Qu'est-ce que Windows LAPS et pourquoi devriez-vous l'implémenter avec Microsoft Intune ?
La solution de mot de passe de l'administrateur local Windows (LAPS) est une fonctionnalité de sécurité critique qui gère automatiquement les mots de passe des administrateurs locaux sur vos appareils Windows. Au lieu d'utiliser le même mot de passe administrateur local sur chaque machine (un risque de sécurité énorme), LAPS génère des mots de passe uniques et complexes pour chaque appareil et les fait tourner régulièrement.
Lorsqu'il est intégré à Microsoft Intune, LAPS devient encore plus puissant. Vos mots de passe sont sauvegardés en toute sécurité sur Microsoft Entra ID (anciennement Azure AD), et vous pouvez gérer l'ensemble de la solution via des politiques basées sur le cloud. Cela élimine le besoin d'une infrastructure sur site tout en offrant une sécurité de niveau entreprise pour vos comptes administrateurs locaux.
Laissez-moi vous guider à travers le processus de configuration complet. J'ai déployé cette configuration des dizaines de fois, et je partagerai les étapes exactes, les pièges courants et les conseils professionnels qui vous feront gagner des heures de dépannage.
Comment activer Windows LAPS au niveau du locataire dans Microsoft Entra ID ?
La première étape consiste à activer LAPS à l'échelle du locataire dans Microsoft Entra ID. Il s'agit d'un paramètre global qui affecte tous les appareils de votre organisation, nous devons donc être prudents ici.
Connectez-vous au centre d'administration Microsoft Entra à https://portal.azure.com en utilisant un compte avec des autorisations d'administrateur d'appareil cloud ou d'administrateur global. Accédez à Identité > Appareils > Aperçu > Paramètres de l'appareil.
Cherchez le paramètre Activer la solution de mot de passe de l'administrateur local (LAPS) et réglez-le sur Oui. Cliquez sur Enregistrer pour appliquer les modifications.
Le paramètre prend effet immédiatement, mais les appareils ne commenceront à utiliser LAPS que lorsque vous déploierez les politiques réelles via Intune. Cela vous donne le contrôle sur le rythme de déploiement.
Pourquoi devez-vous activer le compte administrateur intégré pour Windows LAPS ?
Voici quelque chose qui prend de nombreux administrateurs au dépourvu : Windows LAPS nécessite que le compte administrateur intégré soit activé, mais ce compte est désactivé par défaut sur la plupart des installations Windows modernes. Sans l'activer d'abord, vos politiques LAPS se déploieront avec succès mais ne géreront en fait aucun mot de passe.
Nous créerons un profil de configuration Intune pour activer ce compte sur vos appareils cibles. Connectez-vous au centre d'administration Microsoft Intune à https://intune.microsoft.com et accédez à Appareils > Profils de configuration > Créer un profil.
Configurez le profil avec ces paramètres :
- Plateforme : Windows 10 et versions ultérieures
- Type de profil : Catalogue de paramètres
Dans l'onglet Informations de base, entrez un nom descriptif comme "Activer l'administrateur intégré pour LAPS" et ajoutez une description claire expliquant le but.
Dans l'onglet Paramètres de configuration, cliquez sur Ajouter des paramètres et recherchez "Options de sécurité des politiques locales". Sélectionnez Comptes : statut du compte administrateur et réglez-le sur Activé.
Pour les affectations, commencez par un groupe pilote d'appareils de test. Je recommande toujours de tester LAPS sur un petit groupe d'abord pour valider que tout fonctionne comme prévu avant de le déployer en production.
Après avoir créé le profil, surveillez son statut de déploiement dans le centre d'administration Intune. Vous pouvez vérifier que la politique a fonctionné en exécutant net user administrator sur un appareil cible - le compte devrait apparaître comme "Actif : Oui".
Comment configurer la politique principale de Windows LAPS dans Microsoft Intune ?
Nous arrivons maintenant au cœur de la configuration - créer la politique LAPS réelle qui définit comment les mots de passe sont générés, tournés et stockés. C'est là que vous passerez le plus de temps à peaufiner les paramètres pour répondre aux exigences de sécurité de votre organisation.
Dans le centre d'administration Intune, allez à Sécurité des points de terminaison > Protection des comptes > Créer une politique. Sélectionnez Plateforme : Windows 10 et versions ultérieures et Profil : Solution de mot de passe administrateur local (Windows LAPS).
