Windows LAPS est disponible pour Microsoft Entra ID : voici ce qu’il faut savoir !
Après plusieurs mois d'attente, Windows LAPS est disponible pour Microsoft Entra ID (ex-Azure AD) ! Voici ce qu'il faut savoir sur cette annonce officielle de Microsoft !
Depuis le 11 avril 2023, le nouveau Windows LAPS est disponible pour l'Active Directory. Depuis tout ce temps, il était disponible en version "preview" pour Azure Active Directory (Azure AD) qui est devenu entre temps Microsoft Entra ID. Mais ça, c'était avant. Désormais, Microsoft Entra ID propose Windows LAPS en version stable puisque la fonctionnalité vient de passer en General Availability (GA).
Sommaire
Mais au fait, c'est quoi Windows LAPS ?
Windows LAPS, pour Windows Local Administrator Password Solution, est un composant intégré à Windows, développé par Microsoft, et qui va venir se greffer à un domaine Active Directory ou Azure Active Directory pour renforcer la sécurité des comptes "Administrateur" locaux des postes de travail et des serveurs.
Windows LAPS va générer un mot de passe robuste et unique pour le compte administrateur local de chaque machine qu'il gère, tout en effectuant une rotation automatique de ces mots de passe. Ensuite, les sésames seront chiffrés et stockés dans l'Active Directory ou l'Azure Active Directory, selon la configuration mise en place.
Pour en savoir plus les nouveautés de Windows LAPS et l'intégration avec l'Active Directory, vous pouvez lire cet article :
Windows LAPS avec Microsoft Entra ID : ce qu'il faut savoir
Vous pouvez gérer le compte Administrateur des machines Windows avec Windows LAPS pour tous les appareils joints à Microsoft Entra et tous les appareils en mode hybride (hybrid join). Windows LAPS peut être activé à l'échelle du tenant ou pour un ensemble d'appareils à l'aide de politiques.
De ce fait, la configuration de Windows LAPS pour Microsoft Entra ID peut être effectuée via Intune ou GPO, selon s'il s'agit d'un appareil en mode hybride ou non. Pour en savoir plus sur les paramètres, voici les liens vers la documentation Microsoft :
Pour afficher les mots de passe stockés dans Microsoft Entra ID, récupérer l'état de Windows LAPS sur les appareils, ou encore consulter les journaux d'audits, les administrateurs système ont le choix entre utiliser le portail Microsoft Entra (ou Microsoft Intune), Microsoft Graph API ou PowerShell.
Par ailleurs, vous pouvez utiliser des politiques d'accès conditionnel pour accorder une autorisation permettant de réinitialisation le mot de passe stocké dans Microsoft Entra ID.
Terminons par une bonne nouvelle : Windows LAPS est disponible via Azure AD Free, donc pour tous les utilisateurs sans frais supplémentaires !
Windows LAPS : les OS compatibles
En ce qui concerne les systèmes d'exploitation compatibles, la liste des identiques que ce soit pour une intégration Active Directory ou Microsoft Entra ID :
- Windows 11 21H2 et Windows 11 22H2 (Pro, Education, Enterprise)
- Windows 10 (Pro, Education, Enterprise)
- Windows Server 2022 (y compris en mode Core)
- Windows Server 2019
Toutefois, au-delà d'utiliser une version d'OS prise en charge par Windows LAPS, vous devez surtout installer la mise à jour cumulative d'avril 2023. Cette mise à jour a pour effet d'ajout le composant Windows LAPS à Windows. Ce qui implique d'installer les mises à jour suivantes :
- Windows 11 22H2 : KB5025239
- Windows 11 21H2 : KB5025224
- Windows 10 20H2, 21H1, 21H2 et 22H2 : KB5025221
- Windows Server 2022 : KB5025230
- Windows Server 2019 : KB5025229
La feuille de route de Windows LAPS
Sur son site, Microsoft donne des précisions sur les nouveautés à venir pour Windows LAPS en dévoilant des détails sur la roadmap :
- Création automatique d'un compte d'administrateur local lorsqu'il est configuré dans Windows LAPS.
- L'appareil notifie Microsoft Entra ID lorsque le mot de passe de l'administrateur local est utilisé pour l'authentification.
- Récupération du mot de passe de l'administrateur local en libre-service pour le propriétaire d'un appareil (technique JIT).
