Partager via


Microsoft Intune prise en charge de Windows LAPS

Chaque machine Windows dispose d’un compte d’administrateur local intégré qui ne peut pas être supprimé et qui dispose d’autorisations complètes sur l’appareil. La sécurisation de ce compte est une étape importante dans la sécurisation de votre organization. Les appareils Windows incluent la solution de mot de passe de l’administrateur local Windows (LAPS), une solution intégrée permettant de gérer les comptes d’administrateur local.

Vous pouvez utiliser Microsoft Intune stratégies de sécurité de point de terminaison pour la protection des comptes afin de gérer laps sur les appareils inscrits auprès de Intune. Intune stratégies peuvent :

  • Appliquer les exigences de mot de passe pour les comptes d’administrateur local
  • Sauvegarder un compte d’administrateur local à partir d’appareils dans votre annuaire Active Directory (AD) ou Microsoft Entra
  • Planifiez la rotation de ces mots de passe de compte pour assurer leur sécurité.

Vous pouvez également afficher des détails sur les comptes d’administrateur local gérés dans le centre de Intune Administration et faire pivoter manuellement leurs mots de passe de compte en dehors d’une rotation planifiée.

L’utilisation de Intune stratégies LAPS vous permet de protéger les appareils Windows contre les attaques visant à exploiter les comptes d’utilisateur locaux, comme les attaques pass-the-hash ou latérales. La gestion de LAPS avec Intune peut également aider à améliorer la sécurité des scénarios de support technique à distance et à récupérer des appareils qui seraient autrement inaccessibles.

Intune stratégie LAPS gère les paramètres disponibles à partir du csp Windows LAPS. l’utilisation par Intune du fournisseur de solutions cloud remplace l’utilisation de Microsoft LAPS hérité ou d’autres solutions de gestion LAPS, avec le csp basé sur d’autres sources de gestion LAPS.

Intune prise en charge de Windows LAPS inclut les fonctionnalités suivantes :

  • Définir les exigences de mot de passe : définissez les exigences de mot de passe, notamment la complexité et la longueur du compte d’administrateur local sur un appareil.
  • Faire pivoter les mots de passe : avec la stratégie, vous pouvez faire pivoter automatiquement les mots de passe du compte administrateur local selon une planification. Vous pouvez également utiliser le centre d’administration Intune pour faire pivoter manuellement le mot de passe d’un appareil en tant qu’action d’appareil.
  • Comptes de sauvegarde et mots de passe : vous pouvez choisir de faire sauvegarder leur compte et mot de passe par les appareils dans Microsoft Entra ID dans le cloud ou dans votre Active Directory local. Les mots de passe sont stockés à l’aide d’un chiffrement fort.
  • Configurer les actions de post-authentification : définissez les actions qu’un appareil effectue à l’expiration de son mot de passe de compte administrateur local. Les actions vont de la réinitialisation du compte managé pour utiliser un nouveau mot de passe sécurisé, la déconnexion du compte ou l’exécution des deux, puis la mise hors tension de l’appareil. Vous pouvez également gérer la durée d’attente de l’appareil après l’expiration du mot de passe avant d’effectuer ces actions.
  • Afficher les détails du compte : Intune administrateurs disposant d’autorisations de contrôle d’administration en fonction du rôle (RBAC) suffisantes peuvent afficher des informations sur un compte d’administrateur local d’appareils et son mot de passe actuel. Vous pouvez également voir quand ce mot de passe a été pivoté pour la dernière fois (réinitialisation) et quand il est planifié pour la prochaine rotation.
  • Afficher les rapports : Intune fournit des rapports sur la rotation des mots de passe, y compris des détails sur la rotation de mot de passe manuelle et planifiée passée.

Pour en savoir plus sur Windows LAPS, commencez par les articles suivants dans la documentation Windows :

S’applique à :

  • Windows 10
  • Windows 11

Configuration requise

Voici les conditions requises pour Intune pour prendre en charge Windows LAPS dans votre locataire :

Conditions d'octroi de licence

  • Intune abonnement - Microsoft Intune Plan 1, qui est l’abonnement Intune de base. Vous pouvez également utiliser Windows LAPS avec un abonnement d’essai gratuit pour Intune.

