circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search
Ctrlk

Gestion des mots de passe administrateur local

hashtag
Overview

La solution Local Administrator Password Solution (LAPS) résout le problème de l’utilisation d’identifiants administratifs identiques sur chaque ordinateur Windows à des fins de support et d’urgence. À elle seule, LAPS crée un mot de passe généré aléatoirement pour un compte administrateur local.

Avec RealmJoin, il est possible de gérer des comptes administratifs sécurisés et individualisés, que ce soit pour le support local ou le support à distance à grande échelle. RealmJoin enregistre les mots de passe chiffrés dans Azure Key Vault au sein du Tenant du client et conserve des journaux d’audit de chaque accès à ces identifiants.

L’API de RealmJoin vous permet de demander un « Support Account » (administrateur local) pour un appareil donné dans votre Tenant. Voir la description Swagger de RealmJoinarrow-up-right pour voir en détail quelles opérations sont actuellement prises en charge. L’utilisation de LAPS avec RealmJoin nécessite le déploiement du client RealmJoin Windows.

On suppose que vous avez correctement configuré LAPS dans votre environnement et déployé le client RealmJoin Windows sur vos appareils. Assurez-vous également de vous authentifier pour chaque requête auprès de l’API de RealmJoin à l’aide d’un en-tête http Authorization approprié.

hashtag
Demande d’un Support Account

Indiquez à RealmJoin de créer un compte Support Account local sur l’appareil cible en utilisant le point de terminaison /laps/request. La requête est mise en file d’attente à l’aide d’Application Insights et sera traitée par RealmJoin Backend et RealmJoin Windows Client dès que possible. Lorsque le compte est créé/utilisable.

Le point de terminaison renverra une estimation du temps nécessaire à la création du compte. Lorsque le compte est prêt, voir ici pour savoir comment interroger les identifiants.

hashtag
Exemple

Supposons la situation suivante :

  • Vous disposez de vos identifiants d’API RealmJoin et vous les avez encodés en dC0xMjM0MTIzNDpteVMzY3JldCE= (Base64)

  • L’deviceId Entra de l’appareil cible deviceId n’est 9999dab9-f946-40ee-9a17-2500c8d00878. Attention, il ne s’agit pas de l’ID d’objet Entra (attribut différent) !

Aucun Support Account n’existe actuellement sur l’appareil cible.

Comptes locaux - avant la demande d’un Support Account

Construisons le demander:

En-têtes :

Requête / URI :

Ce point de terminaison n’attend pas de corps de requête.

Réponse

Statut HTTP : 200 (OK)

Corps (en notation JSON) :

La réponse contient le temps approximatif jusqu’à ce que le client RealmJoin Windows crée le compte Support Account local. Dans cet exemple, prévoyez d’attendre au moins 12 minutes. Si le client n’a pas été vu depuis longtemps, vous pourriez obtenir null comme estimation au lieu d’un nombre.

Le client RealmJoin Windows interrogera les tâches toutes les 30 min par défaut. L’approximation fournie par l’API est basée sur la dernière fois où le client Windows a effectué sa connexion.

hashtag
Récupérer les identifiants du Support Account

Le point de terminaison /laps/retrieve est utilisé pour vérifier si un Support Account a déjà été créé ainsi que pour récupérer les véritables identifiants du Support Account.

Interrogeons le même deviceId de 9999dab9-f946-40ee-9a17-2500c8d00878 que dans l’exemple ci-dessus.

Dans notre exemple, un Support Account (nom complet : "Local Support Admin Account") a été créé sur l’appareil cible par le client RealmJoin Windows :

Comptes locaux - le Support Account a été créé avec succès

Demande

En-têtes :

Requête / URI :

Ce point de terminaison n’attend pas de corps de requête.

Réponse

Si les identifiants ne sont pas encore disponibles, le point de terminaison renverra le statut HTTP : 404 (Not Found) ainsi que quelques détails techniques dans le corps :

Corps (JSON)

Vous pouvez continuer à interroger jusqu’à ce que les identifiants soient prêts.

Si les identifiants sont prêts, le point de terminaison renverra le statut HTTP : 200 (OK) ainsi que les identifiants :

Corps (JSON)

Vous pouvez utiliser ces identifiants pour fournir une assistance à un utilisateur, par exemple en vous connectant via le client AnyDesk Supporter.

Comme vous pouvez le constater, par défaut, un Support Account a une durée de vie limitée et devra être recréé si un accès est nécessaire après la date d’expiration. Cela permet de s’assurer qu’aucun identifiant à privilèges élevés ne persiste d’une tâche opérationnelle quotidienne à l’autre.

Mis à jour

Ce contenu vous a-t-il été utile ?