Utiliser des informations d’identification dérivées avec Microsoft Intune
Les informations d’identification dérivées sont une implémentation des directives du National Institute of Standards and Technology (NIST) pour les informations d’identification PIV (Derived Personal Identity Verification) dans le cadre de la publication spéciale (SP) 800-157(Link opens a .pdf file on nvlpubs.nist.gov)).
Cet article s’applique à :
- Appareils Android Enterprise entièrement gérés qui exécutent la version 7.0 et ultérieure
- iOS/iPadOS
- Windows 10
- Windows 11
Les organisations qui nécessitent l’utilisation de cartes à puce pour l’authentification ou le chiffrement et la signature peuvent utiliser Intune pour approvisionner des appareils mobiles avec un certificat dérivé de la carte intelligente d’un utilisateur. Ce certificat est appelé informations d’identification dérivées. Intune prend en charge plusieurs émetteurs d’informations d’identification dérivées, mais l’utilisation d’un seul émetteur par locataire.
À propos de l’implémentation de Intune
Pour utiliser Intune informations d’identification dérivées, un administrateur Intune doit configurer le locataire pour qu’il fonctionne avec un émetteur d’informations d’identification dérivées pris en charge. Vous n’avez pas besoin de configurer de paramètres Intune spécifiques dans le système de l’émetteur d’informations d’identification dérivées.
L’administrateur Intune spécifie Informations d’identification dérivées en tant que méthode d’authentification pour les objets suivants :
Pour les appareils Android Entreprise entièrement gérés :
- Types de profils courants tels que Wi-Fi
- Authentification d’application
Pour iOS/iPadOS :
- Types de profils courants tels que Wi-Fi, VPN et Email, qui inclut l'application de messagerie native d'iOS/iPadOS
- Authentification d’application
- Signature et chiffrement S/MIME
Pour Windows :
- Types de profils courants, par exemple, Wi-Fi et VPN
Remarque
Actuellement, les informations d’identification dérivées en tant que méthode d’authentification pour les profils VPN ne fonctionnent pas comme prévu sur les appareils Windows. Ce comportement affecte uniquement les profils VPN sur les appareils Windows et sera résolu dans une version ultérieure (pas d’ETA).
Sur Android et iOS/iPadOS, les utilisateurs obtiennent des informations d’identification dérivées en utilisant leur carte à puce sur un ordinateur pour s’authentifier auprès de l’émetteur d’informations d’identification dérivées. L'émetteur délivre ensuite à l'appareil mobile un certificat dérivé de sa carte à puce. Pour Windows, les utilisateurs installent une application à partir du fournisseur d’informations d’identification dérivées qui installe le certificat sur l’appareil pour une utilisation ultérieure. a
Une fois qu’un appareil reçoit les informations d’identification dérivées, celles-ci sont utilisées pour l’authentification et pour la signature et le chiffrement S/MIME lorsque les applications ou les profils d’accès aux ressources sont configurés pour exiger les informations d’identification dérivées.
Configuration requise
Passez en revue les informations suivantes avant de configurer votre locataire de manière à utiliser des informations d’identification dérivées.
Plateformes prises en charge
Intune prend en charge les informations d’identification dérivées sur les plateformes suivantes :
- iOS/iPadOS
- Android Enterprise :
- Appareils entièrement gérés (version 7.0 et ultérieures)
- Profil professionnel appartenant à l’entreprise
- Windows 10
- Windows 11
Émetteurs pris en charge
Intune prend en charge un seul émetteur d’informations d’identification dérivées par locataire. Les émetteurs suivants sont pris en charge :
- DISA Purebred : https://public.cyber.mil/pki-pke/purebred/
- Entrust : https://www.entrust.com/
- Intercede : https://www.intercede.com/
Pour obtenir des détails importants sur les différents émetteurs, consultez les conseils les concernant. Pour plus d'informations, consultez la section Planifier les informations d'identification dérivées dans cet article.
Importante
Si vous supprimez un émetteur d’informations d’identification dérivées de votre locataire, les informations d’identification dérivées qui ont été configurées par le biais de cet émetteur ne fonctionneront plus.
Consultez Changer d’émetteur d’informations d’identification dérivées plus loin dans cet article.
