Partager via


Migrer vers Windows LAPS à partir d'un LAPS ancien

La solution de mot de passe d’administrateur local Windows (Windows LAPS) vous permet de gérer en toute sécurité les mots de passe d’administrateur local sur les appareils Windows à l’aide de Microsoft Entra ID ou d’Active Directory. Cet article explique comment migrer de Microsoft LAPS hérité vers Windows LAPS pour améliorer la sécurité et la gestion.

Il est possible d’utiliser ensemble la stratégie Windows LAPS et la stratégie LAPS héritée dans un scénario côte à côte. Pour que le scénario côte à côte réussisse, les deux stratégies doivent cibler différents comptes locaux. Vous devez néanmoins avoir comme objectif final de migrer la stratégie LAPS héritée vers Windows LAPS.

Prerequisites

Avant de commencer le processus de migration, vérifiez que vous avez configuré Windows LAPS. Pour plus d’informations, consultez Bien démarrer avec Windows LAPS et Microsoft Entra ID ou Bien démarrer avec Windows LAPS et Windows Server Active Directory.

Scénarios de migration d’une stratégie LAPS héritée vers Windows LAPS sur des appareils existants

Microsoft recommande de migrer les solutions LAPS héritées vers Windows LAPS. Cette section explique comment effectuer cette migration sur des appareils existants.

Il y a deux approches principales possibles. La première approche est une transition immédiate, tandis que la deuxième approche débute par une période de coexistence côte à côte avant la transition finale.

Approche de la transition immédiate

Vous pouvez migrer de LAPS hérité vers Windows LAPS sur des appareils existants à l’aide du processus suivant :

  1. Désactivez ou supprimez la stratégie LAPS héritée.
  2. Créez et appliquez une politique Windows LAPS.
  3. Surveillez l’appareil géré pour confirmer une transition réussie.
  4. Supprimez le logiciel LAPS hérité.

Les deux premières étapes doivent être effectuées simultanément (ou de façon la plus rapprochée possible).

L’approche la plus simple pour configurer la stratégie Windows LAPS consiste à cibler le même compte que celui qui était précédemment ciblé dans la stratégie LAPS héritée. Si vous choisissez de cibler un autre compte, vous devez créer le nouveau compte avant d’appliquer la stratégie WINDOWS LAPS. Le premier compte doit être supprimé s’il n’est plus nécessaire.

La stratégie LAPS Windows peut également être configurée avec des fonctionnalités, telles que la sauvegarde de l’ID Microsoft Entra ou l’activation du chiffrement de mot de passe Active Directory, qui n’étaient pas disponibles avec le LAPS hérité.

Quand une stratégie Windows LAPS est appliquée pour la première fois, l’appareil géré effectue une rotation immédiate du mot de passe du compte local. Pour plus d’informations, consultez Comment une stratégie WINDOWS LAPS est appliquée à un nouvel appareil client. You should monitor the managed device to ensure the transition is successful.

Une fois la transition terminée, l’étape finale doit être de supprimer le logiciel LAPS hérité de l’appareil géré.

Approche de la coexistence côte à côte temporaire

Vous pourriez envisager d'implémenter une procédure de migration plus progressive de LAPS hérité vers Windows LAPS. Les étapes générales pour effectuer cette transition sur les appareils existants sont les suivantes :

  1. Configurez l’appareil géré avec un deuxième compte local.
  2. Créez et appliquez une politique Windows LAPS.
  3. Surveillez l’appareil géré pour confirmer une application réussie de la stratégie WINDOWS LAPS.
  4. Désactivez ou supprimez la stratégie LAPS héritée.
  5. Supprimez le logiciel LAPS hérité.
  6. Supprimez le compte supplémentaire.

Avec cette approche, vous devez créer un deuxième compte local, car l’utilisation d’une stratégie LAPS Windows et d’une stratégie LAPS héritée ciblant le même compte n’est pas prise en charge.

Après avoir confirmé que Windows LAPS fonctionne correctement, vous pouvez laisser l’appareil géré dans cet état tant que nécessaire avant d’effectuer le reste des étapes de migration.

Surveiller une transition réussie

Il existe plusieurs approches de supervision pour obtenir un résultat réussi une fois que vous avez transféré un appareil managé vers une stratégie WINDOWS LAPS :

  • Vous pouvez utiliser le canal du journal des événements Windows LAPS de l’appareil géré pour identifier les événements de mise à jour de mot de passe réussis (pour Microsoft Entra ID ou AD). Une solution de collecte de journaux d’événements centralisée peut vous aider ici.
  • Lorsque vous stockez des mots de passe dans Active Directory, vous pouvez rechercher l’apparence d’un attribut nouveau ou mis à jour msLAPS-PasswordExpirationTime sur l’objet d’ordinateur AD de l’appareil géré. L’applet de commande PowerShell Get-LapsADPassword permet d’automatiser cette analyse.
  • Lors du stockage des mots de passe dans l’ID Microsoft Entra, vous pouvez vérifier l’ID Microsoft Entra ou les portails de gestion Intune pour vérifier que le mot de passe de l’appareil est mis à jour. L’applet de commande PowerShell Get-LapsAADPassword permet d’automatiser cette analyse.

Supprimer l'ancien logiciel LAPS d’un appareil géré.

Les étapes spécifiques à faire pour supprimer le logiciel LAPS hérité sur l’appareil géré dépendent de la façon dont ce logiciel a été initialement installé.

  • Si vous avez installé le LAPS hérité en utilisant le package d'installation MSI, vous pouvez désinstaller manuellement le logiciel LAPS hérité via l'ajout/suppression de programmes, ou exécuter la commande suivante à partir de l'invite de commandes, en tant qu'administrateur sur l'appareil :

    msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}
    
  • Si vous avez installé le LAPS hérité en copiant et en inscrivant manuellement le fichier CSE AdmPwd.dll LAPS hérité, vous devez annuler l’inscription manuellement, puis supprimer AdmPwd.dll. Exécutez la commande suivante à partir de la ligne de commande exécutée en tant qu’administrateur sur l’appareil. Si vous avez copié vers AdmPwd.dll un autre emplacement, vous devez ajuster le chemin en conséquence. Vous pouvez trouver l’emplacement du fichier en vérifiant la clé HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA} de Registre pour la DllName valeur.

    regsvr32.exe /s /u AdmPwd.dll
    delete C:\windows\system32\AdmPwd.dll
    

Next step