Prise en charge de Microsoft Intune pour Windows LAPS

Chaque machine Windows dispose d’un compte d’administrateur local intégré qui ne peut pas être supprimé et qui dispose d’autorisations complètes sur l’appareil. La sécurisation de ce compte est une étape importante de la sécurisation de votre organisation. Les appareils Windows incluent la solution de mot de passe de l’administrateur local Windows (LAPS), une solution intégrée permettant de gérer les comptes d’administrateur local.

Vous pouvez utiliser des stratégies de sécurité de point de terminaison Microsoft Intune pour la protection des comptes afin de gérer LAPS sur les appareils inscrits auprès d’Intune. Les stratégies Intune peuvent :

• Appliquer les exigences de mot de passe pour les comptes d’administrateur local
• Sauvegarder un compte d’administrateur local à partir d’appareils sur votre annuaire Active Directory (AD) ou Microsoft Entra
• Planifiez la rotation de ces mots de passe de compte pour assurer leur sécurité.

Vous pouvez également afficher des détails sur les comptes d’administrateur local gérés dans le Centre d’administration Intune et faire pivoter manuellement leurs mots de passe de compte en dehors d’une rotation planifiée.

L’utilisation des stratégies LAPS Intune vous permet de protéger les appareils Windows contre les attaques visant à exploiter les comptes d’utilisateur locaux, comme les attaques pass-the-hash ou latérales. La gestion de LAPS avec Intune peut également aider à améliorer la sécurité des scénarios de support technique à distance et à récupérer des appareils qui sont autrement inaccessibles.

La stratégie LAPS Intune gère les paramètres disponibles à partir du fournisseur de services de configuration Windows LAPS. L’utilisation du fournisseur de solutions Cloud par Intune remplace l’utilisation de microsoft LAPS hérité ou d’autres solutions de gestion LAPS, avec la base csp prioritaire sur d’autres sources de gestion LAPS.

La prise en charge d’Intune pour Windows LAPS inclut les fonctionnalités suivantes :

• Définir les exigences de mot de passe : définissez les exigences de mot de passe, notamment la complexité et la longueur du compte d’administrateur local sur un appareil.
• Faire pivoter les mots de passe : avec la stratégie, vous pouvez faire pivoter automatiquement les mots de passe du compte administrateur local selon une planification. Vous pouvez également utiliser le Centre d’administration Intune pour faire pivoter manuellement le mot de passe d’un appareil en tant qu’action d’appareil.
• Comptes de sauvegarde et mots de passe : vous pouvez choisir que les appareils sauvegardent leur compte et leur mot de passe dans l’ID Microsoft Entra dans le cloud ou dans votre annuaire Active Directory local. Les mots de passe sont stockés à l’aide d’un chiffrement fort.
• Configurer les actions de post-authentification : définissez les actions qu’un appareil effectue à l’expiration de son mot de passe de compte administrateur local. Les actions vont de la réinitialisation du compte managé pour utiliser un nouveau mot de passe sécurisé, la déconnexion du compte ou l’exécution des deux, puis la mise hors tension de l’appareil. Vous pouvez également gérer la durée d’attente de l’appareil après l’expiration du mot de passe avant d’effectuer ces actions.
• Afficher les détails du compte : les administrateurs Intune disposant d’autorisations suffisantes de contrôle d’administration en fonction du rôle (RBAC) peuvent afficher des informations sur un compte d’administrateur local d’appareils et son mot de passe actuel. Vous pouvez également voir quand ce mot de passe a été pivoté pour la dernière fois (réinitialisation) et quand il est planifié pour la prochaine rotation.
• Afficher les rapports : Intune fournit des rapports sur la rotation des mots de passe, notamment des détails sur la rotation de mot de passe manuelle et planifiée passée.

Pour en savoir plus sur Windows LAPS, commencez par les articles suivants dans la documentation Windows :

• Qu’est-ce que Windows LAPS ? – Présentation de Windows LAPS et de l’ensemble de documentation Windows LAPS.
• Fournisseur de services de configuration Windows LAPS : affichez les détails complets des options et des paramètres LAPS. La stratégie Intune pour LAPS utilise ces paramètres pour configurer le csp LAPS sur les appareils.

S’applique à :

• Windows 10
• Windows 11

Configuration requise

Voici les conditions requises pour qu’Intune prend en charge Windows LAPS dans votre locataire :

Conditions d'octroi de licence

• Abonnement - IntuneMicrosoft Intune Plan 1, qui est l’abonnement Intune de base. Vous pouvez également utiliser Windows LAPS avec un abonnement d’essai gratuit pour Intune.

• Microsoft Entra ID : ID Microsoft Entra Gratuit, qui est la version gratuite de l’ID Microsoft Entra incluse lorsque vous vous abonnez à Intune. Avec Microsoft Entra ID Free, vous pouvez utiliser toutes les fonctionnalités de LAPS.

