FOURNISSEUR DE SERVICES DE CONFIGURATION LAPS
Le fournisseur de services de configuration (CSP) de la solution de mot de passe de l’administrateur local (LAPS) est utilisé par l’entreprise pour gérer la sauvegarde des mots de passe de compte d’administrateur local. Windows prend en charge un objet stratégie de groupe LAPS entièrement distinct du fournisseur de services de configuration LAPS. La plupart des différents paramètres sont communs à l’objet de stratégie de groupe LAPS et au csp (l’objet de stratégie de groupe ne prend en charge aucun des paramètres liés à l’action). Tant qu’au moins un paramètre LAPS est configuré via CSP, tous les paramètres configurés pour les objets de stratégie de groupe sont ignorés. Consultez également Configurer les paramètres de stratégie pour Windows LAPS.
Remarque
Pour plus d’informations sur les mises à jour de système d’exploitation spécifiques requises pour utiliser le fournisseur de services de configuration Windows LAPS et les fonctionnalités associées, ainsi que les status actuelles du scénario LAPS Microsoft Entra, consultez Disponibilité windows LAPS et Microsoft Entra status la préversion publique LAPS.
Astuce
Cet article décrit les détails techniques spécifiques du fournisseur de services de configuration LAPS. Pour plus d’informations sur les scénarios dans lesquels le fournisseur de services de configuration LAPS serait utilisé, consultez Solution de mot de passe d’administrateur local Windows.
La liste suivante présente les nœuds du fournisseur de services de configuration LAPS :
- ./Device/Vendor/MSFT/LAPS
- Actions
-
Stratégies
- ADEncryptedPasswordHistorySize
- AdministratorAccountName
- ADPasswordEncryptionEnabled
- ADPasswordEncryptionPrincipal
- AutomaticAccountManagementEnableAccount
- AutomaticAccountManagementEnabled
- AutomaticAccountManagementNameOrPrefix
- AutomaticAccountManagementRandomizeName
- AutomaticAccountManagementTarget
- BackupDirectory
- Phrase secrèteLength
- PasswordAgeDays
- PasswordComplexité
- PasswordExpirationProtectionEnabled
- PasswordLength
- PostAuthenticationActions
- PostAuthenticationResetDelay
Actions
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Actions
Définit le nœud intérieur parent pour tous les paramètres liés à l’action dans le csp LAPS.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | node |
Type d’accès | Télécharger |
Actions/ResetPassword
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Actions/ResetPassword
Utilisez ce paramètre pour indiquer au fournisseur de solutions Cloud de générer et de stocker immédiatement un nouveau mot de passe pour le compte d’administrateur local géré.
Cette action appelle une réinitialisation immédiate du mot de passe du compte administrateur local, en ignorant les contraintes normales telles que PasswordLengthDays, etc.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | null |
Type d’accès | Exec |
Actions/ResetPasswordStatus
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Actions/ResetPasswordStatus
Utilisez ce paramètre pour interroger le status de la dernière action d’exécution ResetPassword envoyée.
La valeur retournée est un code HRESULT :
- S_OK (0x0) : la dernière action ResetPassword envoyée a réussi.
- E_PENDING (0x8000000) : la dernière action ResetPassword envoyée est toujours en cours d’exécution.
- Autre : la dernière action ResetPassword envoyée a rencontré l’erreur retournée.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Télécharger |
Valeur par défaut | 0 |
Stratégies
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies
Nœud racine pour les stratégies LAPS.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | node |
Type d’accès | Télécharger |
Atomic Required | Vrai |
Policies/ADEncryptedPasswordHistorySize
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize
Utilisez ce paramètre pour configurer le nombre de mots de passe chiffrés précédents mémorisés dans Active Directory.
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 0 mot de passe (désactivé).
Ce paramètre a une valeur minimale autorisée de 0 mot de passe.
Ce paramètre a une valeur maximale autorisée de 12 mots de passe.