Voici les paramètres de configuration que je recommande sur la base d'années de déploiements réels :
| Paramètre | Valeur recommandée | Pourquoi c'est important |
|---|---|---|
| Âge du mot de passe (jours) | 30 | Équilibre la sécurité avec la charge opérationnelle. Trop fréquent cause des problèmes de support. |
| Complexité du mot de passe | Grandes + petites lettres + chiffres + caractères spéciaux | Sécurité maximale contre les attaques par force brute. |
| Longueur du mot de passe | 14 | Répond à la plupart des exigences de conformité tout en restant gérable. |
| Répertoire de sauvegarde | AzureAD (Microsoft Entra ID) | Le stockage cloud élimine les besoins d'infrastructure sur site. |
| Chiffrement du mot de passe | Oui | Chiffre les mots de passe en transit et au repos pour une sécurité maximale. |
| Nom du compte administrateur | Administrateur intégré | Cible le compte administrateur standard de Windows. |
| Actions post-authentification | Réinitialiser le mot de passe | Change automatiquement le mot de passe après utilisation pour la sécurité. |
| Délai de réinitialisation post-authentification | 24 heures | Fournit une période de grâce pour les tâches administratives légitimes. |
Les paramètres post-authentification méritent une attention particulière. Lorsqu'ils sont activés, LAPS réinitialisera automatiquement le mot de passe administrateur après son utilisation pour l'authentification. Le délai de réinitialisation vous donne une période de grâce pour terminer vos tâches administratives avant que le mot de passe ne change.
Pour les affectations, commencez par votre groupe d'appareils pilotes. Je fais généralement des déploiements pilotes pendant au moins une semaine pour identifier les problèmes avant de les étendre aux appareils de production.
Comment vérifier que Windows LAPS fonctionne correctement sur les appareils cibles ?
La vérification est cruciale - vous devez confirmer que LAPS fonctionne réellement sur vos appareils, pas seulement que les politiques ont été déployées avec succès. J'ai vu trop de déploiements où les administrateurs supposaient que tout fonctionnait en se basant uniquement sur le statut des politiques.
Sur un appareil Windows cible, ouvrez PowerShell en tant qu'administrateur et exécutez ces commandes de diagnostic :
# Vérifiez les paramètres du registre LAPS - cela montre si la politique a été reçue
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS"
# Vérifiez le statut du service LAPS - devrait être en cours d'exécution
Get-Service -Name "LAPS" -ErrorAction SilentlyContinue
# Vérifiez les journaux d'événements LAPS pour l'activité
Get-WinEvent -LogName "Application" | Where-Object {$_.ProviderName -eq "Microsoft-Windows-LAPS"} | Select-Object -First 10
# Forcez la synchronisation de l'appareil avec Intune pour garantir les dernières politiques
Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask
# Vérifiez le statut d'enregistrement de l'appareil avec Azure AD
dsregcmd /statusLa vérification du registre devrait montrer vos paramètres de politique remplis. Recherchez des entrées comme PasswordAgeDays, PasswordComplexity et BackupDirectory qui correspondent à votre configuration de politique Intune.
Pour la vérification du compte administrateur, exécutez :
net user administratorVous devriez voir "Compte actif : Oui" dans la sortie. S'il apparaît comme désactivé, votre politique d'activation de l'administrateur n'a pas encore été appliquée.
Les journaux d'événements sont particulièrement précieux pour le dépannage. LAPS écrit des informations détaillées sur les changements de mot de passe, l'application des politiques et les erreurs rencontrées pendant le processus.
Comment configurer des autorisations de récupération de mot de passe sécurisées pour Windows LAPS ?
Les mots de passe LAPS sont extrêmement sensibles - ils fournissent un accès administratif complet à vos appareils. Vous devez contrôler soigneusement qui peut récupérer ces mots de passe et auditer régulièrement l'accès.
Dans le centre d'administration Microsoft Entra, accédez à Identité > Rôles et administrateurs. Le rôle intégré Administrateur d'appareil cloud inclut les autorisations de récupération de mot de passe LAPS, mais vous pourriez vouloir un contrôle plus granulaire.
