Utiliser des certificats pour l’authentification dans Microsoft Intune
Utilisez des certificats avec Intune pour authentifier vos utilisateurs dans les applications et les ressources de l’entreprise avec des profils VPN, Wi-Fi ou e-mail. Lorsque vous utilisez des certificats pour authentifier ces connexions, vos utilisateurs finaux n’ont pas besoin d’entrer des noms d’utilisateur et des mots de passe, ce qui peut rendre leur accès transparent. Les certificats sont également utilisés pour signer et chiffrer les e-mails à l’aide de S/MIME.
Présentation des certificats avec Intune
Les certificats fournissent un accès authentifié sans délai par le biais des deux phases suivantes :
- Phase d’authentification : l’authenticité de l’utilisateur est vérifiée afin de confirmer qu’il est bien celui qu’il prétend être.
- Phase d’autorisation : l’utilisateur est soumis à des conditions dont le respect ou le non-respect détermine si l’accès doit lui être accordé ou refusé.
Les scénarios d’utilisation classiques pour les certificats sont les suivants :
- Authentification réseau (par exemple 802.1 x) avec des certificats d’appareil ou d’utilisateur
- Authentification auprès de serveurs VPN à l’aide de certificats d’appareil ou d’utilisateur
- Signature d’e-mail basée sur des certificats utilisateur
Intune prend en charge SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) et les certificats PKCS importés comme méthodes pour provisionner des certificats sur des appareils. Les différentes méthodes de provisionnement ont des exigences et des résultats différents. Par exemple :
- SCEP provisionne des certificats qui sont uniques à chaque demande du certificat.
- PKCS provisionne chaque appareil avec un certificat unique.
- Avec PKCS importé, vous pouvez déployer le même certificat que celui que vous avez exporté à partir d’une source, comme un serveur de messagerie, vers plusieurs destinataires. Ce certificat partagé est utile pour garantir que tous vos utilisateurs ou appareils peuvent ensuite déchiffrer les e-mails qui ont été chiffrés par ce certificat.
Pour provisionner un utilisateur ou un appareil avec un type spécifique de certificat, Intune utilise un profil de certificat.
En plus des trois types de certificats et méthodes d’approvisionnement, vous avez besoin d’un certificat racine approuvé auprès d’une autorité de certification approuvée. L’autorité de certification peut être une autorité de certification Microsoft locale ou une autorité de certification tierce. Le certificat racine approuvé établit une approbation entre l’appareil et votre autorité de certification racine ou intermédiaire (émettrice) à partir de laquelle les autres certificats sont émis. Pour déployer ce certificat, vous utilisez le profil de certificat approuvé et le déployez sur les mêmes appareils et utilisateurs que ceux qui reçoivent les profils de certificat pour SCEP, PKCS et PKCS importé.
Conseil
Intune prend également en charge l’utilisation d’informations d’identification dérivées pour les environnements qui nécessitent l’utilisation de cartes à puce.
Éléments nécessaires pour utiliser des certificats
- Une autorité de certification. Votre autorité de certification est la source de confiance que les certificats référencent pour l’authentification. Vous pouvez utiliser une autorité de certification Microsoft ou une autorité de certification tierce
- Infrastructure locale. L’infrastructure dont vous avez besoin dépend des types de certificats que vous utilisez :
- Un certificat racine approuvé. Avant de déployer des profils de certificat SCEP ou PKCS, déployez le certificat racine approuvé à partir de votre autorité de certification à l’aide d’un profil de certificat approuvé. Ce profil permet d’établir l’approbation entre l’appareil et l’autorité de certification, et il est requis par les autres profils de certificat.
Avec un certificat racine approuvé déployé, vous êtes prêt à déployer des profils de certificat pour provisionner des utilisateurs et des appareils avec des certificats pour l’authentification.
Quel profil de certificat utiliser ?
Les comparaisons suivantes ne sont pas exhaustives, mais elles vous aideront à distinguer l’utilisation des différents types de profils de certificat.
| Type de profil | Détails |
|---|---|
| Certificat approuvé | Sert à déployer la clé publique (certificat) d’une autorité de certification racine ou intermédiaire vers des utilisateurs et des appareils afin d’établir une relation d’approbation avec l’autorité de certification source. D’autres profils de certificat nécessitent le profil de certificat approuvé et son certificat racine. |
| Certificat SCEP | Déploie un modèle pour une demande de certificat sur des utilisateurs et des appareils. Chaque certificat provisionné à l’aide de SCEP est unique et lié à l’utilisateur ou à l’appareil qui demande le certificat.
Avec SCEP, vous pouvez déployer des certificats sur des appareils qui n’ont pas d’affinité utilisateur, y compris l’utilisation de SCEP pour provisionner un certificat sur KIOSK ou sur un appareil sans utilisateur. |
| Certificat PKCS | Déploie un modèle pour une demande de certificat qui spécifie un type de certificat d’utilisateur ou d’appareil.
- Les demandes pour un type de certificat d’utilisateur nécessitent toujours une affinité utilisateur. Lors du déploiement sur un utilisateur, chacun des appareils de l’utilisateur reçoit un certificat unique. Quand il est déployé sur un appareil avec un utilisateur, cet utilisateur est associé au certificat pour cet appareil. Quand il est déployé sur un appareil sans utilisateur, aucun certificat n’est provisionné. - Les modèles avec un type de certificat d’appareil ne nécessitent pas d’affinité utilisateur pour provisionner un certificat. Le déploiement sur un appareil provisionne l’appareil. Le déploiement sur un utilisateur provisionne l’appareil auquel l’utilisateur se connecte avec un certificat. |
| Certificat importé PKCS | Déploie un certificat unique sur plusieurs appareils et utilisateurs, ce qui permet de prendre en charge des scénarios tels que le chiffrement et la signature S/MIME. Par exemple, en déployant le même certificat sur chaque appareil, chaque appareil peut déchiffrer les e-mails reçus à partir du même serveur de messagerie.