Important
Ce paramètre est ignoré, sauf si ADPasswordEncryptionEnabled est configuré sur True et que toutes les autres conditions préalables sont remplies.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeurs autorisées | Gamme: [0-12] |
Valeur par défaut | 0 |
Dépendance [BackupDirectory] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory Valeur autorisée de dépendance : 2 Type de valeur autorisée de dépendance : ENUM |
Policies/AdministratorAccountName
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName
Utilisez ce paramètre pour configurer le nom du compte d’administrateur local managé.
S’il n’est pas spécifié, le compte d’administrateur local intégré par défaut se trouve par SID connu (même s’il est renommé).
S’il est spécifié, le mot de passe du compte spécifié est géré.
Notez que si un nom de compte d’administrateur local géré personnalisé est spécifié dans ce paramètre, ce compte doit être créé par d’autres moyens. La spécification d’un nom dans ce paramètre n’entraîne pas la création du compte.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Policies/ADPasswordEncryptionEnabled
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled
Utilisez ce paramètre pour configurer si le mot de passe est chiffré avant d’être stocké dans Active Directory.
Ce paramètre est ignoré si le mot de passe est actuellement stocké dans Azure.
Ce paramètre n’est respecté que lorsque le domaine Active Directory se trouve à Windows Server 2016 niveau fonctionnel du domaine ou supérieur.
Si ce paramètre est activé et que le domaine Active Directory répond aux conditions préalables DFL, le mot de passe est chiffré avant d’être stocké dans Active Directory.
Si ce paramètre est désactivé ou si le domaine Active Directory ne répond pas aux conditions préalables DFL, le mot de passe est stocké en texte clair dans Active Directory.
Si ce paramètre n’est pas spécifié, la valeur par défaut est True.
Important
Ce paramètre est ignoré, sauf si BackupDirectory est configuré pour sauvegarder le mot de passe dans Active Directory et que le domaine Active Directory se trouve à Windows Server 2016 niveau fonctionnel du domaine ou supérieur.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | bool |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | Vrai |
Dépendance [BackupDirectory] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory Valeur autorisée de dépendance : 2 Type de valeur autorisée de dépendance : ENUM |
Valeurs autorisées:
Valeur | Description |
---|---|
false | Stockez le mot de passe sous forme de texte clair dans Active Directory. |
true (par défaut) | Stockez le mot de passe sous forme chiffrée dans Active Directory. |
Policies/ADPasswordEncryptionPrincipal
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal
Utilisez ce paramètre pour configurer le nom ou le SID d’un utilisateur ou d’un groupe qui peut déchiffrer le mot de passe stocké dans Active Directory.
Ce paramètre est ignoré si le mot de passe est actuellement stocké dans Azure.
S’il n’est pas spécifié, le mot de passe est déchiffrable par le groupe Administrateurs du domaine dans le domaine de l’appareil.
S’il est spécifié, l’utilisateur ou le groupe spécifié peut déchiffrer le mot de passe stocké dans Active Directory.
Si le compte d’utilisateur ou de groupe spécifié n’est pas valide, l’appareil utilise le groupe Administrateurs du domaine dans le domaine de l’appareil.
Important
Ce paramètre est ignoré, sauf si ADPasswordEncryptionEnabled est configuré sur True et que toutes les autres conditions préalables sont remplies. La chaîne stockée dans ce paramètre doit être un SID sous forme de chaîne ou le nom complet d’un utilisateur ou d’un groupe. Voici quelques exemples valides :
S-1-5-21-2127521184-1604012920-1887927527-35197
contoso\LAPSAdmins
lapsadmins@contoso.com
Le principal identifié (par sid ou par nom d’utilisateur/groupe) doit exister et être résolu par l’appareil.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Dépendance [BackupDirectory] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory Valeur autorisée de dépendance : 2 Type de valeur autorisée de dépendance : ENUM |
Policies/AutomaticAccountManagementEnableAccount
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnableAccount
Utilisez ce paramètre pour configurer si le compte géré automatiquement est activé ou désactivé.
Si ce paramètre est activé, le compte cible est activé.
Si ce paramètre est désactivé, le compte cible est désactivé.
