Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article décrit les modèles de déploiement pris en charge par Microsoft Intune et le service PKI cloud Microsoft.
Vous avez deux options de déploiement :
PKI cloud Microsoft autorité de certification racine : déployez PKI cloud Microsoft en utilisant la racine et en émettant des autorités de certification dans le cloud.
ByOCA (Apportez votre propre autorité de certification) : déployez PKI cloud Microsoft à l’aide de votre propre autorité de certification privée.
Avec l’approche de l’autorité de certification racine PKI cloud Microsoft, vous pouvez créer un ou plusieurs indicateurs de performance clés au sein d’un seul locataire Intune. Le déploiement PKI cloud de cette façon crée une hiérarchie à deux niveaux, de sorte que vous pouvez avoir plusieurs autorités de certification émettrices subordonnées à l’autorité de certification racine. Ces autorités de certification ne sont pas publiques. Au lieu de cela, vous créez l’autorité de certification racine et les autorités de certification émettrices dans le cloud, privées au locataire Intune. L’autorité de certification émettrice émet des certificats pour les appareils gérés Intune à l’aide du profil de certificat SCEP de configuration d’appareil.
Vous pouvez également apporter votre propre autorité de certification (BYOCA). Avec cette approche, vous déployez PKI cloud Microsoft à l’aide de votre propre autorité de certification privée. Cette option vous oblige à créer une autorité de certification émettrice dans le cloud qui est privée pour le locataire Intune. L’autorité de certification émettrice est ancrée à une autorité de certification privée, telle que les services de certificats Active Directory (ADCS). Lorsque vous créez une autorité de certification émettrice PKI cloud BYOCA, une demande de signature de certificat (CSR) est également créée dans Intune. Votre autorité de certification privée est requise pour signer la demande de signature de certificat.
Avant de commencer
Il est important de passer en revue et de comprendre les chaînes d’approbation de certificats avant de commencer le déploiement. Pour plus d’informations sur les concepts et les principes fondamentaux de l’infrastructure à clé publique, consultez notions de base PKI cloud Microsoft.
Identifier les parties de confiance
Identifiez vos parties de confiance. La partie de confiance est un utilisateur ou un système qui consomme les certificats générés par une infrastructure à clé publique. Voici quelques exemples de parties de confiance :
- Un point d’accès Wi-Fi à l’aide de l’authentification basée sur un certificat radius.
- Un serveur VPN qui authentifie un utilisateur distant.
- Un utilisateur qui visite un site web protégé TLS/LLS dans un navigateur web.
Déterminer l’emplacement de l’ancre d’approbation
Déterminez l’emplacement de l’ancre d’approbation racine. Une ancre d’approbation est un certificat d’autorité de certification, ou la clé publique d’une autorité de certification, utilisé par une partie de confiance comme point de départ pour la validation de l’approbation de certificat ou du chemin d’accès. Une partie de confiance peut avoir une ou plusieurs ancres d’approbation dérivées de plusieurs sources. Une ancre d’approbation peut être la clé publique de l’autorité de certification racine ou la clé publique de l’autorité de certification qui émet un certificat d’entité finale à la partie de confiance.
Garantir la chaîne d’approbation
Lorsque vous utilisez des certificats pour effectuer l’authentification basée sur les certificats, vérifiez que les deux parties de confiance disposent de la chaîne d’approbation des certificats d’autorité de certification (qui inclut les clés publiques et l’autorité de certification racine) de tous les certificats impliqués dans une conversation BASÉE sur TLS/SSL. Dans ce contexte, les parties de confiance sont les suivantes :
- Appareils gérés par Intune.
- Services d’authentification utilisés par les services Wi-Fi, VPN ou web.
Si le certificat d’autorité de certification émettrice est manquant, une partie de confiance peut le demander via la propriété AIA (Authority Information Access) dans le certificat à l’aide du moteur de chaînage de certificats de la plateforme de système d’exploitation native.
Remarque
Lors de la connexion à une partie de confiance telle qu’un point d’accès Wi-Fi ou un serveur VPN, une connexion TLS/SSL est d’abord établie par l’appareil Intune géré lors de la tentative de connexion. PKI cloud Microsoft ne fournit pas ces certificats TLS/SSL. Vous devez obtenir ces certificats par le biais d’un autre service pKI ou d’autorité de certification. Par conséquent, lorsque vous créez un profil Wi-Fi ou VPN, vous devez également créer un profil de certificat approuvé et l’affecter à des appareils gérés pour approuver la connexion TLS/SSL. Le profil de certificat approuvé doit contenir les clés publiques pour la racine et les autorités de certification émettrices responsables de l’émission du certificat TLS/SSL.
