# Windows
L’article suivant décrit le déploiement de certificats d’appareil et/ou d’utilisateur pour les appareils Windows. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir de déployer uniquement le certificat d’appareil, d’utilisateur, ou même les deux types de certificats.
## Certificat racine
La base du déploiement des certificats SCEP consiste à faire confiance au certificat racine de SCEPman. Vous devez donc télécharger le certificat racine de l’AC et le déployer en tant que **Certificat approuvé** profil via Microsoft Intune :
* [ ] Téléchargez le certificat de l’AC depuis le portail SCEPman :
* [ ] Créez un profil pour **Windows 10 et versions ultérieures** avec le type **Certificat approuvé** dans Microsoft Intune :
* [ ] Téléversez votre **fichier .cer**.
* [ ] Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir Tous les utilisateurs et/ou Tous les appareils ou un groupe dédié pour l’affectation.
{% hint style="info" %}
Notez que vous devez utiliser le même groupe pour l’affectation du certificat approuvé et du profil SCEP. Sinon, le déploiement Intune pourrait échouer.
{% endhint %}
## Certificats d’appareil
* [ ] Ouvrez le portail SCEPman et copiez l’URL sous Intune MDM
* [ ] Créez un profil pour **Windows 10 et versions ultérieures** avec le type **certificat SCEP** dans Microsoft Intune
* [ ] Configurez le profil comme décrit :
Type de certificat : Appareil
Dans ce cas, nous configurons un certificat d’appareil
Format du nom du sujet : CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}
**Recommandé :** Utilisez `{{DeviceName}}`pour le RDN CN afin d’avoir un nom significatif du certificat sur l’appareil ou lors de la recherche du certificat.
**Facultatif :** Si configuré sur `CN={{DeviceId}}` ou `CN={{AAD_Device_ID}}`, SCEPman utilise le champ CN du nom du sujet pour identifier l’appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux ID différents :
* `{{DeviceId}}`: cet ID est généré et utilisé par Intune.\
\
(nécessite que [Validation Intune](/fr/configuration-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) soit défini sur **Intune** ou **AADAndIntune**)
* `{{AAD_Device_ID}}`: cet ID est généré et utilisé par Microsoft Entra ID (Azure AD).
Si ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` n’est utilisé pour le champ CN (par ex. `CN={{DeviceName}})`, SCEPman identifiera l’appareil en se basant sur l’ID d’appareil Intune (`Valeur (URI) :` `IntuneDeviceId://{{DeviceId}}`) fourni dans le nom alternatif du sujet (SAN).
{% hint style="info" %}
Vous pouvez spécifier ces variables et du texte statique dans la zone de texte. Par exemple, le nom commun d’un appareil nommé *Device1* peut être ajouté comme **CN={{DeviceName}}YourDomain.com**
{% endhint %}
**Important :** Le choix du champ CN affecte le [comportement automatique de révocation](/fr/gestion-des-certificats/manage-certificates.md#automatic-revocation) des certificats émis pour vos appareils gérés par Intune.
Vous pouvez ajouter d’autres RDN si nécessaire (par ex. : `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Les variables prises en charge sont सूचीées dans les [docs Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nom alternatif du sujet : (URI)Valeur : IntuneDeviceId://{{DeviceId}}
Le champ URI est [recommandé par Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) pour que les solutions NAC identifient les appareils à partir de leur ID d’appareil Intune. La valeur doit être :
```
IntuneDeviceId://{{DeviceId}}
```
Le **champ URI est obligatoire** dans le cas où ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` n’est utilisé dans le champ **Format du nom du sujet** .
D’autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.
Période de validité du certificat : 1 an
Le temps restant avant l’expiration du certificat. La valeur par défaut est fixée à un an.
SCEPman limite la validité du certificat au maximum configuré dans le paramètre [***AppConfig:ValidityPeriodDays***](/fr/configuration-de-scepman/application-settings/certificates.md#appconfig-validityperioddays), mais utilise sinon la validité configurée dans la demande.
Fournisseur de stockage de clés (KSP) : Inscrire au KSP de Trusted Platform Module (TPM), sinon échec
Ce paramètre détermine l’emplacement de stockage de la clé privée pour les certificats des utilisateurs finaux. Le stockage dans le TPM est plus sûr que le stockage logiciel, car le TPM offre une couche de sécurité supplémentaire pour empêcher le vol de clés.
Remarque : il existe **un bug dans certaines anciennes versions du micrologiciel TPM** qui invalide certaines signatures créées avec une clé privée prise en charge par le TPM. Dans de tels cas, le certificat ne peut pas être utilisé pour l’authentification EAP, comme c’est courant pour les connexions Wi‑Fi et VPN. De plus, cela peut perturber votre processus d’intégration Autopilot.
