Windows LAPS et Intune - Sécurisez vos comptes locaux

Alain Potier 5 mars 2026
Schéma illustrant la gestion des mots de passe avec LAPS, y compris l'interaction avec Microsoft Intune pour une gestion centralisée.

Table des matières

Quand je mets en place LAPS avec Microsoft Intune, je cherche surtout à résoudre un problème simple: garder un compte administrateur local récupérable sans laisser un mot de passe identique traîner sur tous les postes. Ce sujet touche à la sécurité, au support et à l’exploitation quotidienne, donc je vais aller droit à ce qui compte: ce que fait vraiment Windows LAPS, où stocker les secrets, comment créer la politique dans Intune et quels pièges évitent les blocages en production.

LAPS avec Intune sécurise le compte local tout en gardant la récupération sous contrôle

  • Windows LAPS gère un seul compte administrateur local par appareil et fait tourner son mot de passe automatiquement.
  • Intune applique la politique via le profil Windows LAPS dans Endpoint security > Account protection.
  • Vous choisissez un emplacement de sauvegarde: Microsoft Entra ID ou Active Directory local, jamais les deux à la fois.
  • Le mot de passe peut être lu dans Intune seulement quand il est sauvegardé dans Entra ID et que les permissions sont suffisantes.
  • Le déploiement échoue souvent à cause d’un mauvais couple entre type de jointure et Backup Directory.

Pourquoi je préfère Windows LAPS à un mot de passe local figé

Le compte administrateur local intégré est pratique, mais il devient vite une faiblesse si son mot de passe reste stable d’un poste à l’autre. Avec Windows LAPS, je ne cherche pas à multiplier les comptes: je veux un mot de passe unique, fort, renouvelé et récupérable quand le support en a besoin. C’est exactement ce que LAPS apporte: réduction du risque de pass-the-hash, meilleure réponse pour le support à distance et capacité à reprendre la main sur un appareil devenu difficile à ouvrir.

Le point que beaucoup sous-estiment, c’est que Windows LAPS n’est pas un outil “en plus” qu’on ajoute par habitude. C’est une fonctionnalité native de Windows, et c’est important parce que l’ancien Microsoft LAPS est désormais dépassé sur les versions récentes. En pratique, si je démarre un déploiement aujourd’hui, je pars sur Windows LAPS et pas sur une ancienne chaîne de gestion que je vais devoir migrer plus tard.

Je résume l’intérêt opérationnel ainsi: si un poste a besoin d’un compte local de secours, ce compte ne doit jamais avoir un mot de passe immuable. Cette logique devient encore plus solide quand elle est pilotée par Intune, parce que la politique suit l’état réel du parc plutôt qu’une configuration isolée sur chaque machine. La vraie question devient alors: où stocker ce mot de passe et comment l’exploiter proprement?

Choisir entre Microsoft Entra ID et Active Directory local

Le premier choix sérieux n’est pas technique au sens strict, il est architectural. Je dois décider si le mot de passe sera sauvegardé dans le cloud Microsoft Entra ID ou dans Active Directory local. Ce choix dépend moins d’une préférence que du type de jointure des appareils et de la manière dont votre support travaille au quotidien.

Critère Microsoft Entra ID Active Directory local
Cas d’usage Postes Entra join et hybrides gérés par Intune Postes et serveurs encore centrés sur le domaine AD
Lecture du mot de passe Visible dans Intune si les permissions sont correctes Pas de lecture du mot de passe dans le portail Intune
Contrôle d’accès Modèle RBAC Entra ACL et mécanismes AD côté on-prem
Souplesse pour le cloud Très bonne Moins adaptée si le poste est cloud-only
Limite majeure Pas de double sauvegarde possible Le poste doit être compatible avec le domaine AD

Le point décisif, c’est que vous ne pouvez pas sauvegarder le mot de passe à la fois dans Entra ID et dans Active Directory local. Sur un appareil Entra-only, le cloud est la voie naturelle. Sur un parc encore très lié au domaine, AD local reste pertinent. Mais si vous essayez de forcer une configuration qui ne correspond pas au mode de jointure, la politique peut être acceptée par Intune tout en échouant côté LAPS sur le poste. C’est le genre de détail qui crée des tickets inutiles.