Options de déploiement
Cette section décrit les options de déploiement prises en charge Microsoft Intune pour PKI cloud Microsoft.
Il existe des méthodes pour déployer des certificats d’autorité de certification sur des parties de confiance non gérées par Intune. Les parties de confiance telles que les serveurs radius, les points d’accès Wi-Fi, les serveurs VPN et les serveurs d’applications web prenant en charge l’authentification basée sur les certificats.
Si la partie de confiance est membre d’un domaine Active Directory, utilisez stratégie de groupe pour déployer des certificats d’autorité de certification. Pour plus d’informations, reportez-vous aux rubriques suivantes :
- Distribuer des certificats à des ordinateurs clients à l’aide de stratégie de groupe
- Inscrire automatiquement un appareil Windows à l’aide de stratégie de groupe
Si la partie de confiance n’est pas membre de domaine Active Directory, vérifiez que la chaîne d’approbation de certificat d’autorité de certification pour la racine PKI cloud Microsoft et l’autorité de certification émettrice est installée dans le magasin de sécurité de la partie de confiance. Le magasin de sécurité approprié varie en fonction de la plateforme du système d’exploitation et de l’application d’hébergement fournissant le service.
Considérez également la configuration logicielle de la partie de confiance nécessaire pour prendre en charge d’autres autorités de certification.
Option 1 : PKI cloud Microsoft l’autorité de certification racine
Pendant un déploiement d’autorité de certification racine PKI cloud, le certificat racine PKI cloud doit être déployé sur toutes les parties de confiance. Si un certificat d’autorité de certification émettrice n’est pas présent sur une partie de confiance, la partie de confiance peut automatiquement le récupérer et l’installer en lançant la découverte de certificat. Ce processus, appelé moteur de chaînage de certificats (CCE), est propre à la plateforme et utilisé pour récupérer le certificat parent manquant. L’URL du certificat d’autorité de certification émettrice se trouve dans la propriété AIA d’un certificat feuille (certificat émis à l’appareil à l’aide d’une PKI cloud autorité de certification émettrice). Une partie de confiance peut utiliser la propriété AIA pour récupérer des certificats d’autorité de certification parents. Le processus est similaire au téléchargement de la liste de révocation de certificats.
Remarque
Le système d’exploitation Android exige que les serveurs retournent une chaîne de certificats entière et n’effectue pas de découverte de certificat suivant les chemins AIA. Pour plus d’informations, consultez la documentation pour les développeurs Android. Veillez à déployer la chaîne de certificats complète sur les appareils gérés par Android et les parties de confiance.
Intune appareils gérés, quelle que soit la plateforme du système d’exploitation, nécessitent la chaîne d’approbation de certificat d’autorité de certification suivante.
| Type de certificat d’autorité de certification | Chaîne d’approbation de certificat d’autorité de certification | Méthode de déploiement |
|---|---|---|
| certificat d’autorité de certification PKI cloud | Certificat d’autorité de certification racine requis, émission d’une autorité de certification facultative mais recommandée | Intune profil de configuration de certificat approuvé |
| Certificat d’autorité de certification privée | Certificat d’autorité de certification racine requis, l’émission du certificat d’autorité de certification est facultative, mais recommandée | Intune profil de configuration de certificat approuvé |
Les parties de confiance nécessitent la chaîne d’approbation de certificat d’autorité de certification suivante.
| Type de certificat d’autorité de certification | Chaîne d’approbation de certificat d’autorité de certification | Méthode de déploiement |
|---|---|---|
| certificat d’autorité de certification PKI cloud | Certificat d’autorité de certification racine requis, émission d’une autorité de certification facultative mais recommandée | Si le serveur ou le service de la partie de confiance est un serveur membre dans le domaine Active Directory (AD), utilisez stratégie de groupe pour déployer des certificats d’autorité de certification. S’il n’est pas dans le domaine AD, une méthode d’installation manuelle peut être nécessaire. |
| Certificat d’autorité de certification privée | Certificat d’autorité de certification racine requis, émission du certificat d’autorité de certification facultatif mais recommandé | Si le serveur ou le service de la partie de confiance est un serveur membre dans le domaine Active Directory (AD), utilisez stratégie de groupe pour déployer des certificats d’autorité de certification. S’il n’est pas dans le domaine AD, une méthode d’installation manuelle peut être nécessaire. |
Le diagramme suivant montre les certificats en action pour les clients et les parties de confiance.
