Installer le connecteur Certificate Connector pour Microsoft Intune
Pour prendre en charge l’utilisation de certificats avec Intune, vous pouvez installer le connecteur Certificate Connector pour Microsoft Intune sur tout serveur Windows qui répond aux prérequis pour le connecteur. Les sections suivantes vous aident à installer, puis à configurer le connecteur. Cet article explique également comment modifier un connecteur précédemment installé et comment supprimer le connecteur d’un serveur.
Télécharger et installer le logiciel de connecteur
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Administration client>Connecteurs et jetons>Connecteurs de certificat>Ajouter.
Dans le volet Installer le connecteur de certificat , sélectionnez le lien du connecteur de certificat pour télécharger le logiciel du connecteur. Enregistrez le fichier dans un emplacement accessible à partir du serveur où vous allez installer le connecteur.
Connectez-vous au serveur Windows qui hébergera le connecteur de certificat et vérifiez que les prérequis pour le connecteur de certificat sont installés.
Pour utiliser le protocole SCEP (Simple Certificate Enrollment Protocol) avec une autorité de Microsoft Certification, vérifiez que le rôle Service d’inscription de périphérique réseau (NDES) est installé.
Utilisez un compte doté d’autorisations administrateur sur le serveur pour exécuter le programme d’installation (IntuneCertificateConnector.exe). Le programme d’installation installe également le module de stratégie pour NDES. Le module de stratégie s’exécute en tant qu’application dans IIS.
Remarque
Quand IntuneCertificateConnector.exe s’exécute pour installer un nouveau connecteur ou qu’un connecteur existant se met automatiquement à jour alors que l’observateur d’événements Windows est ouvert, le processus d’installation journalise un message semblable à celui-ci avec l’ID d’événement 1000 de la source Microsoft-Intune-CertificateConnectors est introuvable :
- Le composant qui déclenche cet événement n’est pas installé sur votre ordinateur local, ou l’installation est endommagée. Vous pouvez installer ou réparer le composant sur l’ordinateur local.
Vous pouvez ignorer ce message en toute sécurité. Ce message s’affiche, car le manifeste de l’observateur d’événements pour le connecteur n’a pas pu être chargé pendant que l’observateur d’événements était ouvert. Après la fermeture et la réouverture de l’observateur d’événements, les messages corrects sont affichés.
Passez en revue et acceptez les conditions du contrat de licence, puis sélectionnez Installer. Sélectionnez Options pour choisir un autre dossier d’installation.
L’installation du connecteur ne prend que quelques instants. Après l’installation, le programme d’installation présente deux options :
Configurer maintenant : sélectionnez cette option pour fermer l’installation du connecteur et ouvrir l’Assistant Certificate Connector pour Microsoft Intune, qui vous permet de configurer le connecteur de certificat sur le serveur local.
Fermer : cette option ferme l’installation du connecteur sans le configurer. Si vous choisissez de fermer l’installation à cet instant, vous pouvez ultérieurement exécuter l’Assistant Certificate Connector pour Microsoft Intune afin de lancer le programme de configuration du connecteur. Par défaut, l’Assistant se trouve dans C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Intune.
Après l’installation d’un connecteur, vous pouvez réexécuter le programme d’installation pour désinstaller le connecteur.
Conseil
Le programme d’installation tente d’installer .NET Framework 4.7.2. Si vous avez des problèmes au cours de ce processus, vous pouvez choisir de préinstaller .NET Framework à l’aide du Programme d’installation hors connexion Microsoft .NET Framework 4.7.2 pour Windows
Configurer le connecteur de certificat
Pour configurer le connecteur de certificat, vous utilisez l’Assistant Connecteur de certificat pour Microsoft Intune. La configuration peut démarrer automatiquement quand vous choisissez Configurer maintenant à la fin de l’installation d’un connecteur de certificat, ou manuellement en ouvrant une invite de commandes avec élévation de privilèges et en exécutant C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe. Voici un exemple. La commande doit être exécutée en tant qu’administrateur.
C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe
Chaque fois que Certificate Connector pour Microsoft Intune démarre sur un serveur, la page d’accueil suivante doit s’afficher :
Conseil
Lorsque vous exécutez Certificate Connector pour Microsoft Intune modifier un connecteur configuré précédemment, vous ne voyez pas la page de connexion Microsoft Entra. Cela est dû au fait que le connecteur a déjà été authentifié auprès de votre Microsoft Entra ID.