Prise en charge d’Active Directory

La stratégie Intune pour Windows LAPS peut configurer un appareil pour sauvegarder un compte d’administrateur local et un mot de passe dans l’un des types d’annuaires suivants :

Remarque

Les appareils joints à l’espace de travail (WPJ) ne sont pas pris en charge par Intune pour LAPS.

• Cloud : le cloud prend en charge la sauvegarde sur votre ID Microsoft Entra dans les scénarios suivants :

  • Jonction Microsoft Entra hybride

  • Jonction Microsoft Entra

    La prise en charge de la jonction Microsoft Entra vous oblige à activer LAPS dans votre ID Microsoft Entra. Les étapes suivantes peuvent vous aider à effectuer cette configuration. Pour un contexte plus large, consultez ces étapes dans la documentation Microsoft Entra dans Activation de Windows LAPS avec l’ID Microsoft Entra. La jointure hybride Microsoft Entra ne nécessite pas l’activation de LAPS dans Microsoft Entra.

    Activez LAPS dans Microsoft Entra :

    1. Connectez-vous au Centre d’administration Microsoft Entra en tant qu’administrateur d’appareil cloud.
    2. Accédez àVue d’ensemble>des appareils>d’identité>Paramètres de l’appareil.
    3. Sélectionnez Oui pour le paramètre Activer la solution de mot de passe administrateur local (LAPS), puis sélectionnez Enregistrer. Vous pouvez également utiliser la mise à jour de l’API Microsoft Graph deviceRegistrationPolicy.

    Pour plus d’informations, consultez Solution de mot de passe d’administrateur local Windows dans l’ID Microsoft Entra dans la documentation Microsoft Entra.

• Local : en local prend en charge la sauvegarde dans Windows Server Active Directory (Active Directory local).

  Importante

  LAPS sur les appareils Windows peut être configuré pour utiliser un type de répertoire ou l’autre, mais pas les deux. Considérez également que le répertoire de sauvegarde doit être pris en charge par le type de jointure d’appareils . Si vous définissez l’annuaire sur un annuaire Active Directory local et que l’appareil n’est pas joint à un domaine, il accepte les paramètres de stratégie d’Intune, mais LAPS ne peut pas utiliser correctement cette configuration.

Édition de l’appareil et plateforme

Les appareils peuvent avoir n’importe quelle édition de Windows prise en charge par Intune, mais doivent exécuter l’une des versions suivantes pour prendre en charge le fournisseur de services de configuration Windows LAPS :

• Windows 10, version 22H2 (19045.2846 ou ultérieure) avec KB5025221
• Windows 10, version 21H2 (19044.2846 ou ultérieure) avec KB5025221
• Windows 10, version 20H2 (19042.2846 ou ultérieure) avec KB5025221
• Windows 11, version 22H2 (22621.1555 ou ultérieure) avec KB5025239
• Windows 11, version 21H2 (22000.1817 ou ultérieure) avec KB5025224

Prise en charge élevée de GCC

La stratégie Intune pour Windows LAPS est prise en charge pour les environnements GCC High.

Contrôles d’accès en fonction du rôle pour LAPS

Pour gérer LAPS, un compte doit disposer d’autorisations de contrôle d’accès en fonction du rôle (RBAC) suffisantes pour effectuer la tâche souhaitée. Voici les tâches disponibles avec les autorisations requises :

• Créer et accéder à une stratégie LAPS : pour utiliser et afficher des stratégies LAPS, votre compte doit disposer d’autorisations suffisantes à partir de la catégorie RBAC Intune pour les bases de référence de sécurité. Par défaut, elles sont incluses dans le rôle intégré Endpoint Security Manager. Pour utiliser des rôles personnalisés, vérifiez que le rôle personnalisé inclut les droits de la catégorie Bases de référence de sécurité .

• Faire pivoter le mot de passe de l’administrateur local : pour utiliser le Centre d’administration Intune afin d’afficher ou de faire pivoter le mot de passe d’un compte administrateur local d’appareils, les autorisations Intune suivantes doivent être attribuées à votre compte :

  • Appareils gérés : lecture
  • Organisation : Lecture
  • Tâches distantes : Faire pivoter le mot de passe de l’administrateur local

• Récupérer le mot de passe de l’administrateur local : pour afficher les détails du mot de passe, votre compte doit disposer de l’une des autorisations Microsoft Entra suivantes :

  • microsoft.directory/deviceLocalCredentials/password/read pour lire les métadonnées et les mots de passe LAPS.
  • microsoft.directory/deviceLocalCredentials/standard/read pour lire les métadonnées LAPS à l’exclusion des mots de passe.

  Pour créer des rôles personnalisés qui peuvent accorder ces autorisations, consultez Créer et attribuer un rôle personnalisé dans l’ID Microsoft Entra dans la documentation Microsoft Entra.

