Qu’est-ce que Windows LAPS ?

La solution de mot de passe d'administrateur local Windows (LAPS Windows) est une fonctionnalité Windows qui gère et sauvegarde automatiquement le mot de passe d’un compte d’administrateur local sur vos appareils joints à Azure Active Directory ou à Windows Server Active Directory. Vous pouvez également utiliser la solution LAPS Windows pour gérer et sauvegarder automatiquement le mot de passe de compte DSRM (Directory Services Restore Mode) sur vos contrôleurs de domaine Windows Server Active Directory. Un administrateur autorisé peut récupérer le mot de passe DSRM et l’utiliser.

Plateformes prises en charge par Windows LAPS et état de la préversion Azure AD LAPS

Windows LAPS est désormais disponible sur les plateformes de système d’exploitation suivantes avec la mise à jour spécifiée ou une version ultérieure installée :

• Windows 11 22H2 – Mise à jour du 11 avril 2023
• Windows 11 21H2 – Mise à jour du 11 avril 2023
• Windows 10 – Mise à jour du 11 avril 2023
• Windows Server 2022 – Mise à jour du 11 avril 2023
• Windows Server 2019 – Mise à jour du 11 avril 2023

Toutes les éditions prises en charge des plateformes ci-dessus ont été mises à jour avec Windows LAPS, notamment les éditions LTSC. L’introduction de la fonctionnalité Windows LAPS ne modifie en aucun cas les stratégies standard de cycle de vie des produits Microsoft.

Les scénarios Active Directory locaux Windows LAPS sont entièrement pris en charge à l’issue des mises à jour ci-dessus.

Important

La prise en charge de la solution LAPS Windows avec Microsoft Entra (Azure AD) et Microsoft Intune est maintenant en préversion publique depuis le 21 avril 2023.

Pour plus d'informations, consultez les pages suivantes :

Présentation de la solution de mot de passe d’administrateur local Windows avec Azure AD

Solution de mot de passe d’administrateur local Windows dans Azure AD (préversion)

Prise en charge de Microsoft Intune de la solution LAPS Windows

Avantages de l’utilisation de LAPS Windows

Utilisez LAPS Windows pour faire pivoter et gérer régulièrement les mots de passe des comptes d’administrateurs locaux et bénéficier des avantages suivants :

• Protection contre les attaques pass-the-hash et latérales
• Sécurité améliorée pour les scénarios de support technique à distance
• Possibilité de se connecter à des appareils inaccessibles et de les récupérer
• Un modèle de sécurité affiné (listes de contrôle d’accès et chiffrement de mot de passe facultatif) pour sécuriser les mots de passe stockés dans Windows Server Active Directory
• Support du modèle de contrôle d’accès en fonction du rôle Azure pour la sécurisation des mots de passe stockés dans Azure Active Directory

Vidéos d'information

Les vidéos suivantes offrent un moyen informatif d'en savoir plus sur la fonctionnalité Windows LAPS.

Présentation Windows Technical Takeoff (novembre 2022) :

Discussion Windows Tackling Tech (août 2023) :

Scénarios clés LAPS Windows

Vous pouvez utiliser LAPS Windows pour plusieurs scénarios principaux :

• Sauvegarder des mots de passe de compte administrateur local dans Azure Active Directory (pour les appareils joints à Azure Active Directory)

• Sauvegarder des mots de passe de compte administrateur local dans Windows Server Active Directory (pour les clients ou serveurs joints à Windows Server Active Directory)

• Sauvegarder des mots de passe de compte DSRM dans Windows Server Active Directory (pour les contrôleurs de domaine Windows Server Active Directory)

• Sauvegarder les mots de passe du compte administrateur local dans Windows Server Active Directory à l’aide de LAPS Microsoft hérité

Dans chaque scénario, vous pouvez appliquer des paramètres de stratégie différents.

Comprendre les restrictions liées à l’état de jointure des appareils

Si un appareil est joint à Azure Active Directory ou Windows Server Active Directory détermine comment vous pouvez utiliser LAPS Windows.

Les appareils qui sont uniquement joints à Azure Active Directory peuvent uniquement sauvegarder les mots de passe dans Azure Active Directory.

Les appareils qui sont uniquement joints à Windows Server Active Directory peuvent uniquement sauvegarder les mots de passe dans Windows Server Active Directory.

Les appareils qui ont une jointure hybride (joints à Azure Active Directory et à Windows Server Active Directory) peuvent sauvegarder leurs mots de passe dans Azure Active Directory ou Windows Server Active Directory. Vous ne pouvez pas sauvegarder les mots de passe dans Azure Active Directory et Windows Server Active Directory.

LAPS Windows ne prend pas en charge les clients joints à l’espace de travail Azure Active Directory.

