Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Sie können ein macOS-Profil für die automatische Geräteregistrierung (ADE) verwenden, um ein neu registriertes macOS-Gerät sowohl für die Administrator- als auch für die Benutzerkontokonfiguration zusammen mit der Lokalen Administratorkennwortlösung (Microsoft Local Admin Password Solution, LAPS) zu konfigurieren. Die macOS-Kontokonfiguration mit LAPS ist ein optionaler Satz von Konfigurationen, die Sie in neuen und vorhandenen macOS-ADE-Profilen mit und ohne Affinität zwischen Benutzer und Gerät verwenden können. Diese Konfigurationen für die Kontoverwaltung gelten nur für neue Registrierungen.
Bei der Konfiguration des lokalen macOS-Kontos mit LAPS werden Geräte mit einem lokalen Administratorkonto bereitgestellt, das über ein sicheres, verschlüsseltes und zufälliges Administratorkennwort verfügt, das von Intune gespeichert und verschlüsselt wird. Auf ähnliche Weise kann auch ein lokales Standardbenutzerkonto innerhalb des Registrierungsprofils bereitgestellt werden. Nach der Registrierung rotiert Intune automatisch alle sechs Monate das von LAPS verwaltete Administratorkennwort. Um die automatische Rotation zu ergänzen, können Intune Administratoren mit ausreichenden Berechtigungen das Intune Admin Center verwenden, um das Lokale Administratorkontokennwort eines Geräts anzuzeigen und dieses Kennwort bei Bedarf manuell mit Remotegeräteaktionen zu rotieren.
Das Intune generierte Kennwort für das Administratorkonto besteht aus 15 Zeichen mit einer Mischung aus Klein- und Großbuchstaben, Zahlen und Sondersymbolen.
Da die konfiguration des lokalen macOS-Kontos mit LAPS nur während der automatisierten Geräteregistrierung (ADE) aktiviert ist, muss sich ein zuvor registriertes Gerät mit Intune erneut registrieren, indem ein LAPS-fähiges ADE-Profil verwendet wird, um für LAPS für das Administratorkonto unterstützt zu werden.
Wichtig
Wenn ein macOS-Gerät über ADE mit einem konfigurierten lokalen Administratorkonto und einem gezielten Kennungsprofil registriert wird, wird zur Zurücksetzung des Administratorkennworts aufgefordert– auch wenn Bei nächster Authentifizierung ändern nicht aktiviert ist oder wenn ein Wert für Max. Alter (Tage) festgelegt ist. Dies wirkt sich nicht auf das Standardkonto aus. Das Problem ist uns bekannt. Als Problemumgehung können Sie das Administratorkennwort nach dem Zurücksetzen auf dem Gerät manuell rotieren, um den Intune und den Status des Gerätekennworts synchron zu halten.
Wichtig
Das lokale Administratorkonto erhält aufgrund von Plattformeinschränkungen kein sicheres Token. Das erste Konto, das sich nach der Registrierung anmeldet, erhält das sichere Token, das zu diesem Zeitpunkt immer das lokale Benutzerkonto ist.
Tipp
Die Intune Implementierung von macOS LAPS ist ähnlich, unterscheidet sich aber von Intune Unterstützung für Windows LAPS. Informationen zu Windows LAPS in Intune finden Sie unter Lokales Administratorkonto.
Voraussetzungen
Im Folgenden sind die Geräteanforderungen für die konfiguration des lokalen macOS-Kontos mit der LAPS-Lösung aufgeführt:
- macOS 12 und höher
- Geräte müssen mit Intune von Apple Business/School Manager synchronisiert werden
- Geräte müssen sich mit Intune über ein macOS ADE-Registrierungsprofil registrieren.
Rollenbasierte Zugriffssteuerungen für macOS LAPS
Das Konto eines Administrators, das vertrauenswürdig ist, um das Kennwort des lokalen Administratorkontos für ein Gerät anzuzeigen oder zu rotieren, das in macOS LAPS integriert wurde, muss über die folgenden Intune Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) verfügen:
Kategorie: Registrierungsprogramme:
- Legen Sie Rotieren des macOS-Administratorkennworts auf Ja fest.
- Legen Sie macOS-Administratorkennwort anzeigen auf Ja fest.
Wichtig
Die beiden Berechtigungen für Registrierungsprogramme sind in keiner Intune integrierten Rolle oder in der Microsoft Entra integrierten Rolle von Intune Administrator enthalten. Verwenden Sie stattdessen eine benutzerdefinierte Intune Rolle, um Benutzern, die über diese Funktionen verfügen sollen, diese Berechtigung zuzuweisen.
