Administrator Password Solution (Windows LAPS)' en selecteer 'Maken'.

   3. Op het tabblad 'Basis' voert u de volgende gegevens in:

      1. Naam: Geef een beschrijvende naam voor het profiel die gemakkelijk te identificeren is.

      2. Beschrijving: Voeg een korte beschrijving van het profiel toe.

3. LAPS-beleidsinstellingen configureren in Intune:

   1. Back-updirectory: Configureer naar welke directory het wachtwoord van de lokale beheerdersaccount wordt geback-upt.

   2. Wachtwoordleeftijd dagen: Stel de maximale leeftijd van het wachtwoord in. Standaard is dit 30 dagen, met een minimum van 1 dag en een maximum van 365 dagen.

   3. Naam beheerdersaccount: Stel de naam van de beheerde lokale beheerdersaccount in.

   4. Wachtwoordcomplexiteit: Configureer de complexiteit van het wachtwoord van de beheerde lokale beheerdersaccount.

4. Het Intune LAPS-beleid toewijzen aan Windows-apparaten
   Zodra je de LAPS-instellingen hebt geconfigureerd, is het tijd om het beleid toe te wijzen aan Windows apparaten. We raden aan om het beleid eerst toe te wijzen aan een paar testgroepen en het vervolgens uit te breiden naar meer groepen als het testen succesvol verloopt.

   1. Selecteer op de pagina 'Scope Tags' de gewenste scope tags.

   2. Op het tabblad 'Toewijzingen' selecteert u de groepen die dit beleid moeten ontvangen en klikt u op 'Volgende'.

   3. Controleer alle instellingen op de pagina 'Review + Create' en selecteer 'Create'.

5. De Intune-beleidssynchronisatie voor Windows-apparaten starten

   1. Wacht tot het LAPS-beleid is toegepast en de apparaten zich aanmelden bij de Microsoft Intune-service om de beleidsregels te ontvangen. Apparaten moeten online zijn om de beleidsregels te ontvangen. U kunt de synchronisatie van Intune-beleidsregels ook forceren met methoden zoals PowerShell.

6. Referenties

• Microsoft. "Local Administrator Password Solution (LAPS)." https://learn.microsoft.com/nl-be/windows-server/identity/laps/laps-overview

...

• Microsoft. “Microsoft Intune beheert op beveiligde wijze identiteiten, apps en apparaten.” https://learn.microsoft.com/nl-nl/mem/intune/fundamentals/what-is-intune

• Microsoft. “Manage Windows LAPS policy with Microsoft Intune“ https://learn.microsoft.com/en-us/mem/intune/protect/windows-laps-policy

7. Alternatieve oplossingen

Buiten de oplossing die Microsoft biedt, zijn er nog andere alternatieven voor Privileged Access Management (PAM) waarvan u gebruik kunt maken.

...