Bien démarrer avec Windows LAPS dans les scénarios de déploiement et de migration

Il existe de nombreuses méthodes possibles pour déployer Windows LAPS, ou migrer une solution LAPS héritée vers Windows LAPS. Cet article décrit les scénarios de base et fournit des conseils et astuces à connaître.

Lorsque vous migrez des appareils à jointure hybride existants d’une solution LAPS héritée vers Windows LAPS, vous avez le choix de continuer à stocker les mots de passe dans Active Directory ou de basculer vers le stockage des mots de passe dans Microsoft Entra ID.

Préparation de l’annuaire

La plupart du contenu de ce guide n’est pas propre à l’annuaire. Toutefois, certaines étapes préparatoires sont obligatoires pour permettre à votre annuaire (Active Directory ou Microsoft Entra ID) de prendre en charge les appareils Windows LAPS. Ces étapes doivent être effectuées avant de poursuivre pour implémenter les autres scénarios décrits dans cet article.

Préparation de Windows Server Active Directory

Vous devez effectuer les étapes suivantes avant de configurer vos appareils joints à Azure AD ou à Azure Hybride pour sauvegarder les mots de passe d’un compte managé dans Azure AD.

1. Étendez votre schéma AD pour prendre en charge Windows LAPS. Consultez Mettre à jour le schéma Windows Server Active Directory.
2. Si vous utilisez un store central d’objets de stratégie de groupe, copiez manuellement les fichiers de modèles de stratégie de groupe Windows LAPS dans le store central. Consultez Store central d’objets de stratégie de groupe.
3. Attribuez aux appareils des autorisations d’écriture automatique. Consultez Accorder à l’appareil managé l’autorisation de mettre à jour son mot de passe.
4. Analysez, déterminez et configurez les autorisations AD appropriées pour l’expiration et la récupération des mots de passe. Consultez Mots de passe Windows Server Active Directory.
5. Analysez et déterminez les groupes autorisés appropriés pour le déchiffrement des mots de passe. Consultez Mots de passe Windows Server Active Directory.
6. Créez une stratégie Windows LAPS qui cible le ou les appareils managés avec les paramètres appropriés qui ont été définis aux étapes précédentes.

Conseil

Si vous envisagez de sauvegarder uniquement des mots de passe dans Microsoft Entra ID, vous n’avez besoin d’effectuer aucune de ces étapes, y-compris l’extension du schéma AD.

Préparation de Microsoft Entra ID

Vous devez effectuer les étapes suivantes avant de configurer vos appareils Microsoft Entra joints ou hybrides joints pour sauvegarder les mots de passe d’un compte managé dans Microsoft Entra ID.

1. Passez en revue les membres des rôles Microsoft Entra intégrés qui ont accès par défaut aux mots de passe Windows LAPS stockés dans Microsoft Entra ID. Ces rôles ayant des privilèges élevés par défaut, il ne doit normalement pas y avoir de surprises à cette étape.
2. Activez la prise en charge de la sauvegarde des mots de passe Windows LAPS sur votre client Microsoft Entra. Consultez Activation de Windows LAPS avec Microsoft Entra ID.

Scénario d’installation d’un nouveau système d’exploitation avec une stratégie Windows LAPS

Windows LAPS est intégré au système d’exploitation Windows. C’est une fonctionnalité de sécurité de base de Windows, qui ne peut pas être désinstallée. Il est donc important de connaître l’effet qu’une stratégie Windows LAPS peut avoir pendant l’installation d’un nouveau système d’exploitation.

Le principal facteur à prendre en compte est que Windows LAPS est toujours « activé ». Dès qu’une stratégie Windows LAPS est activée sur l’appareil, Windows LAPS commence immédiatement à l’appliquer. Ce comportement peut entraîner des interruptions si, à un moment donné, votre workflow de déploiement du système d’exploitation nécessite la jonction d’un appareil à un domaine dans une unité d’organisation où une stratégie Windows LAPS est activée. Si la stratégie Windows LAPS cible le même compte local que celui utilisé pour la connexion du workflow de déploiement, la modification immédiate du mot de passe du compte local qui en résulte interrompra probablement le workflow (par exemple, après un redémarrage lors de la connexion automatique).

