Windows

Déployez des certificats sur des appareils Windows via SCEP dans Intune à l'aide de SCEPman.

L’article suivant décrit le déploiement de certificats d’appareil et/ou d’utilisateur pour les appareils Windows. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir de déployer uniquement le certificat d’appareil, d’utilisateur, ou même les deux types de certificats.

Certificat racine

La base du déploiement des certificats SCEP consiste à faire confiance au certificat racine de SCEPman. Vous devez donc télécharger le certificat racine de l’AC et le déployer en tant que Certificat approuvé profil via Microsoft Intune :

Téléchargez le certificat de l’AC depuis le portail SCEPman :

Créez un profil pour Windows 10 et versions ultérieures avec le type Certificat approuvé dans Microsoft Intune :

Téléversez votre fichier .cer.
Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir Tous les utilisateurs et/ou Tous les appareils ou un groupe dédié pour l’affectation.

Notez que vous devez utiliser le même groupe pour l’affectation du certificat approuvé et du profil SCEP. Sinon, le déploiement Intune pourrait échouer.

Certificats d’appareil

Ouvrez le portail SCEPman et copiez l’URL sous Intune MDM

Créez un profil pour Windows 10 et versions ultérieures avec le type certificat SCEP dans Microsoft Intune

Configurez le profil comme décrit :

Type de certificat : Appareil

Dans ce cas, nous configurons un certificat d’appareil

Format du nom du sujet : CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}

Recommandé : Utilisez {{DeviceName}}pour le RDN CN afin d’avoir un nom significatif du certificat sur l’appareil ou lors de la recherche du certificat.

Facultatif : Si configuré sur CN={{DeviceId}} ou CN={{AAD_Device_ID}}, SCEPman utilise le champ CN du nom du sujet pour identifier l’appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux ID différents :

{{DeviceId}}: cet ID est généré et utilisé par Intune. (nécessite que AppConfig:IntuneValidation:DeviceDirectory soit défini sur Intune ou AADAndIntune)
{{AAD_Device_ID}}: cet ID est généré et utilisé par Microsoft Entra ID (Azure AD).

Si ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n’est utilisé pour le champ CN (par ex. CN={{DeviceName}}), SCEPman identifiera l’appareil en se basant sur l’ID d’appareil Intune (Valeur (URI) : IntuneDeviceId://{{DeviceId}}) fourni dans le nom alternatif du sujet (SAN).

Vous pouvez spécifier ces variables et du texte statique dans la zone de texte. Par exemple, le nom commun d’un appareil nommé Device1 peut être ajouté comme CN={{DeviceName}}YourDomain.com

Important : Le choix du champ CN affecte le comportement automatique de révocation des certificats émis pour vos appareils gérés par Intune.

Vous pouvez ajouter d’autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont सूचीées dans les docs Microsoft.

Nom alternatif du sujet : (URI)Valeur : IntuneDeviceId://{{DeviceId}}

Le champ URI est recommandé par Microsoft pour que les solutions NAC identifient les appareils à partir de leur ID d’appareil Intune. La valeur doit être :

IntuneDeviceId://{{DeviceId}}

Le champ URI est obligatoire dans le cas où ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n’est utilisé dans le champ Format du nom du sujet .

D’autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.

Période de validité du certificat : 1 an

Le temps restant avant l’expiration du certificat. La valeur par défaut est fixée à un an.

SCEPman limite la validité du certificat au maximum configuré dans le paramètre AppConfig:ValidityPeriodDays, mais utilise sinon la validité configurée dans la demande.

Fournisseur de stockage de clés (KSP) : Inscrire au KSP de Trusted Platform Module (TPM), sinon échec

Ce paramètre détermine l’emplacement de stockage de la clé privée pour les certificats des utilisateurs finaux. Le stockage dans le TPM est plus sûr que le stockage logiciel, car le TPM offre une couche de sécurité supplémentaire pour empêcher le vol de clés.

