# Correspondance forte Intune [Microsoft informe actuellement les clients de revérifier leurs PKI](https://techcommunity.microsoft.com/t5/intune-customer-success/support-tip-implementing-strong-mapping-in-microsoft-intune/ba-p/4053376): Avec la mise à jour Windows du 10 mai 2022 ([KB5014754](https://support.microsoft.com/topic/kb5014754-certificate-based-authentication-changes-on-windows-domain-controllers-ad2c23b0-15d8-4340-a468-4d4f3b188f16)) des modifications ont été apportées au comportement de la distribution des clés Kerberos d’Active Directory (KDC) dans Windows Server 2008 et les versions ultérieures afin d’atténuer les vulnérabilités d’élévation de privilèges associées à l’usurpation de certificats. [Nous avons décrit l’impact de ce changement lorsque la vulnérabilité a été initialement divulguée](/fr/autre/troubleshooting/certifried.md). ### Périmètre Tout d’abord, cette vulnérabilité ne s’applique qu’aux AC dont les certificats sont publiés dans le magasin NTAuth de la forêt AD. Si vous n’utilisez pas vos certificats pour vous authentifier auprès de votre AD sur site, vous n’avez pas besoin de publier le certificat de votre AC dans le magasin NTAuth et vous êtes alors invulnérable à cette attaque. Notez que Microsoft ADCS publie par défaut ses certificats d’AC dans le magasin NTAuth. Pour l’authentification réseau, le seul NAC que nous connaissons et qui nécessite le certificat de l’AC dans le magasin NTAuth est Microsoft NPS. Parmi les NAC qui ne nécessitent pas d’authentification sur site et le magasin NTAuth figurent RADIUSaaS, Cisco ISE et Aruba Clearpass. Si vous utilisez les certificats uniquement pour ce cas d’utilisation, assurez-vous simplement que le certificat de votre AC ne se trouve pas dans le magasin NTAuth de votre forêt et vous n’aurez pas à vous soucier du mappage fort des certificats. Si vous avez effectivement un cas d’utilisation qui nécessite le certificat de votre AC dans le magasin NTAuth, comme notre [les certificats Domain Controller](/fr/gestion-des-certificats/domain-controller-certificates.md), vous ne souhaiterez peut-être toujours pas que les certificats de vos utilisateurs finaux soient utilisés pour l’authentification sur site. Dans ce cas, vous n’avez pas non plus besoin d’un mappage fort des certificats *pour ces certificats*. Vous devriez donc activer le mode Full Enforcement, mais ne pas ajouter les SID sur site aux certificats. Ce n’est que si vous utilisez vos certificats finaux pour l’authentification sur site que vous devez vous assurer que des SID sont ajoutés. L’exemple le plus courant pour ce cas d’utilisation est celui où vous utilisez Microsoft NPS ou lorsque vous utilisez l’authentification par certificat pour vous connecter à des VM sur site via RDP afin d’éviter les mots de passe. ### Activation du mappage fort des certificats Pour prendre en compte les changements ADCS/KDC, Microsoft Intune peut inclure le SID dans les certificats inscrits. Vous pouvez inclure le SID en ajoutant un SAN de type URI avec la valeur « {{OnPremisesSecurityIdentifier}} » et il apparaîtra dans le certificat comme ceci : ``` URL=tag:microsoft.com,2022-09-14:sid: ``` Ce changement déploie cette nouvelle fonctionnalité en octobre/novembre 2024 pour tous les clients Microsoft Intune. {% hint style="success" %} SCEPman est prêt pour ce changement. Aucune modification de SCEPman n’est requise, uniquement de la configuration Intune. {% endhint %} Si vous souhaitez utiliser cette fonctionnalité, vous devez mettre à jour vos profils de configuration SCEP dans Intune conformément aux instructions de Microsoft. Nous avons vérifié que SCEPman prend en charge ce format SAN et qu’il fonctionne avec toutes les versions de SCEPman. Sinon, vous pouvez ajouter une [extension SID](/fr/configuration-de-scepman/application-settings/certificates.md#appconfig-addsidextension) avec SCEPman. C’est ainsi que nous avons traité le problème KDC en [juillet 2023](https://docs.scepman.com/fr/configuration-de-scepman/pages/cc2dd1ba7766a407fe90c220a939d6d88c22f50e#scepman-2.5.892) de la même manière que l’ADCS sur site le fait. Par conséquent, les clients SCEPman n’ont pas besoin du nouveau champ SAN, en particulier s’ils utilisent déjà l’extension SID. Les clients SCEPman peuvent choisir s’ils souhaitent l’extension SID ou la valeur SID SAN. La première nécessite un paramètre de configuration SCEPman, la seconde nécessite une modification des profils de configuration SCEP, comme détaillé ci-dessus. --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.scepman.com/fr/configuration-de-scepman/intune-implementing-strong-mapping-for-scep-and-pkcs-certificates.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.