Applications requises
Prévoyez de déployer l’application utilisateur appropriée sur les appareils qui s’inscrivent pour obtenir des informations d’identification dérivées. Les utilisateurs d’appareils utilisent l’application pour commencer le processus d’inscription aux informations d’identification.
- Les appareils iOS utilisent l’application Portail d’entreprise. Voir Ajouter les applications de l'iOS store à Microsoft Intune.
- Les appareils Android Enterprise entièrement gérés et les appareils à profil professionnel appartenant à l'entreprise utilisent l'application Intune. Voir Ajout d’applications de l’App Store Android à Microsoft Intune.
Plan pour les titres de compétences dérivés
Tenez compte des points suivants avant de configurer un émetteur d’informations d’identification dérivées pour Android et iOS/iPadOS.
Pour les appareils Windows, consultez Informations d’identification dérivées pour Windows, plus loin dans cet article.
1 - Consultez la documentation de l’émetteur d’informations d’identification dérivée que vous avez choisi
Avant de configurer un émetteur, passez en revue la documentation de cet émetteur pour comprendre comment son système fournit des informations d’identification dérivées aux appareils.
Selon l'émetteur que vous choisissez, il se peut que vous ayez besoin de personnel disponible au moment de l'inscription pour aider les utilisateurs à compléter le processus. Passez également en revue vos configurations Intune actuelles pour vous assurer qu’elles ne bloquent pas l’accès requis aux appareils et utilisateurs pour effectuer la demande d’informations d’identification.
Par exemple, vous pouvez utiliser l’accès conditionnel pour bloquer l’accès à la messagerie pour les appareils non conformes. Si vous vous fiez aux notifications par e-mail pour informer les utilisateurs qu’ils doivent démarrer le processus d’inscription pour obtenir des informations d’identification dérivées, il se peut que vos utilisateurs ne recevront ces instructions qu’une fois qu’ils seront conformes à la stratégie.
De même, certains flux de demandes de justificatifs dérivés nécessitent l'utilisation de la caméra de l'appareil pour scanner un code QR à l'écran. Ce code lie cet appareil à la demande d’authentification reçue par l’émetteur d’informations d’identification dérivées avec les informations d’identification de la carte à puce de l’utilisateur. Si les stratégies de configuration d’appareil bloquent l’utilisation de la caméra, l’utilisateur ne peut pas effectuer la demande d’inscription des informations d’identification dérivées.
Informations générales :
Vous ne pouvez configurer qu’un seul émetteur par locataire à la fois et cet émetteur est disponible pour tous les utilisateurs et appareils pris en charge dans votre locataire.
Les utilisateurs ne sont pas informés qu'ils doivent s'inscrire pour obtenir des informations d'identification dérivées jusqu'à ce que vous les cibliez avec une stratégie qui exige des informations d'identification dérivées.
La notification peut être envoyée via une notification d’application pour le Portail d’entreprise, via e-mail, ou les deux. Si vous choisissez d’utiliser les notifications par e-mail et que vous utilisez un accès conditionnel, les utilisateurs peuvent ne pas recevoir la notification par e-mail si leur appareil n’est pas conforme.
Importante
Pour vous assurer que les notifications liées aux informations d’identification de l’appareil sont reçues avec succès par les utilisateurs finaux, vous devez activer les notifications d’application pour le Portail d'entreprise, les notifications par courrier électronique ou les deux.
2 - Passer en revue le flux de travail de l’utilisateur final pour l’émetteur que vous avez choisi
Les éléments suivants sont des considérations essentielles pour chaque partenaire pris en charge. Familiarisez-vous avec ces informations afin de vous assurer que vos stratégies et configurations Intune n’empêchent pas les utilisateurs et les appareils d’effectuer correctement leur inscription pour obtenir des informations d’identification dérivées de cet émetteur.
DISA Purebred
Examinez le flux de travail utilisateur spécifique de la plateforme pour les appareils que vous allez utiliser avec les informations d’identification dérivées.
- iOS et iPadOS
- Android Enterprise - Profil professionnel appartenant à l’entreprise ou Appareils complètement managés
Les principales exigences comprennent :s :
Les utilisateurs doivent avoir accès à un ordinateur ou à KIOSK où ils peuvent utiliser leur carte à puce pour s'authentifier auprès de l'émetteur.
