Solution de mot de passe administrateur local (LAPS)

Notre solution LAPS (Local Administrator Password Solution) a été conçue pour résoudre le problème de l'utilisation de comptes identiques dans votre environnement pour le support utilisateur ou l'élévation de privilèges. LAPS crée des mots de passe forts pour les comptes locaux qui sont stockés de manière sécurisée dans votre propre Azure Key Vault. Pour l'audit, vous avez la possibilité de fournir une Application Insights instance ou un Log Analytics Workspace.

Prérequis

Avant de pouvoir commencer avec LAPS, vous devez satisfaire aux prérequis suivants :

• Configurer Application Insights OU Log Analytics Workspace

• Activer explicitement les types de comptes LAPS en utilisant les paramètres de groupe (ou d'utilisateur)

Nous examinerons les deux ci-dessous.

Journalisation

Application Insights et Log Analytics jouent un rôle important lors de l'utilisation de LAPS. Les demandes de mot de passe déclenchées par LAPS sont journalisées par RealmJoin et envoyées à l'instance Application Insights ou au Log Analytics Workspace configuré. De cette façon, vous avez une visibilité complète sur qui récupère les mots de passe.

Une seule forme de journalisation doit être choisie - soit Application Insights soit Log Analytics. La journalisation est optionnelle lors de la configuration de LAPS et peut être omise si votre organisation n'a pas besoin de ces informations.

Plus de détails peuvent être trouvés dans nos Application Insights et Log Analytics articles.

Paramètres de groupe

LAPS prend en charge les paramètres globaux suivants.

Les types de comptes suivants sont pris en charge.

Chaque type de compte peut être configuré indépendamment en utilisant les paramètres communs suivants. Certains types ont des paramètres spéciaux décrits dans leur section respective.

Renouvellements de mot de passe

Par défaut, des mots de passe vraiment aléatoires seront générés en fonction des paramètres PasswordCharSet et PasswordLength. Le jeu de caractères par défaut a été choisi pour exclure les caractères ayant une apparence similaire comme I1l et O0. Le générateur de nombres aléatoires cryptographique de Windows est utilisé pour fournir un haut niveau d'aléa pour la génération.

Les mots de passe vraiment aléatoires peuvent être difficiles à manipuler, c'est pourquoi des modèles prédéfinis spéciaux sont également pris en charge.

• Prédéfini 1 ⇒ [1 majuscule][3 minuscules][4 chiffres]

  • Tuci9325

  • Lnso5050

  • Khwn2174

• Prédéfini 2 ⇒ Key-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]-[6 chiffres]

  • Le paramètre PasswordLength est pris en charge ! Le paramètre détermine le nombre de blocs de chiffres.

  • Key-012993-230956-976475 (PasswordLength = 3)

  • Key-497254-679158-631224-278319 (PasswordLength = 4)

  • Key-506179-861369-706482-613244-730371-097689-404350-340073 (par défaut)

• Prédéfini 3 ⇒ [mot]-[mot]-[mot]-[mot]-[mot]-[mot] généré à partir de Eff Long List​

  • Le paramètre PasswordLength est pris en charge ! Le paramètre détermine le nombre de mots.

  • Exciting-Unearth-Cried-87 (PasswordLength = 3)

  • Neurology-Astute-Debate-Marshy-15 (PasswordLength = 4)

  • Marshy-Darkened-Undertake-Reset-Shrouded-Wise-26 (par défaut)

Recréation du compte

Après qu'un compte a été utilisé, RealmJoin peut être configuré pour supprimer et recréer le compte en utilisant le paramètre MaxStaleness Ainsi les comptes seront toujours propres. Si non configurés, les comptes ne seront jamais recréés et resteront indéfiniment.

Évitement des conflits

Même si RealmJoin fait de son mieux pour éviter les conflits de nom lors de la gestion des comptes sur un appareil, il existe toujours la possibilité que des comptes existent déjà sur un appareil provoquant des conflits. C'est pourquoi le paramètre NamePattern prend en charge ces jetons ayant une signification spéciale pour RealmJoin. Les jetons seront transformés par la fonction spécifiée et son paramètre de longueur suivant les deux-points.

