16/12/2024

Actu CybersécuritéLogiciel - OS

Microsoft LAPS va devenir Windows LAPS : quelles sont les nouveautés ?

Microsoft a mis en ligne une vidéo dans laquelle la solution Windows LAPS est présentée. En 2023, cette solution va remplacer Microsoft LAPS tel qu'on le connaît et l'utilise aujourd'hui en apportant de nombreuses nouveautés, notamment la prise en charge d'Azure AD.

L'ensemble des nouveautés sont présentées dans la vidéo ci-dessous.

Le Microsoft LAPS d'aujourd'hui

Microsoft LAPS pour Local Administrator Password Solution est une solution gratuite qui se greffe à l'Active Directory dont l'objectif est de faciliter la gestion du mot de passe du compte Administrateur local des machines intégrées au domaine. De ce fait, le compte administrateur local de chaque machine dispose d'un mot de passe unique, stocké dans l'Active Directory. Ce mot de passe est renouvelé régulièrement.

Puisqu'il s'agit d'une fonctionnalité supplémentaire, cela implique de mettre à niveau le schéma Active Directory et de déployer un client LAPS sur les machines à gérer, par l'intermédiaire d'un package MSI.

Le Windows LAPS de demain

Au premier semestre 2023, Windows LAPS sera disponible et il viendra progressivement remplacer Microsoft LAPS (pour les entreprises qui le souhaitent). Microsoft LAPS deviendra la version legacy. Ce n'est pas qu'un simple changement de nom pour ce produit très populaire en entreprise, mais véritablement un nouveau produit avec des fonctions supplémentaires. Certaines étaient très attendues.

LAPS pour Azure Active Directory

LAPS n'aura plus besoin impérativement d'un Active Directory pour fonctionner, car il sera pris en charge par Azure Active Directory. Ainsi, le mot de passe sera stocké directement dans le device inscrit dans le Cloud. Les appareils inscrits en mode hybride seront aussi pris en charge.

Des paramètres de configuration seront disponibles dans le portail Microsoft Endpoint Manager sous la forme de stratégies, et c'est là aussi que l'on pourra demander la rotation d'un mot de passe (déclencher un changement). En ce qui concerne la récupération du mot de passe d'un appareil, il conviendra d'utiliser le portail Azure ou de s'appuyer sur Microsoft Graph.

LAPS pour Active Directory

En ce qui concerne l'intégration de LAPS avec l'Active Directory, il y a beaucoup de changements, notamment grâce à de nouveaux attributs dans le schéma Active Directory. Ainsi, lorsque l'on consultera les propriétés d'un objet ordinateur géré par LAPS, nous aurons accès à plus d'informations via un onglet "LAPS" directement. Ceci devrait permettre de se passer de l'outil LAPS UI ou de passer par l'éditeur d'attributs.

L'onglet LAPS va afficher :

  • Le mot de passe, qui sera désormais chiffré grâce à DPAPI avec des clés stockées dans l'Active Directory (une superbe évolution !)
  • Le nom du compte administrateur local
  • La date d'expiration du mot de passe, avec la possibilité de changer la date ou de demander un changement immédiat

Voici un aperçu :

Windows LAPS - Active Directory - Exemple
Source : Microsoft - YouTube - Windows IT Pro

Parmi les nouveaux paramètres de GPO disponibles, il y a le paramètre "Post-authentication actions" qui permet de forcer la réinitialisation du mot de passe administrateur à partir du moment où il a été utilisé.

Un nouveau module PowerShell pour LAPS

Microsoft a également introduit une nouvelle version du module PowerShell pour Windows LAPS. Ce module est plus complet que le précédent, et offre la possibilité de récupérer le mot de passe dans l'Active Directory ou Azure Active Directory (jusqu'ici, c'était possible pour l'AD). Voici la liste des commandes :

Windows LAPS - PowerShell

L'installation de Windows LAPS

Contrairement à Microsoft LAPS, le nouveau Windows LAPS sera intégré directement aux machines Windows, donc il n'y aura plus besoin de déployer le package MSI. Microsoft précise que Windows LAPS prendra en charge les paramètres de GPO de Microsoft LAPS, mais qu'en passant à Windows LAPS, la solution classique sera désactivée.

Toutefois, il y aura l'intégration à réaliser du côté du service d'annuaire, que ce soit dans Active Directory ou Azure Active Directory. Par exemple, sur un Active Directory, la commande "Update-LapsADSchema" devra être exécutée.

Pour le moment, Windows LAPS est pris en charge par "Windows 11 Insider Preview Build 25145" et du côté d'Azure Active Directory, l'accès est limité à quelques utilisateurs du programme Windows Insider. Microsoft ne précise pas s'il sera pris en charge par Windows 10, mais ce sera très probablement le cas (à voir la version nécessaire). À terme, Windows LAPS sera pris en charge sur Windows Server également (y compris en mode Core).

Pour en savoir plus, vous pouvez aussi consulter la documentation officielle :

Que pensez-vous de Windows LAPS ?

author avatar
Florian BURNEL Co-founder of IT-Connect
Ingénieur système et réseau, cofondateur d'IT-Connect et Microsoft MVP "Cloud and Datacenter Management". Je souhaite partager mon expérience et mes découvertes au travers de mes articles. Généraliste avec une attirance particulière pour les solutions Microsoft et le scripting. Bonne lecture.
Partagez cet article Partager sur Twitter Partager sur Facebook Partager sur Linkedin Envoyer par mail

1 commentaire sur “Microsoft LAPS va devenir Windows LAPS : quelles sont les nouveautés ?

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Ce site utilise Akismet pour réduire les indésirables. En savoir plus sur comment les données de vos commentaires sont utilisées.