Partager via


Supprimer des certificats SCEP et PKCS dans Microsoft Intune

Dans Microsoft Intune, vous pouvez utiliser des certificats SCEP (Simple Certificate Enrollment Protocol) et des profils de certificat PKCS (Public Key Cryptography Standards) pour ajouter des certificats à des appareils.

Vous pouvez supprimer ces certificats quand vous réinitialisez ou mettez hors service l’appareil. Les certificats qui ont été provisionnés par Intune sont également supprimés lorsque le profil qui a provisionné le certificat ne cible plus le périphérique ou l'utilisateur. Il existe d'autres scénarios où les certificats sont automatiquement supprimés, et d'autres où les certificats restent sur l'appareil. Dans cet article sont présentés quelques scénarios courants et leur effet sur les certificats PKCS et SCEP.

Remarque

Pour supprimer et révoquer des certificats pour un utilisateur qui est supprimé de l’ID Active Directory ou Microsoft Entra local, procédez comme suit :

  1. Réinitialiser ou mettre hors service l’appareil de l’utilisateur.
  2. Supprimez l’utilisateur de l’ID Active Directory ou Microsoft Entra local.

La majorité de cet article s’applique aux profils de certificat SCEP et PKCS, mais pas aux certificats PKCS importés. Les certificats PKCS importés sont supprimés par Intune lorsque les données d’entreprise sont supprimées de l’appareil ou lorsqu’un appareil est désinscrit de la gestion.

Supprimer manuellement des certificats

La suppression manuelle d'un certificat est un scénario qui s'applique à toutes les plateformes et à tous les certificats fournis par les modèles de certificats SCEP ou PKCS. Par exemple, un utilisateur peut supprimer un certificat d'un appareil lorsque cet appareil reste ciblé par une stratégie de certificat.

Dans ce scénario, après la suppression du certificat, la prochaine fois que l’appareil se connecte avec Intune, il est considéré comme non conforme car il lui manque le certificat attendu. Intune émet alors un nouveau certificat pour rétablir la conformité de l'appareil. Aucune autre action n'est nécessaire pour restaurer le certificat.

Remarque

Les certificats SCEP sont supprimés, mais pas révoqués lors de l’utilisation d’une autorité de certification tierce.

Appareils Windows

Certificats SCEP

Un certificat SCEP est révoqué et supprimé quand :

  • Un utilisateur se désinscrit.
  • Un administrateur exécute l’action de réinitialisation.
  • Un administrateur exécute l’action de mise hors service.
  • L’appareil est supprimé d’un groupe Microsoft Entra.
  • Un profil de certificat est supprimé de l’affectation de groupe.

Un certificat SCEP est révoqué quand :

  • Un administrateur change ou met à jour le profil SCEP.

Un certificat racine est supprimé quand :

  • Un utilisateur se désinscrit.
  • Un administrateur exécute l’action de réinitialisation.
  • Un administrateur exécute l’action de mise hors service.
  • Un profil de certificat est supprimé de l’affectation de groupe.

Les certificats SCEP restent sur l’appareil (ils ne sont pas révoqués ni supprimés) quand :

  • Un utilisateur perd la licence Intune.
  • Un administrateur retire la licence Intune.
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.

Certificats PKCS

Un certificat PKCS est révoqué et supprimé quand :

Un certificat PKCS est supprimé quand :

  • Le profil de certificat PKCS ne cible plus l’appareil ni l’utilisateur.

Un certificat racine est supprimé quand :

Les certificats PKCS restent sur l’appareil (ils ne sont pas révoqués ni supprimés) quand :

  • Un utilisateur perd la licence Intune.
  • Un administrateur retire la licence Intune.
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.
  • Un administrateur change ou met à jour le profil PKCS.

Périphériques iOS

Certificats SCEP

Un certificat SCEP est révoqué et supprimé quand :

  • Un utilisateur se désinscrit.
  • Un administrateur exécute l’action de réinitialisation.
  • Un administrateur exécute l’action de mise hors service.
  • L’appareil est supprimé du groupe Microsoft Entra.
  • Un profil de certificat est supprimé de l’affectation de groupe.

