Les mots de passe de compte LAPS ne peuvent pas être récupérés

Si les mots de passe des comptes LAPS ne peuvent pas être récupérés, c'est très probablement parce qu'ils ne peuvent pas être trouvés dans l'Azure Key Vault.

Si vous rencontrez ce problème, vérifiez d'abord si votre Key Vault est correctement configuré pour RJ LAPS, en particulier les autorisations comme documenté ici : KeyVault

Comme indicateur pour voir si la communication de base entre RealmJoin et le KeyVault fonctionne, vérifiez la section Certificats du Key Vault dans le portail Azure. À condition que vous disposiez des autorisations appropriées sur le KeyVault, vous devriez voir un certificat appelé realmjoin-master qui a été créé par RealmJoin :

Si les autorisations du KeyVault sont correctes et que vous pouvez voir des identifiants remplis dans la section Clés de l'Azure KeyVault, cela confirme que la connexion entre RealmJoin et le KeyVault fonctionne.

Cependant, vous pouvez toujours rencontrer certains appareils sur lesquels le mot de passe d'un compte LAPS peut ne pas être accessible. Cela peut être le cas si le compte LAPS sur l'appareil a été créé lorsque la configuration du KeyVault n'était pas correctement définie et opérationnelle. Le mot de passe n'est écrit dans le KeyVault qu'une seule fois. Donc, si à ce moment-là les autorisations du KeyVault n'étaient pas correctes ou si l'appareil a rencontré des problèmes réseau, le mot de passe n'a peut-être jamais été enregistré dans le KeyVault. La seule façon de résoudre ce problème est de recréer le(s) compte(s) LAPS. Vous pouvez utiliser le package Renew LAPS Accounts depuis le store RealmJoin pour supprimer tout(s) compte(s) LAPS créé(s) sur le(s) appareil(s). Ensuite ils seront recréés en utilisant la configuration fournie dans le locataire.