Partager via


FOURNISSEUR DE SERVICES DE CONFIGURATION LAPS

Le fournisseur de services de configuration (CSP) de la solution de mot de passe de l’administrateur local (LAPS) est utilisé par l’entreprise pour gérer la sauvegarde des mots de passe de compte d’administrateur local. Windows prend en charge un objet stratégie de groupe LAPS entièrement distinct du fournisseur de services de configuration LAPS. La plupart des différents paramètres sont communs à l’objet de stratégie de groupe LAPS et au csp (l’objet de stratégie de groupe ne prend en charge aucun des paramètres liés à l’action). Tant qu’au moins un paramètre LAPS est configuré via CSP, tous les paramètres configurés pour les objets de stratégie de groupe sont ignorés. Consultez également Configurer les paramètres de stratégie pour Windows LAPS.

Remarque

Pour plus d’informations sur les mises à jour de système d’exploitation spécifiques requises pour utiliser le fournisseur de services de configuration Windows LAPS et les fonctionnalités associées, ainsi que les status actuelles du scénario LAPS Microsoft Entra, consultez Disponibilité windows LAPS et Microsoft Entra status la préversion publique LAPS.

Astuce

Cet article décrit les détails techniques spécifiques du fournisseur de services de configuration LAPS. Pour plus d’informations sur les scénarios dans lesquels le fournisseur de services de configuration LAPS serait utilisé, consultez Solution de mot de passe d’administrateur local Windows.

La liste suivante présente les nœuds du fournisseur de services de configuration LAPS :

Actions

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Actions

Définit le nœud intérieur parent pour tous les paramètres liés à l’action dans le csp LAPS.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format node
Type d’accès Télécharger

Actions/ResetPassword

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword

Utilisez ce paramètre pour indiquer au fournisseur de solutions Cloud de générer et de stocker immédiatement un nouveau mot de passe pour le compte d’administrateur local géré.

Cette action appelle une réinitialisation immédiate du mot de passe du compte administrateur local, en ignorant les contraintes normales telles que PasswordLengthDays, etc.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format null
Type d’accès Exec

Actions/ResetPasswordStatus

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus

Utilisez ce paramètre pour interroger le status de la dernière action d’exécution ResetPassword envoyée.

La valeur retournée est un code HRESULT :

  • S_OK (0x0) : la dernière action ResetPassword envoyée a réussi.
  • E_PENDING (0x8000000) : la dernière action ResetPassword envoyée est toujours en cours d’exécution.
  • Autre : la dernière action ResetPassword envoyée a rencontré l’erreur retournée.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Télécharger
Valeur par défaut 0

Stratégies

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies

Nœud racine pour les stratégies LAPS.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format node
Type d’accès Télécharger
Atomic Required Vrai

Policies/ADEncryptedPasswordHistorySize

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize

Utilisez ce paramètre pour configurer le nombre de mots de passe chiffrés précédents mémorisés dans Active Directory.

S’il n’est pas spécifié, ce paramètre est défini par défaut sur 0 mot de passe (désactivé).

Ce paramètre a une valeur minimale autorisée de 0 mot de passe.

Ce paramètre a une valeur maximale autorisée de 12 mots de passe.

Important

Ce paramètre est ignoré, sauf si ADPasswordEncryptionEnabled est configuré sur True et que toutes les autres conditions préalables sont remplies.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-12]
Valeur par défaut 0
Dépendance [BackupDirectory] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory
Valeur autorisée de dépendance : 2
Type de valeur autorisée de dépendance : ENUM

Policies/AdministratorAccountName

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName

Utilisez ce paramètre pour configurer le nom du compte d’administrateur local managé.

S’il n’est pas spécifié, le compte d’administrateur local intégré par défaut se trouve par SID connu (même s’il est renommé).

S’il est spécifié, le mot de passe du compte spécifié est géré.

Notez que si un nom de compte d’administrateur local géré personnalisé est spécifié dans ce paramètre, ce compte doit être créé par d’autres moyens. La spécification d’un nom dans ce paramètre n’entraîne pas la création du compte.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer

Policies/ADPasswordEncryptionEnabled

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled

Utilisez ce paramètre pour configurer si le mot de passe est chiffré avant d’être stocké dans Active Directory.

Ce paramètre est ignoré si le mot de passe est actuellement stocké dans Microsoft Entra ID.

