Microsoft Intune prise en charge de Windows LAPS

Chaque machine Windows dispose d’un compte d’administrateur local intégré qui ne peut pas être supprimé et qui dispose d’autorisations complètes sur l’appareil. La sécurisation de ce compte est une étape importante dans la sécurisation de votre organization. Les appareils Windows incluent la solution de mot de passe de l’administrateur local Windows (LAPS), une solution intégrée permettant de gérer les comptes d’administrateur local.

Vous pouvez utiliser Microsoft Intune stratégies de sécurité de point de terminaison pour la protection des comptes afin de gérer la stratégie LAPS sur les appareils inscrits auprès d’Intune. Les stratégies Intune peuvent :

• Appliquer les exigences de mot de passe pour les comptes d’administrateur local
• Sauvegarder un compte d’administrateur local à partir d’appareils dans votre annuaire Active Directory (AD) ou Microsoft Entra
• Planifiez la rotation de ces mots de passe de compte pour assurer leur sécurité.

Vous pouvez également afficher des détails sur les comptes d’administrateur local gérés dans le centre de Administration Intune et faire pivoter manuellement leurs mots de passe de compte en dehors d’une rotation planifiée.

L’utilisation des stratégies LAPS Intune vous permet de protéger les appareils Windows contre les attaques visant à exploiter les comptes d’utilisateur locaux, comme les attaques pass-the-hash ou latérales. La gestion de LAPS avec Intune peut également aider à améliorer la sécurité des scénarios de support technique à distance et à récupérer des appareils qui sont autrement inaccessibles.

La stratégie LAPS Intune gère les paramètres disponibles à partir du fournisseur de services de configuration Windows LAPS. L’utilisation du fournisseur de solutions Cloud par Intune remplace l’utilisation de microsoft LAPS hérité ou d’autres solutions de gestion LAPS, avec la base csp prioritaire sur d’autres sources de gestion LAPS.

La prise en charge d’Intune pour Windows LAPS inclut les fonctionnalités suivantes :

• Définir les exigences de mot de passe : définissez les exigences de mot de passe, notamment la complexité et la longueur du compte d’administrateur local sur un appareil.
• Faire pivoter les mots de passe : avec la stratégie, vous pouvez faire pivoter automatiquement les mots de passe du compte administrateur local selon une planification. Vous pouvez également utiliser le Centre d’administration Intune pour faire pivoter manuellement le mot de passe d’un appareil en tant qu’action d’appareil.
• Comptes de sauvegarde et mots de passe : vous pouvez choisir de faire sauvegarder leur compte et mot de passe par les appareils dans Microsoft Entra ID dans le cloud ou dans votre Active Directory local. Les mots de passe sont stockés à l’aide d’un chiffrement fort.
• Configurer les actions de post-authentification : définissez les actions qu’un appareil effectue à l’expiration de son mot de passe de compte administrateur local. Les actions vont de la réinitialisation du compte managé pour utiliser un nouveau mot de passe sécurisé, la déconnexion du compte ou l’exécution des deux, puis la mise hors tension de l’appareil. Vous pouvez également gérer la durée d’attente de l’appareil après l’expiration du mot de passe avant d’effectuer ces actions.
• Afficher les détails du compte : les administrateurs Intune disposant d’autorisations suffisantes de contrôle d’administration en fonction du rôle (RBAC) peuvent afficher des informations sur un compte d’administrateur local d’appareils et son mot de passe actuel. Vous pouvez également voir quand ce mot de passe a été pivoté pour la dernière fois (réinitialisation) et quand il est planifié pour la prochaine rotation.
• Afficher les rapports : Intune fournit des rapports sur la rotation des mots de passe, notamment des détails sur la rotation de mot de passe manuelle et planifiée passée.

Pour en savoir plus sur Windows LAPS, commencez par les articles suivants dans la documentation Windows :

• Qu’est-ce que Windows LAPS ? – Présentation de Windows LAPS et de l’ensemble de documentation Windows LAPS.
• Fournisseur de services de configuration Windows LAPS : affichez les détails complets des options et des paramètres LAPS. La stratégie Intune pour LAPS utilise ces paramètres pour configurer le csp LAPS sur les appareils.

S’applique à :

• Windows 10
• Windows 11

Configuration requise

Voici les conditions requises pour qu’Intune prend en charge Windows LAPS dans votre locataire :

Conditions d'octroi de licence

• Abonnement - IntuneMicrosoft Intune Plan 1, qui est l’abonnement Intune de base. Vous pouvez également utiliser Windows LAPS avec un abonnement d’essai gratuit pour Intune.

• Microsoft Entra ID : Microsoft Entra ID Gratuit, qui est la version gratuite de Microsoft Entra ID incluse lorsque vous vous abonnez à Intune. Avec Microsoft Entra ID Gratuit, vous pouvez utiliser toutes les fonctionnalités de LAPS.

