Dans cet article, nous allons nous pencher sur les aspects réseaux d’Azure Kubernetes Services. En effet, il n’est pas aisé...
7 septembre 2023
Read this post in English
Procédure pas à pas pour activer Windows LAPS avec Azure AD
Windows LAPS (Local Administrator Password Solution) est une solution développée par Microsoft pour la gestion des mots de passe des comptes administrateurs locaux sur les systèmes d’exploitation Windows.
L’objectif est de renforcer la sécurité en évitant la propagation des mots de passe d’administrateur locaux identiques sur plusieurs machines. Si un attaquant parvient à récupérer le mot de passe d’un administrateur local, il peut potentiellement accéder à plusieurs machines.
Si la solution précédente, Microsoft LAPS, reste disponible, Windows LAPS présente plusieurs avantages, tels que la possibilité de sauvegarder des mots de passe dans Azure AD, de les chiffrer dans Windows Server Active Directory et de stocker leur historique.
La solution LAPS est désormais intégrée en natif dans Windows 11, Windows 10 et Windows Server.
Si Windows LAPS n’est pas disponible dans votre version Windows, vous pouvez l’installer manuellement ou depuis Intune (étape III).
Nouvelles fonctionnalités avec Windows LAPS
La nouvelle version de Windows LAPS offre de nouvelles fonctionnalités pour les types d’environnements Active Directory à savoir AD sur site ou Azure AD :
- Elle prend en charge le chiffrement des mots de passe.
- Elle permet la gestion de l’historique et la rotation automatique des mots de passe.
- Elle propose les sauvegardes Directory Services Restore Mode (DSRM) pour renforcer la sécurité des contrôleurs de domaine.
- Elle prend en charge la gestion enrichie par les stratégies de groupes ainsi que la Configuration Service Provider (CSP).
- Un nouveau module PowerShell permet aux professionnels informatiques de gérer les mots de passe plus efficacement.
- Elle prend en charge les appareils à jointure hybride.
Activation de LAPS dans Azure AD
Étape I
Sur le portail Azure AD, choisissez Appareils, puis Paramètres de l’appareil et activez Azure AD Local Administrator Password Solution.
Étape II
Créez un profil Intune pour Windows LAPS.
Sur le portail Intune, sélectionnez Sécurité du point de terminaison, puis Protection de compte et cliquez sur Créer une stratégie.
Étape III : installer Windows LAPS via Intune
Pour information : Windows Local Administrator Password Solution (LAPS) est désormais intégrée en natif dans Windows 11, Windows 10 et Windows Server. Cette étape permet d’installer Windows LAPS via Intune.
Voici la démarche à suivre :
- Ajoutez une application dans Intune pour installer LAPS.
Avant de créer une application dans Intune, vous devez créer un groupe Azure AD. Ce groupe correspond à l’étendue dans laquelle installer le msi LAPS via Intune.
- Créez un groupe Azure AD.
- Ajoutez votre PC à ce groupe.
- Ajoutez une nouvelle application dans Intune et l’affecter au groupe créé précédemment
Étape IV : forcer la synchronisation
Forcez la synchronisation entre Azure AD et le PC ou le serveur.
Après la synchronisation, l’application LAPS doit être installée et le profil Intune appliqué.
Étape V : Afficher le mot de passe administrateur
Dans Intune, sélectionnez un appareil et cliquez sur Vue d’ensemble :
Étape VI : Lancer la rotation du mot de passe de l’administrateur local
Points clés au sujet de Windows LAPS
Avec Windows LAPS, chaque ordinateur reçoit un mot de passe d’administrateur local unique, généré aléatoirement et stocké de manière sécurisée dans Azure AD. L’administrateur peut accéder à ce mot de passe à l’aide du portail Azure AD ou Intune. Le mot de passe est régulièrement réinitialisé, ce qui réduit les risques liés à la compromission d’un mot de passe d’administrateur local.
Grâce à Windows LAPS, les administrateurs peuvent améliorer la sécurité en gérant les mots de passe d’administrateur local de manière centralisée et en évitant les mots de passe statiques couramment utilisés. Cela contribue à renforcer la sécurité globale des systèmes Windows au sein d’un environnement informatique.
Avec Windows LAPS, il est possible d’assurer la rotation des mots de passe et de les partager en toute sécurité avec un groupe d’administrateurs spécifique.
Windows LAPS ne prend en charge que la version Windows (10/11/2019). Il existe une implémentation open source de Windows LAPS pour Linux et macOS, mais il est préférable d’intégrer et de prendre en charge cette fonctionnalité dans Microsoft.
Vous avez besoin d’aide pour votre projet ? Contactez-nous !