La première technique pour atténuer ce problème consiste à utiliser une nouvelle unité d’organisation (UO) de « préproduction ». Une unité d’organisation de préproduction s’apparente à un emplacement temporaire pour le compte de l’appareil qui applique un ensemble minimal strict de stratégies obligatoires, et ne doit pas appliquer une stratégie Windows LAPS. Ce n’est qu’à la fin du workflow de déploiement du système d’exploitation que le compte de l’appareil est déplacé vers son unité d’organisation de destination finale. Microsoft recommande l’utilisation d’une nouvelle unité d’organisation de préproduction en guise de bonne pratique générale.

Une deuxième technique consiste à configurer la stratégie Windows LAPS pour cibler un compte différent de celui utilisé par le workflow de déploiement du système d’exploitation. Une bonne pratique est de supprimer tous les comptes locaux inutiles au terme du workflow de déploiement du système d’exploitation.

Scénario d’installation d’un nouveau système d’exploitation avec une stratégie LAPS héritée

Ce scénario a les mêmes préoccupations générales que celles décrites dans Scénario d’installation d’un nouveau système d’exploitation avec une stratégie Windows LAPS, mais il présente certains problèmes spécifiques en rapport avec la prise en charge du mode d’émulation LAPS hérité par Windows LAPS.

Là encore, le principal facteur à prendre en compte est que Windows LAPS est toujours « activé ». Dès qu’une stratégie LAPS héritée est activée sur l’appareil, en supposant que tous les critères du mode d’émulation LAPS hérité sont remplis, Windows LAPS commence immédiatement à appliquer la stratégie. Ce comportement peut entraîner des interruptions si, à un moment donné, votre workflow de déploiement du système d’exploitation nécessite la jonction d’un appareil à un domaine dans une unité d’organisation où une stratégie LAPS héritée est activée. Si la stratégie LAPS héritée cible le même compte local que celui utilisé pour la connexion du workflow de déploiement, la modification immédiate du mot de passe du compte local qui en résulte interrompra probablement le workflow (par exemple, après un redémarrage lors de la connexion automatique).

La première technique pour atténuer ce problème consiste à utiliser une nouvelle unité d’organisation (UO) de « préproduction ». Une unité d’organisation de préproduction s’apparente à un emplacement temporaire pour le compte de l’appareil qui applique un ensemble minimal strict de stratégies obligatoires, et ne doit pas appliquer une stratégie LAPS héritée. Ce n’est qu’à la fin du workflow de déploiement du système d’exploitation que le compte de l’appareil est déplacé vers son unité d’organisation de destination finale. Microsoft recommande l’utilisation d’une nouvelle unité d’organisation de préproduction en guise de bonne pratique générale.

Une deuxième technique consiste à configurer la stratégie LAPS héritée pour cibler un compte différent de celui utilisé par le workflow de déploiement du système d’exploitation. Une bonne pratique est de supprimer tous les comptes locaux inutiles au terme du workflow de déploiement du système d’exploitation.

Une troisième technique consiste à désactiver le mode d’émulation LAPS hérité au début du workflow de déploiement du système d’exploitation, puis à le réactiver (au besoin) au terme du workflow de déploiement du système d’exploitation.

Scénario de coexistence (côte à côte) avec la stratégie LAPS héritée

Il est possible d’utiliser ensemble la stratégie Windows LAPS et la stratégie LAPS héritée dans un scénario côte à côte. Pour que ce scénario côte à côte fonctionne, les deux stratégies DOIVENT cibler des comptes locaux différents. Vous devez néanmoins avoir comme objectif final de migrer la stratégie LAPS héritée vers Windows LAPS.

Scénarios de migration d’une stratégie LAPS héritée vers Windows LAPS sur des appareils existants

Microsoft recommande de migrer les solutions LAPS héritées vers Windows LAPS. Cette section explique comment effectuer cette migration sur des appareils existants.

Il y a deux approches principales possibles. La première approche est une transition immédiate, tandis que la deuxième approche débute par une période de coexistence côte à côte avant la transition finale.

Approche de la transition immédiate

Vous pouvez migrer immédiatement une stratégie LAPS héritée vers Windows LAPS sur des appareils existants en suivant ces étapes :

1. Désactiver\supprimer la stratégie LAPS héritée
2. Créer et appliquer une stratégie Windows LAPS
3. Vérifier la réussite de la transition sur l’appareil managé
4. Supprimer le logiciel LAPS hérité

Les deux premières étapes doivent être effectuées simultanément (ou de façon la plus rapprochée possible).