Prise en charge d’Active Directory

La stratégie Intune pour Windows LAPS peut configurer un appareil pour sauvegarder un compte d’administrateur local et un mot de passe dans l’un des types d’annuaires suivants :

Remarque

Les appareils joints à l’espace de travail (WPJ) ne sont pas pris en charge par Intune pour LAPS.

• Cloud : le cloud prend en charge la sauvegarde sur votre Microsoft Entra ID dans les scénarios suivants :

  • Jonction Microsoft Entra hybride

  • Jonction Microsoft Entra

    La prise en charge de la jonction Microsoft Entra nécessite que vous activiez LAPS dans votre Microsoft Entra ID. Les étapes suivantes peuvent vous aider à effectuer cette configuration. Pour un contexte plus large, consultez ces étapes dans la documentation Microsoft Entra à la page Activation de Windows LAPS avec Microsoft Entra ID. Microsoft Entra jointure hybride ne nécessite pas l’activation de LAPS dans Microsoft Entra.

    Activez LAPS dans Microsoft Entra :

    1. Connectez-vous au centre d'administration Microsoft Entra en tant qu’administrateur d’appareil cloud.
    2. Accédez àVue d’ensemble>des appareils>d’identité>Paramètres de l’appareil.
    3. Sélectionnez Oui pour le paramètre Activer la solution de mot de passe administrateur local (LAPS), puis sélectionnez Enregistrer. Vous pouvez également utiliser la microsoft API Graph Update deviceRegistrationPolicy.

    Pour plus d’informations, consultez Solution de mot de passe d’administrateur local Windows dans Microsoft Entra ID dans la documentation Microsoft Entra.

• Local : l’environnement local prend en charge la sauvegarde jusqu’à Windows Server Active Directory (Active Directory local).

  Importante

  LAPS sur les appareils Windows peut être configuré pour utiliser un type de répertoire ou l’autre, mais pas les deux. Considérez également que le répertoire de sauvegarde doit être pris en charge par le type de jointure d’appareils . Si vous définissez le répertoire sur une Active Directory local et que l’appareil n’est pas joint à un domaine, il accepte les paramètres de stratégie d’Intune, mais LAPS ne peut pas utiliser cette configuration.

Édition de l’appareil et plateforme

Les appareils peuvent avoir n’importe quelle édition de Windows prise en charge par Intune, mais doivent exécuter l’une des versions suivantes pour prendre en charge le fournisseur de services de configuration Windows LAPS :

• Windows 10, version 22H2 (19045.2846 ou ultérieure) avec KB5025221
• Windows 10, version 21H2 (19044.2846 ou ultérieure) avec KB5025221
• Windows 10, version 20H2 (19042.2846 ou ultérieure) avec KB5025221
• Windows 11, version 22H2 (22621.1555 ou ultérieure) avec KB5025239
• Windows 11, version 21H2 (22000.1817 ou ultérieure) avec KB5025224

Prise en charge élevée de GCC

La stratégie Intune pour Windows LAPS est prise en charge pour les environnements GCC High.

Contrôles d’accès en fonction du rôle pour LAPS

Pour gérer LAPS, un compte doit disposer d’autorisations de contrôle d’accès en fonction du rôle (RBAC) suffisantes pour effectuer la tâche souhaitée. Voici les tâches disponibles avec les autorisations requises :

• Créer et accéder à une stratégie LAPS : pour utiliser et afficher des stratégies LAPS, votre compte doit disposer d’autorisations suffisantes à partir de la catégorie RBAC Intune pour les bases de référence de sécurité. Par défaut, elles sont incluses dans le rôle intégré Endpoint Security Manager. Pour utiliser des rôles personnalisés, vérifiez que le rôle personnalisé inclut les droits de la catégorie Bases de référence de sécurité .

• Faire pivoter le mot de passe de l’administrateur local : pour utiliser le Centre d’administration Intune afin d’afficher ou de faire pivoter le mot de passe d’un compte administrateur local d’appareils, les autorisations Intune suivantes doivent être attribuées à votre compte :

  • Appareils gérés : lecture
  • Organisation : Lecture
  • Tâches à distance : Faire pivoter le mot de passe Administration local

• Récupérer le mot de passe de l’administrateur local : pour afficher les détails du mot de passe, votre compte doit disposer de l’une des autorisations Microsoft Entra suivantes :

  • microsoft.directory/deviceLocalCredentials/password/read pour lire les métadonnées et les mots de passe LAPS.
  • microsoft.directory/deviceLocalCredentials/standard/read pour lire les métadonnées LAPS à l’exclusion des mots de passe.

  Pour créer des rôles personnalisés qui peuvent accorder ces autorisations, consultez Créer et attribuer un rôle personnalisé dans Microsoft Entra ID dans la documentation Microsoft Entra.

