Configurer Windows LAPS avec Microsoft Intune pour une sécurité renforcée

Configurez Windows LAPS avec Microsoft Intune pour automatiser la rotation des mots de passe administrateur local sur les appareils gérés via la sauvegarde Microsoft Entra ID et l'application de politiques cloud.

Emanuel DE ALMEIDA

3/13/2026 15 min 0

mediumlaps 6 étapes 15 min

Vue d'ensemble

Windows Local Administrator Password Solution (LAPS), intégré nativement dans Windows 11 (22H2+) et Windows Server 2022, automatise la gestion des mots de passe des administrateurs locaux en générant des mots de passe uniques et complexes par appareil et en les sauvegardant dans Microsoft Entra ID ou Active Directory. Intégré avec Microsoft Intune, LAPS élimine les identifiants d'administrateur local partagés — l'un des vecteurs d'attaque les plus exploités dans les scénarios de mouvement latéral.

Les prérequis incluent des appareils sous Windows 11 22H2+ ou Windows Server 2022+, inscrits à Microsoft Intune et joints à Azure AD ou Azure AD hybride. Activez LAPS dans le centre d'administration Entra sous Appareils > Paramètres des appareils, puis créez une stratégie de protection des comptes Windows LAPS dans Intune (Sécurité du point de terminaison > Protection des comptes > Windows LAPS). Configurez l'âge du mot de passe (défaut : 30 jours), la longueur (minimum : 15 caractères), le nom du compte et le répertoire de sauvegarde (Azure AD).

Conseil : Utilisez la cmdlet PowerShell intégrée Get-LapsAADPassword (module LAPS) pour auditer et récupérer les mots de passe LAPS par programmation, ou déléguez l'accès via des rôles personnalisés Azure AD pour restreindre la récupération aux rôles éligibles PIM.

Guide de mise en oeuvre

Procédure complète

Activer LAPS à l'échelle du locataire dans Microsoft Entra ID

Tout d'abord, vous devez activer LAPS au niveau du locataire dans Microsoft Entra ID. Il s'agit d'un paramètre global qui affecte tous les appareils de votre organisation.

Connectez-vous au centre d'administration Microsoft Entra à https://portal.azure.com en utilisant un compte avec des permissions d'administrateur d'appareils cloud ou d'administrateur global.

Accédez à Identité > Appareils > Aperçu > Paramètres des appareils.

Localisez le paramètre Activer la solution de mot de passe administrateur local (LAPS) et réglez-le sur Oui.

Cliquez sur Enregistrer pour appliquer les modifications.

Avertissement : Ce paramètre affecte tous les appareils de votre locataire. Testez cette configuration dans un environnement non productif d'abord pour comprendre l'impact.

Vérification : Le paramètre devrait s'afficher comme "Oui" après l'enregistrement. Ce changement prend effet immédiatement mais les appareils ne commenceront à utiliser LAPS qu'une fois les politiques appliquées.

Activer le compte administrateur intégré via Intune

Windows LAPS nécessite que le compte administrateur intégré soit activé, ce qui est souvent désactivé par défaut sur les installations modernes de Windows. Nous allons créer un profil de configuration Intune pour l'activer.

Connectez-vous au centre d'administration Microsoft Intune à https://intune.microsoft.com.

Accédez à Appareils > Profils de configuration > Créer un profil.

Configurez les paramètres du profil :

Plateforme : Windows 10 et versions ultérieures
Type de profil : Catalogue de paramètres

Dans l'onglet Informations de base, entrez un nom comme "Activer l'administrateur intégré pour LAPS" et ajoutez une description.

Dans l'onglet Paramètres de configuration, cliquez sur Ajouter des paramètres et recherchez "Options de sécurité des politiques locales".

Sélectionnez Comptes : statut du compte administrateur et définissez-le sur Activé.

Dans l'onglet Affectations, assignez ce profil à vos groupes d'appareils cibles. Commencez par un groupe pilote pour les tests.

Examinez vos paramètres et cliquez sur Créer.

Conseil de pro : Créez un groupe d'appareils dédié pour les tests LAPS avant de le déployer sur les appareils de production. Cela vous permet de valider que la configuration fonctionne correctement.

Vérification : Après l'application de la politique, vérifiez l'appareil en exécutant net user administrator dans l'Invite de commandes. Le compte devrait apparaître comme "Actif : Oui".

Créer la stratégie Windows LAPS dans Intune

Nous allons maintenant créer la politique principale LAPS qui définit la complexité des mots de passe, le calendrier de rotation et l'emplacement de sauvegarde.

Dans le centre d'administration Intune, allez à Sécurité des points de terminaison > Protection des comptes > Créer une politique.

Sélectionnez les options suivantes :

Plateforme : Windows 10 et versions ultérieures
Profil : Solution de mot de passe administrateur local (Windows LAPS)

Dans l'onglet Informations de base, entrez un nom comme "Politique Windows LAPS" et fournissez une description claire.