Les appareils iOS et iPadOS qui s'inscriront pour un justificatif dérivé doivent installer l'application Intune d’entreprise Intune. Les appareils Android Fully Managed et Corporate-Owned Work Profile doivent installer et utiliser l'application Intune.
Utilisez Intune pour déployer l'application DISA Purebred sur les appareils qui s'inscriront pour obtenir un justificatif d'identité dérivé. Cette application doit être déployée par l'intermédiaire d'Intune afin d'être gérée et peut ensuite fonctionner avec l'application du portail d'entreprise Intune ou l'application Intune, que les utilisateurs utilisent pour effectuer la demande de justificatifs dérivés.
Pour récupérer un justificatif d'identité dérivé à partir de l'application Purebred, l'appareil doit avoir accès au réseau sur site. L'accès peut se faire par le biais du Wi-Fi de l'entreprise ou d'un VPN.
Les utilisateurs de l'appareil doivent travailler avec un agent en direct pendant le processus d'inscription. Au cours de l'inscription, des codes d'accès à usage unique limités dans le temps sont fournis à l'utilisateur au fur et à mesure de la procédure d'inscription.
Lorsque des modifications sont apportées à une politique qui utilise des informations d'identification dérivées, comme la création d'un nouveau profil Wi-Fi, les utilisateurs d'iOS et d'iPadOS reçoivent une notification les invitant à ouvrir leur application Portail de l'entreprise.
Les utilisateurs sont informés qu'ils doivent ouvrir l'application applicable lorsqu'ils doivent renouveler leur titre dérivé.
Le processus de renouvellement se produit comme ceci :
- L’émetteur d’informations d’identification dérivées doit émettre des certificats nouveaux ou mis à jour avant que les certificats précédents ne soient à 80 % de leur période de validité.
- L’appareil est archivé pendant la période de renouvellement (20 % de la période de validité).
- Microsoft Intune avertit l’utilisateur par e-mail ou par une notification d’application de lancer le Portail d'entreprise.
- L’utilisateur lance le Portail d'entreprise et appuie sur la notification des informations d’identification dérivées, puis les certificats d’informations d’identification dérivées sont copiés sur l’appareil.
Pour obtenir des informations sur l’obtention et la configuration de l’application DISA Purebred, consultez Déployer l’application DISA Purebred plus loin dans cet article.
Entrust
Examinez le flux de travail utilisateur spécifique de la plateforme pour les appareils que vous allez utiliser avec les informations d’identification dérivées.
- iOS et iPadOS
- Android Enterprise- Profil professionnel appartenant à l’entreprise ou Appareils complètement managés
Les principales exigences comprennent :s :
Les utilisateurs doivent avoir accès à un ordinateur ou à KIOSK où ils peuvent utiliser leur carte à puce pour s'authentifier auprès de l'émetteur.
Les appareils iOS et iPadOS qui s'inscriront pour un justificatif dérivé doivent installer l'application Intune d’entreprise Intune. Les appareils Android Fully Managed et Corporate-Owned Work Profile doivent installer et utiliser l'application Intune.
Utilisation d'un appareil photo de l'appareil pour scanner un code QR qui relie la demande d'authentification à la demande de justificatif dérivé du dispositif mobile.
Les utilisateurs sont invités par l’application Portail d’entreprise ou par e-mail à s’inscrire pour les informations d’identification dérivées.
Lorsque des modifications sont apportées à une stratégie utilisant des informations d’identification dérivées, telle la création d’un profil Wi-Fi :
- iOS et iPados : les utilisateurs sont invités à ouvrir l’application Portail d’entreprise.
- Appareils Android EnterpriseAppartenant à l’entreprise ou Entièrement gérés : l’application Portail d'entreprise n’a pas besoin de s’ouvrir.
Les utilisateurs sont informés qu'ils doivent ouvrir l'application applicable lorsqu'ils doivent renouveler leur titre dérivé.
Le processus de renouvellement se produit comme ceci :
- L’émetteur d’informations d’identification dérivées doit émettre des certificats nouveaux ou mis à jour avant que les certificats précédents ne soient à 80 % de leur période de validité.
