Solution de mot de passe d'administrateur local Windows dans Microsoft Entra ID

Chaque appareil Windows est fourni avec un compte d’administrateur local intégré que vous devez sécuriser et protéger pour atténuer les attaques pass-the-hash (PtH) et latérales. De nombreux clients utilisent notre produit Solution de mot de passe d’administrateur local (LAPS) local et autonome pour la gestion des mots de passe des administrateurs locaux de leurs machines Windows jointes à un domaine. Avec la prise en charge de Microsoft Entra pour Windows LAPS, nous fournissons une expérience cohérente pour les appareils joints Microsoft Entra et Microsoft Entra hybrides joints.

La prise en charge de Microsoft Entra pour LAPS inclut les fonctionnalités suivantes :

  • Activation de Windows LAPS avec Microsoft Entra ID : activez une stratégie à l'échelle du locataire et une stratégie côté client pour sauvegarder le mot de passe de l'administrateur local dans Microsoft Entra ID.
  • Gestion des mots de passe de l’administrateur local : configurez des stratégies côté client pour définir le nom du compte, l’âge, la longueur, la complexité, la réinitialisation manuelle du mot de passe, etc.
  • Récupération du mot de passe d’administrateur local : utilisez les expériences d’API/de portail pour la récupération de mot de passe de l’administrateur local.
  • Énumération de tous les appareils Windows LAPS compatibles : utilisez les expériences d’API/de portail pour énumérer tous les appareils Windows dans Microsoft Entra ID activés avec Windows LAPS.
  • Autorisation de récupération du mot de passe d’administrateur local : utilisez des stratégies de contrôle d’accès en fonction du rôle (RBAC) avec des rôles personnalisés et des unités administratives.
  • Audit de la mise à jour et de la récupération des mots de passe de l’administrateur local : utilisez les expériences d’API/de portail des journaux d’audit pour surveiller les événements de mise à jour et de récupération de mot de passe.
  • Stratégies d’accès conditionnel pour la récupération de mot de passe d’administrateur local : configurez des stratégies d’accès conditionnel sur les rôles d’annuaire disposant de l’autorisation de récupération de mot de passe.

Remarque

Windows LAPS avec Microsoft Entra ID n’est pas pris en charge pour les appareils Windows inscrits dans Microsoft Entra.

La solution de mot de passe administrateur local n’est pas prise en charge sur les plateformes autres que Windows.

Pour en savoir plus sur Windows LAPS, commencez par les articles suivants dans la documentation Windows :

Spécifications

Régions Azure et distributions Windows prises en charge

Cette fonctionnalité est désormais disponible dans les clouds Azure suivants :

  • Azure Global
  • Azure Government
  • Microsoft Azure géré par 21Vianet

Mises à jour de système d’exploitation

Cette fonctionnalité est désormais disponible sur les plateformes de système d’exploitation Windows suivantes avec la mise à jour spécifiée ou une version ultérieure installée :

Types de jointure

LAPS est pris en charge sur Microsoft Entra appareils joints ou Microsoft Entra hybrides joints uniquement. Les appareils inscrits à Microsoft Entra ne sont pas pris en charge.

Conditions de licence :

LAPS est disponible pour tous les clients disposant de licences Microsoft Entra ID Free ou supérieures. D’autres fonctionnalités connexes telles que les unités administratives, les rôles personnalisés, l’accès conditionnel et les Intune ont d’autres exigences de licence.

Rôles ou autorisations requis

Outre les rôles Microsoft Entra intégrés, comme Administrateur d’appareil cloud et Administrateur Intune à qui sont octroyés device.LocalCredentials.Read.All, vous pouvez utiliser des rôles personnalisés Microsoft Entra ou des unités administratives pour autoriser la récupération de mot de passe de l’administrateur local. Par exemple :

  • Les rôles personnalisés doivent se voir attribuer l’autorisation microsoft.directory/deviceLocalCredentials/password/read pour autoriser la récupération de mot de passe administrateur local. Vous pouvez créer un rôle personnalisé et accorder des autorisations à l'aide du centre d'administration Microsoft Entra, de l'API Microsoft Graph ou de PowerShell. Une fois que vous avez créé le rôle personnalisé, vous pouvez l'attribuer aux utilisateurs.

  • Vous pouvez également créer une unité administrative Microsoft Entra ID, ajouter des appareils et attribuer le rôle Administrateur d’appareils cloud étendu à l’unité administrative pour autoriser la récupération de mot de passe administrateur local.

Activation de Windows LAPS avec Microsoft Entra ID

Pour activer Windows LAPS avec Microsoft Entra ID, vous devez effectuer des actions dans Microsoft Entra ID et les appareils que vous souhaitez gérer. Nous recommandons aux organisations de gérer Windows LAPS à l’aide de Microsoft Intune. Si vos appareils sont reliés à Microsoft Entra mais n'utilisent pas ou ne prennent pas en charge Microsoft Intune, vous pouvez déployer Windows LAPS pour Microsoft Entra ID manuellement. Pour plus d’informations, consultez l’article Configurer les paramètres de stratégie Windows LAPS.

  1. Connectez-vous au centre d’administration de Microsoft Entra au minimum en tant qu’Administrateur d’appareil cloud.

  2. Accédez àIdentité>Appareils>Vue d’ensemble>Paramètres de l’appareil

  3. Sélectionnez Oui pour le paramètre Activer la Solution de mot de passe d'administrateur local (LAPS), puis sélectionnez Enregistrer. Vous pouvez également utiliser l'API Microsoft Graph Update deviceRegistrationPolicy pour effectuer cette tâche.