Un certificat SCEP est révoqué quand :

  • Un administrateur change ou met à jour le profil SCEP.

Un certificat racine est supprimé quand :

Les certificats SCEP restent sur l’appareil (ils ne sont pas révoqués ni supprimés) quand :

  • Un utilisateur perd la licence Intune.
  • Un administrateur retire la licence Intune.
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.

Certificats PKCS

Un certificat PKCS est révoqué et supprimé quand :

Un certificat PKCS est supprimé quand :

  • Un profil de certificat est supprimé de l’affectation de groupe.

Un certificat racine est supprimé quand :

Les certificats PKCS restent sur l’appareil (ils ne sont pas révoqués ni supprimés) quand :

  • Un utilisateur perd la licence Intune.
  • Un administrateur retire la licence Intune.
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.
  • Un administrateur change ou met à jour le profil PKCS.

Appareils Android Knox

Certificats SCEP

Un certificat SCEP est révoqué et supprimé quand :

  • Un utilisateur se désinscrit.
  • Un administrateur exécute l’action de réinitialisation.

Un certificat SCEP est révoqué quand :

  • Un administrateur exécute l’action de mise hors service.
  • L’appareil est supprimé d’un groupe Microsoft Entra.
  • Un profil de certificat est supprimé de l’affectation de groupe.
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.
  • Un administrateur change ou met à jour le profil SCEP.

Un certificat racine est supprimé quand :

Les certificats SCEP restent sur l’appareil (ils ne sont pas révoqués ni supprimés) quand :

  • Un utilisateur perd la licence Intune.
  • Un administrateur retire la licence Intune.
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.

Certificats PKCS

Un certificat PKCS est révoqué et supprimé quand :

Un certificat racine est supprimé quand :

Les certificats PKCS restent sur l’appareil (ils ne sont pas révoqués ni supprimés) quand :

  • Un utilisateur perd la licence Intune.
  • Un administrateur retire la licence Intune.
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.
  • Un administrateur change ou met à jour le profil PKCS.
  • Un profil de certificat est supprimé de l’affectation de groupe.

Remarque

Les scénarios précédents ne s’appliquent pas aux appareils Android for Work. Les appareils Android d’ancienne génération (tous les appareils autres que Samsung, avec un profil non professionnel) ne sont pas activés pour la suppression de certificat.

Certificats macOS

Certificats SCEP

Un certificat SCEP est révoqué et supprimé quand :

  • Un utilisateur se désinscrit.
  • Un administrateur exécute une action de mise hors service.
  • L’appareil est supprimé d’un groupe Microsoft Entra.
  • Un profil de certificat est supprimé de l’affectation de groupe.

Un certificat SCEP est révoqué quand :

  • Un administrateur change ou met à jour le profil SCEP.

Les certificats SCEP restent sur l’appareil (ils ne sont pas révoqués ni supprimés) quand :

  • Un utilisateur perd la licence Intune.
  • Un administrateur retire la licence Intune.
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.

Remarque

L’utilisation de l’action de réinitialisation pour réinitialiser des appareils macOS aux paramètres d’usine n’est pas prise en charge.

Certificats PKCS

Un certificat PKCS est révoqué et supprimé quand :

  • Un utilisateur se désinscrit.
  • Un administrateur exécute l’action de mise hors service.

Un certificat racine est supprimé quand :

  • Un utilisateur se désinscrit.
  • Un administrateur exécute l’action de mise hors service.

Les certificats PKCS restent sur l’appareil (ils ne sont pas révoqués ni supprimés) quand :

  • Un utilisateur perd la licence Intune.
  • Un administrateur retire la licence Intune.
  • Un profil de certificat est supprimé de l’affectation de groupe. (Le profil est supprimé.)
  • Un administrateur supprime l’utilisateur ou le groupe de l’ID Microsoft Entra.
  • Un administrateur change ou met à jour le profil PKCS.

Prochaines étapes

Utiliser des certificats pour l’authentification