Utilisez la procédure suivante pour configurer un nouveau connecteur et modifier un connecteur déjà configuré.
Dans la page Bienvenue de Microsoft Intune Certificate Connector, sélectionnez Suivant.
Dans fonctionnalités, cochez la case en regard de chaque composant de connecteur que vous souhaitez installer sur ce serveur, puis sélectionnez Suivant. Les options suivantes sont disponibles :
SCEP : sélectionnez cette option pour activer la remise de certificat aux appareils à partir d’une autorité de certification Microsoft Active Directory en utilisant le protocole SCEP. Les appareils qui envoient une demande de certificat génèrent une paire de clés privée/publique et envoient uniquement la clé publique dans le cadre de cette demande.
PKCS : sélectionnez cette option pour activer la remise de certificat aux appareils à partir d’une autorité de certification Microsoft Active Directory au format PKCS #12. Veillez à configurer tous les prérequis nécessaires.
Certificats importés PKCS : sélectionnez cette option pour activer la remise de certificats aux appareils pour les certificats pfx que vous importez dans Intune. Veillez à configurer tous les prérequis nécessaires.
Révocation de certificat : sélectionnez cette option afin d’activer la révocation automatique de certificat pour les certificats émis par une autorité de certification Microsoft Active Directory.
Dans Compte de service, sélectionnez le type de compte à utiliser pour le compte de service de ce connecteur. Le compte que vous sélectionnez doit avoir les autorisations décrites dans les prérequis pour le compte de service du connecteur de certificat.
Les options suivantes sont disponibles :
- SYSTEM
- Compte d’utilisateur de domaine : utilisez n’importe quel compte d’utilisateur de domaine ayant la qualité d’administrateur sur le serveur Windows.
Dans la page Proxy, ajoutez les détails de votre serveur proxy si vous avez besoin d’un proxy pour l’accès à Internet. Par exemple :
http://proxy.contoso.com
.Importante
Veillez à inclure le préfixe HTTP ou HTTPS. Il s’agit d’une modification par rapport à la configuration du proxy pour les versions précédentes du connecteur.
Dans la page Prérequis, l’Assistant exécute plusieurs vérifications sur le serveur avant que la configuration puisse commencer. Examinez et résolvez les erreurs ou avertissements avant de continuer.
Dans la page de connexion Microsoft Entra (qui s’affiche comme Connexion Azure AD), sélectionnez l’environnement qui héberge votre Microsoft Entra ID, puis sélectionnez Se connecter. Ensuite, lorsque vous y êtes invité, authentifiez votre accès. Une licence Intune est requise pour le compte avec lequel vous vous connectez, qui peut être administrateur général ou administrateur Intune.
À moins que vous n’utilisiez un cloud du secteur public, utilisez la valeur par défaut Cloud commercial public pour Environnement.
Une fois que vous vous êtes authentifié auprès de votre Microsoft Entra ID, sélectionnez Suivant pour continuer :
Dans la page Configurer, Intune applique vos sélections au connecteur. Si l’opération réussit, l’utilitaire continue jusqu’à la page Terminer, dans laquelle vous sélectionnez Quitter pour terminer la configuration du connecteur.
Si la configuration échoue, l’Assistant affiche des informations détaillées sur les erreurs pour vous aider à résoudre le problème.
Une fois la configuration terminée et l'assistant fermé, le connecteur de certificats pour Microsoft Intune est maintenant prêt à être utilisé.
Conseil
Il peut être utile de renommer le connecteur pour référencer le serveur sur lequel le connecteur est installé.
Pour renommer le connecteur, dans le centre d’administration Microsoft Intune, sélectionnez Administration du locataire>Connecteurs et jetons Connecteurs>de certificat. Sélectionnez le connecteur que vous souhaitez renommer. Dans Nom, saisissez le nom que vous souhaitez utiliser, puis sélectionnez Enregistrer.
Modifier la configuration du connecteur
Après avoir configuré un connecteur Certificate Connector pour Microsoft Intune sur un serveur, vous pouvez exécuter l’Assistant Configuration sur ce serveur afin de modifier la configuration du connecteur.
Supprimer le connecteur
Pour désinstaller le connecteur de certificat pour Microsoft Intune à partir d’un serveur Windows Server, exécutez sur le serveur IntuneCertificateConnector.exe, qui est le même logiciel que vous utilisez pour installer le connecteur. Quand vous l’exécutez sur un serveur sur lequel le connecteur est installé, la seule option disponible consiste à supprimer l’installation du connecteur actuel.