Pour des autorisations personnalisées, créez un rôle avec ces droits spécifiques :
{
"microsoft.directory/devices/localCredentials/read": true,
"microsoft.directory/devices/read": true
}Pour récupérer les mots de passe, les utilisateurs autorisés peuvent :
- Accéder au centre d'administration Microsoft Entra
- Accéder à Identité > Appareils > Tous les appareils
- Sélectionner l'appareil cible
- Cliquez sur Mot de passe administrateur local pour voir le mot de passe actuel
L'interface de récupération de mot de passe montre le mot de passe actuel et quand il sera prochainement tourné. Cette information est enregistrée à des fins d'audit, vous avez donc une trace complète de qui a accédé à quels mots de passe et quand.
Envisagez de mettre en œuvre des contrôles supplémentaires comme la gestion des identités privilégiées (PIM) pour l'accès aux mots de passe LAPS, en particulier dans les environnements à haute sécurité. Cela ajoute un accès juste-à-temps et des flux de travail d'approbation pour la récupération des mots de passe.
Quels sont les problèmes de déploiement Windows LAPS les plus courants et comment les résoudre ?
Même avec une planification minutieuse, les déploiements LAPS peuvent rencontrer des problèmes. Voici les problèmes que je vois le plus fréquemment et comment les résoudre rapidement.
Surveillez le statut de votre déploiement dans le centre d'administration Intune en allant à Sécurité des points de terminaison > Protection des comptes, en sélectionnant votre politique LAPS, et en cliquant sur Statut de l'appareil. Cela vous montre quels appareils ont reçu la politique avec succès et lesquels ont échoué.
Voici ma matrice de dépannage pour les problèmes courants :
| Symptôme | Cause la plus probable | Étapes de résolution |
|---|---|---|
| La politique apparaît comme "Non applicable" | L'appareil ne répond pas aux exigences | Vérifiez la version de Windows (20H2+ requis) et l'inscription à Intune |
| Le compte administrateur est toujours désactivé | La politique d'activation de l'administrateur n'est pas appliquée | Vérifiez l'affectation de la politique et forcez la synchronisation de l'appareil |
| Aucune entrée de registre LAPS | La politique n'est pas reçue par l'appareil | Vérifiez la conformité de l'appareil et la connectivité réseau |
| Le mot de passe ne se sauvegarde pas sur Azure AD | Problèmes d'enregistrement de l'appareil | Exécutez dsregcmd /status et résolvez les problèmes d'enregistrement |
| Erreurs dans le journal des événements | Problèmes de permission ou de configuration | Vérifiez les détails des événements et confirmez l'activation de LAPS au niveau du locataire |
Pour un dépannage avancé, utilisez ces commandes PowerShell :
# Vérifiez le statut détaillé de l'enregistrement de l'appareil
dsregcmd /status | Select-String -Pattern "AzureAdJoined|DomainJoined|WorkplaceJoined"
# Vérifiez que l'extension de gestion Intune est en cours d'exécution
Get-Process -Name "Microsoft.Management.Services.IntuneWindowsAgent" -ErrorAction SilentlyContinue
# Examinez la configuration complète du registre LAPS
Get-ChildItem -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS" -Recurse
# Vérifiez le statut de Windows Update (LAPS nécessite des mises à jour actuelles)
Get-HotFix | Sort-Object InstalledOn -Descending | Select-Object -First 10Un problème qui prend souvent les gens au dépourvu est l'exigence de version de Windows. LAPS nécessite Windows 10 version 20H2 (build 19042) ou ultérieure. Les appareils plus anciens ignoreront simplement la politique sans générer de messages d'erreur évidents.
Pour les appareils qui ne reçoivent pas de politiques, la cause la plus courante est les problèmes d'inscription à Intune. Utilisez l'application Portail d'entreprise pour vérifier le statut d'inscription et réinscrivez si nécessaire. Parfois, un simple redémarrage de l'appareil après le déploiement de la politique résout les problèmes de synchronisation.
Rappelez-vous que la rotation des mots de passe LAPS se produit selon un calendrier, pas immédiatement après le déploiement de la politique. Ne paniquez pas si vous ne voyez pas de changements de mot de passe immédiatement - vérifiez l'intervalle de rotation configuré et attendez la prochaine rotation programmée.
Comment surveiller et maintenir votre déploiement Windows LAPS à long terme ?
Un dé
