Certificate Connector pour Microsoft Intune
Afin que Microsoft Intune prenne en charge l’utilisation de certificats pour l’authentification ainsi que pour la signature et le chiffrement des e-mails avec S/MIME, vous pouvez utiliser le connecteur Certificate Connector pour Microsoft Intune. Le connecteur de certificat est un logiciel que vous installez sur un serveur local pour vous aider à fournir et à gérer des certificats pour vos appareils gérés par Intune.
Cet article présente le connecteur Certificate Connector pour Microsoft Intune, son cycle de vie et la façon de le maintenir à jour.
Conseil
À compter du 29 juillet 2021, le connecteur Certificate Connector pour Microsoft Intune remplace l’utilisation du connecteur PFX Certificate Connector pour Microsoft Intune et de Microsoft Intune Connector. Le nouveau connecteur comprend les fonctionnalités des deux connecteurs précédents. Avec la version 6.2109.51.0 du connecteur de certificat pour Microsoft Corporation, les connecteurs précédents ne sont plus pris en charge.
Vue d’ensemble du connecteur
Pour utiliser le connecteur de certificat, vous devez d’abord télécharger le logiciel à partir du centre d’administration Microsoft Intune, que vous installerez ensuite sur un serveur Windows Server.
Pendant l’installation, vous pouvez installer une ou plusieurs fonctionnalités de connecteur, notamment la prise en charge des éléments suivants :
- Certificats de paire de clés publique et privée (PKCS)
- Certificats PKCS importés
- Protocole SCEP (Simple Certificate Enrollment Protocol)
- Révocation du certificat
En outre, vous attribuez un compte de service pour exécuter le connecteur. Ce compte est utilisé pour toutes les interactions avec votre autorité de certification, et pour l’émission, la révocation et le renouvellement des certificats. Les options prises en charge pour le compte de service incluent le compte SYSTEM des serveurs du connecteur ou un compte de domaine.
Une fois le connecteur installé, vous pouvez réexécuter sa configuration à tout moment pour le mettre à jour ou changer les fonctionnalités que vous avez installées. Une fois installé et configuré, le connecteur peut installer automatiquement les mises à jour ultérieures pour que la version de vos connecteurs soit toujours la plus récente.
Intune prend en charge l’installation de plusieurs instances du connecteur dans un locataire, et chaque instance peut prendre en charge des fonctionnalités différentes. Si vous utilisez plusieurs connecteurs qui prennent en charge des fonctionnalités différentes, les demandes de certificat sont toujours routées vers un connecteur approprié. Par exemple, si vous installez deux connecteurs qui prennent en charge PKCS et deux autres qui prennent en charge à la fois PKCS et SCEP, les tâches de certificat pour PKCS peuvent être gérées par l’un des quatre connecteurs, mais les tâches pour SCEP sont uniquement dirigées vers les deux connecteurs qui prennent en charge SCEP.
Chaque instance du connecteur de certificat a les mêmes exigences réseau que les appareils gérés par Intune. Pour plus d’informations, consultez Points de terminaison réseau pour Microsoft Intune et Configuration requise pour le réseau Intune et bande passante.
Fonctionnalités du connecteur de certificat
Le connecteur Certificate Connector pour Microsoft Intune prend en charge les éléments suivants :
Demandes de certificat PKCS #12.
Certificats PKCS importés (fichier PFX) pour le chiffrement des e-mails S/MIME pour un utilisateur spécifique.
Émission de certificats SCEP (Protocole d’inscription de certificats simple). Quand vous utilisez une autorité de certification des services de certificats Active Directory, également appelée autorité de certification Microsoft, vous devez également configurer le service NDES (Network Device Enrollment Service) sur le serveur qui héberge le connecteur.
L’utilisation de SCEP avec une autorité de certification tierce ne nécessite pas l’utilisation du connecteur Certificate Connector pour Microsoft Intune.
Révocation de certificat.
Mises à jour automatiques vers les nouvelles versions. Quand les serveurs qui hébergent le connecteur de certificat peuvent accéder à Internet, ils installent automatiquement les nouvelles mises à jour. Quand un connecteur ne parvient pas à se mettre à jour automatiquement, vous pouvez le mettre à jour manuellement.