Les versions de micrologiciel TPM concernées incluent :
* STMicroelectronics : 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684
* Intel : 11.8.50.3399, 2.0.0.2060
* Infineon : 7.63.3353.0
* IFX : version 3.19 / spécification 1.2
* version IFX 7.63.3353.0 spécification 2.0
Si vous utilisez TPM avec ce micrologiciel, mettez à jour votre micrologiciel vers une version plus récente ou sélectionnez « Software KSP » comme fournisseur de stockage de clés.
**Mise à jour :** Vous pouvez contourner le bug TPM en supprimant du registre les algorithmes de signature RSA-PSS - qui sont à l’origine du problème - ; pour plus d’informations, veuillez consulter [l’article de Richard Hicks](https://directaccess.richardhicks.com/2023/02/13/always-on-vpn-authentication-failed-reason-code-16/) et [Microsoft Q\&A](https://learn.microsoft.com/en-us/answers/questions/467673/windows-10-tpm-2-0-client-authentication-in-tls-1)
Utilisation de la clé : Signature numérique et Chiffrement de clé
Veuillez activer ces deux actions cryptographiques.
SCEPman définit automatiquement l’utilisation de la clé sur **Signature numérique** et **Chiffrement de clé** et remplace le paramètre ici, sauf si le paramètre [***AppConfig:UseRequestedKeyUsages***](/fr/configuration-de-scepman/application-settings/certificates.md#appconfig-userequestedkeyusages) est défini sur *true*.
Taille de clé (bits) : 2048
SCEPman prend en charge 2048 bits.
Algorithme de hachage : SHA-2
SCEPman prend en charge l’algorithme SHA-2.
Certificat racine : Profil de l’étape précédente (profil de certificat racine)
Veuillez sélectionner le profil Intune de [#Certificat racine](#root-certificate).\
Si vous utilisez un [AC intermédiaire](/fr/deploiement-scepman/intermediate-certificate.md), vous devez sélectionner le profil de certificat approuvé pour l’AC intermédiaire, et non pour l’AC racine !
Utilisation étendue de la clé : Authentification client, 1.3.6.1.5.5.7.3.2
Veuillez choisir **Authentification client (1.3.6.1.5.5.7.3.2)** sous **Valeurs prédéfinies**. Les autres champs seront remplis automatiquement.
Seuil de renouvellement (%) : 20
Cette valeur définit quand l’appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante d’un certificat existant). Veuillez lire la note sous **Période de validité du certificat** et sélectionnez une valeur appropriée qui permet à l’appareil de renouveler le certificat sur une longue période. Une valeur de 20 % permettrait à l’appareil disposant d’un certificat valide 1 an de commencer le renouvellement 73 jours avant l’expiration.
URL du serveur SCEP : ouvrez le portail SCEPman et copiez l’URL de Intune MDM
**Exemple**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
### Exemple
* [ ] Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir les mêmes groupes pour l’affectation que pour le profil de certificat approuvé.
## Certificats utilisateur
Veuillez suivre les instructions de [#Certificats d’appareil](#device-certificates) et tenez compte des différences suivantes :
Type de certificat : Utilisateur
Dans cette section, nous configurons un certificat utilisateur.
Format du nom du sujet : CN={{UserName}},E={{EmailAddress}}
Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont répertoriées dans les [docs Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Nous recommandons d’inclure le nom d’utilisateur (par ex. : janedoe) et l’adresse e-mail (par ex. : ) comme configuration de base.
Nom alternatif du sujet : (UPN)Valeur : {{UserPrincipalName}}
Vous devez ajouter le nom principal de l’utilisateur comme nom alternatif du sujet. **Ajoutez « {{UserPrincipalName}} » comme nom alternatif du sujet de type nom principal d’utilisateur (UPN).** Cela garantit que SCEPman peut lier les certificats aux objets utilisateur dans AAD. Le paramètre « Format du nom du sujet » est librement sélectionnable.
D’autres valeurs SAN comme une adresse e-mail peuvent être ajoutées si nécessaire.
{% hint style="info" %}
D’après les retours clients, il semble que certains clients VPN (par ex. : Azure VPN Client pour Virtual WAN) ne parviennent pas à détecter le certificat utilisateur lorsqu’il est stocké dans le TPM. Essayez plutôt de l’inscrire au KSP logiciel.
{% endhint %}
### Exemple
## Certificat de signature numérique utilisateur
Vous pouvez utiliser SCEPman pour les **signatures numériques** c’est-à-dire pour la signature S/MIME dans Microsoft Outlook. Si vous prévoyez d’utiliser les certificats pour la signature des messages, vous devez ajouter les utilisations étendues de clé correspondantes dans la configuration du profil Intune.
