circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Windows

Déployer des certificats sur des appareils Windows via SCEP dans Intune en utilisant SCEPman.

L'article suivant décrit le déploiement de certificats d'appareil et/ou d'utilisateur pour les appareils Windows. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir de déployer uniquement le certificat appareil, utilisateur ou les deux types de certificats.

hashtag
Certificat racine

La base du déploiement des certificats SCEP est de faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine de l'AC et le déployer en tant que certificat de confiance profil via Microsoft Intune :

circle-info

Notez que vous devez utiliser le même groupe pour attribuer le certificat de confiance et le profil SCEP. Sinon, le déploiement Intune peut échouer.

hashtag
Certificats d'appareil

chevron-rightType de certificat : Appareilhashtag

Dans ce cas nous configurons un certificat d'appareil

chevron-rightFormat du nom du sujet : CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}hashtag

Recommandé : Utilisez {{DeviceName}}pour le RDN CN afin d'avoir un nom significatif du certificat sur l'appareil ou lors de la recherche du certificat.

Optionnel : Si configuré sur CN={{DeviceId}} ou CN={{AAD_Device_ID}}, SCEPman utilise le champ CN du nom du sujet pour identifier l'appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux ID différents :

  • {{DeviceId}} : Cet ID est généré et utilisé par Intune. (requiert SCEPman 2.0 ou supérieur et AppConfig:IntuneValidation:DeviceDirectory être réglé sur Intune ou AADAndIntune)

  • {{AAD_Device_ID}} : Cet ID est généré et utilisé par Microsoft Entra ID (Azure AD).

Dans le cas où ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n'est utilisé pour le champ CN (par ex. CN={{DeviceName}}), SCEPman identifiera l'appareil en se basant sur l'ID d'appareil Intune ((URI) Valeur : IntuneDeviceId://{{DeviceId}}) fourni dans le nom alternatif du sujet (SAN).

Important : Le choix du champ CN affecte le comportement automatique de révocation des certificats émis à vos appareils gérés par Intune.

Vous pouvez ajouter d'autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont listées dans la documentation Microsoftarrow-up-right.

chevron-rightNom alternatif du sujet : (URI)Valeur : IntuneDeviceId://{{DeviceId}}hashtag

Le champ URI est recommandé par Microsoftarrow-up-right pour les solutions NAC afin d'identifier les appareils en se basant sur leur ID d'appareil Intune. La valeur devrait être :

Le champ URI est obligatoire dans le cas où ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n'est utilisé dans le champ Format du nom du sujet .

D'autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.

chevron-rightPériode de validité du certificat : 1 anhashtag

La durée restante avant l'expiration du certificat. La valeur par défaut est fixée à un an.

SCEPman plafonne la validité du certificat à la valeur maximale configurée dans le paramètre AppConfig:ValidityPeriodDays, mais utilise sinon la validité configurée dans la requête.

chevron-rightFournisseur de stockage de clé (KSP) : Enregistrer dans le KSP Trusted Platform Module (TPM), sinon échouerhashtag

Ce paramètre détermine l'emplacement de stockage de la clé privée pour les certificats utilisateur finaux. Le stockage dans le TPM est plus sûr que le stockage logiciel car le TPM fournit une couche supplémentaire de sécurité pour empêcher le vol de clés.

Remarque : Il existe un bug dans certaines versions de micrologiciel TPM plus anciennes qui invalide certaines signatures créées avec une clé privée soutenue par le TPM. Dans de tels cas, le certificat ne peut pas être utilisé pour l'authentification EAP comme c'est courant pour les connexions Wi‑Fi et VPN. De plus, cela peut perturber votre processus d'intégration Autopilot.

Les versions de micrologiciel TPM concernées incluent :

  • STMicroelectronics : 71.12, 73.4.17568.4452, 71.12.17568.4100, 73.20.17568.6684

  • Intel : 11.8.50.3399, 2.0.0.2060

  • Infineon : 7.63.3353.0

  • IFX : Version 3.19 / Spécification 1.2

  • IFX version 7.63.3353.0 spécification 2.0

Si vous utilisez un TPM avec ce micrologiciel, mettez à jour votre micrologiciel vers une version plus récente ou sélectionnez « Software KSP » comme fournisseur de stockage de clé.

Mise à jour : Vous pouvez contourner le bug du TPM en supprimant les algorithmes de signature RSA-PSS - qui causent le problème - du registre ; pour plus d'informations, veuillez consulter l'article de Richard Hicksarrow-up-right et Microsoft Q&Aarrow-up-right

chevron-rightUtilisation de la clé : Signature numérique et Chiffrement de cléhashtag

Veuillez activer les deux actions cryptographiques.

SCEPman définit automatiquement l'utilisation de la clé sur Signature numérique et Chiffrement de clé et remplace le paramètre ici à moins que le paramètre AppConfig:UseRequestedKeyUsages ne soit défini sur true.

chevron-rightTaille de la clé (bits) : 2048hashtag

SCEPman prend en charge 2048 bits.

chevron-rightAlgorithme de hachage : SHA-2hashtag

SCEPman prend en charge l'algorithme SHA-2.

chevron-rightCertificat racine : Profil de l'étape précédente (Profil du certificat racine)hashtag

Veuillez sélectionner le profil Intune depuis #Certificat racine. Si vous utilisez une AC intermédiaire, vous devez sélectionner le profil de certificat de confiance pour l'AC intermédiaire, pas pour l'AC racine !

chevron-rightUtilisation étendue de la clé : Authentification client, 1.3.6.1.5.5.7.3.2hashtag

Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

chevron-rightSeuil de renouvellement (%) : 20hashtag

Cette valeur définit quand l'appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante d'un certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionner une valeur adaptée qui permette à l'appareil de renouveler le certificat sur une longue période. Une valeur de 20 % permettrait à un appareil disposant d'un certificat valide d'un an de commencer le renouvellement 73 jours avant l'expiration.

chevron-rightURLs du serveur SCEP : Ouvrez le portail SCEPman et copiez l'URL de Intune MDMhashtag

Exemple

hashtag
Exemple

hashtag
Certificats utilisateur

Veuillez suivre les instructions de #Certificats d'appareil et tenir compte des différences suivantes :

chevron-rightType de certificat : Utilisateurhashtag

Dans cette section nous configurons un certificat utilisateur.

chevron-rightFormat du nom du sujet : CN={{UserName}},E={{EmailAddress}}hashtag

Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans la documentation Microsoftarrow-up-right. Nous recommandons d'inclure le nom d'utilisateur (par ex. : janedoe) et l'adresse e-mail (par ex. : [email protected]) comme paramétrage de base.

chevron-rightNom alternatif du sujet : (UPN)Valeur : {{UserPrincipalName}}hashtag

Vous devez ajouter le nom principal de l'utilisateur en tant que nom alternatif du sujet. Ajoutez '{{UserPrincipalName}}' comme nom alternatif du sujet de type User principal name (UPN). Cela garantit que SCEPman peut lier les certificats aux objets utilisateur dans AAD. Le paramètre pour « Format du nom du sujet » est librement sélectionnable.

D'autres valeurs SAN comme une adresse e-mail peuvent être ajoutées si nécessaire.

circle-info

D'après les retours clients, il semble que certains clients VPN (par ex. : Azure VPN Client pour Virtual WAN) ne parviennent pas à découvrir le certificat utilisateur lorsqu'il est stocké dans le TPM. Essayez plutôt de l'enregistrer dans le KSP logiciel.

hashtag
Exemple

hashtag
Certificat de signature numérique utilisateur

Vous pouvez utiliser SCEPman pour des signatures numériques transactionnelles, c.-à-d. pour la signature S/MIME dans Microsoft Outlook. Si vous prévoyez d'utiliser les certificats pour la signature de messages, vous devez ajouter les utilisations étendues de clé correspondantes dans la configuration du profil Intune.

circle-exclamation

Ne pas utiliser SCEPman pour le chiffrement des e-mails c.-à-d. pour le chiffrement S/MIME des mails dans Microsoft Outlook (sans une technologie distincte pour la gestion des clés). La nature du protocole SCEP n'inclut pas de mécanisme pour sauvegarder ou archiver le matériel de clé privée. Si vous utilisiez SCEP pour le chiffrement des e-mails, vous pourriez perdre les clés pour déchiffrer les messages ultérieurement.

Pour déployer des certificats utilisateur utilisés pour Signatures numériques veuillez suivre les instructions de #Certificats utilisateur et tenir compte des différences et remarques suivantes :

chevron-rightNom alternatif du sujethashtag

  • (requis) Nom principal de l'utilisateur (UPN) : {{UserPrincipalName}}

  • (requis) Adresse e-mail : {{EmailAddress}}

En déployant un certificat de signature numérique, vous devez ajouter le UPN et l'adresse e-mail.

chevron-rightUtilisation de la clé : seulement Signature numériquehashtag

chevron-rightUtilisation étendue de la clé : Courriel sécurisé (1.3.6.1.5.5.7.3.4)hashtag

Veuillez choisir Courriel sécurisé (1.3.6.1.5.5.7.3.4) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

chevron-rightSeuil de renouvellement (%) : 50hashtag

Nous recommandons de définir le seuil de renouvellement (%) sur une valeur garantissant que les certificats sont renouvelés au moins 6 mois avant l'expiration lors de l'émission de certificats de signature S/MIME. En effet, les e-mails signés avec des certificats expirés apparaissent comme ayant des signatures invalides dans Outlook, ce qui perturbe les utilisateurs. Disposer d'un nouveau certificat bien avant l'expiration de l'ancien garantit que seules les anciennes courriels présentent ce comportement, que les utilisateurs sont moins susceptibles de consulter. Par exemple, si vos certificats de signature sont valides un an, vous devriez définir le seuil de renouvellement à au moins 50 %.

hashtag
Exemple

Après une synchronisation de profil réussie, vous devriez voir le certificat utilisateur pour les finalités prévues Courriel sécurisé

Le certificat sera disponible pour l'utilisation de signature numérique dans par ex. Outlook. Ci‑dessous un exemple d'utilisation

hashtag
Activer les signatures S/MIME dans Microsoft Outlook

circle-exclamation

La fonctionnalité S/MIME n'est pas disponible pour le client Outlook le plus récent. Plus d'infos iciarrow-up-right.

Une fois que vous avez déployé des certificats de signature S/MIME sur vos postes clients, vous devez configurer Outlook pour utiliser ces certificats avant d'envoyer des e-mails signés. Vous pouvez le faire manuellement ou utiliser notre script PowerShell pour configurer Outlookarrow-up-right.

hashtag
Activer les signatures S/MIME dans Outlook sur le Web

Vous pouvez signer des e-mails avec S/MIME dans Outlook sur le Web en utilisant des certificats depuis votre machine Windows locale. Vous devez activer cela avec la commande suivante :

Voir https://learn.microsoft.com/en-us/powershell/module/exchange/set-smimeconfig pour plus de détails.

Mis à jour

Ce contenu vous a-t-il été utile ?