  • Microsoft Entra ID : Microsoft Entra ID Gratuit, qui est la version gratuite de Microsoft Entra ID incluse lorsque vous vous abonnez à Intune. Avec Microsoft Entra ID Gratuit, vous pouvez utiliser toutes les fonctionnalités de LAPS.

Prise en charge d’Active Directory

Intune stratégie pour Windows LAPS peut configurer un appareil pour sauvegarder un compte d’administrateur local et un mot de passe dans l’un des types d’annuaires suivants :

Remarque

Les appareils joints à l’espace de travail (WPJ) ne sont pas pris en charge par Intune pour LAPS.

  • Cloud : le cloud prend en charge la sauvegarde sur votre Microsoft Entra ID dans les scénarios suivants :

  • Local : l’environnement local prend en charge la sauvegarde jusqu’à Windows Server Active Directory (Active Directory local).

    Importante

    LAPS sur les appareils Windows peut être configuré pour utiliser un type de répertoire ou l’autre, mais pas les deux. Considérez également que le répertoire de sauvegarde doit être pris en charge par le type de jointure d’appareils : si vous définissez le répertoire sur un Active Directory local et que l’appareil n’est pas joint à un domaine, il accepte les paramètres de stratégie de Intune, mais LAPS ne peut pas utiliser correctement cette configuration.

Édition de l’appareil et plateforme

Les appareils peuvent avoir n’importe quelle édition windows prise en charge par Intune, mais doivent s’exécuter sur l’une des versions suivantes pour prendre en charge le fournisseur de services de configuration Windows LAPS :

  • Windows 10, version 22H2 (19045.2846 ou ultérieure) avec KB5025221
  • Windows 10, version 21H2 (19044.2846 ou ultérieure) avec KB5025221
  • Windows 10, version 20H2 (19042.2846 ou ultérieure) avec KB5025221
  • Windows 11, version 22H2 (22621.1555 ou ultérieure) avec KB5025239
  • Windows 11, version 21H2 (22000.1817 ou ultérieure) avec KB5025224

Prise en charge élevée de GCC

Intune stratégie pour Windows LAPS est prise en charge pour les environnements GCC High.

Contrôles d’accès en fonction du rôle pour LAPS

Pour gérer LAPS, un compte doit disposer d’autorisations de contrôle d’accès en fonction du rôle (RBAC) suffisantes pour effectuer la tâche souhaitée. Voici les tâches disponibles avec les autorisations requises :

  • Créer et accéder à une stratégie LAPS : pour utiliser et afficher des stratégies LAPS, votre compte doit disposer d’autorisations suffisantes à partir de la catégorie RBAC Intune pour les bases de référence de sécurité. Par défaut, ils sont inclus dans le Intune rôle intégré Endpoint Security Manager. Pour utiliser des rôles personnalisés, vérifiez que le rôle personnalisé inclut les droits de la catégorie Bases de référence de sécurité .

  • Faire pivoter le mot de passe de l’administrateur local : pour utiliser le centre d’administration Intune afin d’afficher ou de faire pivoter le mot de passe d’un compte administrateur local d’appareils, les autorisations Intune suivantes doivent être attribuées à votre compte :

    • Appareils gérés : lecture
    • Organisation : Lecture
    • Tâches à distance : Faire pivoter le mot de passe Administration local
  • Récupérer le mot de passe de l’administrateur local : pour afficher les détails du mot de passe, votre compte doit disposer de l’une des autorisations Microsoft Entra suivantes :

    • microsoft.directory/deviceLocalCredentials/password/read pour lire les métadonnées et les mots de passe LAPS.
    • microsoft.directory/deviceLocalCredentials/standard/read pour lire les métadonnées LAPS à l’exclusion des mots de passe.

    Pour créer des rôles personnalisés qui peuvent accorder ces autorisations, consultez Créer et attribuer un rôle personnalisé dans Microsoft Entra ID dans la documentation Microsoft Entra.

  • Afficher Microsoft Entra journaux d’audit et les événements : pour afficher des détails sur les stratégies LAPS et les actions d’appareil récentes, telles que les événements de rotation de mot de passe, votre compte doit disposer d’autorisations équivalentes à l’opérateur de lecture seule de Intune rôle intégré.

Pour plus d’informations sur les rôles intégrés et les rôles personnalisés de Intune, consultez Contrôle d’accès en fonction du rôle pour Microsoft Intune.

