Introduction
EasyLAPS est un outil conçu pour faire tourner régulièrement le mot de passe du compte administrateur local d’un Mac et le stocker dans une solution de gestion des appareils mobiles (MDM). L’objectif principal d’EasyLAPS est d’avoir des mots de passe uniques sur un parc Mac qui sont centralisés dans la console MDM.
EasyLAPS propose deux logiques de fonctionnement et est conçu pour gérer en toute transparence un changement entre les deux.
Logique n°1 — Le mot de passe est stocké sous forme chiffrée dans le MDM et dans le trousseau EasyLAPS. EasyLAPS utilise le mot de passe stocké localement comme mot de passe actuel pour gérer la rotation vers le nouveau généré qui est ensuite écrit dans le MDM. La clé publique utilisée pour le chiffrement fait partie du fichier de configuration EasyLAPS. La clé privée n’est pas présente sur l’appareil et doit être conservée en accès restreint. Cette logique convient mieux lorsqu’un grand nombre de techniciens ont accès à la console MDM et que seuls ceux qui possèdent une copie de EasyLAPS-Toolkit avec la clé privée peuvent révéler un mot de passe ayant fait l’objet d’une rotation.
Logique n°2 — Le mot de passe est stocké en texte clair dans le MDM et n’est pas stocké localement, à moins qu’une réversion de mot de passe n’échoue. EasyLAPS lit le mot de passe stocké dans le MDM et l’utilise comme mot de passe actuel pour gérer la rotation vers le nouveau généré qui est ensuite écrit dans le MDM. La logique convient mieux lorsqu’un nombre restreint de techniciens ont accès à la console MDM et sont ensuite en mesure de révéler un mot de passe ayant fait l’objet d’une rotation.
Après la première rotation réussie, le nouveau mot de passe est visible dans la fiche d’inventaire de l’appareil.
EasyLAPS opère une véritable rotation du mot de passe de l’administrateur local, de sorte que le compte conserve son statut cryptographique. Cela signifie qu’une fois le mot de passe changé, le compte est toujours un utilisateur Crypto et un propriétaire de volume, capable de déverrouiller l’appareil, d’installer des mises à jour macOS, de modifier les règles de sécurité au démarrage, de lancer une opération d’effacement de tout le contenu et des réglages, etc.
EasyLAPS a été testé avec une liste croissante de solutions de gestion bien connues, mais nous sommes impatients de supporter toute autre solution proposant une interface de programmation d’application (API) permettant l’écriture dans un attribut d’une fiche d’inventaire d’appareil.
Captures d’écran
FileWave
Jamf Pro
Jamf School
JumpCloud
Meraki Systems Manager
Microsoft Intune
Miradore
Mosyle Business
Mosyle Manager
SimpleMDM
VMware Workspace ONE UEM
Souhaitez-vous en savoir plus ?
Demandez votre invitation depuis la page MacAdmins.org ou bien envoyez-nous un message pour recevoir votre invitation.