Configurez les Paramètres de configuration avec ces valeurs recommandées :

Paramètre	Valeur recommandée	Description
Âge du mot de passe (jours)	30	Fréquence de rotation des mots de passe (7-365 jours)
Complexité du mot de passe	Majuscules + minuscules + chiffres + caractères spéciaux	Assure une génération de mot de passe robuste
Longueur du mot de passe	14	Minimum recommandé de 12 caractères
Répertoire de sauvegarde	AzureAD (Microsoft Entra ID)	Où les mots de passe sont stockés en toute sécurité
Chiffrement du mot de passe	Oui	Chiffre les mots de passe en transit et en stockage
Nom du compte administrateur	Administrateur intégré	Cible le compte administrateur par défaut
Actions post-authentification	Réinitialiser le mot de passe	Réinitialise le mot de passe après utilisation
Délai de réinitialisation post-authentification	24 heures	Période de grâce avant réinitialisation

Dans l'onglet Affectations, ajoutez vos groupes d'appareils cibles. Commencez par votre groupe pilote avant de passer à la production.

Examinez tous les paramètres et cliquez sur Créer.

Avertissement : La fonctionnalité de réinitialisation post-authentification changera le mot de passe administrateur après son utilisation. Prévoyez cela dans vos processus de support et assurez-vous d'avoir des méthodes d'accès alternatives.

Vérification : La politique apparaîtra dans votre liste de politiques de protection des comptes avec un statut "Attribué" une fois créée avec succès.

Vérifier la configuration LAPS sur les appareils cibles

Après avoir déployé les politiques, vous devez vérifier que LAPS fonctionne correctement sur vos appareils cibles.

Sur un appareil Windows cible, ouvrez PowerShell en tant qu'administrateur et exécutez ces commandes de vérification :

# Vérifier les paramètres du registre LAPS
Get-ItemProperty -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS"

# Vérifier l'état du service LAPS
Get-Service -Name "LAPS" -ErrorAction SilentlyContinue

# Vérifier les journaux d'événements LAPS
Get-WinEvent -LogName "Application" | Where-Object {$_.ProviderName -eq "Microsoft-Windows-LAPS"} | Select-Object -First 10

# Forcer la synchronisation de l'appareil avec Intune
Get-ScheduledTask | Where-Object {$_.TaskName -eq "PushLaunch"} | Start-ScheduledTask

# Vérifier l'état d'enregistrement de l'appareil
dsregcmd /status

Vous devriez voir les entrées de registre LAPS remplies avec vos paramètres de politique, et les journaux d'événements devraient montrer une activité LAPS.

Pour vérifier que le compte administrateur est activé :

net user administrator

La sortie devrait montrer "Compte actif : Oui".

Astuce pro : Utilisez le Visualiseur d'événements Windows pour surveiller les événements LAPS en temps réel. Recherchez l'ID d'événement 10018 qui indique des changements de mot de passe réussis.

Vérification : LAPS fonctionne correctement lorsque vous voyez des entrées de registre remplies, des événements LAPS actifs dans le journal, et que le compte administrateur apparaît comme activé.

Configurer les autorisations de récupération de mot de passe

Seuls les utilisateurs autorisés devraient pouvoir récupérer les mots de passe LAPS. Configurons les autorisations appropriées dans Microsoft Entra ID.

Dans le centre d'administration Microsoft Entra, accédez à Identité > Rôles et administrateurs.

Recherchez et sélectionnez le rôle Administrateur d'appareils Cloud, ou créez un rôle personnalisé avec des autorisations LAPS spécifiques.

Cliquez sur Ajouter des affectations et sélectionnez les utilisateurs ou groupes qui devraient avoir accès pour récupérer les mots de passe LAPS.

Pour un contrôle plus granulaire, vous pouvez créer un rôle personnalisé avec ces autorisations spécifiques :

{
  "microsoft.directory/devices/localCredentials/read": true,
  "microsoft.directory/devices/read": true
}

Pour tester la récupération de mot de passe, les utilisateurs autorisés peuvent :

Aller au centre d'administration Microsoft Entra
Accéder à Identité > Appareils > Tous les appareils
Sélectionner un appareil avec LAPS activé
Cliquez sur Mot de passe administrateur local pour voir le mot de passe actuel

Avertissement : Les mots de passe LAPS sont hautement sensibles. N'accordez les autorisations de récupération qu'aux utilisateurs qui en ont absolument besoin, et auditez régulièrement qui a accès.

Vérification : Testez que les utilisateurs autorisés peuvent récupérer les mots de passe via le centre d'administration Entra, tandis que les utilisateurs non autorisés reçoivent des erreurs d'accès refusé.

