Partager via

Qu’est-ce que Windows LAPS ?

Windows Local Administrator Password Solution (Windows LAPS) est une fonctionnalité Windows qui gère et sauvegarde automatiquement le mot de passe d’un compte d’administrateur local sur vos appareils joints à Microsoft Entra ou Windows Server Active Directory. Vous pouvez également utiliser la solution LAPS Windows pour gérer et sauvegarder automatiquement le mot de passe de compte DSRM (Directory Services Restore Mode) sur vos contrôleurs de domaine Windows Server Active Directory. Un administrateur autorisé peut récupérer le mot de passe DSRM et l’utiliser.

Plateformes prises en charge par Windows LAPS

Windows LAPS est disponible sur les plateformes de système d’exploitation suivantes :

Toutes les éditions prises en charge de ces plateformes ont été mises à jour avec Windows LAPS, y compris les éditions de canal de service à long terme (LTSC). L’introduction de la fonctionnalité WINDOWS LAPS ne modifie pas les stratégies de cycle de vie des produits Microsoft standard.

Windows LAPS et Microsoft Entra ID

Windows LAPS avec l’ID Microsoft Entra et le support Microsoft Intune sont généralement disponibles à compter du 23 octobre 2023. Pour plus d’informations, consultez la solution de mot de passe d’administrateur local Windows avec Microsoft Entra ID désormais en disponibilité générale ! et la solution de mot de passe d’administrateur local Windows dans Microsoft Entra ID.

Avantages de l’utilisation de LAPS Windows

Utilisez LAPS Windows pour faire pivoter et gérer régulièrement les mots de passe des comptes d’administrateurs locaux et bénéficier des avantages suivants :

  • Protection contre les attaques pass-the-hash et latérales
  • Sécurité améliorée pour les scénarios de support technique à distance
  • Possibilité de se connecter à des appareils inaccessibles et de les récupérer
  • Un modèle de sécurité affiné (listes de contrôle d’accès et chiffrement de mot de passe facultatif) pour sécuriser les mots de passe stockés dans Windows Server Active Directory
  • Prise en charge du modèle de contrôle d’accès en fonction du rôle Microsoft Entra pour la sécurisation des mots de passe stockés dans l’ID Microsoft Entra

Vidéos d'information

Les vidéos suivantes offrent un moyen informatif de voir plus d’informations sur la fonctionnalité Windows LAPS.

Présentation Windows Technical Takeoff (novembre 2022) :

Discussion Windows Tackling Tech (août 2023) :

Scénarios clés de Windows LAPS

Vous pouvez utiliser LAPS Windows pour plusieurs scénarios principaux :

  • Sauvegarder les mots de passe de compte d’administrateur local sur Microsoft Entra ID (pour les appareils joints à Microsoft Entra)

  • Sauvegarder des mots de passe de compte administrateur local dans Windows Server Active Directory (pour les clients ou serveurs joints à Windows Server Active Directory)

  • Sauvegarder des mots de passe de compte DSRM dans Windows Server Active Directory (pour les contrôleurs de domaine Windows Server Active Directory)

  • Sauvegarder les mots de passe du compte administrateur local dans le Windows Server Active Directory en utilisant l'ancienne version de Microsoft LAPS.

Dans chaque scénario, vous pouvez appliquer des paramètres de stratégie différents.

Comprendre les restrictions liées à l’état de jointure des appareils

Si un appareil est joint à Microsoft Entra ID ou Windows Server Active Directory détermine comment vous pouvez utiliser LAPS Windows.

  • Les appareils joints uniquement à Microsoft Entra ID peuvent sauvegarder les mots de passe uniquement sur l’ID Microsoft Entra.
  • Les appareils qui sont uniquement joints à Windows Server Active Directory peuvent uniquement sauvegarder les mots de passe dans Windows Server Active Directory.
  • Les appareils qui ont une jointure hybride (joints à Microsoft Entra ID et à Windows Server Active Directory) peuvent sauvegarder leurs mots de passe dans Microsoft Entra ID ou Windows Server Active Directory.

Vous ne pouvez pas sauvegarder les mots de passe dans Microsoft Entra ID et Windows Server Active Directory.

Windows LAPS ne prend pas en charge les clients associés à l'espace de travail Microsoft Entra.

Définir la stratégie Windows LAPS

Pour configurer et gérer la stratégie de votre déploiement LAPS Windows, vous disposez de plusieurs options :

Gérer et surveiller Windows LAPS

Vous disposez également de différentes options pour gérer et surveiller LAPS Windows.

Les options pour Windows sont les suivantes :

  • Propriétés des utilisateurs et ordinateurs de Windows Server Active Directory - boite de dialogue.
  • Canal de journal des événements dédié.
  • Module Windows PowerShell spécifique à Windows LAPS.