Remarque : il existe un bug dans certaines anciennes versions du micrologiciel TPM qui invalide certaines signatures créées avec une clé privée prise en charge par le TPM. Dans de tels cas, le certificat ne peut pas être utilisé pour l’authentification EAP, comme c’est courant pour les connexions Wi‑Fi et VPN. De plus, cela peut perturber votre processus d’intégration Autopilot.

Les versions de micrologiciel TPM concernées incluent :

STMicroelectronics : 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684
Intel : 11.8.50.3399, 2.0.0.2060
Infineon : 7.63.3353.0
IFX : version 3.19 / spécification 1.2
version IFX 7.63.3353.0 spécification 2.0

Si vous utilisez TPM avec ce micrologiciel, mettez à jour votre micrologiciel vers une version plus récente ou sélectionnez « Software KSP » comme fournisseur de stockage de clés.

Mise à jour : Vous pouvez contourner le bug TPM en supprimant du registre les algorithmes de signature RSA-PSS - qui sont à l’origine du problème - ; pour plus d’informations, veuillez consulter l’article de Richard Hicks et Microsoft Q&A

Utilisation de la clé : Signature numérique et Chiffrement de clé

Veuillez activer ces deux actions cryptographiques.

SCEPman définit automatiquement l’utilisation de la clé sur Signature numérique et Chiffrement de clé et remplace le paramètre ici, sauf si le paramètre AppConfig:UseRequestedKeyUsages est défini sur true.

Taille de clé (bits) : 2048

SCEPman prend en charge 2048 bits.

Algorithme de hachage : SHA-2

SCEPman prend en charge l’algorithme SHA-2.

Certificat racine : Profil de l’étape précédente (profil de certificat racine)

Veuillez sélectionner le profil Intune de #Certificat racine. Si vous utilisez un AC intermédiaire, vous devez sélectionner le profil de certificat approuvé pour l’AC intermédiaire, et non pour l’AC racine !

Utilisation étendue de la clé : Authentification client, 1.3.6.1.5.5.7.3.2

Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

Seuil de renouvellement (%) : 20

Cette valeur définit quand l’appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante d’un certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionnez une valeur appropriée qui permet à l’appareil de renouveler le certificat sur une longue période. Une valeur de 20 % permettrait à l’appareil disposant d’un certificat valide 1 an de commencer le renouvellement 73 jours avant l’expiration.

URL du serveur SCEP : ouvrez le portail SCEPman et copiez l’URL de Intune MDM

Exemple

https://scepman.contoso.com/certsrv/mscep/mscep.dll

Exemple

Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir les mêmes groupes pour l’affectation que pour le profil de certificat approuvé.

Certificats utilisateur

Veuillez suivre les instructions de #Certificats d’appareil et tenez compte des différences suivantes :

Type de certificat : Utilisateur

Dans cette section, nous configurons un certificat utilisateur.

Format du nom du sujet : CN={{UserName}},E={{EmailAddress}}

Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont répertoriées dans les docs Microsoft. Nous recommandons d’inclure le nom d’utilisateur (par ex. : janedoe) et l’adresse e-mail (par ex. : janedoe@contoso.com) comme configuration de base.

Nom alternatif du sujet : (UPN)Valeur : {{UserPrincipalName}}

Vous devez ajouter le nom principal de l’utilisateur comme nom alternatif du sujet. Ajoutez « {{UserPrincipalName}} » comme nom alternatif du sujet de type nom principal d’utilisateur (UPN). Cela garantit que SCEPman peut lier les certificats aux objets utilisateur dans AAD. Le paramètre « Format du nom du sujet » est librement sélectionnable.

D’autres valeurs SAN comme une adresse e-mail peuvent être ajoutées si nécessaire.