Surveiller et dépanner le déploiement de LAPS

Une surveillance adéquate garantit que votre déploiement LAPS fonctionne correctement et aide à identifier rapidement les problèmes.

Dans le centre d'administration Intune, surveillez le statut de déploiement des stratégies :

Allez à Sécurité des points de terminaison > Protection des comptes
Sélectionnez votre stratégie LAPS
Cliquez sur Statut de l'appareil pour voir les résultats du déploiement

Problèmes courants et leurs solutions :

Problème	Cause	Solution
Stratégie non appliquée	Appareil non inscrit ou problèmes de synchronisation	Forcer la synchronisation de l'appareil, vérifier le statut d'inscription
Compte administrateur désactivé	Stratégie d'administrateur intégré non appliquée	Vérifier la stratégie d'activation de l'administrateur déployée
Aucune entrée de registre LAPS	Stratégie non reçue par l'appareil	Vérifier la conformité de l'appareil et forcer la synchronisation
Mot de passe non sauvegardé	Problèmes de connectivité Entra ID	Vérifier l'enregistrement de l'appareil avec dsregcmd /status

Utilisez ces commandes PowerShell pour un dépannage avancé :

# Vérifier l'enregistrement détaillé de l'appareil
dsregcmd /status | Select-String -Pattern "AzureAdJoined|DomainJoined|WorkplaceJoined"

# Vérifier l'extension de gestion Intune
Get-Process -Name "Microsoft.Management.Services.IntuneWindowsAgent" -ErrorAction SilentlyContinue

# Vérifier la configuration LAPS dans le registre
Get-ChildItem -Path "HKLM:\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\LAPS" -Recurse

# Forcer la rotation immédiate du mot de passe (pour les tests)
Invoke-Command -ScriptBlock {Reset-ComputerMachinePassword}

Astuce pro : Configurez une surveillance automatisée à l'aide d'Azure Monitor ou Microsoft Sentinel pour suivre les événements de rotation des mots de passe LAPS et les déploiements de stratégies échoués.

Vérification : Votre déploiement LAPS est réussi lorsque les appareils affichent le statut "Réussi" dans Intune, les mots de passe sont tournés selon votre calendrier, et les utilisateurs autorisés peuvent récupérer les mots de passe lorsque nécessaire.

Questions Fréquentes

What Windows versions support LAPS with Microsoft Intune?+

Windows LAPS with Intune requires Windows 10 version 20H2 (build 19042) or later, or any version of Windows 11. Windows 11 24H2 and later versions provide enhanced features like automatic administrator account management. Older Windows versions will not receive or apply LAPS policies from Intune.

How often should I rotate LAPS passwords for optimal security?+

Microsoft recommends rotating LAPS passwords every 30 days for most organizations. You can configure rotation intervals between 7-365 days depending on your security requirements. More frequent rotation (7-14 days) provides better security but increases administrative overhead, while longer intervals (60-90 days) reduce complexity but may not meet strict compliance requirements.

Can I retrieve LAPS passwords if my internet connection is down?+

No, LAPS passwords stored in Microsoft Entra ID require internet connectivity to retrieve. The passwords are stored in the cloud, not locally on devices. For environments requiring offline access, consider implementing hybrid LAPS solutions or maintaining emergency break-glass accounts with documented procedures for offline scenarios.

What happens if a device leaves the organization or is decommissioned?+

When a device is removed from Intune or deleted from Microsoft Entra ID, its LAPS password is automatically removed from the cloud storage. The local administrator account on the device retains its last known password, but no new rotations occur. For security, manually disable or delete the administrator account on decommissioned devices before disposal.

How do I handle LAPS password retrieval for emergency situations?+

Establish emergency procedures that include: designating multiple users with Cloud Device Administrator or custom LAPS retrieval roles, documenting the password retrieval process in your incident response playbook, implementing break-glass accounts with appropriate permissions, and considering Privileged Identity Management (PIM) for just-in-time access to LAPS passwords during emergencies.

Écrit par

Emanuel DE ALMEIDA

Microsoft MCSA-certified Cloud Architect | Fortinet-focused. I modernize cloud, hybrid & on-prem infrastructure for reliability, security, performance and cost control - sharing field-tested ops & troubleshooting.

Intelligence Complémentaire

Approfondissez vos connaissances

Comment dépanner et résoudre les problèmes de synchronisation d'Outlook Desktop en 2026

tutorial

Microsoft 365

Comment dépanner et résoudre les problèmes de synchronisation d'Outlook Desktop en 2026

Explorer

tutorial

Windows

Comment télécharger et installer Windows 11 26H1 (mise à jour des fonctionnalités 2026)

Explorer

tutorial

Cloud Computing

Supprimer l'icône météo de la barre des tâches de Windows 11 via Microsoft Intune

Explorer

Discussion

Partagez vos réflexions et analyses

Vous devez être connecté pour commenter.

Se connecter

Chargement des commentaires...