Je recommande aussi de penser au support plutôt qu’au seul stockage. Si votre équipe doit régulièrement récupérer des mots de passe depuis le portail, Entra ID est plus simple. Si votre organisation garde encore une chaîne de gestion locale avec des contrôles stricts on-prem, AD local reste cohérent. La suite logique consiste donc à vérifier les prérequis avant de toucher à la console.

Vérifier les prérequis avant de créer la politique

Quand je prépare un déploiement, je valide toujours les bases avant de créer le moindre profil. C’est plus rapide de corriger un prérequis que de diagnostiquer une politique “verte” qui ne produit aucun effet. Pour Windows LAPS avec Intune, les vérifications essentielles sont assez nettes.

Point à vérifier Exigence minimale Pourquoi c’est important
Licence Microsoft Intune Plan 1 ou essai Intune Intune doit pouvoir pousser et suivre la politique
Identité Microsoft Microsoft Entra ID Free La sauvegarde cloud de LAPS est prise en charge avec ce socle
Système d’exploitation Windows pris en charge par le CSP LAPS, avec versions récentes Les anciennes versions ne tirent pas parti des mêmes fonctions
Gestion cloud avancée Windows 11 24H2 ou plus récent pour la gestion automatique du compte Cette option simplifie la gestion du compte intégré ou d’un compte personnalisé
Activation côté tenant LAPS activé dans Microsoft Entra pour les appareils Entra join Sans cela, la sauvegarde cloud ne fonctionne pas correctement
Droits d’administration Rôle Endpoint Security Manager ou rôle personnalisé adapté Sans RBAC correct, la politique et les rotations restent inaccessibles

Je garde aussi une règle simple en tête: les appareils workplace-joined ne sont pas pris en charge pour LAPS dans Intune. Et si vous maintenez encore Windows 10 dans le parc, il faut le regarder comme un cas de transition, pas comme la base d’un nouveau design. Microsoft a d’ailleurs indiqué la fin de support de Windows 10 au 14 octobre 2025, ce qui pousse clairement les nouveaux déploiements à se construire autour des versions Windows plus récentes.

Une autre vérification utile concerne les rôles. Pour créer ou gérer une politique, les droits de la catégorie Security baselines sont requis, avec par défaut le rôle Endpoint Security Manager. Pour afficher ou faire tourner les mots de passe, les permissions sont encore plus précises. J’y reviens tout de suite, car c’est souvent là que les équipes bloquent au moment où elles veulent valider le fonctionnement réel.

Main tenant de l'image, un écran affiche

Configurer la politique Windows LAPS dans Intune

À ce stade, je privilégie une configuration simple et lisible. L’idée n’est pas de remplir tous les champs “par principe”, mais de définir une politique stable, cohérente avec le type de poste et facile à dépanner. Une bonne politique LAPS est une politique que l’on comprend encore six mois plus tard.

  1. Je vais dans Endpoint security > Account protection, puis je crée une nouvelle policy Windows LAPS.
  2. Je choisis la plateforme Windows et le profil Local admin password solution (Windows LAPS).
  3. Je renseigne un nom explicite et, si besoin, une description courte mais utile.
  4. Dans la configuration, je définis le Backup Directory selon le contexte: Entra ID ou Active Directory local.
  5. Je vérifie le nom du compte administrateur si je ne veux pas utiliser le compte local intégré par défaut.
  6. J’ajuste les paramètres de mot de passe, notamment la complexité, la longueur et l’âge du mot de passe.
  7. J’assigne la politique à des groupes d’appareils, pas à des groupes d’utilisateurs.
  8. Je termine par un contrôle de cohérence avant création.

Le point qui mérite d’être martelé, c’est celui-ci: Intune ne crée pas de nouveaux comptes ni de nouveaux mots de passe. Il gère un compte déjà présent sur l’appareil. Si vous indiquez un nom de compte qui n’existe pas, aucun compte ne sera géré. Et si vous laissez le champ vide, la politique s’appuie sur le compte administrateur local intégré identifié par son RID connu.

J’insiste aussi sur l’assignation. Microsoft recommande d’utiliser des groupes d’appareils. C’est une bonne pratique, parce qu’un LAPS assigné à des groupes d’utilisateurs peut suivre la personne d’un PC à l’autre et faire varier le comportement au pire moment. En environnement réel, c’est une source classique d’incohérence: le compte géré change, la rotation se décale ou les conflits apparaissent sans raison visible pour l’équipe support. La surveillance et la lecture des secrets viennent ensuite, et c’est là que la visibilité opérationnelle devient utile.