Le diagramme suivant montre les chaînes d’approbation de certificats d’autorité de certification respectives qui doivent être déployées sur des appareils gérés et des parties de confiance. Les chaînes d’approbation de l’autorité de certification garantissent PKI cloud certificats émis aux appareils gérés par Intune sont approuvés et peuvent être utilisés pour s’authentifier auprès de parties de confiance.
Option 2 : Apportez votre propre autorité de certification (BYOCA)
Pendant un déploiement apportez votre propre autorité de certification, l’appareil géré Intune a besoin des certificats d’autorité de certification suivants :
- Chaîne d’approbation d’autorité de certification privée, y compris les certificats d’autorité de certification racine et d’émission, de l’autorité de certification responsable de la signature du CSR BYOCA.
- Certificat d’autorité de certification émettrice BYOCA.
Toutes les parties de confiance doivent déjà avoir la chaîne de certificats d’autorité de certification privée.
Intune appareils gérés, quelle que soit la plateforme du système d’exploitation, nécessitent la chaîne d’approbation de certificat d’autorité de certification suivante.
| Type de certificat d’autorité de certification | Chaîne d’approbation de certificat d’autorité de certification | Méthode de déploiement |
|---|---|---|
| certificat d’autorité de certification PKI cloud | Émission d’une autorité de certification facultative mais recommandée | Intune profil de configuration de certificat approuvé |
| Certificat d’autorité de certification privée | Certificat d’autorité de certification racine requis, émission d’une autorité de certification facultative mais recommandée | Intune profil de configuration de certificat approuvé |
La partie de confiance doit déjà disposer de la chaîne de certificats d’autorité de certification privée. Toutefois, le certificat d’autorité de certification émettrice BYOCA doit également être déployé sur des parties de confiance. Si la partie de confiance est un serveur membre dans domaine Active Directory, utilisez l’objet de stratégie de groupe comme méthode de déploiement.
Remarque
Si le PKI cloud certificat d’autorité de certification émis par BYOCA n’est pas déployé sur la plateforme de partie de confiance, la propriété AIA (URL) du certificat SCEP émis PKI cloud (certificat d’entité finale/feuille) peut être utilisée par le CCE de la partie de confiance pour demander et installer le certificat d’autorité de certification PKI cloud BYOCA émettrice (clé publique) dans son magasin d’approbations. Toutefois, ce comportement n’est pas garanti et dépend de chaque implémentation de système d’exploitation/plateforme du CCE. Il est recommandé de déployer le certificat d’autorité de certification émettrice BYOCA sur l’appareil géré et la partie de confiance.
Les parties de confiance approuvent l’PKI cloud certificat SCEP émis par BYOCA à l’appareil géré, car il est lié à la chaîne d’approbation de l’autorité de certification privée déjà présente sur la partie de confiance.
Le diagramme suivant illustre la façon dont les chaînes d’approbation de certificats d’autorité de certification respectives sont déployées sur Intune appareils gérés.
* Dans ce diagramme, private fait référence au service de certificats Active Directory ou à un service non-Microsoft.
Résumé
PKI cloud autorités de certification racine et émettrices, et les autorités de certification émettrices BYOCA ancrées à une autorité de certification privée, peuvent exister dans le même locataire, car PKI cloud peut prendre en charge les deux modèles de déploiement simultanément.
Avant de commencer un déploiement et d’émettre des certificats, déterminez l’emplacement de l’ancre d’approbation racine. Il peut s’agir de l’autorité de certification racine PKI cloud ou de l’autorité de certification racine privée. L’emplacement détermine la chaîne d’approbation de certificats requise par les appareils gérés Intune et les parties de confiance.
- PKI cloud’autorité de certification racine : vous devez déployer la chaîne d’approbation de certificat PKI cloud, qui est constituée de la & racine émettrice des clés publiques de l’autorité de certification, sur toutes les parties de confiance.
- PKI cloud autorité de certification émettrice BYOCA à l’aide d’une autorité de certification racine privée : la chaîne approuvée du certificat d’autorité de certification privée, qui est constituée de l’autorité de certification racine et de l’autorité de certification émettrice, doit déjà être déployée sur des parties de confiance dans toute votre infrastructure. Bien que cela ne soit pas obligatoire, nous vous recommandons de créer un certificat d’autorité de certification PKI cloud BYOCA.