Ce paramètre n’est respecté que lorsque le domaine Active Directory se trouve à Windows Server 2016 niveau fonctionnel du domaine ou supérieur.

  • Si ce paramètre est activé et que le domaine Active Directory répond aux conditions préalables DFL, le mot de passe est chiffré avant d’être stocké dans Active Directory.

  • Si ce paramètre est désactivé ou si le domaine Active Directory ne répond pas aux conditions préalables DFL, le mot de passe est stocké en texte clair dans Active Directory.

Si ce paramètre n’est pas spécifié, la valeur par défaut est True.

Important

Ce paramètre est ignoré, sauf si BackupDirectory est configuré pour sauvegarder le mot de passe dans Active Directory et que le domaine Active Directory se trouve à Windows Server 2016 niveau fonctionnel du domaine ou supérieur.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format bool
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut Vrai
Dépendance [BackupDirectory] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory
Valeur autorisée de dépendance : 2
Type de valeur autorisée de dépendance : ENUM

Valeurs autorisées:

Valeur Description
false Stockez le mot de passe sous forme de texte clair dans Active Directory.
true (par défaut) Stockez le mot de passe sous forme chiffrée dans Active Directory.

Policies/ADPasswordEncryptionPrincipal

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal

Utilisez ce paramètre pour configurer le nom ou le SID d’un utilisateur ou d’un groupe qui peut déchiffrer le mot de passe stocké dans Active Directory.

Ce paramètre est ignoré si le mot de passe est actuellement stocké dans Microsoft Entra ID.

S’il n’est pas spécifié, le mot de passe est déchiffrable par le groupe Administrateurs du domaine dans le domaine de l’appareil.

S’il est spécifié, l’utilisateur ou le groupe spécifié peut déchiffrer le mot de passe stocké dans Active Directory.

Si le compte d’utilisateur ou de groupe spécifié n’est pas valide, l’appareil utilise le groupe Administrateurs du domaine dans le domaine de l’appareil.

Important

Ce paramètre est ignoré, sauf si ADPasswordEncryptionEnabled est configuré sur True et que toutes les autres conditions préalables sont remplies. La chaîne stockée dans ce paramètre doit être un SID sous forme de chaîne ou le nom complet d’un utilisateur ou d’un groupe. Voici quelques exemples valides :

  • S-1-5-21-2127521184-1604012920-1887927527-35197
  • contoso\LAPSAdmins
  • lapsadmins@contoso.com

Le principal identifié (par sid ou par nom d’utilisateur/groupe) doit exister et être résolu par l’appareil.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Dépendance [BackupDirectory] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory
Valeur autorisée de dépendance : 2
Type de valeur autorisée de dépendance : ENUM

Policies/AutomaticAccountManagementEnableAccount

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount

Utilisez ce paramètre pour configurer si le compte géré automatiquement est activé ou désactivé.

  • Si ce paramètre est activé, le compte cible est activé.

  • Si ce paramètre est désactivé, le compte cible est désactivé.

Si ce paramètre n’est pas spécifié, la valeur par défaut est False.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format bool
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut Faux
Dépendance [AutomaticAccountManagementEnabled] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Valeur autorisée de dépendance : true
Type de valeur autorisée de dépendance : ENUM

Valeurs autorisées:

Valeur Description
False (valeur par défaut) Le compte cible est désactivé.
Vrai Le compte cible sera activé.

Policies/AutomaticAccountManagementEnabled

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled

Utilisez ce paramètre pour spécifier si la gestion automatique des comptes est activée.

  • Si ce paramètre est activé, le compte cible est géré automatiquement.

  • Si ce paramètre est désactivé, le compte cible n’est pas géré automatiquement.

Si ce paramètre n’est pas spécifié, la valeur par défaut est False.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format bool
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut Faux

Valeurs autorisées:

Valeur Description
false (par défaut) Le compte cible ne sera pas géré automatiquement.
true Le compte cible sera géré automatiquement.

Policies/AutomaticAccountManagementNameOrPrefix

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix

Utilisez ce paramètre pour configurer le nom ou le préfixe du compte d’administrateur local managé.

Si elle est spécifiée, la valeur est utilisée comme nom ou préfixe de nom du compte managé.

S’il n’est pas spécifié, ce paramètre est défini par défaut sur « WLapsAdmin ».