Si ce paramètre n’est pas spécifié, la valeur par défaut est False.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | bool |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | Faux |
Dépendance [AutomaticAccountManagementEnabled] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valeur autorisée de dépendance : true Type de valeur autorisée de dépendance : ENUM |
Valeurs autorisées:
Valeur | Description |
---|---|
False (valeur par défaut) | Le compte cible est désactivé. |
Vrai | Le compte cible sera activé. |
Policies/AutomaticAccountManagementEnabled
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled
Utilisez ce paramètre pour spécifier si la gestion automatique des comptes est activée.
Si ce paramètre est activé, le compte cible est géré automatiquement.
Si ce paramètre est désactivé, le compte cible n’est pas géré automatiquement.
Si ce paramètre n’est pas spécifié, la valeur par défaut est False.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | bool |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | Faux |
Valeurs autorisées:
Valeur | Description |
---|---|
false (par défaut) | Le compte cible ne sera pas géré automatiquement. |
true | Le compte cible sera géré automatiquement. |
Policies/AutomaticAccountManagementNameOrPrefix
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementNameOrPrefix
Utilisez ce paramètre pour configurer le nom ou le préfixe du compte d’administrateur local managé.
Si elle est spécifiée, la valeur est utilisée comme nom ou préfixe de nom du compte managé.
S’il n’est pas spécifié, ce paramètre est défini par défaut sur « WLapsAdmin ».
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format |
chr (chaîne) |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Dépendance [AutomaticAccountManagementEnabled] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valeur autorisée de dépendance : true Type de valeur autorisée de dépendance : ENUM |
Policies/AutomaticAccountManagementRandomizeName
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementRandomizeName
Utilisez ce paramètre pour configurer si le nom du compte géré automatiquement utilise un suffixe numérique aléatoire chaque fois que le mot de passe est pivoté.
Si ce paramètre est activé, le nom du compte cible utilise un suffixe numérique aléatoire.
Si ce paramètre est désablable, le nom du compte cible n’utilise pas de suffixe numérique aléatoire.
Si ce paramètre n’est pas spécifié, la valeur par défaut est False.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | bool |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | Faux |
Dépendance [AutomaticAccountManagementEnabled] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valeur autorisée de dépendance : true Type de valeur autorisée de dépendance : ENUM |
Valeurs autorisées:
Valeur | Description |
---|---|
False (valeur par défaut) | Le nom du compte cible n’utilise pas de suffixe numérique aléatoire. |
Vrai | Le nom du compte cible utilise un suffixe numérique aléatoire. |
Policies/AutomaticAccountManagementTarget
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementTarget
Utilisez ce paramètre pour configurer le compte géré automatiquement.
Les paramètres autorisés sont les suivants :
0=Le compte d’administrateur intégré sera géré.
1=Un nouveau compte créé par Windows LAPS sera géré.
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 1.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 1 |
Dépendance [AutomaticAccountManagementEnabled] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/AutomaticAccountManagementEnabled Valeur autorisée de dépendance : true Type de valeur autorisée de dépendance : ENUM |
Valeurs autorisées:
Valeur | Description |
---|---|
0 | Gérer le compte d’administrateur intégré. |
1 (par défaut) | Gérer un nouveau compte d’administrateur personnalisé. |
Policies/BackupDirectory
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory
Utilisez ce paramètre pour configurer le répertoire dans lequel le mot de passe du compte d’administrateur local est sauvegardé.
Les paramètres autorisés sont les suivants :
0=Désactivé (le mot de passe ne sera pas sauvegardé) 1=Sauvegarder le mot de passe dans Microsoft Entra ID seulement 2=Sauvegarder le mot de passe dans Active Directory uniquement.
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 0.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 0 |
Valeurs autorisées:
Valeur | Description |
---|---|
0 (par défaut) | Désactivé (le mot de passe n’est pas sauvegardé). |
1 | Sauvegardez le mot de passe dans Microsoft Entra ID uniquement. |
2 | Sauvegardez le mot de passe dans Active Directory uniquement. |
Policies/PassphraseLength
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅Windows 11, version 24H2 [10.0.26100] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/PassphraseLength
Utilisez ce paramètre pour configurer le nombre de mots de phrase secrète.