Installation de jusqu’à 100 instances du connecteur par locataire Intune, chaque instance se trouvant sur un serveur Windows distinct. Quand vous utilisez plusieurs connecteurs :
Chaque instance du connecteur doit avoir accès à la clé privée utilisée pour chiffrer les mots de passe de chaque fichier PFX chargé.
Chaque instance du connecteur doit avoir la même version. Étant donné que le connecteur prend en charge les mises à jour automatiques vers la version la plus récente, les mises à jour peuvent être gérées pour vous par Intune.
Votre infrastructure prend en charge la redondance et l’équilibrage de charge, car n’importe quelle instance de connecteur disponible qui prend en charge les mêmes fonctionnalités de connecteur peut traiter vos demandes de certificat.
Vous pouvez configurer un proxy pour autoriser le connecteur à communiquer avec Intune.
Certificate Connector ne doit pas être installé sur le même serveur que Intune Connector pour Active Directory.
Remarque
Toute instance du connecteur qui prend en charge PKCS peut être utilisée pour récupérer les demandes PKCS en attente auprès de la file d’attente du service Intune, traiter les certificats importés et gérer les demandes de révocation. Il n’est pas possible de définir le connecteur qui gère chaque requête.
Par conséquent, chaque connecteur qui prend en charge PKCS doit avoir les mêmes autorisations et être en mesure de se connecter à toutes les autorités de certification définies plus loin dans les profils PKCS.
Cycle de vie
Régulièrement, des mises à jour du connecteur de certificat sont publiées. Les annonces de nouvelles mises à jour du connecteur, y compris la version et la date de sortie de chaque mise à jour, apparaissent dans la section Quoi de neuf pour le connecteur de certificats de cet article.
Chaque nouvelle version du connecteur :
Est pris en charge pendant six mois après la publication d’une nouvelle version. Pendant cette période, les mises à jour automatiques peuvent installer une version plus récente du connecteur. Les versions mises à jour des connecteurs peuvent inclure, sans s'y limiter, des corrections de bogues et des améliorations des performances et des fonctionnalités.
Si un connecteur non pris en charge échoue, vous devrez mettre à jour la dernière version prise en charge.
Si vous bloquez la mise à jour automatique du connecteur, prévoyez de le mettre à jour manuellement dans les six mois, avant la fin du support de la version installée. Après la fin de l'assistance, vous devrez mettre à jour le connecteur vers une version qui reste dans l'assistance pour bénéficier d'une assistance en cas de problèmes avec le connecteur.
Les connecteurs qui ne sont pas pris en charge continueront de fonctionner jusqu’à 18 mois après la publication d’une nouvelle version. Après 18 mois, une fonctionnalité des connecteurs peut échouer en raison d'améliorations du niveau de service, de mises à jour ou de la correction de vulnérabilités de sécurité courantes qui pourraient apparaître à l'avenir.
Par exemple, lorsque la version du connecteur 6.2203.12.0 publiée le 4 mai 2022, la version précédente du connecteur 6.2202.38.0 sera supprimée du support le 4 novembre 2022. La version précédente du connecteur doit continuer à fonctionner (mais pas prise en charge) jusqu’en novembre 2023. Après novembre 2023, la version précédente du connecteur peut cesser de communiquer avec Intune.
Mise à jour automatique
Intune peut automatiquement mettre à jour le connecteur vers la dernière version peu après la publication de la version du connecteur.
Pour une mise à jour automatique, le serveur qui héberge le connecteur doit accéder au service de mise à jour Azure :
- Port : 443
- Point de terminaison : autoupdate.msappproxy.net
Quand les pare-feu, l’infrastructure ou les configurations réseau limitent l’accès à la mise à jour automatique, résolvez les problèmes de blocage ou mettez manuellement à jour le connecteur vers la nouvelle version.
Mise à jour manuelle
Le processus de mise à jour manuelle d’un connecteur de certificat est le même pour la réinstallation d’un connecteur.
Vous pouvez mettre à jour manuellement un connecteur de certificat même s’il prend en charge les mises à jour automatiques. Par exemple, vous pouvez mettre à jour manuellement le connecteur quand votre configuration réseau bloque une mise à jour automatique.
Réinstaller un connecteur de certificat
Sur le serveur Windows hébergeant le connecteur, exécutez le programme d’installation du connecteur pour désinstaller ce dernier.
