circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Gestion des mots de passe administrateur locaux

hashtag
onglet Vue d'ensemble

Local Administrator Password Solution (LAPS) résoudra le problème lié à l'utilisation d'identifiants administratifs identiques sur chaque ordinateur Windows à des fins de support et d'urgence. En soi, LAPS crée un mot de passe généré aléatoirement pour un compte administrateur local.

Avec RealmJoin, il est possible de gérer des comptes administratifs sécurisés et individualisés, soit pour le support local, soit pour le support à distance à grande échelle. RealmJoin enregistre les mots de passe chiffrés dans Azure Key Vault au sein du locataire du client et conserve des logs d'audit de chaque accès à ces identifiants.

L'API de RealmJoin vous permet de demander un « Compte de support » (administrateur local) pour un appareil donné dans votre locataire. Voir la description Swagger de RealmJoinarrow-up-right pour voir en détail quelles opérations sont actuellement prises en charge. L'utilisation de LAPS avec RealmJoin nécessite le déploiement du client Windows RealmJoin.

On suppose que vous avez correctement configuré LAPS dans votre environnement et déployé le client Windows RealmJoin sur vos appareils. Assurez-vous également de vous authentifier pour chaque requête vers l'API de RealmJoin en utilisant un en-tête http Authorization approprié.

hashtag
Demander un compte de support

Demandez à RealmJoin de créer un compte de support local sur l'appareil cible en utilisant le point de terminaison /laps/request. La requête est mise en file via Application Insights et sera traitée par le backend RealmJoin et le client Windows RealmJoin dès que possible. Lorsque le compte est créé/utilisable.

Le point de terminaison renverra une estimation du temps nécessaire à la création du compte. Lorsque le compte est prêt, voir ici pour savoir comment interroger les identifiants.

hashtag
Exemple

Partons de la situation suivante :

  • Vous disposez de vos identifiants API RealmJoin et les avez encodés en dC0xMjM0MTIzNDpteVMzY3JldCE= (Base64)

  • L'identifiant Entra de l'appareil cible deviceId est 9999dab9-f946-40ee-9a17-2500c8d00878. Sachez qu'il ne s'agit pas de l'id de l'objet Entra (attribut différent) !

Actuellement aucun compte de support n'existe sur l'appareil cible.

Comptes locaux - avant de demander un compte de support

Construisons le demande:

En-têtes :

Requête / URI :

Ce point de terminaison n'attend pas de corps de requête.

Réponse

Statut HTTP : 200 (OK)

Corps (en notation JSON) :

La réponse contient le temps approximatif avant que le client Windows RealmJoin crée le compte de support local. Dans cet exemple, attendez-vous à patienter au moins 12 minutes. Si le client n'a pas été vu depuis longtemps, vous pouvez obtenir null comme estimation au lieu d'un nombre.

Le client Windows RealmJoin interrogera la file d'attente toutes les 30 minutes par défaut. L'approximation fournie par l'API est basée sur la dernière fois où le client Windows s'est connecté.

hashtag
Récupérer les identifiants du compte de support

Le point de terminaison /laps/retrieve est utilisé pour vérifier si un compte de support a déjà été créé ainsi que pour récupérer les identifiants réels du compte de support.

Interrogeons le même deviceId de 9999dab9-f946-40ee-9a17-2500c8d00878 comme dans l'exemple ci-dessus.

Dans notre exemple, un compte de support (Nom complet : « Local Support Admin Account ») a été créé sur l'appareil cible par le client Windows RealmJoin :

Comptes locaux - le compte de support a été créé avec succès

Requête

En-têtes :

Requête / URI :

Ce point de terminaison n'attend pas de corps de requête.

Réponse

Si les identifiants ne sont pas encore disponibles, le point de terminaison renverra le statut HTTP : 404 (Not Found) et quelques détails techniques dans le corps :

Corps (JSON)

Vous pouvez continuer à interroger jusqu'à ce que les identifiants soient prêts.

Si les identifiants sont prêts, le point de terminaison renverra le statut HTTP : 200 (OK) et les identifiants :

Corps (JSON)

Vous pouvez utiliser ces identifiants pour offrir du support à un utilisateur, par exemple en vous connectant via le client AnyDesk Supporter.

Comme vous pouvez le voir, par défaut un compte de support a une durée de vie limitée et devra être recréé si un accès est nécessaire après la date d'expiration. Cela permet de s'assurer qu'aucun identifiant à privilèges élevés ne persiste au quotidien.

Mis à jour

Ce contenu vous a-t-il été utile ?