# Gestion du mot de passe de l’administrateur local ## Vue d’ensemble Local Administrator Password Solution (LAPS) résoudra le problème de l’utilisation d’identifiants administratifs identiques sur chaque ordinateur Windows à des fins de support et d’urgence. À lui seul, LAPS crée un mot de passe généré aléatoirement pour un compte administrateur local. Avec RealmJoin, il est possible de gérer des comptes administratifs sécurisés et individualisés, que ce soit pour le support local ou le support à distance à grande échelle. RealmJoin enregistre des mots de passe chiffrés dans Azure Key Vault au sein du tenant du client et conserve des journaux d’audit de chaque accès à ces identifiants. L’API de RealmJoin vous permet de demander un « Support Account » (administrateur local) pour un appareil donné dans votre tenant. Voir [la description Swagger de RealmJoin](https://customer-api.realmjoin.com/swagger/index.html) pour voir en détail quelles opérations sont actuellement prises en charge. L’utilisation de LAPS avec RealmJoin nécessite le déploiement du RealmJoin Windows Client. On suppose que vous avez correctement configuré LAPS dans votre environnement et déployé le RealmJoin Windows Client sur vos appareils. Assurez-vous également de [authentifier ](https://docs.realmjoin.com/fr/dev-reference/realmjoin-api/authentication)chaque requête auprès de l’API de RealmJoin à l’aide d’un en-tête HTTP Authorization approprié. ## Demande d’un Support Account Indiquez à RealmJoin de créer un Support Account local sur l’appareil cible à l’aide du point de terminaison `/laps/request`. La requête est mise en file d’attente à l’aide d’Application insights et sera traitée par le backend RealmJoin et le RealmJoin Windows Client dès que possible. Lorsque le compte est créé/utilisable. Le point de terminaison renverra une estimation du temps nécessaire à la création du compte. Lorsque le compte est prêt, voir [ici](#retrieve-support-account-credentials) pour savoir comment interroger les identifiants. ### Exemple Supposons la situation suivante : * Vous avez vos identifiants API RealmJoin et les avez encodés en `dC0xMjM0MTIzNDpteVMzY3JldCE=` (Base64) * Le deviceId `de l’appareil cible Entra` est `9999dab9-f946-40ee-9a17-2500c8d00878`. Sachez qu’il ne s’agit pas de l’ID d’objet Entra (attribut différent) ! Aucun Support Account n’existe actuellement sur l’appareil cible. ![Comptes locaux - avant la demande d’un Support Account](https://1100180853-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MkrcM7cKOpXKri1kVrh%2Fuploads%2FFlbUzySBT9dqV4nrm6kx%2FLaps-before.png?alt=media\&token=e5e95f49-1293-4696-ad1f-a245bb6b42e6) Construisons les **demande**: En-têtes : ```http Authorization: Basic dC0xMjM0MTIzNDpteVMzY3JldCE= Content-Type: application/json ``` Requête / URI : ```http POST https://customer-api.realmjoin.com/laps/request?deviceID=9999dab9-f946-40ee-9a17-2500c8d00878 ``` Ce point de terminaison n’attend pas de corps de requête. **Réponse** Statut HTTP : `200` (OK) Corps (en notation JSON) : ```json { "estimatedWaitTime": "00:12:31.8215813" } ``` La réponse contient le temps approximatif avant que le RealmJoin Windows Client ne crée le Support Account local. Dans cet exemple, prévoyez d’attendre au moins 12 minutes. Si le client n’a pas été vu depuis longtemps, vous pourriez obtenir `null` comme estimation au lieu d’un nombre. Le RealmJoin Windows Client interrogera les tâches toutes les 30 min par défaut. L’approximation fournie par l’API est basée sur la dernière fois où le Windows Client s’est connecté. ## Récupérer les identifiants du Support Account Le point de terminaison `/laps/retrieve` est utilisé pour vérifier si un Support Account a déjà été créé ainsi que pour récupérer les identifiants réels du Support Account. Interrogeons le même `de l’appareil cible Entra` de `9999dab9-f946-40ee-9a17-2500c8d00878` que dans l’exemple [ci-dessus](#requesting-a-support-account). Dans notre exemple, un Support Account (nom complet : "Local Support Admin Account") a été créé sur l’appareil cible par le RealmJoin Windows Client : ![Comptes locaux - le Support Account est créé avec succès](https://1100180853-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-MkrcM7cKOpXKri1kVrh%2Fuploads%2F8ePPJ2SxA29zcJsmGKX7%2FLaps-after.png?alt=media\&token=2d24e9ce-fa68-4499-a597-f0789f0a6115) **Demande** En-têtes : ```http Authorization: Basic dC0xMjM0MTIzNDpteVMzY3JldCE= Content-Type: application/json ``` Requête / URI : ```http POST https://customer-api.realmjoin.com/laps/retrieve?deviceID=9999dab9-f946-40ee-9a17-2500c8d00878 ``` Ce point de terminaison n’attend pas de corps de requête. **Réponse** Si les identifiants ne sont pas encore disponibles, le point de terminaison renverra le statut HTTP : `404` (Not Found) et quelques détails techniques dans le corps : Corps (JSON) ```json { "type": "https://tools.ietf.org/html/rfc7231#section-6.5.4", "title": "Not Found", "status": 404, "traceId": "00-4c56c3cb0f9b394abf934b107b148613-1234b2497e261649-00" } ``` Vous pouvez continuer à interroger jusqu’à ce que les identifiants soient prêts. Si les identifiants sont prêts, le point de terminaison renverra le statut HTTP : `200` (OK) et les identifiants : Corps (JSON) ```json { "password": "Upji1234", "username": "ADM-5A2F2169", "accountExpirationDate": "2021-12-21T02:14:07+00:00" } ``` Vous pouvez utiliser ces identifiants pour fournir du support à un utilisateur, par exemple en vous connectant via le AnyDesk Supporter Client. Comme vous pouvez le voir, par défaut un Support Account a une durée de vie limitée et devra être recréé si un accès est nécessaire après la date d’expiration. Cela garantit qu’aucun identifiant à privilèges élevés ne persiste d’un jour à l’autre dans les tâches d’exploitation quotidienne.