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 6 mots.
Ce paramètre a une valeur minimale autorisée de 3 mots.
Ce paramètre a une valeur maximale autorisée de 10 mots.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeurs autorisées | Gamme: [3-10] |
Valeur par défaut | 6 |
Dépendance [PasswordComplexity] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/PasswordComplexity Valeur autorisée de dépendance : [6-8] Type de valeur autorisée de dépendance : Range |
Policies/PasswordAgeDays
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays
Utilisez cette stratégie pour configurer l’âge maximal du mot de passe du compte d’administrateur local géré.
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 30 jours.
Ce paramètre a une valeur minimale autorisée de 1 jour lors de la sauvegarde du mot de passe dans Active Directory local et de 7 jours lors de la sauvegarde du mot de passe dans Microsoft Entra ID.
Ce paramètre a une valeur maximale autorisée de 365 jours.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeurs autorisées | Gamme: [1-365] |
Valeur par défaut | 30 |
Dépendance [BackupDirectoryAADMode BackupDirectoryADMode] | Type de dépendance : DependsOn DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory Vendor/MSFT/LAPS/Policies/BackupDirectory Valeur autorisée de dépendance : Type de valeur autorisée de dépendance : ENUM ENUM |
Policies/PasswordComplexity
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity
Utilisez ce paramètre pour configurer la complexité du mot de passe du compte d’administrateur local managé.
Les paramètres autorisés sont les suivants :
1=Grandes lettres 2=Grandes lettres + lettres minuscules 3=Grandes lettres + lettres minuscules + chiffres 4=Grandes lettres + lettres minuscules + chiffres + caractères spéciaux 5=Grandes lettres + petites lettres + chiffres + caractères spéciaux (lisibilité améliorée) 6=Phrase secrète (mots longs) 7=Phrase secrète (mots courts) 8=Phrase secrète (mots courts) (mots courts avec préfixes uniques)
Si ce paramètre n’est pas spécifié, la valeur par défaut est 4.
Liste de phrases secrètes extraite de « Deep Dive : EFF’s New Wordlists for Random Passphrases » par Electronic Frontier Foundation, et est utilisée sous une licence d’attribution CC-BY-3.0. Si vous souhaitez en savoir plus, consultez https://go.microsoft.com/fwlink/?linkid=2255471.
Important
Windows prend en charge les paramètres de complexité de mot de passe inférieurs (1, 2 et 3) uniquement pour la compatibilité descendante avec les versions antérieures de LAPS. Microsoft recommande que ce paramètre soit toujours configuré sur 4.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 4 |
Valeurs autorisées:
Valeur | Description |
---|---|
1 | De grandes lettres. |
2 | Grandes lettres + lettres minuscules. |
3 | Grandes lettres + petites lettres + chiffres. |
4 (par défaut) | Grandes lettres + petites lettres + chiffres + caractères spéciaux. |
5 | Grandes lettres + lettres minuscules + chiffres + caractères spéciaux (meilleure lisibilité). |
6 | Phrase secrète (mots longs). |
7 | Phrase secrète (mots courts). |
8 | Phrase secrète (mots courts avec des préfixes uniques). |
Policies/PasswordExpirationProtectionEnabled
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled
Utilisez ce paramètre pour configurer une application supplémentaire de l’âge maximal du mot de passe pour le compte d’administrateur local géré.
Lorsque ce paramètre est activé, l’expiration planifiée du mot de passe qui entraînerait une ancienneté du mot de passe supérieure à celle dictée par la stratégie « PasswordAgeDays » n’est PAS autorisée. Lorsque cette expiration est détectée, le mot de passe est immédiatement modifié et la nouvelle date d’expiration du mot de passe est définie conformément à la stratégie.
Si ce paramètre n’est pas spécifié, la valeur par défaut est True.
