Configuration de LAPS sur salles Teams sur Windows

Cet article fournit une vue d’ensemble de LAPS, de son architecture et des étapes de configuration de LAPS pour salles Teams sur Windows.

La solution de mot de passe de l’administrateur local Windows (LAPS) est une fonctionnalité Windows qui gère et sauvegarde le mot de passe du compte d’administrateur local dans Microsoft Entra joint (Entra Joined) ou Active Directory (AD). Il offre une protection renforcée contre les attaques de mot de passe de compte d’administrateur local et répond aux exigences clés des clients pour le déploiement de salles Teams sur les appareils Windows.

Qu’est-ce que LAPS ?

LAPS est une solution qui génère automatiquement un mot de passe aléatoire et complexe pour le compte d’administrateur local sur chaque appareil Windows et le stocke en toute sécurité dans Entra ou Active Directory. Le mot de passe est régulièrement modifié en fonction de la stratégie configurée et peut être récupéré par les utilisateurs autorisés lorsque l’accès est requis. LAPS réduit le risque d’attaques de mouvement latéral et d’escalade de privilèges qui exploitent le même mot de passe administrateur local sur plusieurs appareils. Il simplifie la gestion des mots de passe d’administrateur local et élimine le besoin de solutions manuelles ou scriptées.

Architecture Windows LAPS

LAPS se compose des composants suivants :

  • Une tâche en arrière-plan périodique s’exécute sur chaque appareil Windows et effectue les opérations de modification de mot de passe et de sauvegarde.
  • Un module PowerShell qui fournit des applets de commande pour administrer et récupérer les mots de passe.
  • Activez Microsoft Entra extension de schéma de solution de mot de passe administrateur local (LAPS) pour AD, qui ajoute un attribut pour stocker le mot de passe et les informations associées.

Architecture et workflow LAPS :

Architecture Windows LAPS avec un appareil managé, Azure Active Directory et Windows Server ActiveDirectory.

Déploiement LAPS

Avant de déployer sur salles Teams sur Windows, vous devez prendre en compte les éléments suivants :

  • Laps doit être déployé à l’aide de l’ID Entra dans la mesure du possible, car il offre une meilleure sécurité et une meilleure scalabilité qu’Active Directory.
  • Les appareils doivent être joints à Entra ou Entra hybride joints et gérés par Intune avant de procéder au déploiement LAPS.
  • Tous les périphériques ou points de terminaison qui se connectent au salles Teams sur un appareil Windows à l’aide des informations d’identification de l’administrateur local perdent la connexion lors du redémarrage ou de la modification du mot de passe. Certaines implémentations OEM utilisent cette méthode pour connecter des contrôleurs de salle. L’OEM doit être consulté pour connaître la compatibilité et d’autres solutions.
  • Que toutes les instructions de ce document ont été configurées et testées par rapport aux builds OEM et excluent toutes les images personnalisées.
  • Que vous disposez d’un groupe d’appareils dédié pour salles Teams sur les appareils Windows pour la gestion et l’attribution des stratégies. Si ce n’est pas disponible, créez-en un avant de continuer.

Remarque

Certains fabricants OEM comme Crestron nécessitent le nom d’utilisateur et le mot de passe locaux pour connecter des périphériques tels que des contrôleurs tactiles. Pour plus d’informations sur les impacts de la modification du mot de passe du compte local, contactez Crestron avant l’implémentation.

Le déploiement de LAPS pour salles Teams sur les appareils Windows nécessite les éléments suivants :

  • Configuration des paramètres d’ID Entra pour activer LAPS.
  • Création et affectation de la stratégie LAPS dans Intune.
  • Vérification de la modification et de la sauvegarde du mot de passe sur les appareils.