Berechtigungen und Details, die zum Verwalten von macOS-Richtlinien für die automatisierte Geräteregistrierung erforderlich sind, finden Sie unter Einrichten der automatisierten Geräteregistrierung (ADE) für macOS.
Konfigurationskonto- und Kennwortoptionen
Dieser Abschnitt enthält Details zum Konfigurieren der lokalen macOS-Kontokonfiguration mit LAPS, die in Schritt 12 des Verfahrens Erstellen eines Apple-Registrierungsprofils für macOS-ADE-Profile (Automatische Geräteregistrierung) durchgeführt wird.
Wenn Sie ein automatisches macOS-Geräteregistrierungsprofil konfigurieren, werden auf der Registerkarte Kontoeinstellungen Optionen zum Konfigurieren des lokalen Administratorkontos und des lokalen Benutzerkontos angezeigt. Standardmäßig sind diese Optionen auf Nein festgelegt.
Wenn Sie ja für die Optionen "Lokal" oder "Administrator" oder "Benutzerkonto" auswählen, konfigurieren Sie sowohl das lokale macOS-Administratorkonto mit LAPS-Konfiguration als auch ein Standardbenutzerkonto für Geräte, die sich mit diesem Registrierungsprofil registrieren.
Eindeutige Kontokennwörter werden aus 15 Zeichen mit einer Mischung aus Klein- und Großbuchstaben, Zahlen und Sondersymbolen erstellt.
Bei jedem Teil der konfiguration des lokalen Kontos wird die Einstellung Letzte Konfiguration warten im Back-End standardmäßig immer auf Ja festgelegt. Diese Einstellung wird festgelegt, weil die Kontokonfiguration während des Setup-Assistenten erfolgt.
Lokales Administratorkonto
Im Folgenden finden Sie Beispiele für die verfügbaren Konfigurationsoptionen. Auf weitere Details kann über die Informationssymbole zugegriffen werden, die dem Namen einiger Einstellungen folgen.
Admin Kontobenutzername: Geben Sie den Kontonamen an, oder verwenden Sie eine der folgenden unterstützten Variablen, um den Namen dynamisch zu erstellen. Standardmäßig verwendet dieses Feld Admin.
- {{serialNumber}} – z. B. F4KN99ZUG5V2
- {{partialupn}} – z. B. John.Dupont
- {{managedDeviceName}} – beispiel: F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{onPremisesSamAccountName}} – z. B. JDoe
Admin konto vollständigen Namen: Geben Sie den Kontonamen an, oder verwenden Sie eine der folgenden unterstützten Variablen, um den Namen dynamisch zu erstellen. Standardmäßig verwendet dieses Feld Admin.
- {{username}} – z. B. John@contoso.com
- {{serialNumber}} – z. B. F4KN99ZUG5V2
- {{onPremisesSamAccountName}} – z. B. JDoe
In Benutzer & Gruppen ausblenden : Machen Sie das Administratorkonto im Anmeldefenster und in Benutzer & Gruppen ausgeblendet. Standardmäßig ist dies auf Nicht konfiguriert festgelegt.
Admin Zeitraum für die Kennwortrotation des Kontos (Tage): Wenn diese Einstellung konfiguriert ist, wird der Zeitraum (1 bis 180 Tage) festgelegt, nach dem das Kennwort des Administratorkontos automatisch rotiert wird. Diese Rotation erfolgt zusätzlich zu der automatischen Rotation, die alle 180 Tage erfolgt.
Lokales Benutzerkonto
Im Folgenden finden Sie einige Anleitungen zu den verfügbaren Optionen. Auf weitere Details kann über die Informationssymbole zugegriffen werden, die dem Namen einiger Einstellungen folgen.
Kontotyp: Standardmäßig ist dies auf Standard festgelegt, um ein Standardbenutzerkonto zu erstellen. Der lokale Benutzerkontotyp wird auf Administrator festgelegt, wenn kein lokales Administratorkonto konfiguriert ist. Dies ist eine Plattformeinschränkung, da zum Einrichten eines macOS-Geräts immer ein Administratorkonto erforderlich ist.
Kontoinformationen vorab ausfüllen : Legen Sie diese Option auf Ja fest, wenn Sie den Kontonamen verwalten oder die Bearbeitung einschränken möchten.
Name des primären Kontos : Geben Sie den Kontonamen an, oder verwenden Sie eine der folgenden unterstützten Variablen, um den Namen dynamisch zu erstellen. Setup-Assistent verwendet diesen Wert, um das Feld Kontoname vorab aufzufüllen, wenn Kontoinformationen vorab ausfüllen auf Nicht konfiguriert festgelegt ist. In diesem Feld wird standardmäßig die Variable {{partialupn}} verwendet.