D’autres méthodes de déploiement de certificat sont insuffisantes pour ce scénario, car SCEP crée un certificat unique pour chaque requête et PKCS associe un certificat différent pour chaque utilisateur, avec différents utilisateurs recevant des certificats différents. |
Certificats pris en charge par Intune et utilisation
| Type | Authentification | Signature S/MIME | Chiffrement S/MIME |
|---|---|---|---|
| Certificat importé PKCS (Public Key Cryptography Standards) |
|
|
|
| PKCS#12 (ou PFX) |
|
|
|
| Protocole SCEP (Simple Certificate Enrollment Protocol) |
|
|
Pour déployer ces certificats, créez et affectez des profils de certificat aux appareils.
Chaque profil de certificat que vous créez prend en charge une seule plateforme. Par exemple, si vous utilisez des certificats PKCS, vous créez un profil de certificat PKCS pour Android et un profil de certificat PKCS distinct pour iOS/iPadOS. Si vous utilisez également des certificats SCEP pour ces deux plateformes, vous créez un profil de certificat SCEP pour Android et un autre pour iOS/iPadOS.
Considérations générales relatives à l’utilisation d’une autorité de certification Microsoft
Quand vous utilisez une autorité de certification Microsoft (CA) :
Pour utiliser des profils de certificat SCEP :
- Configurez un serveur de service d’inscription de périphérique réseau (NDES) pour une utilisation avec Intune.
- Installez Certificate Connector pour Microsoft Intune.
Pour utiliser des profils de certificat PKCS :
Pour utiliser les certificats PKCS importés :
- Installez Certificate Connector pour Microsoft Intune.
- Exportez les certificats de l’autorité de certification, puis importez-les dans Microsoft Intune. Consultez le projet PowerShell PFXImport.
Déployez des certificats à l’aide des mécanismes suivants :
- Profils de certificat approuvés pour déployer le certificat d’autorité de certification racine approuvé de votre autorité de certification racine ou intermédiaire (émettrice) sur les appareils
- Profils de certificat SCEP
- Profils de certificat PKCS
- Profils de certificat PKCS importés
Considérations générales relatives à l’utilisation d’une autorité de certification tierce
Quand vous utilisez une autorité de certification tierce (hors Microsoft) :
Les profils de certificat SCEP ne nécessitent pas l’utilisation du Microsoft Intune Certificate Connector. Au lieu de cela, l’autorité de certification tierce gère directement l’émission et la gestion des certificats. Pour utiliser des profils de certificat SCEP sans le Intune Certificate Connector :
- Configurez l’intégration avec une autorité de certification tierce à partir de l’un de nos partenaires pris en charge. La configuration comprend les instructions de l’autorité de certification tierce pour terminer l’intégration de leur autorité de certification à Intune.
- Créez une application dans Microsoft Entra ID qui délègue des droits à Intune pour effectuer la validation de la demande de certificat SCEP.
Pour plus d’informations, consultez Configurer l’intégration d’une autorité de certification tierce.
Les certificats importés PKCS nécessitent l’utilisation du Microsoft Intune Certificate Connector. Consultez Installer Certificate Connector pour Microsoft Intune.
Déployez des certificats à l’aide des mécanismes suivants :
- Profils de certificat approuvés pour déployer le certificat d’autorité de certification racine approuvé de votre autorité de certification racine ou intermédiaire (émettrice) sur les appareils
- Profils de certificat SCEP
- Profils de certificat PKCS (pris en charge uniquement avec la plateforme DigiCert PKI)
- Profils de certificat PKCS importés
Profils de certificat et plateformes prises en charge
| Plateforme | Profil de certificat approuvé | Profil de certificat PKCS | Profil de certificat SCEP | Profil de certificat PKCS importé |
|---|---|---|---|---|
| Administrateur d’appareils Android |
(voir Remarque 1) |
|
|
|
| Android Enterprise - Entièrement géré (Propriétaire de l’appareil) |
|
|
|
|
| Android Enterprise - Dedicated (Propriétaire de l’appareil) |
|
|
|
|
| Android Enterprise - profil professionnel Corporate-Owned |
|
|
|
|
| Android Enterprise - profil professionnel Personally-Owned |
|
|
|
|
| Android (AOSP) |
|
|
|
|
| iOS/iPadOS |
|
|
|
|
| macOS |
|
|
|
|
| Windows 8.1 et versions ultérieures |
|
|
||
| Windows 10/11 |
(voir Remarque 2) |
(voir Remarque 2) |
(voir Remarque 2) |
|
- Remarque 1 : À compter d’Android 11, les profils de certificat approuvé ne peuvent plus installer le certificat racine approuvé sur les appareils inscrits en tant qu’administrateur d’appareil Android. Cette limitation ne s’applique pas à Samsung Knox. Pour plus d’informations sur cette limitation, consultez Profils de certificat approuvés pour l’administrateur d’appareil Android.
- Remarque 2 - Ce profil est pris en charge pour les bureaux à distance Windows Entreprise multisession.
Importante
Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.
Si vous utilisez actuellement Windows 8.1, passez aux appareils Windows 10/11. Microsoft Intune intègre des fonctionnalités de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.
Importante
Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 31 décembre 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.
Contenu connexe
Ressources complémentaires :
Créer des profils de certificat :
- Configurer un profil de certificat approuvé
- Configurer l’infrastructure pour prendre en charge les certificats SCEP avec Intune
- Configurer et gérer les certificats PKCS avec Intune
- Créer un profil de certificat PKCS importé
En savoir plus sur Certificate Connector pour Microsoft Intune