Contrôler l’état, lire le mot de passe et faire tourner l’accès

Une politique qui s’applique ne suffit pas. Je veux pouvoir voir ce qui se passe, savoir si la rotation a réussi et intervenir manuellement si un poste doit être sécurisé plus vite. Intune propose justement ces contrôles, à condition d’avoir les bons droits et le bon mode de sauvegarde.

Action Ce que cela apporte Limite utile à connaître
Rapports LAPS Statut de la politique, succès, erreurs, conflits, appareils en attente Les rapports LAPS se trouvent dans Endpoint security > Account protection, pas dans le bloc de rapports général
Affichage du mot de passe Lecture du compte, du SID, de la date de rotation et du mot de passe si les droits le permettent Disponible seulement si la sauvegarde est faite vers Microsoft Entra ID
Rotation manuelle Permet de réinitialiser un mot de passe sans attendre le calendrier Une rotation manuelle se fait sur un appareil à la fois

Pour lire le mot de passe dans Intune, il faut les permissions Microsoft Entra adaptées, par exemple microsoft.directory/deviceLocalCredentials/password/read. Si vous n’avez que la lecture des métadonnées, vous verrez les informations utiles sans révéler le mot de passe lui-même. Pour la rotation manuelle, les droits Intune doivent couvrir Managed devices: Read, Organization: Read et Remote tasks: Rotate Local Admin Password.

La rotation manuelle est utile quand un incident de support a rendu l’accès plus sensible que d’habitude. Mais je la traite comme une action ciblée, pas comme un réflexe de masse. Le dispositif fonctionne, mais il reste soumis à deux règles simples: l’appareil doit avoir bien remonté sa politique LAPS et, pour les appareils Entra join, il doit être en ligne au moment de la demande. Une fois la rotation lancée, le délai jusqu’à la prochaine rotation planifiée est recalculé selon le paramètre PasswordAgeDays. C’est propre, mais il faut le savoir pour ne pas s’étonner d’un nouveau cycle qui repart plus tôt que prévu.

Quand la visibilité est bonne, les problèmes deviennent plus faciles à isoler. Justement, il y a quelques erreurs récurrentes que je vois revenir dans presque tous les déploiements ratés, et elles sont assez prévisibles.

Les pièges qui reviennent dans les déploiements réels

Je considère cette partie comme la plus utile pour éviter les retours en arrière. Les échecs LAPS ne viennent pas toujours d’une panne. Le plus souvent, ils viennent d’une incohérence de conception ou d’un détail de configuration qui a l’air mineur au départ.

  • Le Backup Directory ne correspond pas au type de jointure. Un poste non domain-joined ne peut pas réussir une sauvegarde vers Active Directory local, même si la politique semble acceptée côté Intune.
  • Plusieurs politiques se contredisent. LAPS ne tolère pas bien les configurations concurrentes pour un même réglage. Si deux profils fixent des valeurs différentes, le conflit est probable.
  • La politique est assignée à des utilisateurs plutôt qu’à des appareils. Le comportement suit alors la personne, pas le poste, ce qui crée des variations difficiles à lire.
  • Le compte ciblé n’existe pas sur l’appareil. Dans ce cas, aucun compte n’est géré, et l’on croit parfois à tort que la politique est cassée.
  • Le poste n’a pas encore check-in avec Intune. Tant que la machine n’a pas appliqué la politique, les détails du compte local restent invisibles dans le portail.
  • On essaie encore de faire cohabiter l’ancien Microsoft LAPS et le nouveau Windows LAPS sans stratégie de migration. Cela finit souvent par un conflit de source et une maintenance inutilement complexe.
  • Le device est désactivé dans Entra. Dans ce cas, la rotation et la sauvegarde ne peuvent pas s’appliquer correctement.

Le piège le plus sous-estimé reste à mon avis la coexistence des sources. Intune prend la main via le CSP Windows LAPS, et cette couche écrase les configurations LAPS venant d’ailleurs, comme des GPO ou l’ancien outil Microsoft LAPS. Si vous n’avez pas décidé quelle source fait foi, vous finirez avec des écarts entre ce que vous croyez pousser et ce qui s’applique réellement sur le terrain.