{% hint style="warning" %}
**Ne** pas utiliser SCEPman **pour le chiffrement des e-mails** c’est-à-dire pour le chiffrement des messages S/MIME dans Microsoft Outlook (sans technologie distincte de gestion des clés). La nature du **protocole SCEP n’inclut pas de mécanisme de sauvegarde ou d’archivage du matériel de clé privée.** Si vous utilisiez SCEP pour le chiffrement des e-mails, vous pourriez perdre les clés nécessaires pour déchiffrer les messages plus tard.
{% endhint %}
* [ ] Vous devez définir ces variables de configuration, sinon l’utilisation de clé demandée et la période de validité étendue dans le profil SCEP ne seront pas prises en compte par SCEPman :
- [*`AppConfig:UseRequestedKeyUsages`*](/fr/configuration-de-scepman/application-settings/certificates.md#appconfig-userequestedkeyusages) défini sur *`true`*
- [*`AppConfig:ValidityPeriodDays`*](/fr/configuration-de-scepman/application-settings/certificates.md#appconfig-validityperioddays) *défini sur `365` (une valeur maximale de 1825 - 5 ans est possible)*
Pour déployer des certificats utilisateur utilisés pour **les signatures numériques** veuillez suivre les instructions de [#Certificats utilisateur](#user-certificates) et tenez compte des différences et remarques suivantes :
Nom alternatif du sujet
* **(obligatoire) Nom principal de l’utilisateur (UPN) :** *`{{UserPrincipalName}}`*
* **(obligatoire) Adresse e-mail :** *`{{EmailAddress}}`*
En déployant un certificat de signature numérique, vous devez ajouter l’UPN et l’adresse e-mail.
Utilisation de la clé : uniquement Signature numériqueUtilisation étendue de la clé : E-mail sécurisé (1.3.6.1.5.5.7.3.4)
Veuillez choisir **E-mail sécurisé (1.3.6.1.5.5.7.3.4)** sous **Valeurs prédéfinies**. Les autres champs seront remplis automatiquement.
Seuil de renouvellement (%) : 50
Nous recommandons de définir le seuil de renouvellement (%) à une valeur qui garantit que les certificats sont renouvelés au moins 6 mois avant leur expiration lors de l’émission de certificats de signature S/MIME. En effet, les e-mails signés avec des certificats expirés apparaissent dans Outlook comme ayant des signatures non valides, ce qui déroute les utilisateurs. Disposer d’un nouveau certificat longtemps avant l’expiration de l’ancien garantit que seuls les anciens e-mails présentent ce comportement, que les utilisateurs sont moins susceptibles de consulter. Par exemple, si vos certificats de signature sont valides pendant un an, vous devez définir le seuil de renouvellement à au moins 50 %.
### **Exemple**
Après une synchronisation de profil réussie, vous devriez voir le certificat utilisateur pour les usages prévus **E-mail sécurisé**
Le certificat sera disponible pour une utilisation en signature numérique, par ex. dans Outlook. Ci-dessous se trouve un exemple d’utilisation
### Activer les signatures S/MIME dans Outlook
Une fois que vous avez déployé les certificats de signature S/MIME sur vos ordinateurs clients, vous devez configurer Outlook pour utiliser ces certificats avant d’envoyer des e-mails signés.
#### Nouvel Outlook
S/MIME pour le nouvel Outlook peut être configuré [manuellement](https://support.microsoft.com/en-us/office/set-up-outlook-to-use-s-mime-encryption-2e57e4bd-4cc2-4531-9a39-426e7c873e26#id0ebbf=new_outlook).
#### Outlook classique
S/MIME pour Outlook classique peut être configuré [manuellement](https://support.microsoft.com/en-us/office/set-up-outlook-to-use-s-mime-encryption-2e57e4bd-4cc2-4531-9a39-426e7c873e26#id0ebbf=newer_versions) ou rapidement configuré avec notre [script PowerShell](https://github.com/glueckkanja-pki/PKI-Configuration-Tools/blob/master/README.md).
#### Outlook sur le web
S/MIME pour Outlook sur le web peut être configuré [manuellement](https://support.microsoft.com/en-us/office/set-up-outlook-to-use-s-mime-encryption-2e57e4bd-4cc2-4531-9a39-426e7c873e26#id0ebbf=web) ou activé à l’aide de PowerShell avec la commande suivante :
```
Set-SmimeConfig -OWAAllowUserChoiceOfSigningCertificate $true
```
Des commandes PowerShell supplémentaires peuvent être consultées [ici](https://learn.microsoft.com/en-us/powershell/module/exchange/set-smimeconfig).
---
# Agent Instructions: Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/fr/gestion-des-certificats/microsoft-intune/windows-10.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.