Gérer la stratégie Windows LAPS avec Microsoft Intune

  • Article

Lorsque vous êtes prêt à gérer la solution de mot de passe d’administrateur local Windows (Windows LAPS) sur les appareils Windows que vous gérez avec Microsoft Intune, les informations contenues dans cet article peuvent vous aider à utiliser le Centre d’administration Intune pour :

  • Créez et affectez une stratégie LAPS Intune aux appareils.
  • Afficher les détails du compte d’administrateur local d’un appareil.
  • Faites pivoter manuellement le mot de passe du compte managé.
  • Utiliser des rapports sur la stratégie LAPS.

Avant de créer des stratégies, familiarisez-vous avec les informations contenues dans Microsoft Intune prise en charge de Windows LAPS, notamment :

  • Vue d’ensemble de la stratégie et des fonctionnalités Windows LAPS d’Intune.
  • Conditions préalables à l’utilisation de stratégies Intune pour LAPS.
  • Les autorisations de contrôle d’administration en fonction du rôle (RBAC) dont votre compte a besoin pour gérer la stratégie LAPS.
  • Forum aux questions qui peuvent fournir des informations sur la configuration et l’utilisation de la stratégie LAPS Intune.

S’applique à :

  • Windows 10
  • Windows 11

À propos de la stratégie LAPS Intune

Intune prend en charge la configuration de Windows LAPS sur les appareils via le profil de la solution de mot de passe d’administrateur local (Windows LAPS), disponible via les stratégies de sécurité de point de terminaison pour la protection des comptes.

Les stratégies Intune gèrent LAPS à l’aide du fournisseur de services de configuration (CSP) Windows LAPS. Les configurations csp Windows LAPS sont prioritaires sur toutes les configurations existantes provenant d’autres sources LAPS, telles que les objets de stratégie de groupe ou l’outil Microsoft LAPS hérité .

Windows LAPS permet la gestion d’un seul compte d’administrateur local par appareil. La stratégie Intune peut spécifier le compte d’administrateur local auquel elle s’applique à l’aide du paramètre de stratégie Nom du compte administrateur. Si le nom de compte spécifié dans la stratégie n’est pas présent sur l’appareil, aucun compte n’est géré. Toutefois, lorsque nom du compte administrateur est laissé vide, la stratégie utilise par défaut le compte d’administrateur local intégré des appareils qui est identifié par son identificateur relatif (RID) bien connu.

Remarque

Assurez-vous que les conditions préalables à la prise en charge de Windows LAPS dans votre locataire sont remplies avant de créer des stratégies.

Les stratégies LAPS d’Intune ne créent pas de comptes ou de mots de passe. Au lieu de cela, ils gèrent un compte qui se trouve déjà sur l’appareil.

Configurez et affectez soigneusement des stratégies LAPS. Le csp Windows LAPS prend en charge une configuration unique pour chaque paramètre LAPS sur un appareil. Les appareils qui reçoivent plusieurs stratégies Intune qui incluent des paramètres en conflit peuvent ne pas traiter la stratégie. Les conflits peuvent également empêcher la sauvegarde du compte d’administrateur local managé et du mot de passe dans l’annuaire de vos locataires.

Pour réduire les conflits potentiels, nous vous recommandons d’attribuer une stratégie LAPS unique à chaque appareil via des groupes d’appareils, et non par le biais de groupes d’utilisateurs. Bien que la stratégie LAPS prenne en charge les attributions de groupes d’utilisateurs, elles peuvent entraîner un cycle de modification des configurations LAPS chaque fois qu’un utilisateur différent se connecte à un appareil. Les changements fréquents de stratégies peuvent introduire des conflits, un manque de conformité de l’appareil aux exigences et créer une confusion quant au compte d’administrateur local d’un appareil actuellement géré.

Créer une stratégie LAPS

Importante

Vérifiez que vous avez activé LAPS dans Microsoft Entra, comme décrit dans la documentation Activation de Windows LAPS avec Microsoft Entra ID.

Pour créer ou gérer une stratégie LAPS, votre compte doit disposer des droits applicables de la catégorie Base de référence de sécurité . Par défaut, ces autorisations sont incluses dans le rôle intégré Endpoint Security Manager. Pour utiliser des rôles personnalisés, vérifiez que le rôle personnalisé inclut les droits de la catégorie Bases de référence de sécurité . Consultez Contrôles d’accès en fonction du rôle pour LAPS.

