Mise en place de windows LAPS avec Intune
Prérequis :
Avoir les rôles suivants :
- Global Administrator (pour la partie 1)
- Intune Administrator (pour créer la politique LAPS)
- Cloud Device Administrator (pour récupérer les mots de passe LAPS)
1. Activer la fonctionnalité LAPS via Entra
Se rendre sur le portail Entra ID pour activer la fonctionnalité LAPS sur le tenant.
Dans Entra, Aller dans Devices > All Devices. Descendre jusqu'à la partie Local Administrator settings, puis changer la valeur de "Enable Microsoft Entra Local Administrator Password Solution (Laps)" sur Yes. Enfin, cliquer sur save.
2. Méthode OS inférieur à W11 24H2
2.1 Créer un utilisateur local
2.1.1 Via profil de configuration
Créer un utilisateur local sur les postes qui servira de compte administrateur local avec LAPS. Voici comment créer le profil de configuration:
Il faut déployer ce script via Intune en se rendant dans Devices > Windows > Configuration
Il faut ensuite en créer un nouveau en cliquant sur Create puis New Policy.
Sélectionner ensuite Windows 10 and later dans Platform, puis Templates dans Profile type et enfin Custom, cliquer ensuite sur Create.
Entrer ensuite un nom et une description à votre profil de configuration, puis cliquer sur Next
Cliquer ensuite sur Add et remplir les paramètres comme suivant ou "VotreAdmin" est le nom de votre administrateur local :
- Name : Create Local admin for LAPS
- Description : Ce profil de configuration permet de creer un utilisateur local
- OMA-URI : ./Device/Vendor/MSFT/Accounts/Users/LocalAdmin/Password
- Data type : String
- Value : MyStr4ongP4ssw0rd!
Puis cliquer sur Save puis Next
Assigner ensuite à All devices puis cliquer sur next
Cliquer encore une fois sur Next puis sur Create.
La politique de création de compte local est désormais créée et va s'appliquer sur les postes.
2.1.2 Via script PowerShell
Créer un utilisateur local sur les postes qui servira de compte administrateur local avec LAPS. Voici un script Powershell qui permet de le faire:
# RemediateLocalUser.ps1
$userName = "Admin" #Insérer entre les guillemets le nom du futur admin local des postes
$userexist = (Get-LocalUser).Name -Contains $userName
if($userexist -eq $false) {
try{
New-LocalUser -Name $username -Description "$userName local user account" -NoPassword
Exit 0
}
Catch {
Write-error $_
Exit 1
}
}⚠Il ne faut pas ajouter cet utilisateur dans le groupe admin local via ce script
Il faut déployer ce script via Intune en se rendant dans Devices > Windows > Scripts and Remediations
Il faut ensuite se rendre dans l'onglet Platform scripts et en créer un nouveau:
Choisir un nom et une description puis cliquer sur next :
Puis inclure le script et utiliser les paramètres suivants :
Assigner ensuite ce script à l'étendue voulue :
Enfin, cliquer sur next.
2.2. Ajouter l'utilisateur au groupe Admin Local
Se rendre sur le portail Intune > Endpoint Security > Account Protection puis créer une nouvelle politique.
Choisir "Local user group Membership" puis créer.
Donner un nom et une description à cette politique de sécurité puis cliquer sur Next
Remplir les champs Local group, group and user action et user selection type comme ci-dessous :
Cliquer sur Add user(s) puis rentrer le nom du compte créé via le script.
Cliquer sur OK puis assigner cette politique dans la même portée que le script.
2.3. Configurer Windows LAPS
Se rendre sur le portail Intune, Endpoint Security, Account Protection puis créer une nouvelle politique.
Sélectionner Local Admin Password Solution (Windows LAPS) puis cliquer sur créer
Donner un nom et une description à cette politique de sécurité puis cliquer sur Next
Remplir les champs en fonction de la configuration à pousser, par exemple :
Définir un scope tag au besoin, puis assigner la politique sur la même portée que le script.
3.Via OMA-URI (Uniquement Windows 11 24h2 et supérieur)
Depuis Mars 2025, Microsoft a ajouté de nouvelles fonctionnalités renforçant la sécurité de vos comptes LAPS, celles-ci sont uniquement disponibles via des règles customisées dans les profils de configuration Intune, voici les nouvelles fonctionnalités avec leurs documentation Microsoft (celles-ci seront ajoutées prochainement au catalogue Account Protection):
- Automatic Account Management Enable Account
- Automatic Account Management Enabled
- Automatic Account Management Name Or Prefix
- Automatic Account Management Randomize Name
- Automatic Account Management Target
- Passphrase Length
La définition de ces paramètres ainsi que les valeurs disponibles se trouvent sur cette documentation Microsoft : LAPS CSP
Via cette nouvelle méthode, plus besoin de script ou d'un 2ème profil de configuration puisque la politique LAPS s'occupe également du nom d'utilisateur !
3.1. Création du profil de configuration
Pour configurer ces règles dans Intune, il faut se rendre dans Devices, Configuration ,puis en créer une sous le template "Custom":
Une fois dans custom, ajouter les règles OMA-URI en suivant le catalogue CSP associé (LAPS CSP), voici une configuration d'exemple :
Voici un csv avec les valeurs à renseigner dans les différents champs afin d'avoir une configuration LAPS fonctionnelle (cette configuration est un exemple et peut être modifiée en fonction des besoins ) :
AutomaticAccountManagementEnabled,,./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled,true
AutomaticAccountManagementEnableAccount,,./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount,true
AutomaticAccountManagementNameOrPrefix,,./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix,EXEMPLE
AutomaticAccountManagementRandomizeName,,./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName,true
AutomaticAccountManagementTarget,,./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget,1
BackupDirectory,,./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory,1
PasswordComplexity,,./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity,7
PassphraseLength,,./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength,4
PostAuthenticationActions,,./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions,11
3.2. Utilité des différents paramètres
Voici ce que définissent les différents paramètres utilisés lors de notre exemple :
- AutomaticAccountManagementEnabled => Le compte LAPS est géré automatiquement ou non.
- AutomaticAccountManagementEnabledAccount => Le compte LAPS est activé ou non.
- AutomaticAccountManagementNameOrPrefix => Le nom d'utilisateur du compte LAPS ou son préfix.
- AutomaticAccountManagementRandomizeName => L'utilisation d'un suffixe aléatoire ou non pour le compte LAPS.
- AutomaticAccountManagementTarget => Le compte LAPS est le compte administrateur "built-in" ou non.
- BackupDirectory => Le répertoire de stockage du mot de passe LAPS (Entra ID ou Active Directory).
- PasswordComplexity => La politique de complexité du mot de passe ( ou Pass Phrase).
- PassphraseLength => Le nombre de mots utilisés dans la Pass Phrase.
- PostAuthenticationActions => La ou les actions effectuées après une connexion à ce compte LAPS.
⚠ Attention : Ne pas utiliser la fonctionnalité "Endpoint Security" sur la même etendue que la configuration "Custom" au risque de conflits
4. Récupération du mot de passe LAPS
Il est possible de récupérer le mot de passe temporaire sur Intune en allant sur le Device puis dans Local Admin Password.
Conclusion
Avec Windows LAPS, vos postes sont désormais protégés grâce à une gestion centralisée et sécurisée des mots de passe des comptes administrateurs locaux. Cette configuration améliore la sécurité de votre parc en automatisant la rotation des mots de passe tout en offrant une solution de récupération en cas de besoin.
Vous pouvez faire appel à Pragmatism IT pour une intégration sur mesure de vos solutions, parfaitement adaptées à vos besoins.