Partager via


Présentation des profils de certificat dans Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Importante

À compter de la version 2203, cette fonctionnalité d’accès aux ressources d’entreprise n’est plus prise en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.

Les profils de certificat fonctionnent avec les services de certificats Active Directory et le rôle NDES (Network Device Enrollment Service). Créez et déployez des certificats d’authentification pour les appareils gérés afin que les utilisateurs puissent facilement accéder aux ressources de l’organisation. Par exemple, vous pouvez créer et déployer des profils de certificat pour fournir les certificats nécessaires aux utilisateurs pour se connecter aux connexions VPN et sans fil.

Les profils de certificat peuvent configurer automatiquement les appareils utilisateur pour l’accès aux ressources de l’organisation, telles que les réseaux Wi-Fi et les serveurs VPN. Les utilisateurs peuvent accéder à ces ressources sans installer manuellement des certificats ou utiliser un processus hors bande. Les profils de certificat aident à sécuriser les ressources, car vous pouvez utiliser des paramètres plus sécurisés qui sont pris en charge par votre infrastructure à clé publique (PKI). Par exemple, exiger l’authentification du serveur pour toutes les connexions Wi-Fi et VPN, car vous avez déployé les certificats requis sur les appareils gérés.

Les profils de certificat fournissent les fonctionnalités de gestion suivantes :

  • Inscription et renouvellement de certificat auprès d’une autorité de certification pour les appareils qui exécutent différents types et versions de système d’exploitation. Ces certificats peuvent ensuite être utilisés pour les connexions Wi-Fi et VPN.

  • Déploiement de certificats d’autorité de certification racine approuvés et de certificats d’autorité de certification intermédiaires. Ces certificats configurent une chaîne d’approbation sur les appareils pour les connexions VPN et Wi-Fi lorsque l’authentification du serveur est requise.

  • Surveiller et générer des rapports sur les certificats installés.

Exemple 1 : Tous les employés doivent se connecter à Wi-Fi points d’accès dans plusieurs bureaux. Pour faciliter la connexion utilisateur, déployez d’abord les certificats nécessaires pour se connecter au Wi-Fi. Déployez ensuite Wi-Fi profils qui référencent le certificat.

Exemple 2 : Vous avez une infrastructure à clé publique en place. Vous souhaitez passer à une méthode plus flexible et sécurisée de déploiement de certificats. Les utilisateurs doivent accéder aux ressources de l’organisation à partir de leurs appareils personnels sans compromettre la sécurité. Configurez des profils de certificat avec des paramètres et des protocoles pris en charge pour la plateforme d’appareil spécifique. Les appareils peuvent ensuite demander automatiquement ces certificats à un serveur d’inscription accessible sur Internet. Ensuite, configurez des profils VPN pour utiliser ces certificats afin que l’appareil puisse accéder aux ressources de l’organisation.

Types

Il existe trois types de profils de certificat :

  • Certificat d’autorité de certification approuvée : déployez une autorité de certification racine approuvée ou un certificat d’autorité de certification intermédiaire. Ces certificats forment une chaîne d’approbation lorsque l’appareil doit authentifier un serveur.

  • Protocole SCEP (Simple Certificate Enrollment Protocol) : demandez un certificat pour un appareil ou un utilisateur à l’aide du protocole SCEP. Ce type nécessite le rôle Service d’inscription de périphérique réseau (NDES) sur un serveur exécutant Windows Server 2012 R2 ou version ultérieure.

    Pour créer un profil de certificat SCEP (Simple Certificate Enrollment Protocol), commencez par créer un profil de certificat d’autorité de certification approuvée .

  • Échange d’informations personnelles (.pfx) : demandez un certificat .pfx (également appelé PKCS #12) pour un appareil ou un utilisateur. Il existe deux méthodes pour créer des profils de certificat PFX :

    Remarque

    Configuration Manager n’active pas cette fonctionnalité facultative par défaut. Vous devez activer cette fonctionnalité avant de l’utiliser. Pour plus d’informations, consultez Activer les fonctionnalités facultatives des mises à jour.

    Vous pouvez utiliser Microsoft ou Entrust comme autorités de certification pour les certificats d’échange d’informations personnelles (.pfx).

Configuration requise

Pour déployer des profils de certificat qui utilisent SCEP, installez le point d’enregistrement de certificat sur un serveur de système de site. Installez également un module de stratégie pour NDES, le module de stratégie Configuration Manager, sur un serveur qui s’exécute Windows Server 2012 R2 ou une version ultérieure. Ce serveur nécessite le rôle Services de certificats Active Directory. Il nécessite également un NDES opérationnel accessible aux appareils qui nécessitent les certificats. Si vos appareils doivent s’inscrire pour obtenir des certificats à partir d’Internet, votre serveur NDES doit être accessible à partir d’Internet. Par exemple, pour activer en toute sécurité le trafic vers le serveur NDES à partir d’Internet, vous pouvez utiliser Azure Application Proxy.

