Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
La solution de mot de passe d’administrateur local Windows (Windows LAPS) vous permet de gérer en toute sécurité les mots de passe d’administrateur local sur les appareils Windows à l’aide de Microsoft Entra ID ou d’Active Directory. Cet article explique comment migrer de Microsoft LAPS hérité vers Windows LAPS pour améliorer la sécurité et la gestion.
Il est possible d’utiliser ensemble la stratégie Windows LAPS et la stratégie LAPS héritée dans un scénario côte à côte. Pour que le scénario côte à côte réussisse, les deux stratégies doivent cibler différents comptes locaux. Vous devez néanmoins avoir comme objectif final de migrer la stratégie LAPS héritée vers Windows LAPS.
Prerequisites
Avant de commencer le processus de migration, vérifiez que vous avez configuré Windows LAPS. Pour plus d’informations, consultez Bien démarrer avec Windows LAPS et Microsoft Entra ID ou Bien démarrer avec Windows LAPS et Windows Server Active Directory.
Scénarios de migration d’une stratégie LAPS héritée vers Windows LAPS sur des appareils existants
Microsoft recommande de migrer les solutions LAPS héritées vers Windows LAPS. Cette section explique comment effectuer cette migration sur des appareils existants.
Il y a deux approches principales possibles. La première approche est une transition immédiate, tandis que la deuxième approche débute par une période de coexistence côte à côte avant la transition finale.
Approche de la transition immédiate
Vous pouvez migrer de LAPS hérité vers Windows LAPS sur des appareils existants à l’aide du processus suivant :
- Désactivez ou supprimez la stratégie LAPS héritée.
- Créez et appliquez une politique Windows LAPS.
- Surveillez l’appareil géré pour confirmer une transition réussie.
- Supprimez le logiciel LAPS hérité.
Les deux premières étapes doivent être effectuées simultanément (ou de façon la plus rapprochée possible).
L’approche la plus simple pour configurer la stratégie Windows LAPS consiste à cibler le même compte que celui qui était précédemment ciblé dans la stratégie LAPS héritée. Si vous choisissez de cibler un autre compte, vous devez créer le nouveau compte avant d’appliquer la stratégie WINDOWS LAPS. Le premier compte doit être supprimé s’il n’est plus nécessaire.
La stratégie LAPS Windows peut également être configurée avec des fonctionnalités, telles que la sauvegarde de l’ID Microsoft Entra ou l’activation du chiffrement de mot de passe Active Directory, qui n’étaient pas disponibles avec le LAPS hérité.
Quand une stratégie Windows LAPS est appliquée pour la première fois, l’appareil géré effectue une rotation immédiate du mot de passe du compte local. Pour plus d’informations, consultez Comment une stratégie WINDOWS LAPS est appliquée à un nouvel appareil client. You should monitor the managed device to ensure the transition is successful.
Une fois la transition terminée, l’étape finale doit être de supprimer le logiciel LAPS hérité de l’appareil géré.
Approche de la coexistence côte à côte temporaire
Vous pourriez envisager d'implémenter une procédure de migration plus progressive de LAPS hérité vers Windows LAPS. Les étapes générales pour effectuer cette transition sur les appareils existants sont les suivantes :
- Configurez l’appareil géré avec un deuxième compte local.
- Créez et appliquez une politique Windows LAPS.
- Surveillez l’appareil géré pour confirmer une application réussie de la stratégie WINDOWS LAPS.
- Désactivez ou supprimez la stratégie LAPS héritée.
- Supprimez le logiciel LAPS hérité.
- Supprimez le compte supplémentaire.
Avec cette approche, vous devez créer un deuxième compte local, car l’utilisation d’une stratégie LAPS Windows et d’une stratégie LAPS héritée ciblant le même compte n’est pas prise en charge.
Après avoir confirmé que Windows LAPS fonctionne correctement, vous pouvez laisser l’appareil géré dans cet état tant que nécessaire avant d’effectuer le reste des étapes de migration.
Surveiller une transition réussie
Il existe plusieurs approches de supervision pour obtenir un résultat réussi une fois que vous avez transféré un appareil managé vers une stratégie WINDOWS LAPS :
- Vous pouvez utiliser le canal du journal des événements Windows LAPS de l’appareil géré pour identifier les événements de mise à jour de mot de passe réussis (pour Microsoft Entra ID ou AD). Une solution de collecte de journaux d’événements centralisée peut vous aider ici.
- Lorsque vous stockez des mots de passe dans Active Directory, vous pouvez rechercher l’apparence d’un attribut nouveau ou mis à jour
msLAPS-PasswordExpirationTime
sur l’objet d’ordinateur AD de l’appareil géré. L’applet de commande PowerShellGet-LapsADPassword
permet d’automatiser cette analyse. - Lors du stockage des mots de passe dans l’ID Microsoft Entra, vous pouvez vérifier l’ID Microsoft Entra ou les portails de gestion Intune pour vérifier que le mot de passe de l’appareil est mis à jour. L’applet de commande PowerShell
Get-LapsAADPassword
permet d’automatiser cette analyse.
Supprimer l'ancien logiciel LAPS d’un appareil géré.
Les étapes spécifiques à faire pour supprimer le logiciel LAPS hérité sur l’appareil géré dépendent de la façon dont ce logiciel a été initialement installé.
Si vous avez installé le LAPS hérité en utilisant le package d'installation MSI, vous pouvez désinstaller manuellement le logiciel LAPS hérité via l'ajout/suppression de programmes, ou exécuter la commande suivante à partir de l'invite de commandes, en tant qu'administrateur sur l'appareil :
msiexec.exe /q /uninstall {97E2CA7B-B657-4FF7-A6DB-30ECC73E1E28}
Si vous avez installé le LAPS hérité en copiant et en inscrivant manuellement le fichier CSE
AdmPwd.dll
LAPS hérité, vous devez annuler l’inscription manuellement, puis supprimerAdmPwd.dll
. Exécutez la commande suivante à partir de la ligne de commande exécutée en tant qu’administrateur sur l’appareil. Si vous avez copié versAdmPwd.dll
un autre emplacement, vous devez ajuster le chemin en conséquence. Vous pouvez trouver l’emplacement du fichier en vérifiant la cléHKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\GPExtensions\{D76B9641-3288-4f75-942D-087DE603E3EA}
de Registre pour laDllName
valeur.regsvr32.exe /s /u AdmPwd.dll delete C:\windows\system32\AdmPwd.dll