Le nouveau Windows LAPS est disponible : quelles sont les nouveautés ?
La nouvelle version de LAPS, appelée Windows LAPS, est officiellement disponible ! Faisons le point sur les nouveautés apportées par Microsoft !
Au fait, c'est quoi LAPS ou Windows LAPS ? LAPS pour Local Administrator Password Solution est une solution permettant de sécuriser les comptes "Administrateur" locaux de vos postes de travail et serveurs en générant un mot de passe unique sur chaque machine. Ainsi, le mot de passe du compte Administrateur local de la machine A sera différent du mot de passe du compte Administrateur local de la machine B.
Le mot de passe généré est stocké dans l'Active Directory (ou dans Azure Active Directory avec la nouvelle version !) et il est renouvelé régulièrement, de façon automatique.
Sommaire
Windows LAPS est intégré nativement à Windows
Ce mardi 11 avril 2023, Microsoft a mis en ligne de nouvelles mises à jour via son traditionnel Patch Tuesday. Suite à l'installation de cette mise à jour, Windows LAPS va prendre place automatiquement dans Windows donc il ne sera plus nécessaire de le déployer par GPO ou autre en tant qu'application additionnelle. Cela est vrai pour les systèmes suivants :
- Windows 11 Pro, Education, et Enterprise
- Windows 10 Pro, Education, et Enterprise
- Windows Server 2022 et Windows Server Core 2022
- Windows Server 2019
Windows LAPS et l'Active Directory : les nouveautés
LAPS, que l'on appellera désormais Legacy LAPS, est déjà très bien intégré à l'Active Directory. Mais avec Windows LAPS, on a le droit à quelques nouveautés appréciables (et attendues). Tout d'abord, les mots de passe stockés dans l'Active Directory seront chiffrés, ce qui n'était pas le cas jusqu'ici. Autre point très intéressant, Windows LAPS va donner accès à l'historique des mots de passe, ce qui est pratique si l'on restaure une machine à un état antérieur, car on a toujours accès aux précédents mots de passe.
Comme le montre l'image ci-dessous, dans les propriétés d'un objet ordinateur, nous avons aussi la possibilité de voir la date d'expiration, ainsi que le nom du compte Administrateur local de la machine.
Windows LAPS permet aussi de bénéficier de la rotation automatique des mots de passe. Dès qu'un mot de passe Administrateur est utilisé sur une machine, il est renouvelé dans la foulée. On peut noter aussi la prise en charge des mots de passe du mode de restauration des services d'annuaire (DSRM) Active Directory.
Enfin, un mode émulation permettra d'utiliser les anciennes politiques de LAPS pour se préparer à utiliser la nouvelle version. Autrement dit, c'est un mode pour vous aider à passer de Legacy LAPS à Windows LAPS.
Windows LAPS pour Azure Active Directory
LAPS n'aura plus besoin impérativement d'un Active Directory pour fonctionner, car il est pris en charge par Azure Active Directory. Pour le moment, cette partie est accessible en private preview.
Dans ce mode de fonctionnement, le mot de passe de l'Administrateur local d'une machine est directement stocké dans le Cloud, au sein du périphérique inscrit. Les appareils inscrits en mode hybride sont aussi pris en charge.
Des paramètres de configuration seront disponibles dans le portail Microsoft Endpoint Manager sous la forme de stratégies, et c'est là aussi que l'on pourra demander la rotation d'un mot de passe (déclencher un changement). La rotation automatique en cas d'utilisation du mot de passe est aussi de la partie. En ce qui concerne la récupération du mot de passe d'un appareil, il conviendra d'utiliser le portail Azure ou de s'appuyer sur Microsoft Graph.
Pour gérer les autorisations d'accès à ces mots de passe, Microsoft a introduit deux nouvelles permissions dans Microsoft Graph et il y a aussi des politiques Azure RBAC.
Un nouveau module PowerShell et un nouvel ADMX
Microsoft a également introduit une nouvelle version du module PowerShell pour Windows LAPS. Ce module est plus complet que le précédent, et offre la possibilité de récupérer le mot de passe dans l'Active Directory ou Azure Active Directory (jusqu'ici, c'était possible pour l'AD). Voici la liste des commandes :
En complément, Microsoft a mis en ligne un nouveau fichier ADMX donnant accès aux paramètres de GPO pour Windows LAPS. Enfin, on peut citer la création d'un nouveau journal dédié à Windows LAPS dans l'Observateur d'événements de Windows.
L'annonce officielle de Microsoft est disponible à cette adresse tandis que la documentation de Windows LAPS est accessible ici.
Est-ce que ça vous intéresse un tutoriel complet sur Windows LAPS ? Ou peut-être même une vidéo ?
Hello Florian,
Comme d’habitude, merci pour cette information !
Je vote pour un tuto/vidéo sur Windows LAPS
En te remerciant.
Bonne journée
Oui, un tutoriel complet sur LAPS serait la bienvenue. Merci encore pour votre travail.
Bonjour Florian
Ca serait intéressant de faire un tutorial sur la mise en place des cette nouvelle solution mais également sur la migration de Microsoft LAPS vers Windows LAPS
Merci
Salut Florian,
effectivement, un petit tuto sur LAPS pourrait nous être bénéfique 🙂
Ça serait intéressant d’avoir une vidéo plus poussée sur les possibilités de laps
Merci pour le travail 🙂
Bonjour,
Merci pour ces infos.
Intéressé également par un tuto, surtout avec ces nouveautés AAD.
« En complément, Microsoft a mis en ligne un nouveau fichier ADMX donnant accès aux paramètres de GPO pour Windows LAPS. »
Où trouver ce nouveau fichier ADMX ? Merci !
Bonjour,
Il faut télécharger le Microsoft Security Compliance Toolkit 1.0 : https://www.microsoft.com/en-us/download/confirmation.aspx?id=55319
Merci encore pour tout ton travail !
Un tuto serait juste parfait ^^
Bonjour,
Un tutoriel serait le bienvenu. Sur comment passer de LAPS ancienne installation à la mise a jour.
Merci d’avance
Hello,
Un tutoriel pour passer se passer de la GPO Laps du coup ?
Article top !
Merci
Bonjour
pour l’ADMX à mettre dans le Central store, il faut récupérer celui d’une installation de Windows avec la KB cumulative d’avril ou il y a un lien MS?
car le lien donné plus haut (pour moi) est destiné a la Microsoft LAPS
Bonjour,
Merci pour cette information.
Je viens de finaliser mon premier déploiement Windows 11 via mon nouveau serveur Windows 2022 Server pour mettre à jour mon infra existante (MDT) via votre tuto (merci :)).
J’ai déjà « Legacy LAPS » sur mon parc sauf que là je me suis fait surprendre car le mot de passe de mon compte Admin local d’MDT que j’ai défini en Autologon (depuis toujours) a directement été changé et ne passe plus dès la première connexion (il a fallu que je tape le mot de passe LAPS).
Je suis curieux, en plus de votre tuto LAPS, de savoir comment vous gérez vos déploiements MDT avec LAPS.
Curieux et preneur d’infos.
Merci d’avance.