circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Windows

Déployer des certificats sur des appareils Windows via SCEP dans Intune en utilisant SCEPman.

L'article suivant décrit le déploiement de certificats d'appareil et/ou d'utilisateur pour les appareils Windows. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir de déployer uniquement le certificat d'appareil, d'utilisateur ou les deux types de certificats.

hashtag
Certificat racine

La base du déploiement des certificats SCEP est de faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine CA et le déployer en tant que certificat de confiance profil via Microsoft Intune :

circle-info

Remarque : vous devez utiliser le même groupe pour l'attribution du certificat de confiance et du profil SCEP. Sinon, le déploiement Intune risque d'échouer.

hashtag
Certificats d'appareil

chevron-rightType de certificat : Appareilhashtag

Dans ce cas, nous configurons un certificat d'appareil

chevron-rightFormat du nom du sujet : CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}hashtag

Recommandé : Utilisez {{DeviceName}}pour le RDN CN afin d'avoir un nom significatif du certificat sur l'appareil ou lors de la recherche du certificat.

Facultatif : Si configuré pour CN={{DeviceId}} ou CN={{AAD_Device_ID}}, SCEPman utilise le champ CN du nom du sujet pour identifier l'appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :

  • {{DeviceId}}: Cet identifiant est généré et utilisé par Intune. (nécessite SCEPman 2.0 ou supérieur et AppConfig:IntuneValidation:DeviceDirectory être défini sur Intune ou AADAndIntune)

  • {{AAD_Device_ID}}: Cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD).

Dans le cas où ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n'est utilisé pour le champ CN (par ex. CN={{DeviceName}}), SCEPman identifiera l'appareil basé sur l'ID d'appareil Intune ((URI)Valeur : IntuneDeviceId://{{DeviceId}}) fourni dans le nom alternatif du sujet (SAN).

Important : Le choix du champ CN affecte le comportement d'annulation automatique des certificats émis à vos appareils gérés par Intune.

Vous pouvez ajouter d'autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont listées dans la documentation Microsoftarrow-up-right.

chevron-rightNom alternatif du sujet : (URI)Valeur : IntuneDeviceId://{{DeviceId}}hashtag

Le champ URI est recommandé par Microsoftarrow-up-right pour les solutions NAC afin d'identifier les appareils en fonction de leur ID d'appareil Intune. La valeur doit être :

Le champ URI est obligatoire dans le cas où ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n'est utilisé dans le champ Format du nom du sujet .

D'autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.

chevron-rightPériode de validité du certificat : 1 anhashtag

La durée restante avant l'expiration du certificat. La valeur par défaut est définie à un an.

SCEPman plafonne la validité du certificat à la valeur maximale configurée dans le paramètre AppConfig:ValidityPeriodDays, mais utilise sinon la validité configurée dans la requête.

chevron-rightFournisseur de stockage de clés (KSP) : Enregistrer dans le fournisseur de clé Trusted Platform Module (TPM), sinon échouerhashtag

Ce paramètre détermine le lieu de stockage de la clé privée pour les certificats finaux. Le stockage dans le TPM est plus sécurisé que le stockage logiciel car le TPM fournit une couche de sécurité supplémentaire pour prévenir le vol de clés.

Remarque : Il existe un bogue dans certaines anciennes versions de microprogramme TPM qui invalide certaines signatures créées avec une clé privée prise en charge par le TPM. Dans de tels cas, le certificat ne peut pas être utilisé pour l'authentification EAP comme c'est courant pour les connexions Wi‑Fi et VPN. De plus, cela peut perturber votre processus d'onboarding Autopilot.

Les versions de microprogramme TPM affectées incluent :

  • STMicroelectronics : 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684

  • Intel : 11.8.50.3399, 2.0.0.2060

  • Infineon : 7.63.3353.0

  • IFX : Version 3.19 / Spécification 1.2

  • IFX version 7.63.3353.0 spécification 2.0

Si vous utilisez un TPM avec ce microprogramme, mettez à jour votre microprogramme vers une version plus récente ou sélectionnez "Software KSP" comme fournisseur de stockage de clés.

Mise à jour : Vous pouvez contourner le bogue TPM en supprimant les algorithmes de signature RSA-PSS -qui causent le problème- du registre ; pour plus d'informations, veuillez consulter l'article de Richard Hicksarrow-up-right et Microsoft Q&Aarrow-up-right

chevron-rightUtilisation de la clé : Signature numérique et Chiffrement de cléhashtag

Veuillez activer les deux actions cryptographiques.

SCEPman définit automatiquement l'utilisation de la clé sur Signature numérique et Chiffrement de clé et remplace le paramètre ici sauf si le paramètre AppConfig:UseRequestedKeyUsages est défini sur true.

chevron-rightTaille de clé (bits) : 2048hashtag

SCEPman prend en charge 2048 bits.

chevron-rightAlgorithme de hachage : SHA-2hashtag

SCEPman prend en charge l'algorithme SHA-2.

chevron-rightCertificat racine : Profil de l'étape précédente (Profil du certificat racine)hashtag

Veuillez sélectionner le profil Intune depuis #Certificat racine. Si vous utilisez une CA intermédiaire, vous devez sélectionner le profil de certificat de confiance pour la CA intermédiaire, pas celui de la CA racine !

chevron-rightUsage étendu de la clé : Authentification client, 1.3.6.1.5.5.7.3.2hashtag

Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

chevron-rightSeuil de renouvellement (%) : 20hashtag

Cette valeur définit quand l'appareil est autorisé à renouveler son certificat (basé sur la durée de vie restante d'un certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionner une valeur appropriée qui permet à l'appareil de renouveler le certificat sur une longue période. Une valeur de 20 % permettrait à l'appareil avec un certificat valide d'un an de commencer le renouvellement 73 jours avant l'expiration.

chevron-rightURL du serveur SCEP : Ouvrez le portail SCEPman et copiez l'URL de Intune MDMhashtag

Exemple

hashtag
Exemple

hashtag
Certificats utilisateur

Veuillez suivre les instructions de #Certificats d'appareil et tenir compte des différences suivantes :

chevron-rightType de certificat : Utilisateurhashtag

Dans cette section, nous configurons un certificat utilisateur.

chevron-rightFormat du nom du sujet : CN={{UserName}},E={{EmailAddress}}hashtag

Vous pouvez définir des RDN selon vos besoins. Les variables prises en charge sont listées dans la documentation Microsoftarrow-up-right. Nous recommandons d'inclure le nom d'utilisateur (par ex. : janedoe) et l'adresse e-mail (par ex. : [email protected]) comme configuration de base.

chevron-rightNom alternatif du sujet : (UPN)Valeur : {{UserPrincipalName}}hashtag

Vous devez ajouter le nom principal de l'utilisateur en tant que nom alternatif du sujet. Ajoutez '{{UserPrincipalName}}' en tant que nom alternatif du sujet de type User principal name (UPN). Cela garantit que SCEPman peut lier les certificats aux objets utilisateur dans AAD. Le paramètre 'Format du nom du sujet' est librement sélectionnable.

D'autres valeurs SAN comme une adresse e-mail peuvent être ajoutées si nécessaire.

circle-info

D'après les retours clients, il semble que certains clients VPN (par ex. : Azure VPN Client pour Virtual WAN) ne parviennent pas à découvrir le certificat utilisateur lorsqu'il est stocké dans le TPM. Essayez de l'enregistrer dans le KSP logiciel à la place.

hashtag
Exemple

hashtag
Certificat de signature numérique utilisateur

Vous pouvez utiliser SCEPman pour des signatures numériques transactionnelles, c.-à-d. pour la signature S/MIME dans Microsoft Outlook. Si vous prévoyez d'utiliser les certificats pour la signature de messages, vous devez ajouter les usages étendus de clé correspondants dans la configuration du profil Intune.

circle-exclamation

Ne pas utiliser SCEPman pour le chiffrement des e-mails c.-à-d. pour le chiffrement S/MIME des mails dans Microsoft Outlook (sans technologie séparée de gestion des clés). La nature du protocole SCEP n'inclut pas de mécanisme pour sauvegarder ou archiver le matériau de la clé privée. Si vous utilisiez SCEP pour le chiffrement des e-mails, vous pourriez perdre les clés pour déchiffrer les messages plus tard.

Pour déployer des certificats utilisateur utilisés pour Signatures numériques veuillez suivre les instructions de #Certificats utilisateur et tenir compte des différences et remarques suivantes :

chevron-rightNom alternatif du sujethashtag

  • (requis) User principal name (UPN) : {{UserPrincipalName}}

  • (requis) Adresse e-mail : {{EmailAddress}}

En déployant un certificat de signature numérique, vous devez ajouter le UPN et l'adresse e-mail.

chevron-rightUsage de la clé : uniquement Signature numériquehashtag

chevron-rightUsage étendu de la clé : Courriel sécurisé (1.3.6.1.5.5.7.3.4)hashtag

Veuillez choisir Courriel sécurisé (1.3.6.1.5.5.7.3.4) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

chevron-rightSeuil de renouvellement (%) : 50hashtag

Nous recommandons de définir le Seuil de renouvellement (%) sur une valeur qui garantit que les certificats sont renouvelés au moins 6 mois avant l'expiration lors de l'émission de certificats de signature S/MIME. En effet, les e-mails signés avec des certificats expirés apparaissent comme ayant des signatures invalides dans Outlook, ce qui perturbe les utilisateurs. Avoir un nouveau certificat bien avant l'expiration de l'ancien garantit que seuls les anciens e-mails affichent ce comportement, que les utilisateurs sont moins susceptibles de consulter. Par exemple, si vos certificats de signature sont valables un an, vous devriez régler le Seuil de renouvellement à au moins 50 %.

hashtag
Exemple

Après une synchronisation de profil réussie, vous devriez voir le certificat utilisateur pour les usages prévus Courriel sécurisé

Le certificat sera disponible pour l'utilisation de la signature numérique dans, par ex., Outlook. Ci‑dessous un exemple de l'utilisation

hashtag
Activer les signatures S/MIME dans Microsoft Outlook

circle-exclamation

La fonctionnalité S/MIME n'est pas disponible pour le dernier client Outlook. Plus d'infos iciarrow-up-right.

Une fois que vous avez déployé des certificats de signature S/MIME sur vos machines clientes, vous devez configurer Outlook pour utiliser ces certificats avant d'envoyer des e-mails signés. Vous pouvez le faire manuellement ou utiliser notre Script PowerShell pour configurer Outlookarrow-up-right.

hashtag
Activer les signatures S/MIME dans Outlook on the Web

Vous pouvez signer des e-mails avec S/MIME dans Outlook on the Web en utilisant des certificats de votre machine Windows locale. Vous devez activer cela avec la commande suivante :

Voir https://learn.microsoft.com/en-us/powershell/module/exchange/set-smimeconfig pour plus de détails.

Mis à jour

Ce contenu vous a-t-il été utile ?