• Afficher les journaux d’audit et les événements Microsoft Entra : pour afficher des détails sur les stratégies LAPS et les actions d’appareil récentes, telles que les événements de rotation de mot de passe, votre compte doit disposer d’autorisations équivalentes au rôle Intune intégré Opérateur en lecture seule.

Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle pour Microsoft Intune.

LAPS Architecture

Pour plus d’informations sur l’architecture Windows LAPS, consultez Architecture Windows LAPS dans la documentation Windows.

Forum Aux Questions

Puis-je utiliser la stratégie LAPS Intune pour gérer n’importe quel compte d’administrateur local sur un appareil ?

Oui. La stratégie LAPS Intune peut être utilisée pour gérer n’importe quel compte d’administrateur local sur un appareil. Toutefois, LAPS ne prend en charge qu’un seul compte par appareil :

• Lorsqu’une stratégie ne spécifie pas de nom de compte, Intune gère le compte d’administrateur intégré par défaut, quel que soit son nom actuel sur l’appareil.
• Vous pouvez modifier le compte qu’Intune gère pour un appareil en modifiant la stratégie attribuée à l’appareil ou en modifiant sa stratégie actuelle pour spécifier un autre compte.
• Si deux stratégies distinctes sont affectées à un appareil qui spécifient tous deux un compte différent, un conflit se produit et doit être résolu avant que le compte de l’appareil puisse être géré.

Que se passe-t-il si je déploie une stratégie LAPS avec Intune sur un appareil qui a déjà des configurations LAPS à partir d’une autre source ?

La stratégie csp d’Intune remplace toutes les autres sources de stratégie LAPS, par exemple à partir d’objets de stratégie de groupe ou d’une configuration de Microsoft LAPS hérité. Pour plus d’informations, consultez Racines de stratégie prises en charge dans la documentation Windows LAPS.

Windows LAPS peut-il créer des comptes d’administrateur local basés sur le nom du compte d’administrateur configuré à l’aide de la stratégie LAPS ?

Non. Windows LAPS peut uniquement gérer les comptes qui existent déjà sur l’appareil. Si une stratégie spécifie un compte par nom qui n’existe pas sur l’appareil, la stratégie s’applique et ne signale pas d’erreur. Toutefois, aucun compte n’est sauvegardé.

Windows LAPS fait-il pivoter et sauvegarde-t-il le mot de passe d’un appareil désactivé dans Microsoft Entra ?

Non. Windows LAPS nécessite que l’appareil soit dans un état activé avant que la rotation du mot de passe et les opérations de sauvegarde puissent s’appliquer.

Que se passe-t-il lorsqu’un appareil est supprimé dans Microsoft Entra ?

Lorsqu’un appareil est supprimé dans Microsoft Entra, les informations d’identification LAPS liées à cet appareil sont perdues et le mot de passe stocké dans l’ID Microsoft Entra est perdu. Sauf si vous disposez d’un workflow personnalisé pour récupérer les mots de passe LAPS et les stocker en externe, il n’existe aucune méthode dans l’ID Microsoft Entra pour récupérer le mot de passe managé LAPS pour un appareil supprimé.

Quels rôles sont nécessaires pour récupérer les mots de passe LAPS ?

Les rôles Microsoft Entra intégrés suivants sont autorisés à récupérer les mots de passe LAPS : Administrateur d’appareil cloud et Administrateur Intune.

Quels rôles sont nécessaires pour lire les métadonnées LAPS ?

Les rôles microsoft Entra intégrés suivants sont pris en charge pour afficher les métadonnées sur LAPS, notamment le nom de l’appareil, la rotation du dernier mot de passe et la rotation suivante du mot de passe :

• Lecteur de sécurité

Vous pouvez également utiliser les rôles suivants :

• Administrateur d’appareil cloud
• Administrateur Intune
• Administrateur du support technique
• Administrateur de sécurité

Pourquoi le bouton Mot de passe de l’administrateur local est-il grisé et inaccessible ?

Actuellement, l’accès à cette zone nécessite l’autorisation Intune Faire pivoter le mot de passe de l’administrateur local. Consultez Contrôle d’accès en fonction du rôle pour Microsoft Intune.

Que se passe-t-il lorsque le compte spécifié par la stratégie est modifié ?

Étant donné que Windows LAPS ne peut gérer qu’un seul compte d’administrateur local sur un appareil à la fois, le compte d’origine n’est plus géré par la stratégie LAPS. Si la stratégie a l’appareil sauvegarder ce compte, le nouveau compte est sauvegardé et les détails sur le compte précédent ne sont plus disponibles dans le Centre d’administration Intune ou dans l’annuaire spécifié pour stocker les informations du compte.

Étapes suivantes

• Créer une stratégie pour LAPS
• Afficher les rapports pour LAPS
• Stratégie de protection de compte pour la sécurité des points de terminaison dans Intune