Solution de mot de passe d'administrateur local Windows dans Microsoft Entra ID
Chaque appareil Windows est fourni avec un compte d’administrateur local intégré que vous devez sécuriser et protéger pour atténuer les attaques pass-the-hash (PtH) et latérales. De nombreux clients utilisent notre produit Solution de mot de passe d’administrateur local (LAPS) local et autonome pour la gestion des mots de passe des administrateurs locaux de leurs machines Windows jointes à un domaine. Avec la prise en charge de Microsoft Entra pour Windows LAPS, nous fournissons une expérience cohérente pour les appareils joints Microsoft Entra et Microsoft Entra hybrides joints.
La prise en charge de Microsoft Entra pour LAPS inclut les fonctionnalités suivantes :
- Activation de Windows LAPS avec Microsoft Entra ID : activez une stratégie à l'échelle du locataire et une stratégie côté client pour sauvegarder le mot de passe de l'administrateur local dans Microsoft Entra ID.
- Gestion des mots de passe de l’administrateur local : configurez des stratégies côté client pour définir le nom du compte, l’âge, la longueur, la complexité, la réinitialisation manuelle du mot de passe, etc.
- Récupération du mot de passe d’administrateur local : utilisez les expériences d’API/de portail pour la récupération de mot de passe de l’administrateur local.
- Énumération de tous les appareils Windows LAPS compatibles : utilisez les expériences d’API/de portail pour énumérer tous les appareils Windows dans Microsoft Entra ID activés avec Windows LAPS.
- Autorisation de récupération du mot de passe d’administrateur local : utilisez des stratégies de contrôle d’accès en fonction du rôle (RBAC) avec des rôles personnalisés et des unités administratives.
- Audit de la mise à jour et de la récupération des mots de passe de l’administrateur local : utilisez les expériences d’API/de portail des journaux d’audit pour surveiller les événements de mise à jour et de récupération de mot de passe.
- Stratégies d’accès conditionnel pour la récupération de mot de passe d’administrateur local : configurez des stratégies d’accès conditionnel sur les rôles d’annuaire disposant de l’autorisation de récupération de mot de passe.
Remarque
Windows LAPS avec Microsoft Entra ID n’est pas pris en charge pour les appareils Windows inscrits dans Microsoft Entra.
La solution de mot de passe administrateur local n’est pas prise en charge sur les plateformes autres que Windows.
Pour en savoir plus sur Windows LAPS, commencez par les articles suivants dans la documentation Windows :
- Qu’est-ce que Windows LAPS ? – Présentation de Windows LAPS et de l’ensemble de documentation Windows LAPS.
- CSP Windows LAPS : affichez les détails complets des options et des paramètres LAPS. La stratégie Intune pour LAPS utilise ces paramètres pour configurer le CSP LAPS sur les appareils.
- Prise en charge de Microsoft Intune pour Windows LAPS
- Architecture Windows LAPS
Spécifications
Régions Azure et distributions Windows prises en charge
Cette fonctionnalité est désormais disponible dans les clouds Azure suivants :
- Azure Global
- Azure Government
- Microsoft Azure géré par 21Vianet
Mises à jour de système d’exploitation
Cette fonctionnalité est désormais disponible sur les plateformes de système d’exploitation Windows suivantes avec la mise à jour spécifiée ou une version ultérieure installée :
- Windows 11 22H2 : mise à jour du 11 avril 2023
- Windows 11 21H2 : mise à jour du 11 avril 2023
- Windows 10 20H2, 21H2 et 22H2 : mise à jour du 11 avril 2023
- Windows Server 2022 : mise à jour du 11 avril 2023
- Windows Server 2019 : mise à jour du 11 avril 2023
Types de jointure
LAPS est pris en charge sur Microsoft Entra appareils joints ou Microsoft Entra hybrides joints uniquement. Les appareils inscrits à Microsoft Entra ne sont pas pris en charge.
Conditions de licence :
LAPS est disponible pour tous les clients disposant de licences Microsoft Entra ID Free ou supérieures. D’autres fonctionnalités connexes telles que les unités administratives, les rôles personnalisés, l’accès conditionnel et les Intune ont d’autres exigences de licence.