Définir la stratégie LAPS Windows

Pour configurer et gérer la stratégie de votre déploiement LAPS Windows, vous disposez de plusieurs options :

• Fournisseur de services de configuration (CSP) LAPS Windows
• Stratégie de groupe LAPS Windows
• LAPS Microsoft hérité

Gérer et analyser LAPS Windows

Vous disposez également de différentes options pour gérer et analyser LAPS Windows.

Les options pour Windows sont les suivantes :

• Boîte de dialogue des propriétés Utilisateurs et ordinateurs Windows Server Active Directory
• Un canal de journal des événements dédié
• Un module Windows PowerShell spécifique à LAPS Windows

Des solutions de monitoring et de création de rapports basées sur Azure sont disponibles lorsque vous sauvegardez des mots de passe dans Azure Active Directory.

LAPS Windows contre LAPS Microsoft héritée

Vous pouvez toujours télécharger une version antérieure de la solution de mot de passe d’administrateur local, LAPS Microsoft héritée.

LAPS Windows hérite de nombreux concepts de conception de LAPS Microsoft héritée. Si vous connaissez Microsoft LAPS hérité, de nombreuses fonctionnalités Windows LAPS vous sont familières. La principale différence est que LAPS Windows est une implémentation entièrement distincte native de Windows. LAPS Windows ajoute également de nombreuses fonctionnalités qui ne sont pas disponibles dans LAPS Microsoft héritée. Vous pouvez utiliser LAPS Windows pour sauvegarder les mots de passe dans Azure Active Directory, chiffrer les mots de passe dans Windows Server Active Directory et stocker votre historique de mots de passe.

Important

LAPS Windows ne vous oblige pas à installer LAPS Microsoft héritée. Vous pouvez déployer et utiliser entièrement toutes les fonctionnalités LAPS Windows sans installer ni faire référence à LAPS Microsoft héritée. Toutefois, pour faciliter la migration d’un déploiement LAPS Microsoft héritée existant, LAPS Windows offre le mode d’émulation LAPS Microsoft héritée.

Déclaration de support

Microsoft a publié le produit Microsoft LAPS hérité au cours de l’année civile 2016 sur le Centre de téléchargement Microsoft. Windows LAPS fourni dans le cadre des mises à jour Windows publiées le 11 avril 2023 pour les plateformes répertoriées à la section Plateformes prises en charge par Windows LAPS et état de la préversion Azure AD LAPS.

Microsoft et son organisation de support offrent un support assisté pour Microsoft LAPS et Windows LAPS, notamment concernant l’interopérabilité entre les deux produits.

Microsoft recommande vivement aux clients de commencer à planifier dès maintenant la migration de leurs systèmes compatibles Windows LAPS, de l’utilisation de Microsoft LAPS hérité vers la nouvelle fonctionnalité Windows LAPS. Windows LAPS offre de nombreuses fonctionnalités de sécurité inédites et une maintenance des produits améliorée.

Les questions concernant les limitations et/ou les problèmes d’interopérabilité entre les outils tiers de gestion des mots de passe de compte local et Windows LAPS doivent être transmises au développeur d’applications tiers et non à Microsoft.

Exigences en termes de licence

La fonctionnalité Windows LAPS elle-même est disponible gratuitement dans toutes les plateformes Windows prises en charge.

Vous pouvez sauvegarder des mots de passe dans votre annuaire Active Directory local sans aucune autre exigence de licence.

Vous pouvez sauvegarder des mots de passe dans Azure AD avec une licence Azure AD Free ou supérieure.

D’autres fonctionnalités liées à Azure ou à Intune peuvent avoir d’autres exigences de licence.

Envoi de commentaires

Vous souhaitez nous envoyer des commentaires ? N’hésitez pas à soumettre vos questions concernant la documentation via les liens Commentaires situés au bas des pages de documentation.

Vous pouvez également envoyer des commentaires et d’autres demandes via la page Tech Community Commentaires Windows LAPS.

Si vos commentaires sont spécifiques à la fonctionnalité LAPS liée à Azure AD ou à Intune, vous pouvez envoyer des commentaires via le forum de commentaires Azure AD.

Si vous ne savez pas où vos commentaires doivent aller, envoyez-les à l’aide de l’une des options ci-dessus.

Voir aussi

• Présentation de la solution de mot de passe d’administrateur local Windows avec Azure AD
• Solution de mot de passe d’administrateur local Windows dans Azure AD (préversion)
• Prise en charge de Microsoft Intune de la solution LAPS Windows
• CSP Windows LAPS
• LAPS Microsoft hérité
• Conseils de résolution des problèmes de Windows LAPS
• Référence au module PowerShell LAPS

Étapes suivantes

• Concepts clés de Windows LAPS
• Bien démarrer avec LAPS Windows pour Windows Server Active Directory
• Bien démarrer avec LAPS Windows pour Azure Active Directory
• Bien démarrer avec LAPS Windows en mode d’émulation LAPS Microsoft héritée