LAPS Architecture

Pour plus d’informations sur l’architecture Windows LAPS, consultez Architecture Windows LAPS dans la documentation Windows.

Forum Aux Questions

Puis-je utiliser Intune stratégie LAPS pour gérer un compte d’administrateur local sur un appareil ?

Oui. Intune stratégie LAPS peut être utilisée pour gérer n’importe quel compte d’administrateur local sur un appareil. Toutefois, LAPS ne prend en charge qu’un seul compte par appareil :

  • Lorsqu’une stratégie ne spécifie pas de nom de compte, Intune gère le compte d’administrateur intégré par défaut, quel que soit son nom actuel sur l’appareil.
  • Vous pouvez modifier le compte que Intune gère pour un appareil en modifiant la stratégie attribuée à l’appareil ou en modifiant sa stratégie actuelle pour spécifier un autre compte.
  • Si deux stratégies distinctes sont affectées à un appareil qui spécifient tous deux un compte différent, un conflit se produit et doit être résolu avant que le compte de l’appareil puisse être géré.

Que se passe-t-il si je déploie une stratégie LAPS avec Intune sur un appareil qui a déjà des configurations LAPS à partir d’une autre source ?

La stratégie csp de Intune remplace toutes les autres sources de stratégie LAPS, par exemple à partir d’objets de stratégie de groupe ou d’une configuration de Microsoft LAPS hérité. Pour plus d’informations, consultez Racines de stratégie prises en charge dans la documentation Windows LAPS.

Windows LAPS peut-il créer des comptes d’administrateur local basés sur le nom du compte d’administrateur configuré à l’aide de la stratégie LAPS ?

Non. Windows LAPS peut uniquement gérer les comptes qui existent déjà sur l’appareil. Si une stratégie spécifie un compte par nom qui n’existe pas sur l’appareil, la stratégie s’applique et ne signale pas d’erreur. Toutefois, aucun compte n’est sauvegardé.

Windows LAPS fait-il pivoter et sauvegarde-t-il le mot de passe d’un appareil désactivé dans Microsoft Entra ?

Non. Windows LAPS nécessite que l’appareil soit dans un état activé avant que la rotation du mot de passe et les opérations de sauvegarde puissent s’appliquer.

Que se passe-t-il lorsqu’un appareil est supprimé dans Microsoft Entra ?

Lorsqu’un appareil est supprimé dans Microsoft Entra, les informations d’identification LAPS liées à cet appareil sont perdues et le mot de passe stocké dans Microsoft Entra ID est perdu. Sauf si vous disposez d’un flux de travail personnalisé pour récupérer les mots de passe LAPS et les stocker en externe, il n’existe aucune méthode dans Microsoft Entra ID pour récupérer le mot de passe géré LAPS pour un appareil supprimé.

Quels rôles sont nécessaires pour récupérer les mots de passe LAPS ?

Les rôles de Microsoft Entra intégrés suivants sont autorisés à récupérer les mots de passe LAPS : Administrateur d’appareil cloud et Administrateur Intune.

Quels rôles sont nécessaires pour lire les métadonnées LAPS ?

Les rôles de Microsoft Entra intégrés suivants sont pris en charge pour afficher les métadonnées sur LAPS, notamment le nom de l’appareil, la rotation du dernier mot de passe et la rotation suivante du mot de passe :

  • Lecteur de sécurité

Vous pouvez également utiliser les rôles suivants :

  • Administrateur d’appareil cloud
  • administrateur Intune
  • Administrateur du support technique
  • Administrateur de la sécurité

Pourquoi le bouton Mot de passe de l’administrateur local est-il grisé et inaccessible ?

Actuellement, l’accès à cette zone nécessite l’autorisation Faire pivoter le mot de passe de l’administrateur local Intune. Consultez Contrôle d’accès en fonction du rôle pour Microsoft Intune.

Que se passe-t-il lorsque le compte spécifié par la stratégie est modifié ?

Étant donné que Windows LAPS ne peut gérer qu’un seul compte d’administrateur local sur un appareil à la fois, le compte d’origine n’est plus géré par la stratégie LAPS. Si la stratégie a l’appareil sauvegarder ce compte, le nouveau compte est sauvegardé et les détails sur le compte précédent ne sont plus disponibles dans le centre d’administration Intune ou dans l’annuaire spécifié pour stocker les informations du compte.

Étapes suivantes