Rôles ou autorisations requis
Outre les rôles Microsoft Entra intégrés, comme Administrateur d’appareil cloud et Administrateur Intune à qui sont octroyés device.LocalCredentials.Read.All, vous pouvez utiliser des rôles personnalisés Microsoft Entra ou des unités administratives pour autoriser la récupération de mot de passe de l’administrateur local. Par exemple :
Les rôles personnalisés doivent se voir attribuer l’autorisation microsoft.directory/deviceLocalCredentials/password/read pour autoriser la récupération de mot de passe administrateur local. Vous pouvez créer un rôle personnalisé et accorder des autorisations à l'aide du centre d'administration Microsoft Entra, de l'API Microsoft Graph ou de PowerShell. Une fois que vous avez créé le rôle personnalisé, vous pouvez l'attribuer aux utilisateurs.
Vous pouvez également créer une unité administrative Microsoft Entra ID, ajouter des appareils et attribuer le rôle Administrateur d’appareils cloud étendu à l’unité administrative pour autoriser la récupération de mot de passe administrateur local.
Activation de Windows LAPS avec Microsoft Entra ID
Pour activer Windows LAPS avec Microsoft Entra ID, vous devez effectuer des actions dans Microsoft Entra ID et les appareils que vous souhaitez gérer. Nous recommandons aux organisations de gérer Windows LAPS à l’aide de Microsoft Intune. Si vos appareils sont reliés à Microsoft Entra mais n'utilisent pas ou ne prennent pas en charge Microsoft Intune, vous pouvez déployer Windows LAPS pour Microsoft Entra ID manuellement. Pour plus d’informations, consultez l’article Configurer les paramètres de stratégie Windows LAPS.
Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’appareil cloud.
Accédez àIdentité>Appareils>Vue d’ensemble>Paramètres de l’appareil
Sélectionnez Oui pour le paramètre Activer la Solution de mot de passe d'administrateur local (LAPS), puis sélectionnez Enregistrer. Vous pouvez également utiliser l'API Microsoft Graph Update deviceRegistrationPolicy pour effectuer cette tâche.
Configurez une stratégie côté client et définissez BackUpDirectory sur Microsoft Entra ID.
- Si vous utilisez Microsoft Intune pour gérer les stratégies côté client, consultez Gérer Windows LAPS à l’aide de Microsoft Intune
- Si vous utilisez des objets de stratégie de groupe pour gérer les stratégies côté client, consultez Stratégie de groupe Windows LAPS
Récupération du mot de passe de l’administrateur local et des métadonnées du mot de passe
Pour afficher le mot de passe de l’administrateur local d’un appareil Windows joint à Microsoft Entra ID, vous devez disposer de l’action microsoft.directory/deviceLocalCredentials/password/read.
Pour afficher les métadonnées du mot de passe de l’administrateur local d’un appareil Windows joint à Microsoft Entra ID, vous devez disposer de l’action microsoft.directory/deviceLocalCredentials/standard/read.
Les rôles intégrés suivants disposent par défaut de ces actions :
| Rôle intégré | microsoft.directory/deviceLocalCredentials/standard/read et microsoft.directory/deviceLocalCredentials/password/read | microsoft.directory/deviceLocalCredentials/standard/read |
|---|---|---|
| Administrateur d’appareil cloud | Oui | Oui |
| Administrateur du service Intune | Oui | Oui |
| Administrateur du support technique | Non | Oui |
| Administrateur de la sécurité | Non | Oui |
| Lecteur de sécurité | Non | Oui |
Les rôles non répertoriés ne bénéficient d’aucune action.
Vous pouvez également utiliser l’API Microsoft Graph Get deviceLocalCredentialInfo pour récupérer le mot de passe administratif local. Si vous utilisez l’API Microsoft Graph, le mot de passe retourné est en valeur codée en Base64 que vous devez décoder avant de l’utiliser.
