Windows LAPS : Sécuriser les mots de passe admin locaux avec les administrative units

Windows LAPS (Local Administrator Password Solution) est récemment devenu disponible pour tous, introduisant une architecture robuste et intrigante basée sur plusieurs DLL et fonctions.

De nombreuses ressources existent déjà pour détailler comment activer et utiliser cette fonctionnalité. Dans cet article de blog, nous explorerons un aspect crucial de Windows LAPS : comment déléguer l’accès aux mots de passe, désormais stockés en toute sécurité dans Entra.

Pourquoi la délégation est-elle importante ?

Dans les grandes organisations, vous ne voulez pas que les administrateurs aient accès à TOUS les mots de passe d’administrateurs locaux du tenant. Bien que Windows LAPS apporte une solution, il est vital de contrôler qui a accès à ces identifiants sensibles.

La réponse réside dans l’utilisation des Administrative Units, une fonctionnalité qui vous permet d’affiner le contrôle d’accès. Vous pouvez restreindre l’accès et nous allons voir comment.

Créer le rôle

Tout d’abord, créez le rôle sur Entra. Vous pouvez soit choisir un rôle natif, soit créer votre propre rôle custom. Voici les rôles intégrés ayant accès au contenu et/ou aux métadonnées des mots de passe locaux :

Vous avez besoin de la permission suivante pour accéder au contenu du mot de passe : microsoft.directory/deviceLocalCredentials/password/read

Avec cette permission, vous pouvez créer un rôle personnalisé qui se concentre exclusivement sur l’accès aux mots de passe locaux. Cela signifie que vous aurez plus de contrôle sans la complexité des permissions supplémentaires présentes dans les rôles natifs.

Portail Entra > Identité > Rôles et administrateurs > Nouveau rôle personnalisé > Choisissez la permission pour l’accès aux mots de passe et/ou aux métadonnées.

Voici mon rôle custom créé :

Mon Administrative Unit

Commencez par configurer des Administrative Units (AUs) pour gérer les permissions. La structure de vos AUs doit s’aligner sur les besoins spécifiques de votre organisation. Prenez en compte des facteurs tels que les Business Units (BUs), les régions géographiques, les cas d’utilisation ou les entités lors de la structuration de vos AUs.

Exemple de cas d’utilisation : Dans notre scénario, nous restreignons l’accès aux mots de passe locaux exclusivement pour les appareils du département RH.

Pendant le processus de création de l’AU, liez le rôle personnalisé que vous avez créé précédemment à l’Administrative Unit. Cette étape garantit que les permissions que vous avez définies sont appliquées aux AUs appropriées.

Vous pouvez également assigner plus tard le rôle personnalisé limité à l’Administrative Unit. Choisissez directement un administrateur ou un groupe d’administrateurs.

Assigner vos appareils à l’Administrative Unit

Pour alimenter vos Administrative Units, vous pouvez utiliser PowerShell, des requêtes dynamiques ou ajouter les appareils manuellement.

En utilisant PowerShell, vous utilisez une commande de ce type :

Où adminunitsid est l’identifiant de votre Administrative Unit et groupid est l’identifiant du groupe contenant vos appareils. N’hésitez pas à adapter le script pour gérer les erreurs ou les logs.

Si vous faites partie de la preview, vous pouvez exploiter les requêtes dynamiques pour gérer l’appartenance à l’Administrative Unit.

Désormais, vos appareils sont « membres » des Administrative Units :

Vérifier d’abord avec un Global Admin

Pour m’assurer qu’il y a bien un mot de passe local stocké sur Entra, je vérifie avec mon compte d’administrateur général s’il existe un tel mot de passe.

Je teste deux appareils différents : DESKTOP-78205VK et TOMMACHADO554D.

Utiliser un compte différent : Admin0

Admin0 est un administrateur disposant de permissions Intune. Son périmètre devrait se limiter aux appareils appartenant à user0, comme TOMMACHADO554D.

Pourtant, d’une manière ou d’une autre, il voit un appareil hors de son périmètre, un appareil appartenant à user8 : DESKTOP-78205VK :

Voyons ce qui se passe si j’essaie d’accéder au mot de passe local de ces deux appareils.

Pour TOMMACHADO554D, cela devrait fonctionner correctement, car il se trouve dans mon périmètre / mon Administrative Unit :

Parfait.

Maintenant, qu’en est-il de DESKTOP-78205VK ? Cet appareil n’est pas dans mon périmètre / mon Administrative Unit :

Impossible d’obtenir le mot de passe local. Ce qui est une excellente chose, je ne devrais pas avoir accès au mot de passe de cet appareil.

Conclusion

L’exploitation des Administrative Units dans Entra offre une approche efficace pour contrôler précisément les permissions. En harmonisant vos rôles personnalisés avec des périmètres adaptés et en intégrant Privileged Identity Management (PIM), vous établissez un système robuste et adaptable pour gérer les accès.

Et voilà !

Laisser un commentaire

En savoir plus sur Poem to MDM

Abonnez-vous pour poursuivre la lecture et avoir accès à l’ensemble des archives.

Poursuivre la lecture