Pour installer la nouvelle version, utilisez la procédure permettant d’installer une nouvelle version du connecteur. Veillez à vérifier les prérequis nouveaux ou mis à jour lors de l’installation d’une version plus récente d’un connecteur.
État du connecteur
Dans le centre d’administration Microsoft Intune, vous pouvez sélectionner un connecteur de certificat pour afficher des informations sur ses status :
Connectez-vous au Centre d’administration Microsoft Intune
Accédez à Administration de locataire>Connecteurs et jetons>Connecteurs de certificat.
Sélectionnez un connecteur pour afficher son état.
Quand vous affichez l’état du connecteur :
- Les connecteurs dépréciés affichent un Avertissement. Après la période de grâce de six mois, l’avertissement devient une erreur.
- Les connecteurs qui ont dépassé la période de grâce affichent une erreur. Ces connecteurs ne sont plus pris en charge et peuvent cesser de fonctionner à tout moment.
Logging
Les journaux du connecteur Certificate Connector pour Microsoft Intune sont disponibles en tant que journaux des événements sur le serveur sur lequel le connecteur est installé :
- Observateur d’événements>Journaux des applications et des services>Microsoft>Intune>Connecteurs de certificats
Les journaux suivants sont disponibles, ont une taille par défaut de 50 Mo et bénéficient de l’archivage automatique :
- Journal d’administration : ce journal contient un événement de journal par demande au connecteur. Les événements incluent soit une réussite avec des informations sur la demande, soit une erreur avec des informations sur la demande et l’erreur.
- Journal des opérations : ce journal affiche des informations supplémentaires non disponibles dans le journal d’administration et peut être utilisé pour résoudre des problèmes. Ce journal affiche également les opérations en cours au lieu de simples événements.
Outre le niveau de journalisation par défaut, vous pouvez activer la journalisation du débogage pour chaque journal afin d’obtenir des détails supplémentaires.
ID d’événement
Tous les événements ont l’un des ID suivants :
- 0001 à 0999 : associé à aucun scénario spécifique
- 1000 à 1999 : PKCS
- 2000 à 2999 : importation PKCS
- 3000 à 3999 : révocation
- 4000 à 4999 : SCEP
- 5000-5999 : Intégrité du connecteur
Catégories de tâches
Tous les événements sont marqués avec une catégorie de tâche pour faciliter le filtrage. Voici la liste, non exhaustive, des catégories de tâches :
PKCS
Admin
ID d’événement: 1000 - PkcsRequestSuccess
Une demande PKCS a été chargée dans Intune.ID d’événement: 1001 - PkcsRequestFailure
Échec du traitement ou du chargement d’une demande PKCS dans Intune.ID d’événement: 1200 - PkcsRecryptRequestSuccess
La requête de rechiffrage PKCS a été traitée.ID d’événement: 1201 - PkcsRecryptRequestFailure
Échec du traitement de la demande de rechiffrage PKCS.
Opérationnel
ID d’événement: 1002 - PkcsDownloadSuccess
Les demandes PKCS ont été téléchargées à partir d’Intune.ID d’événement: 1003 - PkcsDownloadFailure
Échec du téléchargement des demandes PKCS à partir d’Intune.ID d’événement: 1020 - PkcsDownloadedRequest
Demande PKCS téléchargée à partir d’IntuneID d’événement: 1032 - PkcsDigiCertRequest
Téléchargement réussi d’une demande PKCS pour l’autorité de certification DigiCert à partir d’Intune.ID d’événement: 1050 - PkcsIssuedSuccess
Un certificat PKCS a été émis.ID d’événement: 1051 - PkcsIssuedFailedAttempt
Échec de l’émission d’un certificat PKCS. Réessayez.ID d’événement: 1052 - PkcsIssuedFailure
Échec de l’émission d’un certificat PKCS.ID d’événement: 1100 - PkcsUploadSuccess
Les résultats de la demande PKCS ont été chargés dans Intune.ID d’événement: 1101 - PkcsUploadFailure
