circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Windows

Déployez des certificats sur des appareils Windows via SCEP dans Intune à l'aide de SCEPman.

L’article suivant décrit le déploiement de certificats d’appareil et/ou d’utilisateur pour les appareils Windows. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir entre le déploiement d’un seul type de certificat — appareil, utilisateur — ou même des deux.

hashtag
Certificat racine

La base du déploiement des certificats SCEP est d’accorder sa confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine de l’AC et le déployer en tant que certificat approuvé via Microsoft Intune :

circle-info

Notez que vous devez utiliser le même groupe pour l’attribution du certificat approuvé et du profil SCEP. Sinon, le déploiement Intune peut échouer.

hashtag
Certificats d’appareil

chevron-rightType de certificat : Appareilhashtag

Dans ce cas, nous configurons un certificat d’appareil

chevron-rightFormat du nom du sujet : CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}hashtag

Recommandé : Utilisez {{DeviceName}}pour le RDN CN afin d’avoir un nom significatif du certificat sur l’appareil ou lors de la recherche du certificat.

Facultatif : Si configuré sur CN={{DeviceId}} ou CN={{AAD_Device_ID}}, SCEPman utilise le champ CN du nom du sujet pour identifier l’appareil et comme base pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :

  • {{DeviceId}}: Cet identifiant est généré et utilisé par Intune. (requiert SCEPman 2.0 ou version ultérieure et AppConfig:IntuneValidation:DeviceDirectory à être défini sur Intune ou AADAndIntune)

  • {{AAD_Device_ID}}: Cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD).

Si ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n’est utilisé pour le champ CN (par exemple CN={{DeviceName}}), SCEPman identifiera l’appareil en fonction de l’ID d’appareil Intune (Valeur (URI) : IntuneDeviceId://{{DeviceId}}) fourni dans le nom alternatif du sujet (SAN).

Important : Le choix du champ CN affecte le comportement de révocation automatique des certificats émis pour vos appareils gérés par Intune.

Vous pouvez ajouter d’autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont सूची... documentation Microsoftarrow-up-right.

chevron-rightNom alternatif du sujet : (URI)Valeur : IntuneDeviceId://{{DeviceId}}hashtag

Le champ URI est recommandé par Microsoftarrow-up-right pour les solutions NAC afin d’identifier les appareils à partir de leur ID d’appareil Intune. La valeur doit être :

Le champ URI est obligatoire si ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n’est utilisé dans le champ Format du nom du sujet .

D’autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.

chevron-rightPériode de validité du certificat : 1 anhashtag

La durée restante avant l’expiration du certificat. La valeur par défaut est fixée à un an.

SCEPman limite la validité du certificat à la valeur maximale configurée dans le paramètre AppConfig:ValidityPeriodDays, mais utilise autrement la validité configurée dans la requête.

chevron-rightFournisseur de stockage des clés (KSP) : Inscrire sur le module de plateforme sécurisée (TPM) KSP, sinon échechashtag

Ce paramètre détermine l’emplacement de stockage de la clé privée pour les certificats de l’utilisateur final. Le stockage dans le TPM est plus sûr que le stockage logiciel, car le TPM fournit une couche de sécurité supplémentaire pour empêcher le vol de clés.

Remarque : il existe un bogue dans certaines anciennes versions du micrologiciel TPM qui invalide certaines signatures créées avec une clé privée protégée par TPM. Dans de tels cas, le certificat ne peut pas être utilisé pour l’authentification EAP, comme c’est le cas pour les connexions Wi‑Fi et VPN. De plus, cela peut perturber votre processus d’intégration Autopilot.

Les versions du micrologiciel TPM concernées incluent :

  • STMicroelectronics : 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684

  • Intel : 11.8.50.3399, 2.0.0.2060

  • Infineon : 7.63.3353.0

  • IFX : version 3.19 / spécification 1.2

  • IFX version 7.63.3353.0 spécification 2.0

Si vous utilisez le TPM avec ce micrologiciel, mettez à jour votre micrologiciel vers une version plus récente ou sélectionnez « Software KSP » comme fournisseur de stockage des clés.

Mise à jour : Vous pouvez contourner le bogue TPM en supprimant du registre les algorithmes de signature RSA-PSS — qui sont à l’origine du problème — ; pour plus d’informations, veuillez consulter l’article de Richard Hicksarrow-up-right et Microsoft Q&Aarrow-up-right

chevron-rightUtilisation de la clé : Signature numérique et Chiffrement de cléhashtag

Veuillez activer ces deux actions cryptographiques.

SCEPman définit automatiquement l’utilisation de la clé sur Signature numérique et Chiffrement de clé et remplace le paramètre ici, sauf si le paramètre AppConfig:UseRequestedKeyUsages est défini sur true.

chevron-rightTaille de la clé (bits) : 2048hashtag

SCEPman prend en charge 2048 bits.

chevron-rightAlgorithme de hachage : SHA-2hashtag

SCEPman prend en charge l’algorithme SHA-2.

chevron-rightCertificat racine : Profil de l’étape précédente (profil du certificat racine)hashtag

Veuillez sélectionner le profil Intune de #Certificat racine. Si vous utilisez une AC intermédiaire, vous devez sélectionner le profil de certificat approuvé pour l’AC intermédiaire, et non pour l’AC racine !

chevron-rightUtilisation étendue de la clé : Authentification du client, 1.3.6.1.5.5.7.3.2hashtag