- L’appareil est archivé pendant la période de renouvellement (20 % de la période de validité).
- Microsoft Intune avertit l’utilisateur par e-mail ou par une notification d’application de lancer le Portail d'entreprise.
- L’utilisateur lance le Portail d'entreprise et appuie sur la notification d’informations d’identification dérivées, puis les certificats d’informations d’identification dérivés sont copiés sur l’appareil
Intercede
Examinez le flux de travail utilisateur spécifique de la plateforme pour les appareils que vous allez utiliser avec les informations d’identification dérivées.
- iOS et iPadOS
- Android Enterprise - Profil professionnel appartenant à l’entreprise ou Appareils complètement managés
Les principales exigences comprennent :s :
Les utilisateurs doivent avoir accès à un ordinateur ou à KIOSK où ils peuvent utiliser leur carte à puce pour s'authentifier auprès de l'émetteur.
Les appareils iOS et iPadOS qui s'inscriront pour un justificatif dérivé doivent installer l'application Intune d’entreprise Intune. Les appareils Android Fully Managed et Corporate-Owned Work Profile doivent installer et utiliser l'application Intune.
Utilisation d'un appareil photo de l'appareil pour scanner un code QR qui relie la demande d'authentification à la demande de justificatif dérivé du dispositif mobile.
Les utilisateurs sont invités par l’application Portail d’entreprise ou par e-mail à s’inscrire pour les informations d’identification dérivées.
Lorsque des modifications sont apportées à une stratégie utilisant des informations d’identification dérivées, telle la création d’un profil Wi-Fi :
- iOS et iPados : les utilisateurs sont invités à ouvrir l’application Portail d’entreprise.
- Appareils Android EnterpriseAppartenant à l’entreprise ou Entièrement gérés : l’application Portail d'entreprise n’a pas besoin de s’ouvrir.
Les utilisateurs sont informés qu'ils doivent ouvrir l'application applicable lorsqu'ils doivent renouveler leur titre dérivé.
Le processus de renouvellement se produit comme ceci :
- L’émetteur d’informations d’identification dérivées doit émettre des certificats nouveaux ou mis à jour avant que les certificats précédents ne soient à 80 % de leur période de validité.
- L’appareil est archivé pendant la période de renouvellement (20 % de la période de validité).
- Microsoft Intune avertit l’utilisateur par e-mail ou par une notification d’application de lancer le Portail d'entreprise.
- L’utilisateur lance le Portail d'entreprise et appuie sur la notification d’informations d’identification dérivées, puis les certificats d’informations d’identification dérivés sont copiés sur l’appareil
3 - Déployer un certificat racine approuvé sur les appareils
Un certificat racine approuvé est utilisé avec les informations d’identification dérivées pour vérifier que la chaîne de certificat d’informations d’identification dérivées est valide et approuvée. Même s’il n’est pas directement référencé par la stratégie, un certificat racine approuvé est requis. Consultez Configurer un profil de certificat pour vos appareils dans Microsoft Intune.
4 - Fournir des instructions à l’utilisateur final pour obtenir les informations d’identification dérivées
Créez et fournissez à vos utilisateurs des conseils sur la façon de démarrer le processus d’inscription pour obtenir des informations d’identification dérivées, et de parcourir le flux de travail d’inscription pour l’émetteur que vous avez choisi.
Nous vous recommandons de fournir une URL qui héberge vos conseils. Vous spécifiez cette URL lorsque vous configurez l'émetteur d'accréditations dérivées pour votre locataire, et cette URL est disponible dans l'application du portail de l'entreprise. Si vous ne spécifiez pas votre propre URL, Intune fournit un lien vers des détails génériques. Ces détails ne peuvent pas couvrir tous les scénarios et peuvent ne pas être adaptés à votre environnement.
5 - Déployer des stratégies Intune qui nécessitent des informations d’identification dérivées
Créez de nouvelles stratégies ou modifiez des stratégies existantes pour utiliser des informations d'identification dérivées. Les informations d’identification dérivées remplacent d’autres méthodes d’authentification pour les objets suivants :
- Authentification d’application
- Wi-Fi
- VPN
- Courrier électronique (iOS uniquement)
- Signature et chiffrement S/MIME, notamment Outlook (iOS uniquement)
Évitez d'exiger l'utilisation d'un justificatif d'identité dérivé pour accéder à un processus que vous utiliserez dans le cadre du processus d'obtention du justificatif d'identité dérivé, car cela peut empêcher les utilisateurs de mener à bien la demande.