Échec du chargement des résultats de la demande PKCS dans Intune.ID d’événement: 1102 - PkcsUploadedRequest
La demande PKCS a été téléchargée vers Intune.ID d’événement: 1202 - PkcsRecryptDownloadSuccess
Demandes de rechiffrage PKCS téléchargées.ID: 1203 - PkcsRecryptDownloadFailure
Échec du téléchargement des demandes de rechiffrage PKCS.ID d’événement: 1220 - PkcsRecryptDownloadedRequest
Une demande de rechiffrage PKCS a été téléchargée.ID d’événement: 1250 - PkcsRecryptReencryptSuccess
La charge utile du certificat PKCS a été rechiffrée.ID d’’événement: 1251 - PkcsRecryptDecryptSuccess
La charge utile du certificat PKCS a été déchiffrée.ID d’événement: 1252 - PkcsRecryptDecryptFailure
Échec du déchiffrement de la charge utile du certificat PKCS.ID d’événement: 1253 - PkcsRecryptReencryptFailure
Échec du rechiffrage de la charge utile du certificat PKCS.ID d’événement: 1300 - PkcsRecryptUploadSuccess
Les résultats de la demande PKCS dans Intune ont été chargés.ID d’événement: 1301 - PkcsRecryptUploadFailure
Échec du chargement des résultats de la demande de rechiffrage PKCS dans Intune.ID d’événement: 1302 - PkcsRecryptUploadedRequest
Une demande de rechiffrage PKCS a été chargée sur Intune.
importation PKCS
Admin
ID d’événement: 2000 - PkcsImportRequestSuccess
Demandes d’importation PKCS téléchargées à partir d’Intune.ID d’événement: 2001 - PkcsImportRequestFailure
Échec du traitement d’une demande d’importation PKCS à partir d’Intune.
Opérationnel
ID d’événement: 2202 - PkcsImportDownloadSuccess
Demandes d’importation PKCS téléchargées à partir d’Intune.ID d’événement: 2203 - PkcsImportDownloadFailure
Échec du téléchargement des requêtes d’importation PKCS à partir d’Intune.ID d’événement: 2020 - PkcsImportDownloadedRequest
Une requête d’importation PKCS a été téléchargée à partir d’Intune.ID d’événement: 2050 - PkcsImportReencryptSuccess
Un certificat d’importation PKCS a été rechiffrée.ID d’événement: 2051 - PkcsImportReencryptFailedAttempt
Échec du rechiffrement d’un certificat d’importation PKCS. Réessayez.ID d’événement: 2052 - PkcsImportReencryptFailure
Échec du rechiffrage d’un certificat importé.ID d’événement: 2100 - PkcsImportUploadSuccess
Les résultats de la requête d’importation PKCS ont été chargés dans Intune.ID d’événement: 2101 - PkcsImportUploadFailure
Échec du chargement des résultats de la demande PKCS dans Intune.ID d’événement: 2102 - PkcsImportUploadedRequest
Une demande d’importation PKCS a été chargée dans Intune.
Révocation
Admin
ID d’événement: 3000 - RevokeRequestSuccess
Demandes de révocation téléchargées à partir d’Intune.ID d’événement: 3001 - RevokeRequestFailure
RevokeRequestFailure : échec du téléchargement des demandes de révocation à partir d’Intune.
Opérationnel
ID d’événement: 3002 - RevokeDownloadSuccess
Demandes de révocation téléchargées à partir d’Intune.ID d’événement: 3003 - RevokeDownloadFailure
RevokeRequestFailure : échec du téléchargement des demandes de révocation à partir d’Intune.ID d’événement: 3020 - RevokeDownloadedRequest
Détails d’une demande téléchargée unique à partir d’IntuneID d’événement : 3032 - RevokeDigicertRequest
Réception d’une demande de révocation d’Intune et transfert de la demande à Digicert pour l’exécution de la demande.ID d’événement: 3050 - RevokeSuccess
Certificat révoqué.ID d’événement: 3051 - RevokeFailure
Échec de la révocation d’un certificat.ID d’événement: 3052 - RevokeFailedAttempt
Échec de la révocation d’un certificat. Réessayez.ID d’événement: 3100 - RevokeUploadSuccess
Les résultats de la demande de révocation ont été chargés dans Intune.ID d’événement: 3101 - RevokeUploadFailure
Échec du chargement des résultats de la demande de révocation dans Intune.ID d’événement: 3102 - RevokeUploadedRequest
La demande de révocation a été téléchargée dans Intune.
