Qu’est-ce que Windows LAPS ?

La solution de mot de passe d’administrateur local Windows (Windows LAPS) est une fonctionnalité Windows qui gère et sauvegarde automatiquement le mot de passe d’un compte d’administrateur local sur vos appareils joints à Microsoft Entra ou joints Windows Server Active Directory. Vous pouvez également utiliser la solution LAPS Windows pour gérer et sauvegarder automatiquement le mot de passe de compte DSRM (Directory Services Restore Mode) sur vos contrôleurs de domaine Windows Server Active Directory. Un administrateur autorisé peut récupérer le mot de passe DSRM et l’utiliser.

Plateformes prises en charge par Windows LAPS et état de l’aperçu de Microsoft Entra LAPS

Windows LAPS est désormais disponible sur les plateformes de système d’exploitation suivantes avec la mise à jour spécifiée ou une version ultérieure installée :

Toutes les éditions prises en charge des plateformes ci-dessus ont été mises à jour avec Windows LAPS, notamment les éditions LTSC. L’introduction de la fonctionnalité Windows LAPS ne modifie en aucun cas les stratégies standard de cycle de vie des produits Microsoft.

Les scénarios Active Directory locaux Windows LAPS sont entièrement pris en charge à l’issue des mises à jour ci-dessus.

Windows LAPS et Microsoft Entra ID

La prise en charge de Windows LAPS avec Microsoft Entra ID et Microsoft Intune est désormais accessible en disponibilité générale à compter du 23 octobre 2023. Si vous souhaitez obtenir plus d’informations, consultez La solution de mot de passe d’administrateur local Windows avec Microsoft Entra ID est désormais en disponibilité générale !, ainsi que La solution de mot de passe d’administrateur local Windows dans Microsoft Entra ID.

Avantages de l’utilisation de LAPS Windows

Utilisez LAPS Windows pour faire pivoter et gérer régulièrement les mots de passe des comptes d’administrateurs locaux et bénéficier des avantages suivants :

  • Protection contre les attaques pass-the-hash et latérales
  • Sécurité améliorée pour les scénarios de support technique à distance
  • Possibilité de se connecter à des appareils inaccessibles et de les récupérer
  • Un modèle de sécurité affiné (listes de contrôle d’accès et chiffrement de mot de passe facultatif) pour sécuriser les mots de passe stockés dans Windows Server Active Directory
  • Prise en charge du modèle de contrôle d’accès en fonction du rôle Azure pour la sécurisation des mots de passe stockés dans Microsoft Entra ID

Vidéos d'information

Les vidéos suivantes offrent un moyen informatif d'en savoir plus sur la fonctionnalité Windows LAPS.

Présentation Windows Technical Takeoff (novembre 2022) :

Discussion Windows Tackling Tech (août 2023) :

Scénarios clés LAPS Windows

Vous pouvez utiliser LAPS Windows pour plusieurs scénarios principaux :

  • Sauvegarder les mots de passe de compte d’administrateur local sur Microsoft Entra ID (pour les appareils joints à Microsoft Entra)

  • Sauvegarder des mots de passe de compte administrateur local dans Windows Server Active Directory (pour les clients ou serveurs joints à Windows Server Active Directory)

  • Sauvegarder des mots de passe de compte DSRM dans Windows Server Active Directory (pour les contrôleurs de domaine Windows Server Active Directory)

  • Sauvegarder les mots de passe du compte administrateur local dans Windows Server Active Directory à l’aide de LAPS Microsoft hérité

Dans chaque scénario, vous pouvez appliquer des paramètres de stratégie différents.

Comprendre les restrictions liées à l’état de jointure des appareils

Si un appareil est joint à Microsoft Entra ID ou Windows Server Active Directory détermine comment vous pouvez utiliser LAPS Windows.

Les appareils joints uniquement à Microsoft Entra ID peuvent sauvegarder les mots de passe uniquement sur l’ID Microsoft Entra.

Les appareils qui sont uniquement joints à Windows Server Active Directory peuvent uniquement sauvegarder les mots de passe dans Windows Server Active Directory.

Les appareils qui ont une jointure hybride (joints à Microsoft Entra ID et à Windows Server Active Directory) peuvent sauvegarder leurs mots de passe dans Microsoft Entra ID ou Windows Server Active Directory. Vous ne pouvez pas sauvegarder les mots de passe dans Microsoft Entra ID et Windows Server Active Directory.

Windows LAPS ne prend pas en charge les clients joints au lieu de travail Microsoft Entra.

Définir la stratégie LAPS Windows

Pour configurer et gérer la stratégie de votre déploiement LAPS Windows, vous disposez de plusieurs options :

Gérer et analyser LAPS Windows

Vous disposez également de différentes options pour gérer et analyser LAPS Windows.