Configurer un émetteur d'accréditations dérivées
Avant de créer des stratégies qui nécessitent l’utilisation d’informations d’identification dérivées, configurez un émetteur d’informations d’identification dans le centre d’administration Microsoft Intune. Un émetteur d’informations d’identification dérivées est un paramètre à l’échelle du locataire. Les locataires prennent en charge un seul émetteur à la fois.
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Administration abonné>Connecteurs et jetons>Informations de connexion dérivées.
Spécifiez un nom complet convivial pour la stratégie d’émetteur d’informations d’identification dérivées. Ce nom n’est pas indiqué à vos utilisateurs d’appareils.
Pour l'émetteur d'accréditation dérivé, sélectionnez l'émetteur d'accréditation dérivé que vous avez choisi pour votre locataire :
- DISA Purebred (iOS uniquement)
- Entrust
- Intercede
Spécifiez une URL d’aide sur les informations d’identification dérivées pour fournir un lien vers un emplacement contenant des instructions personnalisées qui aideront les utilisateurs à obtenir des informations d’identification dérivées pour votre organisation. Ces instructions doivent être spécifiques à votre organisation et au workflow nécessaire pour obtenir des informations d’identification auprès de l’émetteur que vous avez choisi. Le lien apparaît dans l'application Portail de l'entreprise et doit être accessible depuis l'appareil.
Si vous ne spécifiez pas votre propre URL, Intune fournit un lien vers des détails génériques qui ne peuvent pas couvrir tous les scénarios. Ces conseils génériques peuvent ne pas être adaptés à votre environnement.
Sélectionnez une ou plusieurs options pour Type de notification. Les types de notification sont les méthodes que vous utilisez pour informer les utilisateurs au sujet des scénarios suivants :
- Inscrire un appareil auprès d’un émetteur pour obtenir de nouvelles informations d’identification dérivées.
- Obtenir de nouvelles informations d’identification dérivées lorsque les informations d’identification actuelles sont sur le point d’expirer.
- Utilisez des informations d’identification dérivées avec un objet pris en charge.
Quand vous êtes prêt, sélectionnez Enregistrer pour terminer la configuration de l’émetteur d’informations d’identification dérivées.
Une fois la configuration enregistrée, vous pouvez apporter des modifications dans tous les champs, à l’exception de Émetteur des informations d’identification dérivées. Pour changer d’émetteur, consultez Changer d’émetteur d’informations d’identification dérivées.
Déployer l’application DISA Purebred
Cette section s’applique uniquement lorsque vous utilisez DISA Purebred.
Pour utiliser DISA Purebred en tant qu’émetteur d’informations d’identification dérivées pour Intune, vous devez obtenir l’application DISA Purebred, puis utiliser Intune pour la déployer sur les appareils. Ensuite, les utilisateurs demandent le justificatif d'identité dérivé à DISA Purebred en utilisant l'application Portail de l'entreprise sur leur appareil iOS/iPadOS, ou l'application Intune sur leurs appareils Android.
Outre le déploiement de l’application DISA Purebred avec Intune, l’appareil doit avoir accès au réseau local. Pour fournir cet accès, envisagez d'utiliser un VPN ou le Wi-Fi de l'entreprise.
Réalisez les tâches suivantes :
Téléchargez l’application DISA Purebred : https://cyber.mil/pki-pke/purebred/.
Déployez l’application DISA Purebred dans Intune.
- Consultez Ajouter une application métier iOS à Microsoft Intune.
- Consultez Ajouter une application métier Android à Microsoft Intune
Des paramètres supplémentaires pour l’application Purebred peuvent être nécessaires. Contactez votre agent Purebred pour comprendre quelles valeurs doivent être incluses dans vos stratégies, ou si vous disposez d’une carte d’accès commun (CAC) émise par le DoD, vous pouvez accéder à la documentation Purebred en ligne à l’adresse https://cyber.mil/pki-pke/purebred/.