Avant de créer une stratégie, vous pouvez consulter les détails sur les paramètres disponibles dans la documentation du fournisseur de services de configuration Windows LAPS .

  1. Connectez-vous au centre d’administration Microsoft Intune, accédez àProtection du comptede sécurité> du point de terminaison, puis sélectionnez Créer une stratégie.

    Capture d’écran montrant où, dans le centre d’administration, vous créez une stratégie LAPS.

    Définissez La plateformesur Windows 10 et versions ultérieures, profilez sur Solution de mot de passe administrateur local (Windows LAPS), puis sélectionnez Créer.

  2. Dans Informations de base, entrez les propriétés suivantes :

    • Nom : entrez un nom descriptif pour le profil. Nommez les profils afin que vous puissiez facilement les identifier ultérieurement.
    • Description : entrez une description pour le profil. Ce paramètre est facultatif, mais recommandé.

  3. Dans Paramètres de configuration, configurez un choix pour l’annuaire de sauvegarde afin de définir le type d’annuaire à utiliser pour sauvegarder le compte d’administrateur local. Vous pouvez également choisir de ne pas sauvegarder un compte et un mot de passe. Le type d’annuaire détermine également les paramètres supplémentaires disponibles dans cette stratégie.

    Capture d’écran montrant les options du paramètre Répertoire de sauvegarde.

    Importante

    Lors de la configuration d’une stratégie, gardez à l’esprit que le type de répertoire de sauvegarde dans la stratégie doit être pris en charge par le type de jointure de l’appareil auquel la stratégie est affectée. Par exemple, si vous définissez l’annuaire sur Active Directory et que l’appareil n’est pas joint à un domaine (mais membre de Microsoft Entra), l’appareil peut appliquer les paramètres de stratégie à partir d’Intune sans erreur, mais LAPS sur l’appareil ne pourra pas utiliser correctement cette configuration pour sauvegarder le compte.

    Après avoir configuré l’annuaire de sauvegarde, passez en revue et configurez les paramètres disponibles pour répondre aux exigences de votre organization.

  4. Dans la page Balises d’étendue, sélectionnez les balises d’étendue souhaitées à appliquer, puis sélectionnez Suivant.

  5. Pour Affectations, sélectionnez les groupes à recevoir cette stratégie. Nous vous recommandons d’attribuer une stratégie LAPS aux groupes d’appareils. Les stratégies affectées aux groupes d’utilisateurs suivent un utilisateur d’un appareil à l’autre. Lorsque l’utilisateur d’un appareil change, une nouvelle stratégie peut s’appliquer à l’appareil et introduire un comportement incohérent, y compris le compte de sauvegarde de l’appareil ou le moment où le mot de passe des comptes gérés est ensuite pivoté.

    Remarque

    Comme pour toutes les stratégies Intune, lorsqu’une nouvelle stratégie s’applique à un appareil, Intune tente de notifier cet appareil pour case activée et traiter la stratégie.

    Tant qu’un appareil n’a pas réussi à s’enregistrer auprès d’Intune et à traiter correctement sa stratégie LAPS, les données relatives à son compte d’administrateur local géré ne sont pas disponibles pour afficher ou gérer à partir du centre d’administration.

    Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

  6. Dans Vérifier + créer, passez en revue vos paramètres, puis sélectionnez Créer. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie est également affichée dans la liste des stratégies.

Afficher les status actions de l’appareil

Lorsque votre compte dispose d’autorisations équivalentes aux autorisations bases de référence de sécurité qui accordent des droits à tous les modèles de stratégie dans la charge de travail Sécurité des points de terminaison, vous pouvez utiliser le Centre d’administration Intune pour afficher les status des actions de l’appareil qui ont été demandées pour l’appareil.

Pour plus d’informations, consultez Contrôles d’accès en fonction du rôle pour LAPS.

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Tous les appareils , puis sélectionnez un appareil doté d’une stratégie LAPS qui sauvegarde un compte d’administrateur local. Intune affiche ce volet Vue d’ensemble des appareils.

