Mise en place de windows LAPS avec Intune

Sommaire

‍

Prérequis :

Avoir les rôles suivants :

• Global Administrator (pour la partie 1)
• Intune Administrator (pour créer la politique LAPS)
• Cloud Device Administrator (pour récupérer les mots de passe LAPS)

‍

1. Activer la fonctionnalité LAPS via Entra

Se rendre sur le portail Entra ID pour activer la fonctionnalité LAPS sur le tenant.

Dans Entra, Aller dans Devices > All Devices. Descendre jusqu'à la partie Local Administrator settings, puis changer la valeur de "Enable Microsoft Entra Local Administrator Password Solution (Laps)" sur Yes. Enfin, cliquer sur save.

2. Créer un utilisateur local

2.1 Via profil de configuration

Créer un utilisateur local sur les postes qui servira de compte administrateur local avec LAPS. Voici comment créer le profil de configuration:

Il faut déployer ce script via Intune en se rendant dans Devices > Windows > Configuration

Il faut ensuite en créer un nouveau en cliquant sur Create puis New Policy.

Sélectionner ensuite Windows 10 and later dans Platform, puis Templates dans Profile type et enfin Custom, cliquer ensuite sur Create.

Entrer ensuite un nom et une description à votre profil de configuration, puis cliquer sur Next

‍

Cliquer ensuite sur Add et remplir les paramètres comme suivant ou "VotreAdmin" est le nom de votre administrateur local :

• Name : Create Local admin for LAPS
• Description : Ce profil de configuration permet de creer un utilisateur local
• OMA-URI : ./Device/Vendor/MSFT/Accounts/Users/LocalAdmin/Password
• Data type : String
• Value : MyStr4ongP4ssw0rd!

Puis cliquer sur Save puis Next

Assigner ensuite à All devices puis cliquer sur next

Cliquer encore une fois sur Next puis sur Create.

La politique de création de compte local est désormais créée et va s'appliquer sur les postes.

‍

2.2 Via script PowerShell

Créer un utilisateur local sur les postes qui servira de compte administrateur local avec LAPS. Voici un script Powershell qui permet de le faire:

# RemediateLocalUser.ps1

$userName = "Admin" #Insérer entre les guillemets le nom du futur admin local des postes
$userexist = (Get-LocalUser).Name -Contains $userName
if($userexist -eq $false) {
  try{ 
     New-LocalUser -Name $username -Description "$userName local user account" -NoPassword
     Exit 0
   }   
  Catch {
     Write-error $_
     Exit 1
   }
}

⚠Il ne faut pas ajouter cet utilisateur dans le groupe admin local via ce script

‍

Il faut déployer ce script via Intune en se rendant dans Devices > Windows > Scripts and Remediations

‍

Il faut ensuite se rendre dans l'onglet Platform scripts et en créer un nouveau:

‍

Choisir un nom et une description puis cliquer sur next :

‍

Puis inclure le script et utiliser les paramètres suivants :

‍

Assigner ensuite ce script à l'étendue voulue :

Enfin, cliquer sur next.

‍

‍

3. Ajouter l'utilisateur au groupe Admin Local

Se rendre sur le portail Intune > Endpoint Security > Account Protection puis créer une nouvelle politique.

Choisir "Local user group Membership" puis créer.

‍

Donner un nom et une description à cette politique de sécurité puis cliquer sur Next

Remplir les champs Local group, group and user action et user selection type comme ci-dessous :

Cliquer sur Add user(s) puis rentrer le nom du compte créé via le script.

Cliquer sur OK puis assigner cette politique dans la même portée que le script.

‍

4. Configurer Windows LAPS

4.1 Via Endpoint Security

Se rendre sur le portail Intune, Endpoint Security, Account Protection puis créer une nouvelle politique.

Sélectionner Local Admin Password Solution (Windows LAPS) puis cliquer sur créer

Donner un nom et une description à cette politique de sécurité puis cliquer sur Next

Remplir les champs en fonction de la configuration à pousser, par exemple :

Définir un scope tag au besoin, puis assigner la politique sur la même portée que le script.

4.2 Via OMA-URI (Uniquement Windows 11 24h2 et supérieur)

Depuis Mars 2025, Microsoft a ajouté de nouvelles fonctionnalités renforçant la sécurité de vos comptes LAPS, celles-ci sont uniquement disponibles via des règles customisées dans les profils de configuration Intune, voici les nouvelles fonctionnalites avec leurs documentation Microsoft (celles-ci seront ajoutées prochainement au catalogue Account Protection):

• Automatic Account Management Enable Account
• Automatic Account Management Enabled
• Automatic Account Management Name Or Prefix
• Automatic Account Management Randomize Name
• Automatic Account Management Target
• Passphrase Length

‍

Pour configurer ces règles dans Intune, il faut se rendre dans Devices, Configuration ,puis en créer une sous le template "Custom":

⚠ Attention : Ne pas utiliser la fonctionnalité "Endpoint Security" sur la même etendue que la configuration "Custom"

‍

5. Récupération du mot de passe LAPS

Il est possible de récupérer le mot de passe temporaire sur Intune en allant sur le Device puis dans Local Admin Password.

‍

Conclusion

Avec Windows LAPS, vos postes sont désormais protégés grâce à une gestion centralisée et sécurisée des mots de passe des comptes administrateurs locaux. Cette configuration améliore la sécurité de votre parc en automatisant la rotation des mots de passe tout en offrant une solution de récupération en cas de besoin.

‍

Vous pouvez faire appel à Pragmatism IT pour une intégration sur mesure de vos solutions, parfaitement adaptées à vos besoins.