Les certificats PFX nécessitent également un point d’enregistrement de certificat. Spécifiez également l’autorité de certification pour le certificat et les informations d’identification d’accès appropriées. Vous pouvez spécifier Microsoft ou Entrust comme autorités de certification.

Pour plus d’informations sur la façon dont NDES prend en charge un module de stratégie afin que Configuration Manager puissent déployer des certificats, consultez Utilisation d’un module de stratégie avec le service d’inscription de périphérique réseau.

Selon la configuration requise, Configuration Manager prend en charge le déploiement de certificats dans différents magasins de certificats sur différents types d’appareils et systèmes d’exploitation. Les appareils et systèmes d’exploitation suivants sont pris en charge :

  • Windows 10

  • Windows 10 Mobile

  • Windows 8.1

  • Windows Phone 8.1

Remarque

Utilisez Configuration Manager mdm local pour gérer Windows Phone 8.1 et Windows 10 Mobile. Pour plus d’informations, consultez Gestion des appareils mobiles locaux.

Un scénario classique pour Configuration Manager consiste à installer des certificats d’autorité de certification racine approuvés pour authentifier les serveurs Wi-Fi et VPN. Les connexions classiques utilisent les protocoles suivants :

  • Protocoles d’authentification : EAP-TLS, EAP-TTLS et PEAP
  • Protocoles de tunneling VPN : IKEv2, L2TP/IPsec et Cisco IPsec

Un certificat d’autorité de certification racine d’entreprise doit être installé sur l’appareil pour que l’appareil puisse demander des certificats à l’aide d’un profil de certificat SCEP.

Vous pouvez spécifier des paramètres dans un profil de certificat SCEP pour demander des certificats personnalisés pour différents environnements ou exigences de connectivité. L’Assistant Création d’un profil de certificat comporte deux pages pour les paramètres d’inscription. La première, Inscription SCEP, inclut les paramètres de la demande d’inscription et l’emplacement d’installation du certificat. La seconde, Propriétés du certificat, décrit le certificat demandé lui-même.

Déployer

Lorsque vous déployez un profil de certificat SCEP, le client Configuration Manager traite la stratégie. Il demande ensuite un mot de passe de défi SCEP à partir du point de gestion. L’appareil crée une paire de clés publique/privée et génère une demande de signature de certificat (CSR). Il envoie cette requête au serveur NDES. Le serveur NDES transfère la demande au système de site du point d’enregistrement de certificat via le module de stratégie NDES. Le point d’enregistrement du certificat valide la demande, vérifie le mot de passe de la contestation SCEP et vérifie que la demande n’a pas été falsifiée. Il approuve ou refuse ensuite la demande. S’il est approuvé, le serveur NDES envoie la demande de signature à l’autorité de certification connectée pour signature. L’autorité de certification signe la demande, puis retourne le certificat à l’appareil demandeur.

Déployer des profils de certificat sur des regroupements d’utilisateurs ou d’appareils. Vous pouvez spécifier le magasin de destination pour chaque certificat. Les règles d’applicabilité déterminent si l’appareil peut installer le certificat.

Lorsque vous déployez un profil de certificat sur un regroupement d’utilisateurs, l’affinité entre utilisateur et appareil détermine lequel des appareils des utilisateurs installe les certificats. Lorsque vous déployez un profil de certificat avec un certificat utilisateur sur un regroupement d’appareils, par défaut, chacun des appareils principaux des utilisateurs installe les certificats. Pour installer le certificat sur l’un des appareils des utilisateurs, modifiez ce comportement dans la page Inscription SCEP de l’Assistant Création d’un profil de certificat. Si les appareils se trouvent dans un groupe de travail, Configuration Manager ne déploie pas de certificats utilisateur.

Surveiller

Vous pouvez surveiller les déploiements de profils de certificat en affichant les résultats de conformité ou les rapports. Pour plus d’informations, consultez Guide pratique pour surveiller les profils de certificat.

Révocation automatique

Configuration Manager révoque automatiquement les certificats utilisateur et ordinateur qui ont été déployés à l’aide de profils de certificat dans les circonstances suivantes :

  • L’appareil est retiré de la gestion Configuration Manager.

  • L’appareil est bloqué dans la hiérarchie Configuration Manager.

Pour révoquer les certificats, le serveur de site envoie une commande de révocation à l’autorité de certification émettrice. La raison de la révocation est l’arrêt de l’opération.

Remarque

Pour révoquer correctement un certificat, le compte d’ordinateur du site de niveau supérieur dans la hiérarchie a besoin de l’autorisation d’émettre et de gérer des certificats sur l’autorité de certification.

Pour améliorer la sécurité, vous pouvez également restreindre les gestionnaires d’autorité de certification sur l’autorité de certification. Ensuite, accordez uniquement à ce compte des autorisations sur le modèle de certificat spécifique que vous utilisez pour les profils SCEP sur le site.

Prochaines étapes