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format chr (chaîne)
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Dépendance [AutomaticAccountManagementEnabled] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Valeur autorisée de dépendance : true
Type de valeur autorisée de dépendance : ENUM

Policies/AutomaticAccountManagementRandomizeName

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName

Utilisez ce paramètre pour configurer si le nom du compte géré automatiquement utilise un suffixe numérique aléatoire chaque fois que le mot de passe est pivoté.

Si ce paramètre est activé, le nom du compte cible utilise un suffixe numérique aléatoire.

Si ce paramètre est désablable, le nom du compte cible n’utilise pas de suffixe numérique aléatoire.

Si ce paramètre n’est pas spécifié, la valeur par défaut est False.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format bool
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut Faux
Dépendance [AutomaticAccountManagementEnabled] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Valeur autorisée de dépendance : true
Type de valeur autorisée de dépendance : ENUM

Valeurs autorisées:

Valeur Description
False (valeur par défaut) Le nom du compte cible n’utilise pas de suffixe numérique aléatoire.
Vrai Le nom du compte cible utilise un suffixe numérique aléatoire.

Policies/AutomaticAccountManagementTarget

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget

Utilisez ce paramètre pour configurer le compte géré automatiquement.

Les paramètres autorisés sont les suivants :

0=Le compte d’administrateur intégré sera géré.

1=Un nouveau compte créé par Windows LAPS sera géré.

S’il n’est pas spécifié, ce paramètre est défini par défaut sur 1.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 1
Dépendance [AutomaticAccountManagementEnabled] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Valeur autorisée de dépendance : true
Type de valeur autorisée de dépendance : ENUM

Valeurs autorisées:

Valeur Description
0 Gérer le compte d’administrateur intégré.
1 (par défaut) Gérer un nouveau compte d’administrateur personnalisé.

Policies/BackupDirectory

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory

Utilisez ce paramètre pour configurer le répertoire dans lequel le mot de passe du compte d’administrateur local est sauvegardé.

Les paramètres autorisés sont les suivants :

0=Désactivé (le mot de passe ne sera pas sauvegardé) 1=Sauvegarder le mot de passe dans Microsoft Entra ID seulement 2=Sauvegarder le mot de passe dans Active Directory uniquement.

S’il n’est pas spécifié, ce paramètre est défini par défaut sur 0.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 0

Valeurs autorisées:

Valeur Description
0 (par défaut) Désactivé (le mot de passe n’est pas sauvegardé).
1 Sauvegardez le mot de passe dans Microsoft Entra ID uniquement.
2 Sauvegardez le mot de passe dans Active Directory uniquement.

Policies/PassphraseLength

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength

Utilisez ce paramètre pour configurer le nombre de mots de phrase secrète.

S’il n’est pas spécifié, ce paramètre est défini par défaut sur 6 mots.

Ce paramètre a une valeur minimale autorisée de 3 mots.

Ce paramètre a une valeur maximale autorisée de 10 mots.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [3-10]
Valeur par défaut 6
Dépendance [PasswordComplexity] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/PasswordComplexity
Valeur autorisée de dépendance : [6-8]
Type de valeur autorisée de dépendance : Range

Policies/PasswordAgeDays

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays

Utilisez cette stratégie pour configurer l’âge maximal du mot de passe du compte d’administrateur local géré.

S’il n’est pas spécifié, ce paramètre est défini par défaut sur 30 jours.

Ce paramètre a une valeur minimale autorisée de 1 jour lors de la sauvegarde du mot de passe dans Active Directory local et de 7 jours lors de la sauvegarde du mot de passe dans Microsoft Entra ID.

Ce paramètre a une valeur maximale autorisée de 365 jours.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [1-365]
Valeur par défaut 30
Dépendance [BackupDirectoryAADMode BackupDirectoryADMode] Type de dépendance : DependsOn DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory
Valeur autorisée de dépendance :
Type de valeur autorisée de dépendance : ENUM ENUM

Policies/PasswordComplexity

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity

Utilisez ce paramètre pour configurer la complexité du mot de passe du compte d’administrateur local managé.

Les paramètres autorisés sont les suivants :

1=Grandes lettres 2=Grandes lettres + lettres minuscules 3=Grandes lettres + lettres minuscules + chiffres 4=Grandes lettres + lettres minuscules + chiffres + caractères spéciaux 5=Grandes lettres + petites lettres + chiffres + caractères spéciaux (lisibilité améliorée) 6=Phrase secrète (mots longs) 7=Phrase secrète (mots courts) 8=Phrase secrète (mots courts) (mots courts avec préfixes uniques)

Si ce paramètre n’est pas spécifié, la valeur par défaut est 4.