• {HEX:8} ⇒ F4D027EF, B3C4F74E, ... (caractères hexadécimaux aléatoires)

• {DEC:6} ⇒ 506453, 066946, ... (caractères décimaux aléatoires)

• {COUNT:2} ⇒ 01, 02, ... (compteur, restera 01 s'il n'y a pas de conflits)

Compte d'urgence

Ce type de compte est votre accès de secours à l'appareil au cas où celui-ci subirait une défaillance catastrophique. Il sera créé de manière proactive. De cette façon, vous aurez toujours accès pour la récupération. Nous recommandons de le configurer pour la recréation du compte.

Exemple

Clé LocalAdminManagement.EmergencyAccount (pour les paramètres communs voir paramètres de groupe)

Compte de support

Ce type de compte peut être configuré pour une création à la demande. Il est conçu pour une utilisation durant une fenêtre temporelle limitée de 12 heures en mode à la demande.

Exigences pour le flux de travail à la demande :

• Le mode est activé en définissant "OnDemand": true.

• Un utilisateur est connecté

• L'agent RealmJoin est en cours d'exécution

• L'appareil est connecté à Internet

• L'appareil peut atteindre le backend RealmJoin

Lorsqu'il n'est pas en mode à la demande, il sera créé de manière proactive.

Exemple

Clé LocalAdminManagement.SupportAccount (pour les paramètres communs voir paramètres de groupe)

Compte privilégié

Ce type de compte est conçu pour être utilisé par des utilisateurs avancés qui ont besoin de privilèges administratifs réguliers mais contrôlés sur leurs propres appareils. Une date d'expiration fixe du compte peut être spécifiée (Expiration).

Les rotations forcées de mot de passe sont prises en charge :

1. 2021-11-20T12:34:56+01:00: Toute horodatage explicite en ISO-8601. Plusieurs horodatages peuvent être spécifiés.

2. DayAfterCreate: Après la création du compte, le mot de passe du compte sera changé. Ceci est utile lorsque les utilisateurs sont supposés configurer Windows Hello pour des options d'authentification supplémentaires.

3. Annuel, Mensuel ou Hebdomadaire: L'intervalle le plus court a la priorité (Hebdomadaire > Mensuel > Annuel). Si aucune condition supplémentaire n'est spécifiée, les valeurs par défaut sont "1er jour du mois" pour Mensuel ou "lundi" pour Hebdomadaire. De plus, Annuel par défaut correspond à la date du dernier changement de mot de passe + 365 jours. Les sept jours de la semaine peuvent être spécifiés. Ainsi, si Mercredi et Hebdomadaire sont spécifiés, le mot de passe sera changé tous les mercredis. Si Mercredi et Mensuel sont spécifiés, le mot de passe sera changé le premier mercredi de chaque mois. La combinaison de Annuel avec des jours de semaine fixera la date limite au jour de semaine spécifié le plus tard possible juste avant que les 365 jours ne soient écoulés.

Exemple

Clé LocalAdminManagement.PrivilegedAccount (pour les paramètres communs voir paramètres de groupe)

Accès aux mots de passe

Utilisez le portail RealmJoin pour accéder aux mots de passe.

Activer l'auto-service

Les utilisateurs peuvent accéder aux comptes créés sur leurs propres appareils (ils sont "PrimaryUser") lorsque activé en utilisant le Portail RealmJoin à partir de la version 2022.5.1. Pour activer, définissez un paramètre en utilisant la clé Allow.SelfLAPS. Ce paramètre peut être défini sur des groupes et des utilisateurs. Comme pour tous les paramètres préfixés par Allow.* ils sont combinés par ET entre l'utilisateur et tous leurs groupes.

La valeur peut aussi être un simple booléen true/false. Cela peut être utilisé comme un caractère générique et englobe tous les types de comptes actuels et futurs. Veuillez noter que ceci est uniquement recommandé pour désactiver l'accès (false).

Une configuration d'exemple peut ressembler à ceci :