SCEP
Admin
ID d’événement: 4000 - ScrepRequestSuccess
Traitement réussi d’une demande SCEP et notification d’Intune.ID d’événement: 4001 - ScepRequestIssuedFailure
Échec du traitement d’une demande SCEP et notification d’Intune.ID d’événement: 4002 - ScepRequestUploadFailure
La demande SCEP a été traitée, mais n’a pas pu notifier Intune.
Opérationnel
ID d’événement: 4003 - ScepRequestReceived
Une demande SCEP a été reçue d’un appareil.ID d’événement: 4004 - ScepVerifySuccess
Une demande SCEP a été vérifiée avec Intune.ID d’événement: 4005 - ScepVerifyFailure
Échec de la vérification d’une demande SCEP avec Intune.ID d’événement: 4006 - ScepIssuedSuccess
Certificat émis avec succès pour une demande SCEP.ID d’événement: 4007 - ScepIssuedFailure
Échec de l’émission du certificat pour la demande SCEP.ID d’événement: 4008 - ScepNotifySuccess
Le résultat d’une demande SCEP a été notifié à Intune.ID d’événement: 4009 - ScepNotifyAttemptFailed
Échec de notification à Intune du résultat d’une demande SCEP. Réessayez.ID de l’événement: 4010 - ScepNotifySaveToDiskFailed
Échec de l’écriture de la notification sur le disque et impossible d’avertir Intune de l’état de la demande.
Intégrité du connecteur
Opérationnel
ID d’événement : 5000 - HealthMessageUploadSuccess Messages d’intégrité chargés sur Intune.
ID d’événement : 5001 - HealthMessageUploadFailedAttempt Échec du chargement des messages d’intégrité sur Intune, réessaye.
ID d’événement : 5002 - HealthMessageUploadFailure Échec du chargement des messages d’intégrité sur Intune.
Nouveautés du connecteur Certificate Connector
Les mises à jour du connecteur de certificats pour Microsoft Intune sont publiées périodiquement et font l'objet d'une assistance pendant six mois. Quand nous mettons à jour le connecteur, vous pouvez découvrir ici les modifications apportées.
Les nouvelles mises à jour du connecteur peuvent prendre une semaine ou plus pour devenir disponibles pour chaque client.
Importante
À compter d’avril 2022, les connecteurs de certificat antérieurs à la version 6.2101.13.0 seront déconseillés et afficheront l’état Erreur. À compter d’août 2022, ces versions de connecteur ne pourront pas révoquer les certificats. À compter de septembre 2022, ces versions de connecteur ne pourront pas émettre de certificats. Cela inclut pfx Certificate Connector pour Microsoft Intune et Microsoft Intune Connector, qui ont été remplacés le 29 juillet 2021 par Certificate Connector pour Microsoft Intune (comme décrit dans cet article).
19 septembre 2024
Version 6.2406.0.1001 - Modifications apportées à cette version :
- Modifications apportées à la prise en charge des exigences KB5014754
- Journalisation améliorée du pipeline d’importation PKCS
- Correctifs de bogue
- Améliorations de la sécurité
15 février 2023
Version 6.2301.1.0 - Modifications apportées à cette version :
- Informations de journalisation à mettre en corrélation avec les journaux du service Intune
- Améliorations de la journalisation dans le flux d’émission de certificat PFX
21 septembre 2022
Version 6.2206.122.0 - Modifications apportées à cette version :
- Amélioration de la télémétrie en plus des correctifs de bogues et des améliorations des performances
jeudi 30 juin 2022
Version 6.2205.201.0 : modifications dans cette version :
- Mise à jour du canal de télémétrie pour Intune afin de permettre à Administrateur Intune de collecter des données dans le portail
4 mai 2022
Version 6.2203.12.0 - Changements dans cette version :
- Prise en charge des fournisseurs CNG pour les certificats d’authentification client
- Prise en charge améliorée du renouvellement automatique des certificats d’authentification client
10 mars 2022
Version 6.2202.38.0. Cette mise à jour inclut :
- Modifications apportées à la prise en charge de TLS 1.2 pour la mise à jour automatique
Prochaines étapes
Passer en revue les prérequis pour le connecteur Certificate Connector pour Microsoft Intune