  2. Dans le volet Vue d’ensemble de l’appareil, vous pouvez afficher les actions de l’appareil status. Les actions précédemment demandées et les actions en attente s’affichent, y compris l’heure de la demande et si l’action a échoué ou a réussi. Dans l’exemple de capture d’écran suivant, le mot de passe d’un compte de Administration local a été correctement pivoté sur un appareil.

    Capture d’écran des actions de l’appareil status pour un appareil, avec une action terminée et une action actuelle en attente.

  3. La sélection d’une action dans la liste ouvre le volet Action de l’appareil status, qui peut afficher des détails supplémentaires sur cette action.

Afficher les détails du compte et du mot de passe

Pour afficher les détails du compte et du mot de passe, un compte doit disposer de l’une des autorisations Microsoft Entra suivantes :

  • microsoft.directory/deviceLocalCredentials/password/read
  • microsoft.directory/deviceLocalCredentials/standard/read

Utilisez les méthodes suivantes pour accorder ces autorisations aux comptes :

  • Attribuez l’un des rôles de Microsoft Entra intégrés suivants :
    • Administrateur global
    • Cloud Device Administration

Créez et attribuez un rôle personnalisé dans Microsoft Entra’ID qui accorde ces autorisations. Consultez Créer et attribuer un rôle personnalisé dans Microsoft Entra ID dans la documentation Microsoft Entra.

Pour plus d’informations, consultez Contrôles d’accès en fonction du rôle pour LAPS.

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Tous les appareils> sélectionnent un appareil Windows pour ouvrir son volet Vue d’ensemble.

    Dans le volet vue d’ensemble, vous pouvez afficher les appareils Actions de l’appareil status. Le status affiche les actions actuelles et passées, telles que la rotation du mot de passe.

  2. Dans le volet Vue d’ensemble des appareils, sous Surveiller , sélectionnez Mot de passe d’administrateur local. Si votre compte dispose d’autorisations suffisantes, le volet Mot de passe administrateur local pour l’appareil s’ouvre, qui est le même que celui disponible dans le Portail Azure.

    Capture d’écran montrant le volet de mot de passe d’administrateur local pour un appareil Windows.

    Les informations suivantes peuvent être consultées à partir du centre d’administration. Toutefois, le mot de passe de l’administrateur local ne peut être consulté que lorsque le compte a été sauvegardé sur Microsoft Entra. Il ne peut pas être consulté pour un compte sauvegardé dans un Active Directory local (Windows Server Active Directory) :

    • Nom du compte : nom du compte d’administrateur local sauvegardé à partir de l’appareil.
    • ID de sécurité : SID connu pour le compte sauvegardé à partir de l’appareil.
    • Mot de passe de l’administrateur local : masqué par défaut. Si votre compte est autorisé, vous pouvez sélectionner Afficher pour afficher le mot de passe. Vous pouvez ensuite utiliser l’option Copier pour copier le mot de passe dans le Presse-papiers. Ces informations ne sont pas disponibles pour les appareils qui effectuent une sauvegarde sur un Active Directory local.
    • Dernière rotation du mot de passe : au format UTC, date et heure auxquelles le mot de passe a été modifié pour la dernière fois ou pivoté par stratégie.
    • Rotation suivante du mot de passe : au format UTC, date et heure suivantes auxquelles le mot de passe sera pivoté par stratégie.

Voici les considérations relatives à l’affichage des informations de compte et de mot de passe d’un appareil :

  • La récupération (affichage) du mot de passe d’un compte d’administrateur local déclenche un événement d’audit.

  • Vous ne pouvez pas afficher les détails du mot de passe pour les appareils suivants :

    • Appareils dont le compte d’administrateur local est sauvegardé dans un Active Directory local
    • Appareils configurés pour utiliser Active Directory pour sauvegarder le mot de passe du compte.

Faire pivoter manuellement les mots de passe

La stratégie LAPS inclut une planification pour la rotation automatique des mots de passe de compte. En plus d’une rotation planifiée, vous pouvez utiliser l’action d’appareil Intune de Rotation du mot de passe administrateur local pour faire pivoter manuellement un mot de passe d’appareil indépendamment de la planification de rotation définie par la stratégie LAPS des appareils.

