Alors que Windows 11 fait son chemin dans le monde professionnel, la version 24H2 marque une étape importante avec l’introduction de nouvelles fonctionnalités. Parmi ces améliorations, LAPS (Local Administrator Password Solution) se distingue par des avancées intéressantes dans son déploiement.
Windows LAPS simplifie désormais la gestion des comptes locaux en automatisant la création de comptes avec des noms aléatoires et en introduisant des politiques de complexité de mots de passe renforcées, incluant l’utilisation de phrases de passe (passphrases). La longueur des phrases de passe est contrôlable via « PassphraseLength » et une option améliore la lisibilité en évitant les caractères similaires (ex. zéro et O). Une nouvelle fonction permet également la réinitialisation automatique des mots de passe après une déconnexion et la terminaison des processus, avec des journaux d’événements détaillés pour un meilleur suivi des actions.
Les modes de gestion des comptes de Windows LAPS
Les dernières mises à jour de Windows LAPS offrent aux administrateurs IT deux modes de gestion des comptes :
- Gestion manuelle : Par défaut, l’administrateur configure et gère entièrement le compte ciblé, que ce soit l’Administrateur intégré ou un compte personnalisé. Pour un compte personnalisé, il doit être créé avant l’activation de Windows LAPS. Seul le mot de passe est protégé.
- Gestion automatique : Optionnel, Windows LAPS s’occupe de configurer, créer et supprimer le compte ciblé. L’administrateur choisit entre le compte Administrateur intégré ou un compte personnalisé, spécifiant son nom et son état (activé/désactivé). Le compte, membre du groupe Administrateurs local, a un mot de passe soumis à expiration.
Les nouveaux paramètres sont accessibles dans le CSP LAPS de Windows 11 et introduisent de nouveaux réglages permettant la gestion automatique des comptes, en complément de la gestion manuelle qui demeure le paramètre par défaut.
Le tableau ci-dessous présente un aperçu de ces nouvelles options et des configurations nécessaires.
| Nom du paramètre | Description | Type de valeur |
|---|---|---|
| AutomaticAccountManagementEnableAccount | Indique si la création/gestion des comptes est activée automatiquement. | Booléen (true/false) |
| AutomaticAccountManagementEnabled | Spécifie si la gestion automatique des comptes est active. | Booléen (true/false) |
| AutomaticAccountManagementNameOrPrefix | Définit le nom ou le préfixe pour le compte géré automatiquement. | Chaîne de caractères |
| AutomaticAccountManagementRandomizeName | Contrôle si le nom du compte est aléatoire pour chaque instance. | Booléen (true/false) |
| AutomaticAccountManagementTarget | Spécifie la cible où la gestion automatique des comptes s’applique. | Chaîne de caractère |
Configuration
Dans le centre d’administration Microsoft Intune et naviguez vers Appareils > Windows > Profils de configuration puis créer un profil « Personalisé/Custom »
| Fonctionnalité | Description | Chemin de la politique | Valeur |
|---|---|---|---|
| Gestion automatique des comptes | Spécifie si la gestion automatique des comptes est activée | ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled | TRUE |
| Nom ou préfixe des comptes gérés | Définit le nom ou le préfixe des comptes gérés | ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix | LapsAdmin |
| Aléatorisation du nom des comptes | Spécifie si le nom est aléatoire | ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName | TRUE |
| Cible de la gestion des comptes | Détermine quel compte est géré automatiquement | ./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget | 1 |
| Complexité des mots de passe | Définit la complexité des mots de passe | ./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity | 8 |