Le nouveau Windows LAPS est désormais une fonctionnalité intégrée, disponible via le dernier patch Tuesday
Microsoft a commencé hier à déployer ses mises à jour Patch Tuesday pour Windows 10 et Windows 11 . L’un des éléments mentionnés dans le journal des modifications de Windows 11 était une nouvelle solution de mot de passe de l’administrateur local Windows (LAPS). Bien que Microsoft n’ait naturellement pas donné beaucoup de détails sur cette fonctionnalité dans son journal des modifications, il a publié un article de blog dédié décrivant le changement en détail.
Pour ceux qui ne le savent pas, avant aujourd’hui, les LAP n’étaient disponibles que sous forme de package MSI pouvant être téléchargé manuellement à partir du Centre de téléchargement Microsoft. Il était principalement utilisé par les administrateurs informatiques pour sécuriser les comptes d’administrateur locaux sur les appareils Windows déployés, récupérer les appareils en se connectant avec un compte d’administrateur local et gérer les identités sur les machines jointes à Azure Active Directory, entre autres choses.
Cependant, avec la dernière mise à jour Patch Tuesday déployée hier, cette variante de LAPS sera désormais appelée « Legacy LAPS » car Microsoft a nativement intégré le produit directement dans Windows. Le géant de la technologie de Redmond affirme que cela a été fait en raison de la « demande populaire » et que la solution de boîte de réception est désormais disponible sur les WeU Windows suivants :
- Windows 11 Professionnel, EDU et Entreprise
- Windows 10 Professionnel, EDU et Entreprise
- Windows Server 2022 et Windows Server Core 2022
- Serveur Windows 2019
Il existe également plusieurs nouvelles fonctionnalités pour Windows LAPS, elles sont répertoriées ci-dessous :
- LAPS prend en charge Azure Active Directory (en préversion privée actuellement, préversion publique à venir)
Récupère les mots de passe stockés via Microsoft Graph.
Crée deux nouvelles autorisations Microsoft Graph pour récupérer uniquement les « métadonnées » du mot de passe (c’est-à-dire pour les applications de surveillance de la sécurité) ou le mot de passe sensible en clair lui-même.
Fournit des stratégies de contrôle d’accès en fonction du rôle Azure (Azure RBAC) pour la création de stratégies d’autorisation pour la récupération de mot de passe.
Inclut la prise en charge du portail de gestion Azure pour la récupération et la rotation des mots de passe.
Vous aide à gérer la fonctionnalité via Intune !
Rotation automatique du mot de passe après l’utilisation du compte.
- Nouvelles fonctionnalités pour les scénarios Active Directory sur site
Cryptage des mots de passe : Améliore considérablement la sécurité de ces secrets sensibles !
Historique des mots de passe : vous donne la possibilité de vous reconnecter aux images de sauvegarde restaurées.
Sauvegardes des mots de passe du mode de restauration des services d’annuaire (DSRM) : aide à sécuriser vos contrôleurs de domaine en alternant régulièrement ces mots de passe de récupération critiques !
Mode d’émulation : utile si vous souhaitez continuer à utiliser les anciens paramètres et outils de politique LAPS tout en préparant la migration vers les nouvelles fonctionnalités !
Rotation automatique : faites pivoter automatiquement le mot de passe après l’utilisation du compte.
- Nouvelles fonctionnalités pour les scénarios Azure AD et AD sur site
La gestion riche des politiques est désormais disponible via la stratégie de groupe et le fournisseur de services de configuration (CSP)
La rotation du mot de passe du compte Windows LAPS à la demande du portail Intune est très utile lorsque, par exemple, la gestion d’un éventuel problème de violation.
Le journal des événements dédié se trouve sous Applications et services. Voir Journaux > Microsoft > Windows > LAPS > Opérationnel pour des diagnostics améliorés.
Le nouveau module PowerShell inclut des capacités de gestion améliorées. Par exemple, vous pouvez désormais faire pivoter le mot de passe à la demande à l’aide de la nouvelle cmdlet Reset-LapsPassword !
Les appareils hybrides sont entièrement pris en charge.
La bonne chose pour les administrateurs informatiques est que les deux versions de LAPS peuvent actuellement coexister, mais Microsoft a recommandé de ne pas utiliser les deux pour configurer le même compte, car cela pourrait entraîner des conflits de politique. Vous pouvez commencer à utiliser le nouveau LAPS sur les déploiements éligibles qui ont installé les mises à jour April Patch Tuesday dès maintenant.
Laisser un commentaire