L’approche la plus simple pour configurer la stratégie Windows LAPS consiste à cibler le même compte que celui qui était précédemment ciblé dans la stratégie LAPS héritée. Si vous choisissez de cibler un autre compte, il vous incombe de créer le nouveau compte avant d’appliquer la stratégie Windows LAPS. Vous devez supprimer le premier compte si vous n’en avez plus besoin.

La stratégie Windows LAPS peut également être configurée avec des fonctionnalités (sauvegarde dans Microsoft Entra ID ou activation du chiffrement par mot de passe AD) qui n’étaient pas disponibles dans le logiciel LAPS hérité.

Quand une stratégie Windows LAPS est appliquée pour la première fois, l’appareil managé effectue une rotation immédiate du mot de passe du compte local. Vous devez vérifier que la transition s’est effectuée correctement sur l’appareil managé.

Une fois la transition terminée, la dernière étape à faire est de supprimer le logiciel LAPS hérité sur l’appareil managé.

Approche de la coexistence côte à côte temporaire

Vous préférerez peut-être effectuer une migration plus progressive de la solution LAPS héritée vers Windows LAPS. Pour faire cette transition sur les appareils existants, effectuez les étapes suivantes :

1. Configurer l’appareil managé avec un deuxième compte local
2. Créer et appliquer une stratégie Windows LAPS
3. Vérifier que la stratégie Windows LAPS a bien été appliquée sur l’appareil managé
4. Désactiver\supprimer la stratégie LAPS héritée
5. Supprimer le logiciel LAPS hérité
6. Supprimer le compte inutile

Avec cette approche, vous devez créer un deuxième compte local, car il n’est pas possible d’avoir à la fois une stratégie Windows LAPS et une stratégie LAPS héritée qui ciblent le même compte.

Après avoir vérifié que Windows LAPS fonctionne correctement, vous pouvez laisser l’appareil managé dans cet état aussi longtemps que nécessaire avant d’effectuer les autres étapes de la migration.

Vérification de la réussite de la transition

Plusieurs approches sont possibles pour vérifier que la transition d’un appareil managé vers une stratégie Windows LAPS s’est déroulée correctement :

• Vous pouvez utiliser le canal du journal des événements Windows LAPS de l’appareil managé pour identifier les événements de mise à jour de mot de passe réussis (pour Microsoft Entra ID ou AD). Le recours à une solution de collecte centralisée des journaux des événements peut être utile ici.
• Si vous stockez les mots de passe dans Active Directory, vous pouvez rechercher la présence d’un attribut msLAPS-PasswordExpirationTime, nouveau ou mis à jour, sur l’objet ordinateur AD de l’appareil managé. L’applet de commande PowerShell Get-LapsADPassword permet d’automatiser cette analyse.
• Si vous stockez les mots de passe dans Microsoft Entra ID, vous pouvez accéder aux portails de gestion Microsoft Entra ID ou Intune pour vérifier que l’appareil a mis à jour son mot de passe. L’applet de commande PowerShell Get-LapsAADPassword permet d’automatiser cette analyse.

Suppression du logiciel LAPS hérité sur un appareil managé

Les étapes spécifiques à faire pour supprimer le logiciel LAPS hérité sur l’appareil managé dépendent de la façon dont ce logiciel a été initialement installé.

Si vous avez installé le logiciel LAPS hérité à l’aide du package d’installation MSI

Dans ce cas, vous pouvez désinstaller manuellement le logiciel LAPS hérité à partir du panneau de configuration pour les scénarios de gestion ad hoc.

Vous pouvez également automatiser ce processus avec une commande de désinstallation MSI silencieuse exécutée sur l’appareil managé :

C:\>msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}

Si vous avez installé le logiciel LAPS hérité en copiant et en inscrivant manuellement la DLL CSE du LAPS hérité

Dans ce cas, vous devez désinscrire manuellement la DLL CSE du LAPS hérité, puis la supprimer :

regsvr32.exe /s /u AdmPwd.dll
delete AdmPwd.dll

Si nécessaire, vous pouvez rechercher l’emplacement de copie des binaires CSE du LAPS hérité à partir du Registre, par exemple :

C:\>reg.exe query "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}" /v DllName

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
    DllName    REG_EXPAND_SZ    C:\windows\system32\AdmPwd.dll

Voir aussi

• LAPS Microsoft hérité
• Conseils de résolution des problèmes de Windows LAPS

Étapes suivantes

• Configurer les paramètres de stratégie Windows LAPS