Partager via


Utiliser des certificats pour l’authentification dans Microsoft Intune

Utilisez des certificats avec Intune pour authentifier vos utilisateurs dans les applications et les ressources de l’entreprise avec des profils VPN, Wi-Fi ou e-mail. Lorsque vous utilisez des certificats pour authentifier ces connexions, vos utilisateurs finaux n’ont pas besoin d’entrer des noms d’utilisateur et des mots de passe, ce qui peut rendre leur accès transparent. Les certificats sont également utilisés pour signer et chiffrer les e-mails à l’aide de S/MIME.

Présentation des certificats avec Intune

Les certificats fournissent un accès authentifié sans délai par le biais des deux phases suivantes :

  • Phase d’authentification : l’authenticité de l’utilisateur est vérifiée afin de confirmer qu’il est bien celui qu’il prétend être.
  • Phase d’autorisation : l’utilisateur est soumis à des conditions dont le respect ou le non-respect détermine si l’accès doit lui être accordé ou refusé.

Les scénarios d’utilisation classiques pour les certificats sont les suivants :

  • Authentification réseau (par exemple 802.1 x) avec des certificats d’appareil ou d’utilisateur
  • Authentification auprès de serveurs VPN à l’aide de certificats d’appareil ou d’utilisateur
  • Signature d’e-mail basée sur des certificats utilisateur

Intune prend en charge SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) et les certificats PKCS importés comme méthodes pour provisionner des certificats sur des appareils. Les différentes méthodes de provisionnement ont des exigences et des résultats différents. Par exemple :

  • SCEP provisionne des certificats qui sont uniques à chaque demande du certificat.
  • PKCS provisionne chaque appareil avec un certificat unique.
  • Avec PKCS importé, vous pouvez déployer le même certificat que celui que vous avez exporté à partir d’une source, comme un serveur de messagerie, vers plusieurs destinataires. Ce certificat partagé est utile pour garantir que tous vos utilisateurs ou appareils peuvent ensuite déchiffrer les e-mails qui ont été chiffrés par ce certificat.

Pour provisionner un utilisateur ou un appareil avec un type spécifique de certificat, Intune utilise un profil de certificat.

En plus des trois types de certificats et méthodes d’approvisionnement, vous avez besoin d’un certificat racine approuvé auprès d’une autorité de certification approuvée. L’autorité de certification peut être une autorité de certification Microsoft locale ou une autorité de certification tierce. Le certificat racine approuvé établit une approbation entre l’appareil et votre autorité de certification racine ou intermédiaire (émettrice) à partir de laquelle les autres certificats sont émis. Pour déployer ce certificat, vous utilisez le profil de certificat approuvé et le déployez sur les mêmes appareils et utilisateurs que ceux qui reçoivent les profils de certificat pour SCEP, PKCS et PKCS importé.

Conseil

Intune prend également en charge l’utilisation d’informations d’identification dérivées pour les environnements qui nécessitent l’utilisation de cartes à puce.

Éléments nécessaires pour utiliser des certificats

  • Une autorité de certification. Votre autorité de certification est la source de confiance que les certificats référencent pour l’authentification. Vous pouvez utiliser une autorité de certification Microsoft ou une autorité de certification tierce
  • Infrastructure locale. L’infrastructure dont vous avez besoin dépend des types de certificats que vous utilisez :
  • Un certificat racine approuvé. Avant de déployer des profils de certificat SCEP ou PKCS, déployez le certificat racine approuvé à partir de votre autorité de certification à l’aide d’un profil de certificat approuvé. Ce profil permet d’établir l’approbation entre l’appareil et l’autorité de certification, et il est requis par les autres profils de certificat.

Avec un certificat racine approuvé déployé, vous êtes prêt à déployer des profils de certificat pour provisionner des utilisateurs et des appareils avec des certificats pour l’authentification.

Quel profil de certificat utiliser ?

Les comparaisons suivantes ne sont pas exhaustives, mais elles vous aideront à distinguer l’utilisation des différents types de profils de certificat.

Type de profil Détails
Certificat approuvé Sert à déployer la clé publique (certificat) d’une autorité de certification racine ou intermédiaire vers des utilisateurs et des appareils afin d’établir une relation d’approbation avec l’autorité de certification source. D’autres profils de certificat nécessitent le profil de certificat approuvé et son certificat racine.
Certificat SCEP Déploie un modèle pour une demande de certificat sur des utilisateurs et des appareils. Chaque certificat provisionné à l’aide de SCEP est unique et lié à l’utilisateur ou à l’appareil qui demande le certificat.

Avec SCEP, vous pouvez déployer des certificats sur des appareils qui n’ont pas d’affinité utilisateur, y compris l’utilisation de SCEP pour provisionner un certificat sur KIOSK ou sur un appareil sans utilisateur.
Certificat PKCS Déploie un modèle pour une demande de certificat qui spécifie un type de certificat d’utilisateur ou d’appareil.