D’après les retours clients, il semble que certains clients VPN (par ex. : Azure VPN Client pour Virtual WAN) ne parviennent pas à détecter le certificat utilisateur lorsqu’il est stocké dans le TPM. Essayez plutôt de l’inscrire au KSP logiciel.

Exemple

Certificat de signature numérique utilisateur

Vous pouvez utiliser SCEPman pour les signatures numériques c’est-à-dire pour la signature S/MIME dans Microsoft Outlook. Si vous prévoyez d’utiliser les certificats pour la signature des messages, vous devez ajouter les utilisations étendues de clé correspondantes dans la configuration du profil Intune.

Ne pas utiliser SCEPman pour le chiffrement des e-mails c’est-à-dire pour le chiffrement des messages S/MIME dans Microsoft Outlook (sans technologie distincte de gestion des clés). La nature du protocole SCEP n’inclut pas de mécanisme de sauvegarde ou d’archivage du matériel de clé privée. Si vous utilisiez SCEP pour le chiffrement des e-mails, vous pourriez perdre les clés nécessaires pour déchiffrer les messages plus tard.

Vous devez définir ces variables de configuration, sinon l’utilisation de clé demandée et la période de validité étendue dans le profil SCEP ne seront pas prises en compte par SCEPman :

AppConfig:UseRequestedKeyUsages défini sur true
AppConfig:ValidityPeriodDays défini sur 365 (une valeur maximale de 1825 - 5 ans est possible)

Pour déployer des certificats utilisateur utilisés pour les signatures numériques veuillez suivre les instructions de #Certificats utilisateur et tenez compte des différences et remarques suivantes :

Nom alternatif du sujet

(obligatoire) Nom principal de l’utilisateur (UPN) : {{UserPrincipalName}}
(obligatoire) Adresse e-mail : {{EmailAddress}}

En déployant un certificat de signature numérique, vous devez ajouter l’UPN et l’adresse e-mail.

Utilisation de la clé : uniquement Signature numérique

Utilisation étendue de la clé : E-mail sécurisé (1.3.6.1.5.5.7.3.4)

Veuillez choisir E-mail sécurisé (1.3.6.1.5.5.7.3.4) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

Seuil de renouvellement (%) : 50

Nous recommandons de définir le seuil de renouvellement (%) à une valeur qui garantit que les certificats sont renouvelés au moins 6 mois avant leur expiration lors de l’émission de certificats de signature S/MIME. En effet, les e-mails signés avec des certificats expirés apparaissent dans Outlook comme ayant des signatures non valides, ce qui déroute les utilisateurs. Disposer d’un nouveau certificat longtemps avant l’expiration de l’ancien garantit que seuls les anciens e-mails présentent ce comportement, que les utilisateurs sont moins susceptibles de consulter. Par exemple, si vos certificats de signature sont valides pendant un an, vous devez définir le seuil de renouvellement à au moins 50 %.

Exemple

Après une synchronisation de profil réussie, vous devriez voir le certificat utilisateur pour les usages prévus E-mail sécurisé

Le certificat sera disponible pour une utilisation en signature numérique, par ex. dans Outlook. Ci-dessous se trouve un exemple d’utilisation

Activer les signatures S/MIME dans Outlook

Une fois que vous avez déployé les certificats de signature S/MIME sur vos ordinateurs clients, vous devez configurer Outlook pour utiliser ces certificats avant d’envoyer des e-mails signés.

Nouvel Outlook

S/MIME pour le nouvel Outlook peut être configuré manuellement.

Outlook classique

S/MIME pour Outlook classique peut être configuré manuellement ou rapidement configuré avec notre script PowerShell.

Outlook sur le web

S/MIME pour Outlook sur le web peut être configuré manuellement ou activé à l’aide de PowerShell avec la commande suivante :

Set-SmimeConfig -OWAAllowUserChoiceOfSigningCertificate $true

Des commandes PowerShell supplémentaires peuvent être consultées ici.

Mis à jour il y a 1 mois

Ce contenu vous a-t-il été utile ?