  4. Configurez une stratégie côté client et définissez BackUpDirectory sur Microsoft Entra ID.

Récupération du mot de passe de l’administrateur local et des métadonnées du mot de passe

Pour afficher le mot de passe de l’administrateur local d’un appareil Windows joint à Microsoft Entra ID, vous devez disposer de l’action microsoft.directory/deviceLocalCredentials/password/read.

Pour afficher les métadonnées du mot de passe de l’administrateur local d’un appareil Windows joint à Microsoft Entra ID, vous devez disposer de l’action microsoft.directory/deviceLocalCredentials/standard/read.

Les rôles intégrés suivants disposent par défaut de ces actions :

Rôle intégré microsoft.directory/deviceLocalCredentials/standard/read et microsoft.directory/deviceLocalCredentials/password/read microsoft.directory/deviceLocalCredentials/standard/read
Administrateur d’appareil cloud Oui Oui
Administrateur du service Intune Oui Oui
Administrateur du support technique Non Oui
Administrateur de la sécurité Non Oui
Lecteur de sécurité Non Oui

Les rôles non répertoriés ne bénéficient d’aucune action.

Vous pouvez également utiliser l’API Microsoft Graph Get deviceLocalCredentialInfo pour récupérer le mot de passe administratif local. Si vous utilisez l’API Microsoft Graph, le mot de passe retourné est en valeur codée en Base64 que vous devez décoder avant de l’utiliser.

Répertorier tous les appareils Windows LAPS activés

Pour répertorier tous les appareils compatibles Windows LAPS, vous pouvez accéder à Présentation des>appareils d'>identité>Récupération du mot de passe de l'administrateur local ou utiliser l'API Microsoft Graph.

Audit de la mise à jour et de la récupération des mots de passe de l’administrateur local

Pour afficher les événements d’audit, vous pouvez accéder à Identité>Appareils>Vue d’ensemble>Journaux d’audit, puis utiliser le filtre Activité et rechercher Mettre à jour le mot de passe de l’administrateur local de l’appareil ou Récupérer le mot de passe de l’administrateur local de l’appareil pour afficher les événements d’audit.

Stratégies d’accès conditionnel pour la récupération de mot de passe administrateur local

Les stratégies d’accès conditionnel peuvent être étendues aux rôles intégrés pour protéger l’accès afin de récupérer les mots de passe de l’Administrateur local. Vous trouverez un exemple de stratégie qui nécessite une authentification multifacteur dans l’article Stratégie d’accès conditionnel commun : exiger l’authentification multifacteur pour les administrateurs.

Notes

Les autres types de rôles ne sont pas pris en charge, y compris les rôles de portée d’unité administrative et les rôles personnalisés.

Forum aux questions

La prise en charge de Windows LAPS avec la configuration de gestion Microsoft Entra est-elle assurée à l’aide des objets de stratégie de groupe ?

Oui, pour les appareils à jonction hybride Microsoft Entra uniquement. Consultez Stratégie de groupe Windows LAPS.

La configuration de gestion de Windows LAPS avec Microsoft Entra est-elle prise en charge par MDM ?

Oui, pour Microsoft Entra joint/Microsoft Entra des appareils de jointure hybride (cogérées). Les clients peuvent utiliser Microsoft Intune ou tout autre logiciel de gestion des périphériques mobiles (GPM) tiers de leur choix.

Que se passe-t-il lorsqu’un appareil est supprimé dans Microsoft Entra ID ?

Lorsqu'un appareil est supprimé dans Microsoft Entra ID, les identifiants LAPS liées à cet appareil sont perdues, ainsi que le mot de passe stocké dans Microsoft Entra ID. Sauf si vous disposez d’un workflow personnalisé pour récupérer les mots de passe LAPS et les stocker en externe, il n’existe aucune méthode dans Microsoft Entra ID pour récupérer le mot de passe géré LAPS pour un appareil supprimé.

Quels rôles sont nécessaires pour récupérer les mots de passe LAPS ?

Les rôles Microsoft Entra intégrés suivants ont l’autorisation de récupérer les mots de passe LAPS : Administrateur d’appareils cloud et Administrateur Intune.

Quels rôles sont nécessaires pour lire les métadonnées LAPS ?

Les rôles intégrés suivants sont pris en charge pour afficher les métadonnées relatives aux LAPS, notamment le nom de l’appareil, la rotation du dernier mot de passe et la rotation du mot de passe suivant : Administrateur d’appareils cloud, Administrateur Intune, Administrateur du support technique, Lecteur de sécurité et Administrateur de la sécurité.

Les rôles personnalisés sont-ils pris en charge ?

Oui. Si vous disposez de Microsoft Entra ID P1 ou P2, vous pouvez créer un rôle personnalisé avec les autorisations RBAC suivantes :

  • Pour lire les métadonnées LAPS : microsoft.directory/deviceLocalCredentials/standard/read
  • Pour lire les mots de passe LAPS : microsoft.directory/deviceLocalCredentials/password/read

Que se passe-t-il lorsque le compte d’administrateur local spécifié par la stratégie est modifié ?

Étant donné que Windows LAPS ne peut gérer qu’un seul compte d’administrateur local sur un appareil à la fois, le compte d’origine n’est plus géré par la stratégie LAPS. Si la stratégie requiert que l'appareil sauvegarde ce compte, le nouveau compte est sauvegardé et les détails du compte précédent ne sont plus disponibles à partir du Centre d'administration Intune ou de l'annuaire spécifié pour stocker les informations du compte.

Étapes suivantes