Les solutions de supervision et de création de rapports basées sur Entra sont disponibles lorsque vous sauvegardez des mots de passe dans Microsoft Entra ID.

Mise en obsolescence du produit Microsoft LAPS ancien

Importante

Le produit Microsoft LAPS hérité est obsolète depuis Windows 11 23H2 et versions ultérieures. L’installation du package Microsoft LAPS Microsoft Installer (MSI) hérité est bloquée sur les versions plus récentes du système d’exploitation, et Microsoft ne prend plus en compte les modifications de code pour le produit Microsoft LAPS hérité.

Utilisez Windows LAPS pour gérer les mots de passe de compte d’administrateur local. Windows LAPS est disponible sur Windows Server 2019 et versions ultérieures, et sur les clients Windows 10 et Windows 11 pris en charge.

Microsoft continuera à prendre en charge le produit Microsoft LAPS hérité sur les versions antérieures de Windows (antérieures à Windows 11 23H2) sur lesquelles il a été précédemment pris en charge. Cette prise en charge prendra fin à la fin normale de la prise en charge de ces versions du système d’exploitation.

Windows LAPS contre l'ancien LAPS Microsoft

Windows LAPS hérite de nombreux concepts de l’ancien LAPS de Microsoft. Si vous connaissez la version héritée de Microsoft LAPS, de nombreuses fonctionnalités de LAPS pour Windows vous seront familières. La principale différence est que LAPS Windows est une implémentation entièrement distincte native de Windows. LAPS Windows ajoute également de nombreuses fonctionnalités qui ne sont pas disponibles dans LAPS Microsoft héritée. Vous pouvez utiliser Windows LAPS pour sauvegarder des mots de passe dans Microsoft Entra ID, chiffrer les mots de passe dans Windows Server Active Directory et stocker votre historique de mot de passe.

Importante

Windows LAPS ne vous oblige pas à installer l'ancienne version de Microsoft LAPS. Vous pouvez déployer et utiliser entièrement toutes les fonctionnalités LAPS Windows sans installer ni faire référence à LAPS Microsoft héritée. Toutefois, pour faciliter la migration d’un déploiement LAPS Microsoft héritée existant, LAPS Windows offre le mode d’émulation LAPS Microsoft héritée.

Importante

Le produit Microsoft LAPS hérité est déconseillé sur les versions plus récentes du système d’exploitation Microsoft. Pour plus d’informations, consultez Obsolescence du produit Microsoft LAPS hérité.

Déclaration de support

Microsoft a publié le produit Microsoft LAPS hérité au cours de l’année civile 2016 sur le Centre de téléchargement Microsoft. Windows LAPS a été livré dans le cadre des mises à jour de Windows publiées le 11 avril 2023, pour les plateformes répertoriées dans Windows LAPS et Microsoft Entra ID.

Microsoft et son organisation de distribution de support offrent une prise en charge assistée pour Microsoft LAPS et Windows LAPS, y compris l’interopérabilité entre les deux produits.

Importante

Le produit Microsoft LAPS hérité est déconseillé sur les versions plus récentes du système d’exploitation Microsoft. Pour plus d’informations, consultez Obsolescence du produit Microsoft LAPS hérité.

Nous vous recommandons vivement de commencer à planifier dès maintenant la migration de vos systèmes compatibles Windows LAPS de l'utilisation des anciens services Microsoft LAPS vers la fonctionnalité Windows LAPS. Windows LAPS offre de nombreuses fonctionnalités de sécurité inédites et une maintenance des produits améliorée.

Les questions sur les limitations et les problèmes d’interopérabilité entre les outils de gestion des mots de passe de compte local tiers et windows LAPS doivent être dirigées vers le développeur d’applications tiers, et non Microsoft.

Exigences en termes de licence

La fonctionnalité Windows LAPS elle-même est disponible gratuitement dans toutes les plateformes Windows prises en charge.

Vous pouvez sauvegarder des mots de passe dans Windows Server Active Directory sans aucune autre exigence de licence.

Vous pouvez sauvegarder des mots de passe dans Microsoft Entra ID avec une licence Microsoft Entra gratuite ou ultérieure.

D’autres fonctionnalités liées à Entra ou Intune peuvent avoir d’autres exigences en matière de licence.

Envoyer des commentaires

Vous souhaitez nous envoyer des commentaires ? N’hésitez pas à soumettre des questions spécifiques au document via les liens de commentaires en bas de cette page.

Vous pouvez également envoyer des commentaires et d’autres demandes via la page Tech Community Commentaires Windows LAPS.

Si vos commentaires sont spécifiques à la fonctionnalité LAPS liée à l’ID Microsoft Entra ou à Intune, vous pouvez envoyer des commentaires via le forum de commentaires Microsoft Entra.

Si vous ne savez pas où vos commentaires doivent aller, envoyez-le à l’aide de l’une de ces options.

Voir aussi

Étapes suivantes