• Afficher Microsoft Entra journaux d’audit et les événements : pour afficher des détails sur les stratégies LAPS et les actions d’appareil récentes, telles que les événements de rotation de mot de passe, votre compte doit disposer d’autorisations équivalentes au rôle Intune intégré Opérateur en lecture seule.

Pour plus d’informations, consultez Contrôle d’accès en fonction du rôle pour Microsoft Intune.

LAPS Architecture

Pour plus d’informations sur l’architecture Windows LAPS, consultez Architecture Windows LAPS dans la documentation Windows.

Forum Aux Questions

Puis-je utiliser la stratégie LAPS Intune pour gérer n’importe quel compte d’administrateur local sur un appareil ?

Oui. La stratégie LAPS Intune peut être utilisée pour gérer n’importe quel compte d’administrateur local sur un appareil. Toutefois, LAPS ne prend en charge qu’un seul compte par appareil :

• Lorsqu’une stratégie ne spécifie pas de nom de compte, Intune gère le compte d’administrateur intégré par défaut, quel que soit son nom actuel sur l’appareil.
• Vous pouvez modifier le compte qu’Intune gère pour un appareil en modifiant la stratégie attribuée à l’appareil ou en modifiant sa stratégie actuelle pour spécifier un autre compte.
• Si deux stratégies distinctes sont affectées à un appareil qui spécifient tous deux un compte différent, un conflit se produit et doit être résolu avant que le compte de l’appareil puisse être géré.

Que se passe-t-il si je déploie une stratégie LAPS avec Intune sur un appareil qui a déjà des configurations LAPS à partir d’une autre source ?

La stratégie csp d’Intune remplace toutes les autres sources de stratégie LAPS, par exemple à partir d’objets de stratégie de groupe ou d’une configuration de Microsoft LAPS hérité. Pour plus d’informations, consultez Racines de stratégie prises en charge dans la documentation Windows LAPS.

Windows LAPS peut-il créer des comptes d’administrateur local basés sur le nom du compte d’administrateur configuré à l’aide de la stratégie LAPS ?

Non. Windows LAPS peut uniquement gérer les comptes qui existent déjà sur l’appareil. Si une stratégie spécifie un compte par nom qui n’existe pas sur l’appareil, la stratégie s’applique et ne signale pas d’erreur. Toutefois, aucun compte n’est sauvegardé.

Windows LAPS fait-il pivoter et sauvegarde-t-il le mot de passe d’un appareil désactivé dans Microsoft Entra ?

Non. Windows LAPS nécessite que l’appareil soit dans un état activé avant que la rotation du mot de passe et les opérations de sauvegarde puissent s’appliquer.

Que se passe-t-il lorsqu’un appareil est supprimé dans Microsoft Entra ?

Lorsqu’un appareil est supprimé dans Microsoft Entra, les informations d’identification LAPS liées à cet appareil sont perdues et le mot de passe stocké dans Microsoft Entra ID est perdu. Sauf si vous disposez d’un flux de travail personnalisé pour récupérer les mots de passe LAPS et les stocker en externe, il n’existe aucune méthode dans Microsoft Entra ID pour récupérer le mot de passe géré LAPS pour un appareil supprimé.

Quels rôles sont nécessaires pour récupérer les mots de passe LAPS ?

Les rôles intégrés Microsoft Entra rôles suivants sont autorisés à récupérer les mots de passe LAPS : Administration globale, Administration d’appareil cloud et Administration de service Intune.

Quels rôles sont nécessaires pour lire les métadonnées LAPS ?

Les rôles intégrés suivants sont pris en charge pour afficher les métadonnées relatives à LAPS, notamment le nom de l’appareil, la rotation du dernier mot de passe et la rotation suivante du mot de passe : global Administration, cloud device Administration, Administration de service Intune, Administration de support technique, lecteur de sécurité, Administration de sécurité et Lecteur global.

Pourquoi le bouton Mot de passe de l’administrateur local est-il grisé et inaccessible ?

Actuellement, l’accès à cette zone nécessite l’autorisation Intune Faire pivoter le mot de passe de l’administrateur local. Consultez Contrôle d’accès en fonction du rôle pour Microsoft Intune.

Que se passe-t-il lorsque le compte spécifié par la stratégie est modifié ?

Étant donné que Windows LAPS ne peut gérer qu’un seul compte d’administrateur local sur un appareil à la fois, le compte d’origine n’est plus géré par la stratégie LAPS. Si la stratégie a l’appareil sauvegarder ce compte, le nouveau compte est sauvegardé et les détails sur le compte précédent ne sont plus disponibles dans le Centre d’administration Intune ou dans l’annuaire spécifié pour stocker les informations du compte.

Étapes suivantes

• Créer une stratégie pour LAPS
• Afficher les rapports pour LAPS
• Stratégie de protection de compte pour la sécurité des points de terminaison dans Intune