Pour utiliser cette action d’appareil, votre compte doit disposer des trois autorisations Intune suivantes :

  • Appareils gérés : lecture
  • Organisation : Lecture
  • Tâches à distance : Faire pivoter le mot de passe Administration local

Consultez Contrôles d’accès en fonction du rôle pour LAPS.

Pour faire pivoter un mot de passe

  1. Dans le centre d’administration Microsoft Intune, accédez à Appareils>Tous les appareils, puis sélectionnez l’appareil Windows avec le compte que vous souhaitez faire pivoter.

  2. Lorsque vous affichez les détails de l’appareil, développez les points de suspension (...) sur le côté droit de la barre de menus pour afficher les options disponibles, puis sélectionnez Faire pivoter le mot de passe administrateur local.

    Capture d’écran des options de menu développées pour les actions de l’appareil.

  3. Lorsque vous sélectionnez Faire pivoter le mot de passe de l’administrateur local, Intune affiche un avertissement qui nécessite une confirmation avant la rotation du mot de passe.

    Une fois que vous avez confirmé l’intention de faire pivoter le mot de passe, Intune lance le processus, qui peut prendre quelques minutes. Pendant ce temps, le volet d’informations de l’appareil affiche une bannière et une status Actions de l’appareil qui indiquent que l’action est En attente.

Après une rotation réussie, la confirmation est visible dans les actions de l’appareil status comme Terminé.

Voici les considérations relatives à la rotation manuelle des mots de passe :

  • L’action Faire pivoter le mot de passe de l’administrateur local est disponible pour tous les appareils Windows, mais tout appareil qui n’a pas correctement sauvegardé son compte et les données de mot de passe ne parvient pas à effectuer une demande de rotation.

  • Chaque tentative de rotation manuelle entraîne un événement d’audit. Les rotations de mot de passe planifiées enregistrent également un événement d’audit.

  • Lorsqu’un mot de passe est pivoté manuellement, l’heure de la rotation de mot de passe planifiée suivante est réinitialisée. L’heure de la rotation planifiée suivante est gérée par le biais du paramètre PasswordAgeDays dans la stratégie LAPS.

    Voici comment cela fonctionne : un appareil reçoit une stratégie le 1er mars, qui définit PasswordAgeDays sur 10 jours. Le résultat est que l’appareil permutera automatiquement son mot de passe après 10 jours, le 11 mars. Le 5 mars, un administrateur fait pivoter manuellement le mot de passe de cet appareil et action qui réinitialise la date de début de PasswordAgeDays au 5 mars. Par conséquent, l’appareil permutera automatiquement son mot de passe 10 jours plus tard, le 15 mars.

  • Pour Microsoft Entra appareils joints, l’appareil doit être en ligne au moment où la rotation manuelle est demandée. Si l’appareil n’est pas en ligne au moment de la demande, cela entraîne un échec.

  • La rotation du mot de passe n’est pas prise en charge en tant qu’action en bloc. Vous ne pouvez faire pivoter qu’un seul appareil à la fois.

Éviter les conflits de stratégie

Les détails suivants peuvent vous aider à éviter les conflits et à comprendre le comportement attendu des appareils gérés par la stratégie LAPS.

Lorsqu’un appareil disposant d’une stratégie réussie se voit attribuer au moins deux stratégies qui introduisent un conflit :

  • Les paramètres qui étaient en cours d’utilisation sur l’appareil restent sur l’appareil à la dernière valeur définie. Les deux politiques, l’originale et la nouvelle, indiquent qu’elles sont en conflit.
  • Pour résoudre le conflit, supprimez les attributions de stratégie jusqu’à ce que la stratégie en conflit ne s’applique pas, ou reconfigurez les stratégies applicables pour définir la même configuration, en supprimant le conflit.

Lorsqu’un appareil qui n’a pas de stratégie LAPS reçoit deux stratégies en conflit en même temps :

  • Les paramètres ne sont pas envoyés à l’appareil, et les deux stratégies sont signalées comme ayant des conflits.
  • Pendant qu’un conflit persiste, les paramètres des stratégies ne s’appliquent pas à l’appareil.

Pour résoudre les conflits, vous devez supprimer les affectations de stratégie de l’appareil ou reconfigurer les paramètres dans les stratégies applicables jusqu’à ce qu’il ne reste plus de conflits.

Étapes suivantes