🚀 Boostez la sécurité locale avec Windows LAPS
Windows Local Administrator Password Solution (LAPS) est une fonctionnalité native de Windows qui :
☑️ Gère et sauvegarde automatiquement les mots de passe des comptes administrateurs locaux sur les appareils joints à Microsoft Entra ID ou Active Directory (AD).
☑️ Permet aussi la gestion des mots de passe DSRM (Directory Services Restore Mode) pour les contrôleurs de domaine AD.
☑️ Les administrateurs autorisés peuvent consulter et utiliser ces mots de passe via des outils spécifiques.
🖥️ Plateformes supportées
Fonctionnalité intégrée aux systèmes suivants (MAJ 11 avril 2023 ou versions ultérieures) :
☑️ Windows 10, 11 (21H2, 22H2, 23H2)
☑️ Windows Server 2019, 2022, 2025
💡 Toutes les éditions prises en charge, y compris les éditions LTSC, ont Windows LAPS intégré.
🔐 Compatibilité Microsoft Entra ID & Intune
☑️ Support général depuis le 23 octobre 2023
☑️ Intégration avec Microsoft Intune pour la gestion centralisée
☑️ Prise en charge du contrôle d'accès basé sur les rôles (RBAC) dans Microsoft Entra
😁 Avantages
✅ Protection contre les attaques pass-the-hash
✅ Renforcement de la sécurité pour le support à distance
✅ Récupération d'accès à des appareils inaccessibles
✅ Chiffrement optionnel des mots de passe
✅ ACL personnalisées pour contrôler l’accès aux mots de passe
🔄 Scénarios d’utilisation
☑️ Sauvegarde des mots de passe dans :
☑️ Microsoft Entra ID (appareils joints à Entra)
☑️ Windows Server AD (clients ou serveurs joints à AD)
☑️ Compte DSRM (contrôleurs de domaine AD)
☑️ Possibilité de configurer des stratégies différentes par scénario
🔗 Gestion selon le type de jointure
Appareils joints à Entra ID uniquement ➜ sauvegarde dans Entra uniquement
Appareils joints à AD uniquement ➜ sauvegarde dans AD uniquement
Appareils en jointure hybride ➜ sauvegarde possible dans Entra ou AD (pas les deux)
⚠️ Non compatible avec les clients Microsoft Entra WorkSpace Join
🛠️ Méthodes de configuration
Stratégies de groupe
CSP (Configuration Service Provider)
Interface héritée (Microsoft LAPS) pour compatibilité
🧩 Gestion et supervision
💻 Active Directory Users & Computers (ADUC)
💻Journal d’événements Windows dédié
💻Cmdlets PowerShell LAPS
💻Pour Entra ID : outils de supervision basés sur le cloud
⚠️ Mise en obsolescence de Microsoft LAPS hérité
Obsolète depuis Windows 11 23H2
L’installation de l’ancien MSI LAPS est bloquée
Fin de support alignée avec la version OS
Il est recommandé de migrer vers Windows LAPS dès maintenant
🔄 Windows LAPS vs Microsoft LAPS hérité
Windows LAPS reprend les principes de l’ancien LAPS mais ajoute :
✅ Sauvegarde Entra ID
✅ Chiffrement des mots de passe dans Windows Server Active Directory
✅ Historique des mots de passe
✅ Compatibilité avec Intune & RBAC
✅ Mode d’émulation disponible pour faciliter la transition