Répertorier tous les appareils Windows LAPS activés
Pour répertorier tous les appareils compatibles Windows LAPS, vous pouvez accéder à Présentation des>appareils d'>identité>Récupération du mot de passe de l'administrateur local ou utiliser l'API Microsoft Graph.
Audit de la mise à jour et de la récupération des mots de passe de l’administrateur local
Pour afficher les événements d’audit, vous pouvez accéder à Identité>Appareils>Vue d’ensemble>Journaux d’audit, puis utiliser le filtre Activité et rechercher Mettre à jour le mot de passe de l’administrateur local de l’appareil ou Récupérer le mot de passe de l’administrateur local de l’appareil pour afficher les événements d’audit.
Stratégies d’accès conditionnel pour la récupération de mot de passe administrateur local
Les stratégies d’accès conditionnel peuvent être étendues aux rôles intégrés pour protéger l’accès afin de récupérer les mots de passe de l’Administrateur local. Vous trouverez un exemple de stratégie qui nécessite une authentification multifacteur dans l’article Stratégie d’accès conditionnel commun : exiger l’authentification multifacteur pour les administrateurs.
Notes
Les autres types de rôles ne sont pas pris en charge, y compris les rôles de portée d’unité administrative et les rôles personnalisés.
Forum aux questions
La prise en charge de Windows LAPS avec la configuration de gestion Microsoft Entra est-elle assurée à l’aide des objets de stratégie de groupe ?
Oui, pour les appareils à jonction hybride Microsoft Entra uniquement. Consultez Stratégie de groupe Windows LAPS.
La configuration de gestion de Windows LAPS avec Microsoft Entra est-elle prise en charge par MDM ?
Oui, pour Microsoft Entra joint/Microsoft Entra des appareils de jointure hybride (cogérées). Les clients peuvent utiliser Microsoft Intune ou tout autre logiciel de gestion des périphériques mobiles (GPM) tiers de leur choix.
Que se passe-t-il lorsqu’un appareil est supprimé dans Microsoft Entra ID ?
Lorsqu'un appareil est supprimé dans Microsoft Entra ID, les identifiants LAPS liées à cet appareil sont perdues, ainsi que le mot de passe stocké dans Microsoft Entra ID. Sauf si vous disposez d’un workflow personnalisé pour récupérer les mots de passe LAPS et les stocker en externe, il n’existe aucune méthode dans Microsoft Entra ID pour récupérer le mot de passe géré LAPS pour un appareil supprimé.
Quels rôles sont nécessaires pour récupérer les mots de passe LAPS ?
Les rôles Microsoft Entra intégrés suivants ont l’autorisation de récupérer les mots de passe LAPS : Administrateur d’appareils cloud et Administrateur Intune.
Quels rôles sont nécessaires pour lire les métadonnées LAPS ?
Les rôles intégrés suivants sont pris en charge pour afficher les métadonnées relatives aux LAPS, notamment le nom de l’appareil, la rotation du dernier mot de passe et la rotation du mot de passe suivant : Administrateur d’appareils cloud, Administrateur Intune, Administrateur du support technique, Lecteur de sécurité et Administrateur de la sécurité.
Les rôles personnalisés sont-ils pris en charge ?
Oui. Si vous disposez de Microsoft Entra ID P1 ou P2, vous pouvez créer un rôle personnalisé avec les autorisations RBAC suivantes :
- Pour lire les métadonnées LAPS : microsoft.directory/deviceLocalCredentials/standard/read
- Pour lire les mots de passe LAPS : microsoft.directory/deviceLocalCredentials/password/read
Que se passe-t-il lorsque le compte d’administrateur local spécifié par la stratégie est modifié ?
Étant donné que Windows LAPS ne peut gérer qu’un seul compte d’administrateur local sur un appareil à la fois, le compte d’origine n’est plus géré par la stratégie LAPS. Si la stratégie requiert que l'appareil sauvegarde ce compte, le nouveau compte est sauvegardé et les détails du compte précédent ne sont plus disponibles à partir du Centre d'administration Intune ou de l'annuaire spécifié pour stocker les informations du compte.