- {{serialNumber}} – z. B. F4KN99ZUG5V2
- {{partialupn}} – z. B. John.Dupont
- {{managedDeviceName}} – beispiel: F2AL10ZUG4W2_14_4/15/2025_12:45PM
- {{onPremisesSamAccountName}} – z. B. JDoe
Vollständiger Name des primären Kontos : Geben Sie den vollständigen Namen für das Konto an, oder verwenden Sie eine der folgenden Variablen, um den Namen dynamisch zu erstellen. Der Setup-Assistent verwendet diesen Wert, um das Feld "Vollständiger Name" vorab aufzufüllen, wenn Kontoinformationen vorab ausfüllen auf Nicht konfiguriert festgelegt ist. In diesem Feld wird standardmäßig die Variable {{username}} verwendet:
- {{username}} – z. B. John@contoso.com
- {{serialNumber}} – z. B. F4KN99ZUG5V2
- {{onPremisesSamAccountName}} – z. B. JDoe
Bearbeitung einschränken : Verhindert, dass der Endbenutzer den vollständigen Namen und Kontonamen bearbeitet. Standardmäßig ist dies auf Nicht konfiguriert festgelegt.
Anzeigen von Konto- und Kennwortdetails
Um das lokale Administratorkennwort eines Geräts anzuzeigen, muss Ihrem eigenen Konto die folgende Intune RBAC-Berechtigung zugewiesen werden:
- Kategorie: Registrierungsprogramme mit macOS-Administratorkennwort anzeigen auf Ja festgelegt
So zeigen Sie das Kennwort für das Administratorkonto an
- Wechseln Sie im Microsoft Intune Admin Center zu Geräte>macOS-Geräte> wählen Sie ein macOS-Gerät aus, um den Bereich> Übersicht Kennwörter und Schlüssel zu öffnen.
Im Bereich Kennwörter und Schlüssel können Sie das Administratorkennwort für das macOS-Gerät im Abschnitt Kennwort des lokalen Administratorkontos abrufen. Hier können Sie auch sehen, zu dem das Kennwort zuletzt manuell oder automatisch rotiert wurde.
Um festzustellen, ob ein registriertes macOS-Gerät über ein Intune verwaltetes Administratorkennwort verfügt, bedeutet dies, dass das Kennwort für das lokale Administratorkonto von Intune verwaltet wird, wenn das Kennwort erfolgreich in der Konsole abgerufen werden kann.
Manuelles Rotieren des Administratorkontokennworts
Die LAPS-Richtlinie enthält einen Zeitplan für die automatische Rotation von Kontokennwörtern (einmal alle sechs Monate). Zusätzlich zu einer geplanten Rotation können Sie die Intune-Geräteaktion von Rotieren des lokalen Administratorkennworts verwenden, um ein Gerätekennwort jederzeit manuell zu rotieren.
Um diese Geräteaktion verwenden zu können, muss Ihrem Konto die [Intune RBAC-Berechtigung](#role-based-access- controls-for-macos-laps) zugewiesen werden:
- Kategorie: Registrierungsprogramme, bei denen das macOS-Administratorkennwort rotieren auf Ja festgelegt ist
So rotieren Sie das Administratorkennwort
Wechseln Sie im Microsoft Intune Admin Center zu Geräte>macOS-Geräte> wählen Sie ein macOS-Gerät mit dem Konto aus, das Sie rotieren möchten.
Wählen Sie im Bereich Übersicht der Geräte in der Liste der Optionen oben im Bereich die Option Lokales Administratorkennwort rotieren aus.
So bestätigen Sie, wann das Kennwort zuletzt für das Gerät rotiert wurde, im Bereich Übersicht des Geräts:
- Erweitern Sie Überwachen , und wählen Sie dann Kennwörter und Schlüssel aus.
- Im Bereich Kennwörter und Schlüssel finden Sie das Datum und die Uhrzeit der letzten Kennwortrotation.
Überwachen der Kennwortrotation
Bei der Kennwortanzeige und -rotation werden Intune Überwachungsereignisse erstellt, die Sie im Intune Admin Center anzeigen können.
Wechseln Sie im Microsoft Intune Admin Center zu Mandantenverwaltung>Überwachungsprotokolle.
Suchen Sie nach den folgenden Einträgen:
- Get AdminAccountDto : Gibt an, wann jemand das Administratorkennwort angezeigt hat.
- rotateLocalAdminPassword ManagedDevice : Gibt an, wann das Administratorkennwort rotiert wurde.
Verwandte Inhalte
- Erste Schritte mit dem macOS-Registrierungshandbuch.
- Nachdem macOS-Geräte registriert wurden, können Sie benutzerdefinierte Einstellungen für macOS-Geräte erstellen.