Capacités
Les capacités répertoriées ci-dessous sont celles qui sont actuellement activement prises en charge par EasyLAPS.
Une idée pour enrichir les capacités de EasyLAPS ou pouvoir adopter EasyLAPS ? N’hésitez pas à envoyer une demande de fonctionnalité via le formulaire disponible sur la page Introduction.
Rotation du mot de passe | |
Engagement | • EasyLAPS opère une véritable rotation du mot de passe de l’administrateur local, de sorte que le compte conserve son statut cryptographique • Une fois le mot de passe changé, le compte est toujours un utilisateur Crypto et un propriétaire de volume, capable de déverrouiller l’appareil, d’installer des mises à jour macOS, de modifier les règles de sécurité au démarrage, de lancer une opération d’effacement de tout le contenu et des réglages, etc |
Logiques d’exécution | • Logique n°1 : Le mot de passe est stocké sous forme chiffrée dans le MDM et dans le trousseau EasyLAPS. EasyLAPS utilise le mot de passe stocké localement comme mot de passe actuel pour gérer la rotation vers le nouveau généré qui est ensuite écrit dans le MDM. La clé publique utilisée pour le chiffrement fait partie du fichier de configuration EasyLAPS. La clé privée n’est pas présente sur l’appareil et doit être conservée en accès restreint. • Logique n°2 : Le mot de passe est stocké en texte clair dans le MDM et n’est pas stocké localement, à moins qu’une réversion de mot de passe n’échoue. EasyLAPS lit le mot de passe stocké dans le MDM et l’utilise comme mot de passe actuel pour gérer la rotation vers le nouveau généré qui est ensuite écrit dans le MDM. |
Fréquence de rotation | Le processus de rotation du mot de passe est déclenché après un nombre spécifié de jours jusqu’à ce qu’il soit réussi |
Report de rotation | • La première rotation peut être configurée pour se produire après que le Mac a été inscrit dans le MDM pendant plus d’un nombre défini de jours (la référence est la date d’installation du profil MDM) • Cette capacité permet d’installer EasyLAPS au moment de l’intégration, laissant aux techniciens le temps de terminer une préparation sans avoir à utiliser un mot de passe unique |
Caractères interdits | Une liste de caractères non autorisés dans le nouveau mot de passe généré peut être configurée pour éviter les difficultés de lecture |
Symboles requis | Un nombre défini ou aléatoire de symboles, choisis au hasard dans une liste de symboles et positionnés au hasard dans le nouveau mot de passe généré, remplaçant des lettres et des chiffres, peuvent être ajoutés pour correspondre à la règle de mot de passe des comptes locaux définie par votre organisation |
Phrase de passe | • Le mot de passe peut être une phrase de passe définie par un nombre minimum de caractères ou un nombre exact de mots • Les phrases de passe peuvent être complexifiées à l’aide de lettres majuscules et des nombres définis ou aléatoires de symboles et de chiffres |
Préfixe | Le préfixe « easylaps- » peut être ajouté au mot de passe stocké chiffré ou en clair dans le MDM |
Mot de passe déterminé | Un mot de passe déterminé peut être utilisé à la place d’un mot de passe aléatoire pour permettre un scénario où tous les Mac ou un groupe de Mac partagent le même nouveau mot de passe unique après la prochaine rotation |
Compte administrateur local | |
Création du compte | • Le compte administrateur local défini est créé automatiquement s’il est manquant • Les paramètres du compte administrateur local incluent le nom du compte, le nom complet, l’UID, le Shell, le dossier personnel, le mot de passe et l’indicateur masqué |
Remédiation du compte | Les paramètres nom complet, Shell et indicateur masqué sont rétablis à ceux ciblés s’ils sont détectés comme modifiés |
Image du compte | Le compte administrateur local peut être personnalisé avec une image fournie par votre organisation (fichier PNG) |
Privilèges administratifs | • EasyLAPS peut être configuré de sorte que seul le compte administrateur local dispose de privilèges administratifs • Dans ce contexte, les autres utilisateurs perdent leurs privilèges administratifs s’ils en ont • Il reste possible de spécifier des noms de comptes et de groupes qui échappent à cette dégradation |
Jeton sécurisé | • La rotation préserve le jeton sécurisé (Secure Token) du compte • Le compte reste un utilisateur Crypto et un propriétaire de volume : il peut déverrouiller l’appareil, installer des mises à jour macOS, modifier la règle de sécurité au démarrage, lancer une opération d’effacement de tout le contenu et des réglages |
Passerelle EasyLAPS | • Cette fonctionnalité met à disposition d’EasyLAPS le mot de passe actuel du compte de gestion géré par une autre solution LAPS, afin qu’une véritable rotation soit possible • La collecte du mot de passe est gérée par MacOnboardingMate (MOM) lors d’un flux de travail de migration MDM • Deux scénarios sont actuellement pris en charge : – migration MDM depuis n’importe quel MDM supporté avec le mot de passe actuel du compte de gestion géré par EasyLAPS – migration MDM depuis Jamf Pro avec le mot de passe actuel du compte de gestion géré par la solution native Jamf Pro LAPS |
Intégrations | |
Slack / Microsoft Teams | • EasyLAPS peut rapporter à un canal dédié le message de statut de son exécution • Les messages peuvent être personnalisés avec des chaînes de caractères, des variables attendues et des émojis • Cette intégration nécessite la mise en œuvre de Slack Incoming Webhooks ou d’un flux de travail Teams de type « Publier sur un canal lors de la réception d’une demande de webhook » |
Jeton d’amorçage | La rotation peut déclencher le séquestre d’un jeton d’amorçage (Bootstrap Token) dans le MDM qui prend en charge cette fonctionnalité lorsqu’il est détecté comme manquant alors que le compte administrateur local dispose d’un SecureToken |
Implémentation | |
Fichiers d’historique | • Par défaut, EasyLAPS est exécuté silencieusement et ne produit pas de fichiers d’historique • La production de fichiers d’historique, utilisés à des fins d’information et de débogage et stockés uniquement localement sur l’appareil, doit être demandé explicitement |
Confiance | EasyLAPS-Core est signé et notarisé de sorte que vous soyez sûrs que ce logiciel a été vérifié pour l’absence de tout code malveillant |
Support macOS | EasyLAPS supporte macOS 15 (Sequoia), macOS 14 (Sonoma), macOS 13 (Ventura), macOS 12 (Monterey), macOS 11 (Big Sur), macOS 10.15 (Catalina), macOS 10.14 (Mojave) et macOS 10.13.4 ou version supérieure (High Sierra) |
Support processeur | EasyLAPS supporte les processeurs Apple silicon et Intel |