Introduction
EasyLAPS est un outil conçu pour faire tourner régulièrement le mot de passe du compte administrateur local sur un Mac et le stocker de manière sécurisée, soit dans une solution de gestion d’appareils mobiles (MDM), soit dans une solution de gestion de mots de passe. Son objectif principal est de garantir que chaque Mac de la flotte dispose d’un mot de passe unique, régulièrement mis à jour, accessible de manière centralisée via le service de séquestre choisi.
EasyLAPS propose deux logiques de fonctionnement et est conçu pour gérer en toute transparence un changement entre les deux.
Logique n°1 — Le mot de passe est stocké sous forme chiffrée dans le service de séquestre et dans le trousseau EasyLAPS. EasyLAPS utilise le mot de passe stocké localement comme mot de passe actuel pour gérer la rotation vers le nouveau généré qui est ensuite écrit dans le service de séquestre. La clé publique utilisée pour le chiffrement fait partie du fichier de configuration EasyLAPS. La clé privée n’est pas présente sur l’appareil et doit être conservée en accès restreint. Cette logique convient mieux lorsqu’un grand nombre de techniciens ont accès à la console du service de séquestre et que seuls ceux qui possèdent une copie de EasyLAPS-Toolkit avec la clé privée peuvent révéler un mot de passe ayant fait l’objet d’une rotation.
Logique n°2 — Le mot de passe est stocké en texte clair dans le service de séquestre et n’est pas stocké localement, à moins qu’une réversion de mot de passe n’échoue. EasyLAPS lit le mot de passe stocké dans le service de séquestre et l’utilise comme mot de passe actuel pour gérer la rotation vers le nouveau généré qui est ensuite écrit dans le service de séquestre. La logique convient mieux lorsqu’un nombre restreint de techniciens ont accès à la console du service de séquestre et sont ensuite en mesure de révéler un mot de passe ayant fait l’objet d’une rotation.
Après la première rotation réussie, le nouveau mot de passe est visible dans la fiche d’inventaire de l’appareil.
EasyLAPS opère une véritable rotation du mot de passe de l’administrateur local, de sorte que le compte conserve son statut cryptographique. Cela signifie qu’une fois le mot de passe changé, le compte est toujours un utilisateur Crypto et un propriétaire de volume, capable de déverrouiller l’appareil, d’installer des mises à jour macOS, de modifier les règles de sécurité au démarrage, de lancer une opération d’effacement de tout le contenu et des réglages, etc.
EasyLAPS a été testé avec une liste croissante de solutions bien connues, mais nous sommes impatients de supporter toute autre solution proposant une interface de programmation d’application (API) permettant l’écriture dans un attribut d’une fiche d’inventaire d’appareil.
Captures d’écran
FileWave 
Agrandir
Jamf Pro 
Agrandir
Jamf School 
Agrandir
JumpCloud 
Agrandir
Meraki Systems Manager 
Agrandir
Microsoft Intune 
Agrandir
Miradore 
Agrandir
Mosyle Business
Agrandir
Mosyle Manager
Agrandir
Omnissa Workspace ONE UEM 
Agrandir
Passwordstate
Agrandir
SimpleMDM 
Agrandir
Souhaitez-vous en savoir plus ?
Demandez votre invitation depuis la page MacAdmins.org ou bien envoyez-nous un message pour recevoir votre invitation.