Si vous choisissez d’utiliser un VPN par application pour l’application DISA Purebred, consultez Créer un VPN par application.
Utiliser des informations d'identification dérivées pour l'authentification, la signature et le cryptage S/MIME
Vous pouvez spécifier des informations d’identification dérivées pour les types de profils et les objectifs suivants :
E-mail :
VPN :
Wi-Fi :
Pour les profils Wi-Fi, la méthode d’authentification est disponible uniquement lorsque le type EAP est défini sur l’une des valeurs suivantes :
- EAP – TLS
- EAP–TTLS
- PEAP
Utiliser des informations d’identification dérivées pour l’authentification auprès des applications
Utilisez des informations d'identification dérivées pour l'authentification basée sur un certificat pour les sites et les applications Web. Pour fournir des informations de connexion pour l’authentification de l’application :
Connectez-vous au Centre d’administration Microsoft Intune.
Sélectionnez Appareils> Gérer laconfiguration>des appareils> Sous l’onglet Stratégies, sélectionnez + Créer.
Utilisez les paramètres suivants :
Pour iOS et iPadOS :
- Pour Platform. sélectionnez iOS/iPadOS, puis pour Type de profil, sélectionnez Modèles > Informations d’identification dérivées. Sélectionnez Créer pour continuer.
- Pour Nom, entrez un nom descriptif pour le profil. Nommez vos profils afin de pouvoir les identifier facilement par la suite. Par exemple, un nom de profil correct est Informations de connexion dérivées pour les profil des appareils iOS.
- Pour Description, entrez une description qui donne une vue d’ensemble du paramètre et d’autres détails importants.
Pour Android Enterprise :
- Pour Platform. sélectionnez Android Entreprise, puis, pour Type de profil, sous Entièrement managé, Dédié et Corporate-Owned Profil professionnel, sélectionnez Informations d’identification dérivées. Sélectionnez Créer pour continuer.
- Pour Nom, entrez un nom descriptif pour le profil. Nommez vos profils afin de pouvoir les identifier facilement par la suite. Par exemple, un bon nom de profile est dérivé de l'accréditation pour les appareils Android Enterprise profile.
- Pour Description, entrez une description qui donne une vue d’ensemble du paramètre et d’autres détails importants.
- Dans la page Applications , configurez l’accès par certificat pour gérer la façon dont l’accès par certificat est accordé aux applications. Choisissez parmi les autorisations suivantes :
- Exiger l’approbation de l’utilisateur pour les applications(par défaut) : les utilisateurs doivent approuver l’utilisation d’un certificat par toutes les applications.
- Accorder en mode silencieux pour des applications spécifiques (nécessite l’approbation de l’utilisateur pour d’autres applications) : avec cette option, sélectionnez Ajouter des applications, puis sélectionnez une ou plusieurs applications qui utiliseront le certificat sans intervention de l’utilisateur.
Dans la page Affectations , sélectionnez les groupes qui doivent recevoir la stratégie.
Lorsque vous avez terminé, sélectionnez Créer pour créer le profil Intune. Quand vous avez terminé, votre profil apparaît dans la liste Profils des appareils - de configuration.
Les utilisateurs reçoivent une notification par application ou par courriel, selon les paramètres que vous avez spécifiés lors de la configuration de l'émetteur de justificatifs dérivés. La notification informe l'utilisateur qu'il doit lancer le portail de l'entreprise pour que les stratégies d'accréditation dérivées puissent être traitées.
Informations d’identification dérivées pour Windows
Vous pouvez utiliser des certificats dérivés comme méthode d’authentification pour les profils Wi-Fi et VPN sur les appareils Windows. Les fournisseurs pris en charge pour Windows sont les mêmes que ceux des appareils Android et iOS/iPadOS :
- DISA Purebred
- Entrust
- Intercede
Remarque
Actuellement, les informations d’identification dérivées en tant que méthode d’authentification pour les profils VPN ne fonctionnent pas comme prévu sur les appareils Windows. Ce comportement affecte uniquement les profils VPN sur les appareils Windows et sera corrigé dans une version ultérieure (pas d’ETA).