Les options pour Windows sont les suivantes :

  • Boîte de dialogue des propriétés Utilisateurs et ordinateurs Windows Server Active Directory
  • Un canal de journal des événements dédié
  • Un module Windows PowerShell spécifique à LAPS Windows

Des solutions de monitoring et de création de rapports basées sur Azure sont disponibles lorsque vous sauvegardez des mots de passe dans Microsoft Entra ID.

Dépréciation du produit Microsoft LAPS hérité

Important

NOTE : le produit Microsoft LAPS hérité est déconseillé depuis Windows 11 23 H2 et versions ultérieures. L’installation du package MSI Microsoft LAPS hérité est bloquée sur les versions plus récentes du système d’exploitation, et Microsoft ne prend plus en compte les modifications de code pour le produit Microsoft LAPS hérité.

Utilisez Windows LAPS, disponible sur Windows Server 2019 et versions ultérieures, et sur les clients Windows 10 et Windows 11 pris en charge, pour gérer les mots de passe de compte d’administrateur local.

Microsoft continuera à prendre en charge le produit Microsoft LAPS hérité sur les anciennes versions de Windows (antérieures à Windows 11 23 H2) sur lesquelles il était auparavant pris en charge. Cette prise en charge se terminera à la fin du support normale pour ces systèmes d’exploitation.

LAPS Windows contre LAPS Microsoft héritée

LAPS Windows hérite de nombreux concepts de conception de LAPS Microsoft héritée. Si vous connaissez Microsoft LAPS hérité, de nombreuses fonctionnalités Windows LAPS vous sont familières. La principale différence est que LAPS Windows est une implémentation entièrement distincte native de Windows. LAPS Windows ajoute également de nombreuses fonctionnalités qui ne sont pas disponibles dans LAPS Microsoft héritée. Vous pouvez utiliser LAPS Windows pour sauvegarder les mots de passe dans Azure Active Directory, chiffrer les mots de passe dans Windows Server Active Directory et stocker votre historique de mots de passe.

Important

LAPS Windows ne vous oblige pas à installer LAPS Microsoft héritée. Vous pouvez déployer et utiliser entièrement toutes les fonctionnalités LAPS Windows sans installer ni faire référence à LAPS Microsoft héritée. Toutefois, pour faciliter la migration d’un déploiement LAPS Microsoft héritée existant, LAPS Windows offre le mode d’émulation LAPS Microsoft héritée.

Important

Le produit Microsoft LAPS hérité est déconseillé sur les versions plus récentes du système d’exploitation Microsoft : voir Dépréciation du produit Microsoft LAPS hérité.

Déclaration de support

Microsoft a publié le produit Microsoft LAPS hérité au cours de l’année civile 2016 sur le Centre de téléchargement Microsoft. Windows LAPS fourni dans le cadre des mises à jour Windows publiées le 11 avril 2023 pour les plateformes répertoriées à la section Plateformes prises en charge par Windows LAPS et état de l’aperçu Microsoft Entra LAPS.

Microsoft et son organisation de support offrent un support assisté pour Microsoft LAPS et Windows LAPS, notamment concernant l’interopérabilité entre les deux produits.

Important

Le produit Microsoft LAPS hérité est déconseillé sur les versions plus récentes du système d’exploitation Microsoft : voir Dépréciation du produit Microsoft LAPS hérité.

Microsoft recommande vivement aux clients de commencer à planifier dès maintenant la migration de leurs systèmes compatibles Windows LAPS, de l’utilisation de Microsoft LAPS hérité vers la nouvelle fonctionnalité Windows LAPS. Windows LAPS offre de nombreuses fonctionnalités de sécurité inédites et une maintenance des produits améliorée.

Les questions concernant les limitations et/ou les problèmes d’interopérabilité entre les outils tiers de gestion des mots de passe de compte local et Windows LAPS doivent être transmises au développeur d’applications tiers et non à Microsoft.

Exigences en termes de licence

La fonctionnalité Windows LAPS elle-même est disponible gratuitement dans toutes les plateformes Windows prises en charge.

Vous pouvez sauvegarder des mots de passe dans votre annuaire Active Directory local sans aucune autre exigence de licence.

Vous pouvez sauvegarder des mots de passe dans Microsoft Entra ID avec une licence Microsoft Entra gratuite ou ultérieure.

D’autres fonctionnalités liées à Azure ou à Intune peuvent avoir d’autres exigences de licence.

Envoi de commentaires

Vous souhaitez nous envoyer des commentaires ? N’hésitez pas à soumettre vos questions concernant la documentation via les liens Commentaires situés au bas des pages de documentation.

Vous pouvez également envoyer des commentaires et d’autres demandes via la page Tech Community Commentaires Windows LAPS.

Si vos retours d’expérience sont spécifiques à la fonctionnalité LAPS liée à Microsoft Entra ID ou à Intune, vous pouvez les envoyer via le Forum de retour d’expérience Microsoft Entra.

Si vous ne savez pas où vos commentaires doivent aller, envoyez-les à l’aide de l’une des options ci-dessus.

Voir aussi

Étapes suivantes