- Les demandes pour un type de certificat d’utilisateur nécessitent toujours une affinité utilisateur. Lors du déploiement sur un utilisateur, chacun des appareils de l’utilisateur reçoit un certificat unique. Quand il est déployé sur un appareil avec un utilisateur, cet utilisateur est associé au certificat pour cet appareil. Quand il est déployé sur un appareil sans utilisateur, aucun certificat n’est provisionné.
- Les modèles avec un type de certificat d’appareil ne nécessitent pas d’affinité utilisateur pour provisionner un certificat. Le déploiement sur un appareil provisionne l’appareil. Le déploiement sur un utilisateur provisionne l’appareil auquel l’utilisateur se connecte avec un certificat.
Certificat importé PKCS Déploie un certificat unique sur plusieurs appareils et utilisateurs, ce qui permet de prendre en charge des scénarios tels que le chiffrement et la signature S/MIME. Par exemple, en déployant le même certificat sur chaque appareil, chaque appareil peut déchiffrer les e-mails reçus à partir du même serveur de messagerie.

D’autres méthodes de déploiement de certificat sont insuffisantes pour ce scénario, car SCEP crée un certificat unique pour chaque requête et PKCS associe un certificat différent pour chaque utilisateur, avec différents utilisateurs recevant des certificats différents.

Certificats pris en charge par Intune et utilisation

Type Authentification Signature S/MIME Chiffrement S/MIME
Certificat importé PKCS (Public Key Cryptography Standards) Pris en charge Pris en charge
PKCS#12 (ou PFX) Pris en charge ; Pris en charge ;
Protocole SCEP (Simple Certificate Enrollment Protocol) Pris en charge Pris en charge ;

Pour déployer ces certificats, créez et affectez des profils de certificat aux appareils.

Chaque profil de certificat que vous créez prend en charge une seule plateforme. Par exemple, si vous utilisez des certificats PKCS, vous créez un profil de certificat PKCS pour Android et un profil de certificat PKCS distinct pour iOS/iPadOS. Si vous utilisez également des certificats SCEP pour ces deux plateformes, vous créez un profil de certificat SCEP pour Android et un autre pour iOS/iPadOS.

Considérations générales relatives à l’utilisation d’une autorité de certification Microsoft

Quand vous utilisez une autorité de certification Microsoft (CA) :

Considérations générales relatives à l’utilisation d’une autorité de certification tierce

Quand vous utilisez une autorité de certification tierce (hors Microsoft) :

  • Les profils de certificat SCEP ne nécessitent pas l’utilisation du Microsoft Intune Certificate Connector. Au lieu de cela, l’autorité de certification tierce gère directement l’émission et la gestion des certificats. Pour utiliser des profils de certificat SCEP sans le Intune Certificate Connector :

    • Configurez l’intégration avec une autorité de certification tierce à partir de l’un de nos partenaires pris en charge. La configuration comprend les instructions de l’autorité de certification tierce pour terminer l’intégration de leur autorité de certification à Intune.
    • Créez une application dans Microsoft Entra ID qui délègue des droits à Intune pour effectuer la validation de la demande de certificat SCEP.

    Pour plus d’informations, consultez Configurer l’intégration d’une autorité de certification tierce.

  • Les certificats importés PKCS nécessitent l’utilisation du Microsoft Intune Certificate Connector. Consultez Installer Certificate Connector pour Microsoft Intune.

  • Déployez des certificats à l’aide des mécanismes suivants :

    • Profils de certificat approuvés pour déployer le certificat d’autorité de certification racine approuvé de votre autorité de certification racine ou intermédiaire (émettrice) sur les appareils
    • Profils de certificat SCEP
    • Profils de certificat PKCS (pris en charge uniquement avec la plateforme DigiCert PKI)
    • Profils de certificat PKCS importés

Profils de certificat et plateformes prises en charge

Plateforme Profil de certificat approuvé Profil de certificat PKCS Profil de certificat SCEP Profil de certificat PKCS importé
Administrateur d’appareils Android Supporté
(voir Remarque 1)
Pris en charge ; Pris en charge ; Pris en charge ;
Android Enterprise
- Entièrement géré (Propriétaire de l’appareil)
Pris en charge Pris en charge ; Pris en charge ; Pris en charge ;
Android Enterprise
- Dedicated (Propriétaire de l’appareil)
Pris en charge ; Pris en charge ; Pris en charge ; Pris en charge
Android Enterprise
- profil professionnel Corporate-Owned
Pris en charge Pris en charge ; Pris en charge ; Pris en charge ;
Android Enterprise
- profil professionnel Personally-Owned
Pris en charge ; Pris en charge ; Pris en charge ; Pris en charge ;
Android (AOSP) Pris en charge ; Pris en charge ; Pris en charge
iOS/iPadOS Pris en charge ; Pris en charge Pris en charge ; Pris en charge
macOS Pris en charge ; Pris en charge ; Pris en charge ; Pris en charge ;
Windows 8.1 et versions ultérieures Pris en charge ; Pris en charge ;
Windows 10/11 Supporté
(voir Remarque 2)
Supporté
(voir Remarque 2)
Supporté
(voir Remarque 2)
Pris en charge ;

Importante

Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.

Si vous utilisez actuellement Windows 8.1, passez aux appareils Windows 10/11. Microsoft Intune intègre des fonctionnalités de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 31 décembre 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

Ressources complémentaires :

Créer des profils de certificat :

En savoir plus sur Certificate Connector pour Microsoft Intune