Autre point de vigilance: la gestion automatique du compte, qui simplifie beaucoup la vie, n’est disponible qu’à partir de Windows 11 24H2. Si votre parc n’est pas homogène, je vous conseille de ne pas bâtir toute la stratégie autour de cette option. Mieux vaut un déploiement simple qui marche partout qu’une configuration “moderne” qui ne couvre qu’une partie des machines. C’est précisément cette logique de pragmatisme que j’applique avant de basculer en production.

Ce que je ferais avant de passer en production

Si je devais poser une stratégie propre, je ferais simple et robuste. Je commencerais par un pilote sur un petit groupe de machines représentatives, puis je validerais la lecture du mot de passe, la rotation planifiée, la rotation manuelle et le comportement après redémarrage. Tant que ces quatre points ne sont pas clairs, je n’élargis pas.

  • Je standardise le stockage sur Microsoft Entra ID dès que le parc est Entra join ou hybride et que le support doit agir vite.
  • Je garde une seule politique LAPS par appareil et je la distribue via des groupes d’appareils.
  • Je documente séparément les rôles qui créent la politique, ceux qui lisent le mot de passe et ceux qui déclenchent une rotation.
  • Je teste le comportement sur des versions Windows réellement présentes dans le parc, pas sur une machine de labo isolée du reste.
  • Si je migre depuis l’ancien Microsoft LAPS, je prévois la bascule comme un chantier à part, pas comme un simple changement de case à cocher.

En pratique, LAPS avec Intune devient très solide quand on le traite comme un contrôle de sécurité et non comme un réglage de confort. C’est ce cadrage qui fait la différence entre un déploiement qui rassure le support et un déploiement qui multiplie les conflits. Si je devais résumer la bonne approche en une phrase, je dirais ceci: partez du type de jointure, choisissez le bon emplacement de sauvegarde, gardez une seule source de vérité et laissez Intune faire ce pour quoi il est fait.

Questions fréquentes

Windows LAPS est une fonctionnalité native de Windows qui gère et renouvelle automatiquement le mot de passe du compte administrateur local. L'intégrer à Intune permet de centraliser la gestion de ces mots de passe pour une sécurité accrue et une meilleure récupération sur les appareils.

Les mots de passe peuvent être sauvegardés soit dans Microsoft Entra ID (pour les appareils Entra-joints ou hybrides), soit dans Active Directory local. Le choix dépend du type de jointure de l'appareil et des besoins de votre organisation. Il n'est pas possible de stocker dans les deux à la fois.

Pour lire un mot de passe LAPS sauvegardé dans Microsoft Entra ID, vous devez disposer des permissions appropriées (ex: `microsoft.directory/deviceLocalCredentials/password/read`) via le portail Intune. Cela permet de visualiser le mot de passe et d'effectuer des rotations manuelles si nécessaire.

Les erreurs fréquentes incluent une incompatibilité entre le "Backup Directory" et le type de jointure de l'appareil, des politiques LAPS contradictoires, l'assignation à des utilisateurs au lieu d'appareils, ou le ciblage d'un compte administrateur inexistant sur la machine.

Évaluer l'article

Note: 0.00 Nombre de votes: 0

Tags

laps intune
windows laps intune
laps intune configuration
gérer laps intune
déployer laps intune
Autor Alain Potier
Alain Potier
Nazywam się Alain Potier et od 10 ans, je me consacre à la création de contenu dans les domaines du web et de la musique. Mon intérêt pour ces sujets a commencé dès mon adolescence, lorsque j'ai découvert le pouvoir des mots et des mélodies pour raconter des histoires et toucher les gens. J'écris principalement sur les techniques de création de contenu, l'optimisation des sites web et les tendances musicales actuelles, car je crois fermement que la fusion de ces éléments peut enrichir l'expérience des utilisateurs en ligne. Dans mes articles, j'essaie de démystifier les processus de création et d'aider mes lecteurs à comprendre comment utiliser ces outils pour exprimer leur créativité. Je m'efforce de fournir des informations fiables et actuelles, tout en abordant des questions qui préoccupent ceux qui souhaitent se lancer dans ces domaines. J'espère que mes écrits pourront inspirer et guider ceux qui cherchent à naviguer dans l'univers fascinant du contenu digital et de la musique.

Partager l'article

Écrire un commentaire