Liste de phrases secrètes extraite de « Deep Dive : EFF’s New Wordlists for Random Passphrases » par Electronic Frontier Foundation, et est utilisée sous une licence d’attribution CC-BY-3.0. Si vous souhaitez en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2255471.

Important

Windows prend en charge les paramètres de complexité de mot de passe inférieurs (1, 2 et 3) uniquement pour la compatibilité descendante avec les versions antérieures de LAPS. Microsoft recommande que ce paramètre soit toujours configuré sur 4.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 4

Valeurs autorisées:

Valeur Description
1 De grandes lettres.
2 Grandes lettres + lettres minuscules.
3 Grandes lettres + petites lettres + chiffres.
4 (par défaut) Grandes lettres + petites lettres + chiffres + caractères spéciaux.
5 Grandes lettres + lettres minuscules + chiffres + caractères spéciaux (meilleure lisibilité).
6 Phrase secrète (mots longs).
7 Phrase secrète (mots courts).
8 Phrase secrète (mots courts avec des préfixes uniques).

Policies/PasswordExpirationProtectionEnabled

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled

Utilisez ce paramètre pour configurer une application supplémentaire de l’âge maximal du mot de passe pour le compte d’administrateur local géré.

Lorsque ce paramètre est activé, l’expiration planifiée du mot de passe qui entraînerait une ancienneté du mot de passe supérieure à celle dictée par la stratégie « PasswordAgeDays » n’est PAS autorisée. Lorsque cette expiration est détectée, le mot de passe est immédiatement modifié et la nouvelle date d’expiration du mot de passe est définie conformément à la stratégie.

Si ce paramètre n’est pas spécifié, la valeur par défaut est True.

Important

Ce paramètre est ignoré, sauf si BackupDirectory est configuré pour sauvegarder le mot de passe dans Active Directory.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format bool
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut Vrai
Dépendance [BackupDirectory] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory
Valeur autorisée de dépendance : 2
Type de valeur autorisée de dépendance : ENUM

Valeurs autorisées:

Valeur Description
false Autoriser l’horodatage d’expiration du mot de passe configuré à dépasser l’âge maximal du mot de passe.
true (par défaut) N’autorisez pas l’horodatage d’expiration du mot de passe configuré à dépasser l’âge maximal du mot de passe.

Policies/PasswordLength

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength

Utilisez ce paramètre pour configurer la longueur du mot de passe du compte d’administrateur local géré.

S’il n’est pas spécifié, ce paramètre est défini par défaut sur 14 caractères.

Ce paramètre a une valeur minimale autorisée de 8 caractères.

Ce paramètre a une valeur maximale autorisée de 64 caractères.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [8-64]
Valeur par défaut 14
Dépendance [PasswordComplexity] Type de dépendance : DependsOn
URI de dépendance : Vendor/MSFT/LAPS/Policies/PasswordComplexity
Valeur autorisée de dépendance : [1-5]
Type de valeur autorisée de dépendance : Range

Policies/PostAuthenticationActions

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions

Utilisez ce paramètre pour spécifier les actions à effectuer à l’expiration de la période de grâce configurée.

Si ce paramètre n’est pas spécifié, la valeur par défaut est 3 (réinitialisez le mot de passe et déconnectez le compte managé).

Important

Les actions post-authentification autorisées sont destinées à limiter la durée pendant laquelle un mot de passe LAPS peut être utilisé avant d’être réinitialisé. La déconnexion du compte géré ( ou le redémarrage de l’appareil ) sont des options permettant de le garantir. L’arrêt brusque des sessions d’ouverture de session ou le redémarrage de l’appareil peut entraîner une perte de données.

