Se lavori con Microsoft Intune e i dispositivi Apple, questa è una notizia che aspettavi da tempo: LAPS per macOS è finalmente disponibile! Era una funzionalità richiesta a gran voce da tantissimi IT Specialist, e oggi ti racconto come funziona e cosa cambia rispetto alla versione per Windows.
📰 Cosa preferisci? Video o articolo?
Alcune note per sfruttare al meglio questo contenuto.
Se preferisci vedere il video per intero, facile: lo trovi qui sopra nell’intestazione.
Se preferisci leggere, facile anche in questo caso: continua pure la lettura qui. Per ogni passaggio ho inserito lo spezzone specifico di video, così vedrai solo le schermate che ti interessano, senza il mio faccione che parla.
In ogni caso, iscriviti alla newsletter per essere sicuro di non perderti nemmeno una nuova uscita dei miei tutorial.
Perfetto, iniziamo!
Cos’è LAPS
LAPS, acronimo di Local Administrator Password Solution, è una tecnologia che permette di gestire in modo sicuro e automatizzato la password dell’account amministratore locale su un dispositivo.
A cosa serve? Serve a evitare che la stessa password venga riutilizzata su più dispositivi, riducendo il rischio di movimenti laterali e migliorando la sicurezza complessiva della tua infrastruttura.
Cose da tenere in considerazione prima di implementare LAPS per macOS
Prima di iniziare a configurare LAPS per macOS, ecco tre informazioni salienti da tenere in considerazione:
Non puoi scegliere la lunghezza o la complessità della password: è decisa da Microsoft e sarà di 15 caratteri, con lettere maiuscole, minuscole, numeri e caratteri speciali.
La rotazione della password è fissa: avviene ogni 6 mesi, senza possibilità di personalizzazione.
La configurazione avviene nel profilo di enrollment associato all’Enrollment Token Program: quindi il Mac deve essere supervised, enrollato tramite ADE e registrato in Apple Business Manager.
Nota: i punti 1 e 2 rappresentano una grande differenza rispetto alle possibilità di configurazione che si hanno con LAPS per Windows ma, al momento in cui scrivo questo articolo (settembre 2025), questo è lo stato dell’arte. È possibile che questo in futuro cambi ma, per ora, è così.
Configurazione del LAPS nel profilo di enrollment
Ora andiamo in Intune per vedere come si configura LAPS per macOS. Nell’esempio che segue, ho utilizzato un misto di testo statico e variabili come nome utente per l’amministratore locale, scegliendo il formato admin-<numero seriale>. Inoltre, ho scelto di nascondere l’utenza amministrativa nel pannello Users & Groups, come ulteriore misura di mimetizzazione dell’utenza amministrativa.
Queste configurazioni sono solo un esempio che mi serve per raccontare quali siano le possibilità di personalizzazione: è importante scegliere i settaggi più opportuni per la propria infrastruttura.
Ricorda che questa impostazione è disponibile solo se il Mac è stato enrollato correttamente tramite ADE e supervised.
Risultato finale
Una volta configurato tutto, ecco cosa succede sul Mac al momento dell’enrollment: la password dell’account amministratore locale viene generata automaticamente, è unica per ogni dispositivo, e puoi visualizzarla direttamente da Intune quando ti serve per interventi tecnici.
Configurare LAPS modificando un profilo di enrollment esistente non ha alcun effetto sui Mac attualmente associati al profilo e già enrollati. La configurazione avrà effetto solo nel momento in cui il Mac verrà resettato e ri-enrollato.
Role Based Access Control per il nuovo macOS LAPS
Con il rilascio della nuova funzionalità, sono stati introdotti anche i relativi controlli RBAC, in modo da poter dare i permessi per ruotare la password di admin locale del Mac, senza dover per forza essere Intune Administrator.
I settaggi si trovano nella categoria Enrollment programs:
Rotate macOS admin password
View macOS admin password
Documentazione allegata
Per approfondire ulteriormente, ecco alcuni link alla documentazione ufficiale di Microsoft:
Conclusioni
Grazie per aver letto questo articolo! Spero che ti sia stato utile per capire come funziona LAPS per macOS e come puoi iniziare a usarlo subito nella tua infrastruttura.
Se vuoi supportarmi e rimanere aggiornato su tutte le novità del mondo IT, iscriviti a ITSpecialist.News: il tuo supporto è fondamentale per continuare a creare contenuti come questo.
A presto… MITICOOOO!
Riccardo