Configuration d’Entra

Pour activer LAPS dans l’ID Entra :

  1. Accédez à https://entra.microsoft.com.
  2. Cliquez surAppareils>d’identité>Tous les appareils.
  3. Sélectionnez Paramètres de l’appareil.
  4. Activez l’option Activer Microsoft Entra solutions de mot de passe d’administrateur local sur Oui.
  5. Cliquez sur Enregistrer.

configuration Intune

Pour créer et affecter la stratégie LAPS dans Intune, procédez comme suit :

  1. Accédez au Centre Intune Administration à l’adresse https://intune.microsoft.com.
  2. Sélectionnez Sécurité du point de terminaison dans le volet de navigation de gauche.
  3. Sélectionnez Protection du compte.
  4. Sélectionnez Créer une stratégie.
  5. Pour Plateforme, sélectionnez Windows 10 et versions ultérieures et profilez Solution de mot de passe administrateur local (Windows LAPS).
  6. Cliquez sur Créer.

Pour configurer les paramètres de stratégie :

  1. Entrez un nom de stratégie tel que salles Teams sur la stratégie LaPS Windows.
  2. Entrez une description si nécessaire, puis cliquez sur Suivant.
  3. Sélectionnez Répertoire de sauvegarde pour sauvegarder le mot de passe dans Azure AD uniquement.
  4. Activez la case à cocher Jours d’âge du mot de passe pour configurer et entrez la valeur souhaitée.
  5. Activez le nom du compte administrateur sur configuré et entrez Administration pour qu’il corresponde au nom d’utilisateur prédéfini du compte d’administrateur local sur le salles Teams sur la console Windows.
  6. Sélectionnez la méthode de complexité du mot de passe souhaitée.
  7. Activez l’option Longueur du mot de passe configurée et entrez la longueur de mot de passe souhaitée avec 8 minimum et 64 maximum.
  8. Cliquez deux fois sur Suivant si vous n’utilisez pas de balises d’étendue.

Pour affecter la stratégie à un groupe de salles Teams gérés par Intune sur des appareils Windows :

  1. Sélectionnez Affectations.
  2. Sélectionnez le groupe qui contient les salles Teams sur les appareils Windows et étenduez correctement la stratégie. Sélectionnez Suivant.
  3. Une fois que vous avez vérifié que la stratégie et l’étendue sont correctes, sélectionnez Créer pour appliquer la stratégie aux appareils dans l’étendue.
  4. Attendez jusqu’à une heure que la stratégie s’applique et que le mot de passe soit modifié.

Gestion de LAPS

Pour récupérer le mot de passe de l’administrateur local à partir du Entra Administration Center :

  1. Accédez à https://entra.microsoft.com.
  2. Cliquez surAppareils>d’identité>Tous les appareils.
  3. Sélectionnez Récupération du mot de passe de l’administrateur local.
  4. Recherchez un appareil activé ou sélectionnez dans la liste préremplies.
  5. Cliquez sur Afficher le mot de passe de l’administrateur local.
  6. Cliquez sur Afficher pour afficher le mot de passe. Notez les horodatages de la dernière rotation et du suivant.

Pour consulter les journaux d’audit dans Entra :

  1. Accédez à https://entra.microsoft.com.
  2. Cliquez surAppareils>d’identité>Tous les appareils>Journaux d’audit.
  3. Sélectionnez Activité pour filtrer par rapport à Mettre à jour le mot de passe de l’administrateur local de l’appareil ou aumot de passe de l’administrateur local de l’appareil R ecover pour passer en revue les événements.

Résumé

LAPS est une fonctionnalité Windows qui améliore la sécurité et la gestion des mots de passe d’administrateur local pour les salles Teams sur les appareils Windows. Il génère et sauvegarde automatiquement les mots de passe dans Entra et permet aux utilisateurs autorisés de les récupérer si nécessaire. LAPS empêche également la réutilisation des mots de passe et simplifie la rotation des mots de passe. Ce document décrit les étapes de déploiement et de maintenance de LAPS pour salles Teams sur des appareils Windows à l’aide de Entra et Intune.