Important

Du point de vue de la sécurité, un utilisateur malveillant qui acquiert des privilèges d’administration sur un appareil à l’aide d’un mot de passe LAPS valide a la possibilité ultime d’empêcher ou de contourner ces mécanismes.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeur par défaut 3

Valeurs autorisées:

Valeur Description
1 Réinitialiser le mot de passe : à l’expiration de la période de grâce, le mot de passe du compte géré est réinitialisé.
3 (par défaut) Réinitialisez le mot de passe et déconnectez-vous du compte géré : à l’expiration de la période de grâce, le mot de passe du compte géré est réinitialisé et toutes les sessions d’ouverture de session interactives utilisant le compte managé sont terminées.
5 Réinitialiser le mot de passe et redémarrer : à l’expiration de la période de grâce, le mot de passe du compte géré est réinitialisé et l’appareil géré est immédiatement redémarré.
11 Réinitialisez le mot de passe, déconnectez le compte managé et arrêtez tous les processus restants : à l’expiration de la période de grâce, le mot de passe du compte managé est réinitialisé, toutes les sessions d’ouverture de session interactives utilisant le compte managé sont déconnectées et tous les processus restants sont arrêtés.

Policies/PostAuthenticationResetDelay

Étendue Éditions Système d’exploitation applicable
✅ Appareil
❌Utilisateur
✅Pro
✅ Enterprise
✅ Éducation
✅Windows SE
✅ IoT Enterprise / IoT Enterprise LTSC
✅ [10.0.20348.1663] et versions ultérieures
✅ [10.0.25145] et versions ultérieures
✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures
✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures
✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures
✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay

Utilisez ce paramètre pour spécifier la durée (en heures) d’attente après une authentification avant d’exécuter les actions post-authentification spécifiées.

S’il n’est pas spécifié, ce paramètre est défini par défaut sur 24 heures.

Ce paramètre a une valeur minimale autorisée de 0 heure (cela désactive toutes les actions post-authentification).

Ce paramètre a une valeur maximale autorisée de 24 heures.

Propriétés de l’infrastructure de description :

Nom de la propriété Valeur de la propriété
Format int
Type d’accès Ajouter, Supprimer, Obtenir, Remplacer
Valeurs autorisées Gamme: [0-24]
Valeur par défaut 24

Applicabilité des paramètres

Le csp LAPS peut être utilisé pour gérer les appareils joints à Microsoft Entra ID ou joints à Microsoft Entra ID et Active Directory (jointure hybride). Le csp LAPS gère une combinaison de paramètres Microsoft Entra uniquement et AD uniquement. Les paramètres AD uniquement s’appliquent uniquement aux appareils joints hybrides, puis uniquement lorsque BackupDirectory est défini sur 2.

Nom du paramètre Joint à Azure Jointure hybride
BackupDirectory Oui Oui
PasswordAgeDays Oui Oui
PasswordLength Oui Oui
PasswordComplexité Oui Oui
PasswordExpirationProtectionEnabled Non Oui
AdministratorAccountName Oui Oui
ADPasswordEncryptionEnabled Non Oui
ADPasswordEncryptionPrincipal Non Oui
ADEncryptedPasswordHistorySize Non Oui
PostAuthenticationResetDelay Oui Oui
PostAuthenticationActions Oui Oui
ResetPassword Oui Oui
ResetPasswordStatus Oui Oui

Exemples SyncML

Les exemples suivants sont fournis pour afficher le format correct et ne doivent pas être considérés comme une recommandation.

Mot de passe de sauvegarde d’appareil joint à Azure jusqu’à Microsoft Entra ID

Cet exemple montre comment configurer un appareil joint à Azure pour sauvegarder son mot de passe dans Microsoft Entra ID :

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>1</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>7</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>32</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>8</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Mot de passe de sauvegarde d’appareil joint hybride jusqu’à Active Directory

Cet exemple montre comment configurer un appareil hybride pour sauvegarder son mot de passe dans Active Directory avec le chiffrement de mot de passe activé :

<SyncMl xmlns="SYNCML:SYNCML1.2">
  <SyncBody>
    <Add>
      <CmdId>1</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>2</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>2</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>20</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>3</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>3</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>4</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>14</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>5</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>ContosoLocalLapsAdmin</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>6</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>7</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">bool</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>True</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>8</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">chr</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>LAPSAdmins@contoso.com</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>9</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>6</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>10</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>4</Data>
      </Item>
    </Add>
    <Add>
      <CmdId>11</CmdId>
      <Item>
        <Target>
          <LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
        </Target>
        <Meta>
          <Format xmlns="syncml:metinf">int</Format>
          <Type>text/plain</Type>
        </Meta>
        <Data>5</Data>
      </Item>
    </Add>&lt;Final/&gt;</SyncBody>
</SyncMl>

Informations de référence sur les fournisseurs de services de configuration