Veuillez choisir Authentification du client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

chevron-rightSeuil de renouvellement (%) : 20hashtag

Cette valeur définit le moment où l’appareil est autorisé à renouveler son certificat (sur la base de la durée de vie restante d’un certificat existant). Veuillez lire la remarque sous Période de validité du certificat et sélectionner une valeur adaptée qui permette à l’appareil de renouveler le certificat sur une longue période. Une valeur de 20 % permettrait à l’appareil disposant d’un certificat valide 1 an de commencer le renouvellement 73 jours avant l’expiration.

chevron-rightURL du serveur SCEP : ouvrez le portail SCEPman et copiez l’URL de Intune MDMhashtag

Exemple

hashtag
Exemple

hashtag
Certificats utilisateur

Veuillez suivre les instructions de #Certificats d’appareil et tenir compte des différences suivantes :

chevron-rightType de certificat : Utilisateurhashtag

Dans cette section, nous configurons un certificat utilisateur.

chevron-rightFormat du nom du sujet : CN={{UserName}},E={{EmailAddress}}hashtag

Vous pouvez définir les RDN selon vos besoins. Les variables prises en charge sont répertoriées dans la documentation Microsoftarrow-up-right. Nous recommandons d’inclure le nom d’utilisateur (par ex. : janedoe) et l’adresse e-mail (par ex. : [email protected]) comme paramètre de base.

chevron-rightNom alternatif du sujet : (UPN)Valeur : {{UserPrincipalName}}hashtag

Vous devez ajouter le nom principal de l’utilisateur comme nom alternatif du sujet. Ajoutez « {{UserPrincipalName}} » comme nom alternatif du sujet de type nom principal de l’utilisateur (UPN). Cela garantit que SCEPman peut associer les certificats aux objets utilisateur dans AAD. Le paramètre « Format du nom du sujet » est librement sélectionnable.

D’autres valeurs SAN comme une adresse e-mail peuvent être ajoutées si nécessaire.

circle-info

D’après les retours clients, il semble que certains clients VPN (par ex. Azure VPN Client pour Virtual WAN) ne parviennent pas à découvrir le certificat utilisateur lorsqu’il est stocké dans le TPM. Essayez plutôt de l’inscrire dans le KSP logiciel.

hashtag
Exemple

hashtag
Certificat de signature numérique utilisateur

Vous pouvez utiliser SCEPman pour les signatures numériques transnationales, c’est-à-dire pour la signature S/MIME dans Microsoft Outlook. Si vous prévoyez d’utiliser les certificats pour la signature de messages, vous devez ajouter les utilisations étendues de clé correspondantes dans la configuration du profil Intune.

circle-exclamation

N’ utilisez pas SCEPman pour le chiffrement des e-mails c’est-à-dire pour le chiffrement des messages S/MIME dans Microsoft Outlook (sans technologie séparée de gestion des clés). La nature du protocole SCEP n’inclut pas de mécanisme de sauvegarde ou d’archivage du matériel de clé privée. Si vous utilisiez SCEP pour le chiffrement des e-mails, vous pourriez perdre les clés nécessaires pour déchiffrer les messages ultérieurement.

Pour déployer des certificats utilisateur utilisés pour les signatures numériques veuillez suivre les instructions de #Certificats utilisateur et tenir compte des différences et remarques suivantes :

chevron-rightNom alternatif du sujethashtag

  • (obligatoire) Nom principal de l’utilisateur (UPN) : {{UserPrincipalName}}

  • (obligatoire) Adresse e-mail : {{EmailAddress}}

En déployant un certificat de signature numérique, vous devez ajouter l’UPN et l’adresse e-mail.

chevron-rightUtilisation de la clé : uniquement Signature numériquehashtag

chevron-rightUtilisation étendue de la clé : Secure Email (1.3.6.1.5.5.7.3.4)hashtag

Veuillez choisir Secure Email (1.3.6.1.5.5.7.3.4) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

chevron-rightSeuil de renouvellement (%) : 50hashtag

Nous recommandons de définir le seuil de renouvellement (%) à une valeur qui garantit que les certificats sont renouvelés au moins 6 mois avant leur expiration lors de l’émission de certificats de signature S/MIME. En effet, les e-mails signés avec des certificats expirés apparaissent comme ayant des signatures invalides dans Outlook, ce qui déroute les utilisateurs. Disposer d’un nouveau certificat bien avant l’expiration de l’ancien garantit que seuls les anciens e-mails présentent ce comportement, et les utilisateurs sont moins susceptibles d’y prêter attention. Par exemple, si vos certificats de signature sont valides pendant un an, vous devriez définir le seuil de renouvellement à au moins 50 %.

hashtag
Exemple

Après une synchronisation de profil réussie, vous devriez voir le certificat utilisateur pour les usages prévus Secure Email

Le certificat sera disponible pour une utilisation en Signature numérique, par exemple dans Outlook. Voici ci-dessous un exemple d’utilisation

hashtag
Activer les signatures S/MIME dans Outlook

Une fois que vous avez déployé les certificats de signature S/MIME sur vos postes clients, vous devez configurer Outlook pour utiliser ces certificats avant d’envoyer des e-mails signés.

hashtag
Nouvel Outlook

S/MIME pour le nouvel Outlook peut être configuré manuellementarrow-up-right.

hashtag
Outlook classique

S/MIME pour Outlook classique peut être configuré manuellementarrow-up-right ou rapidement configuré avec notre script PowerShellarrow-up-right.

hashtag
Outlook sur le Web

S/MIME pour Outlook sur le Web peut être configuré manuellementarrow-up-right ou activé à l’aide de PowerShell avec la commande suivante :

Des commandes PowerShell supplémentaires peuvent être consultées iciarrow-up-right.

Mis à jour

Ce contenu vous a-t-il été utile ?