Pour Windows, les utilisateurs n'ont pas à passer par un processus d'enregistrement de carte à puce pour obtenir un certificat à utiliser comme justificatif dérivé. Au lieu de cela, l'utilisateur doit installer l'application pour Windows, qui est obtenue auprès du fournisseur d'informations d'identification dérivées. Pour utiliser des informations d’identification dérivées avec Windows, appliquez les configurations suivantes :
Installez l’application à partir des fournisseurs d’informations d’identification dérivées sur l’appareil Windows.
Lorsque vous installez l’application Windows à partir d’un fournisseur d’informations d’identification dérivé sur un appareil Windows, le certificat dérivé est ajouté au magasin de certificats Windows de cet appareil. Il peut alors servir de méthode d’authentification des informations d’identification dérivées.
Une fois l’application récupérée auprès du fournisseur choisi, l’application peut être déployée pour les utilisateurs ou installée directement par l’utilisateur de l’appareil.
Configurez les profils Wi-Fi et VPN de façon à utiliser les informations d’identification dérivées comme méthode d’authentification.
Quand vous configurez un profil Windows pour un réseau Wi-Fi ou VPN, sélectionnez Informations d’identification dérivées comme Méthode d’authentification. Avec cette configuration, le profil utilise le certificat qui s’installe sur l’appareil lors de l’installation de l’application du fournisseur.
Renouveler un titre dérivé
Les informations d’identification dérivées des appareils Android et iOS/iPadOS ne peuvent pas être étendues ou renouvelées. Au lieu de cela, les utilisateurs doivent utiliser le flux de travail de demande de justificatif d'identité pour demander un nouveau justificatif d'identité dérivé pour leur appareil. Pour les appareils Windows, consultez la documentation de l’application auprès de votre fournisseur d’informations d’identification dérivées.
Si vous configurez une ou plusieurs méthodes pour Type de notification, Intune avertit automatiquement les utilisateurs lorsque les informations d’identification dérivées actuelles atteignent 80 % de leur durée de vie. La notification indique aux utilisateurs de suivre le processus de demande d’informations d’identification pour obtenir de nouvelles informations d’identification dérivées.
Une fois qu’un appareil a reçu de nouvelles informations d’identification dérivées, les stratégies qui utilisent des informations d’identification dérivées sont redéployées sur cet appareil.
Changer d’émetteur d’informations d’identification dérivées
Au niveau du client, vous pouvez modifier votre émetteur d’informations d’identification, bien qu’un seul émetteur soit pris en charge par un client à la fois.
Après avoir changé d’émetteur, les utilisateurs sont invités à obtenir de nouvelles informations d’identification dérivées auprès du nouvel émetteur. Ils doivent le faire avant de pouvoir utiliser des informations d’identification dérivées pour l’authentification.
Changer d’émetteur pour votre locataire
Importante
Si vous supprimez un émetteur et reconfigurez immédiatement le même émetteur, vous devez encore mettre à jour les profils et les appareils pour utiliser les informations d’identification dérivées de cet émetteur. Les informations d'identification dérivées qui ont été obtenues avant que vous ne supprimiez l'émetteur ne sont plus valides.
- Connectez-vous au Centre d’administration Microsoft Intune.
- Sélectionnez Administration abonné>Connecteurs et jetons>Informations de connexion dérivées.
- Sélectionnez Supprimer pour supprimer l’émetteur d’informations d’identification dérivées actuel.
- Configurez un nouvel émetteur.
Mettre à jour les profils qui utilisent des informations d’identification dérivées
Après avoir supprimé un émetteur, puis en avoir ajouté un nouveau, modifiez chaque profil qui utilise des informations d’identification dérivées. Cette règle s’applique même si vous restaurez l’émetteur précédent. Toute modification du profil déclenche une mise à jour, y compris une simple modification de la description du profil.
Mettre à jour les informations d’identification dérivées sur les appareils
Après avoir supprimé un émetteur, puis en avoir ajouté un nouveau, les utilisateurs d’appareils doivent demander de nouvelles informations d’identification dérivées. Cette règle s’applique même lorsque vous ajoutez l’émetteur que vous avez supprimé. Le processus de demande de nouvelles informations d’identification dérivées est le même que celui utilisé pour l’inscription d’un nouvel appareil ou le renouvellement d’informations d’identification existantes.