Important
Ce paramètre est ignoré, sauf si BackupDirectory est configuré pour sauvegarder le mot de passe dans Active Directory.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | bool |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | Vrai |
Dépendance [BackupDirectory] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/BackupDirectory Valeur autorisée de dépendance : 2 Type de valeur autorisée de dépendance : ENUM |
Valeurs autorisées:
Valeur | Description |
---|---|
false | Autoriser l’horodatage d’expiration du mot de passe configuré à dépasser l’âge maximal du mot de passe. |
true (par défaut) | N’autorisez pas l’horodatage d’expiration du mot de passe configuré à dépasser l’âge maximal du mot de passe. |
Policies/PasswordLength
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/PasswordLength
Utilisez ce paramètre pour configurer la longueur du mot de passe du compte d’administrateur local géré.
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 14 caractères.
Ce paramètre a une valeur minimale autorisée de 8 caractères.
Ce paramètre a une valeur maximale autorisée de 64 caractères.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeurs autorisées | Gamme: [8-64] |
Valeur par défaut | 14 |
Dépendance [PasswordComplexity] | Type de dépendance : DependsOn URI de dépendance : Vendor/MSFT/LAPS/Policies/PasswordComplexity Valeur autorisée de dépendance : [1-5] Type de valeur autorisée de dépendance : Range |
Policies/PostAuthenticationActions
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions
Utilisez ce paramètre pour spécifier les actions à effectuer à l’expiration de la période de grâce configurée.
Si ce paramètre n’est pas spécifié, la valeur par défaut est 3 (réinitialisez le mot de passe et déconnectez le compte managé).
Important
Les actions post-authentification autorisées sont destinées à limiter la durée pendant laquelle un mot de passe LAPS peut être utilisé avant d’être réinitialisé. La déconnexion du compte géré ( ou le redémarrage de l’appareil ) sont des options permettant de le garantir. L’arrêt brusque des sessions d’ouverture de session ou le redémarrage de l’appareil peut entraîner une perte de données.
Important
Du point de vue de la sécurité, un utilisateur malveillant qui acquiert des privilèges d’administration sur un appareil à l’aide d’un mot de passe LAPS valide a la possibilité ultime d’empêcher ou de contourner ces mécanismes.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeur par défaut | 3 |
Valeurs autorisées:
Valeur | Description |
---|---|
1 | Réinitialiser le mot de passe : à l’expiration de la période de grâce, le mot de passe du compte géré est réinitialisé. |
3 (par défaut) | Réinitialisez le mot de passe et déconnectez-vous du compte géré : à l’expiration de la période de grâce, le mot de passe du compte géré est réinitialisé et toutes les sessions d’ouverture de session interactives utilisant le compte managé sont terminées. |
5 | Réinitialiser le mot de passe et redémarrer : à l’expiration de la période de grâce, le mot de passe du compte géré est réinitialisé et l’appareil géré est immédiatement redémarré. |
11 | Réinitialisez le mot de passe, déconnectez le compte managé et arrêtez tous les processus restants : à l’expiration de la période de grâce, le mot de passe du compte managé est réinitialisé, toutes les sessions d’ouverture de session interactives utilisant le compte managé sont déconnectées et tous les processus restants sont arrêtés. |
Policies/PostAuthenticationResetDelay
Étendue | Éditions | Système d’exploitation applicable |
---|---|---|
✅ Appareil ❌Utilisateur |
✅Pro ✅ Enterprise ✅ Éducation ✅Windows SE ✅ IoT Enterprise / IoT Enterprise LTSC |
✅ [10.0.20348.1663] et versions ultérieures ✅ [10.0.25145] et versions ultérieures ✅Windows 10, version 1809 [10.0.17763.4244] et versions ultérieures ✅Windows 10, version 2004 [10.0.19041.2784] et versions ultérieures ✅Windows 11, version 21H2 [10.0.22000.1754] et versions ultérieures ✅Windows 11, version 22H2 [10.0.22621.1480] et versions ultérieures |
./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay
Utilisez ce paramètre pour spécifier la durée (en heures) d’attente après une authentification avant d’exécuter les actions post-authentification spécifiées.
S’il n’est pas spécifié, ce paramètre est défini par défaut sur 24 heures.
Ce paramètre a une valeur minimale autorisée de 0 heure (cela désactive toutes les actions post-authentification).
Ce paramètre a une valeur maximale autorisée de 24 heures.
Propriétés de l’infrastructure de description :
Nom de la propriété | Valeur de la propriété |
---|---|
Format | int |
Type d’accès | Ajouter, Supprimer, Obtenir, Remplacer |
Valeurs autorisées | Gamme: [0-24] |
Valeur par défaut | 24 |
Applicabilité des paramètres
Le csp LAPS peut être utilisé pour gérer les appareils joints à Microsoft Entra ID ou joints à Microsoft Entra ID et Active Directory (jointure hybride). Le csp LAPS gère une combinaison de paramètres Microsoft Entra uniquement et AD uniquement. Les paramètres AD uniquement s’appliquent uniquement aux appareils joints hybrides, puis uniquement lorsque BackupDirectory est défini sur 2.
Nom du paramètre | Joint à Azure | Jointure hybride |
---|---|---|
BackupDirectory | Oui | Oui |
PasswordAgeDays | Oui | Oui |
PasswordLength | Oui | Oui |
PasswordComplexité | Oui | Oui |
PasswordExpirationProtectionEnabled | Non | Oui |
AdministratorAccountName | Oui | Oui |
ADPasswordEncryptionEnabled | Non | Oui |
ADPasswordEncryptionPrincipal | Non | Oui |
ADEncryptedPasswordHistorySize | Non | Oui |
PostAuthenticationResetDelay | Oui | Oui |
PostAuthenticationActions | Oui | Oui |
ResetPassword | Oui | Oui |
ResetPasswordStatus | Oui | Oui |
Exemples SyncML
Les exemples suivants sont fournis pour afficher le format correct et ne doivent pas être considérés comme une recommandation.
Mot de passe de sauvegarde d’appareil joint à Azure jusqu’à Microsoft Entra ID
Cet exemple montre comment configurer un appareil joint à Azure pour sauvegarder son mot de passe dans Microsoft Entra ID :
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>1</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>7</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>32</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>8</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Mot de passe de sauvegarde d’appareil joint hybride jusqu’à Active Directory
Cet exemple montre comment configurer un appareil hybride pour sauvegarder son mot de passe dans Active Directory avec le chiffrement de mot de passe activé :
<SyncMl xmlns="SYNCML:SYNCML1.2">
<SyncBody>
<Add>
<CmdId>1</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/BackupDirectory</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>2</Data>
</Item>
</Add>
<Add>
<CmdId>2</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordAgeDays</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>20</Data>
</Item>
</Add>
<Add>
<CmdId>3</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordComplexity</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>3</Data>
</Item>
</Add>
<Add>
<CmdId>4</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordLength</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>14</Data>
</Item>
</Add>
<Add>
<CmdId>5</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/AdministratorAccountName</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>ContosoLocalLapsAdmin</Data>
</Item>
</Add>
<Add>
<CmdId>6</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PasswordExpirationProtectionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>7</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionEnabled</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">bool</Format>
<Type>text/plain</Type>
</Meta>
<Data>True</Data>
</Item>
</Add>
<Add>
<CmdId>8</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADPasswordEncryptionPrincipal</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">chr</Format>
<Type>text/plain</Type>
</Meta>
<Data>LAPSAdmins@contoso.com</Data>
</Item>
</Add>
<Add>
<CmdId>9</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/ADEncryptedPasswordHistorySize</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>6</Data>
</Item>
</Add>
<Add>
<CmdId>10</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationResetDelay</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>4</Data>
</Item>
</Add>
<Add>
<CmdId>11</CmdId>
<Item>
<Target>
<LocURI>./Device/Vendor/MSFT/LAPS/Policies/PostAuthenticationActions</LocURI>
</Target>
<Meta>
<Format xmlns="syncml:metinf">int</Format>
<Type>text/plain</Type>
</Meta>
<Data>5</Data>
</Item>
</Add><Final/></SyncBody>
</SyncMl>
Articles connexes
Informations de référence sur les fournisseurs de services de configuration