Utiliser des certificats pour l’authentification dans Microsoft Intune
Utilisez des certificats avec Intune pour authentifier vos utilisateurs dans les applications et les ressources de l’entreprise avec des profils VPN, Wi-Fi ou e-mail. Quand vous utilisez des certificats pour authentifier ces connexions, vos utilisateurs finaux n’ont pas besoin d’entrer un nom d’utilisateur et un mot de passe, ce qui leur permet de bénéficier d’un accès transparent. Les certificats sont également utilisés pour signer et chiffrer les e-mails à l’aide de S/MIME.
Présentation des certificats avec Intune
Les certificats fournissent un accès authentifié sans délai par le biais des deux phases suivantes :
- Phase d’authentification : l’authenticité de l’utilisateur est vérifiée afin de confirmer qu’il est bien celui qu’il prétend être.
- Phase d’autorisation : l’utilisateur est soumis à des conditions dont le respect ou le non-respect détermine si l’accès doit lui être accordé ou refusé.
Les scénarios d’utilisation classiques pour les certificats sont les suivants :
- Authentification réseau (par exemple 802.1 x) avec des certificats d’appareil ou d’utilisateur
- Authentification auprès de serveurs VPN à l’aide de certificats d’appareil ou d’utilisateur
- Signature d’e-mail basée sur des certificats utilisateur
Intune prend en charge SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) et les certificats PKCS importés comme méthodes pour provisionner des certificats sur des appareils. Les différentes méthodes de provisionnement ont des exigences et des résultats différents. Par exemple :
- SCEP provisionne des certificats qui sont uniques à chaque demande du certificat.
- PKCS provisionne chaque appareil avec un certificat unique.
- Avec PKCS importé, vous pouvez déployer le même certificat que celui que vous avez exporté à partir d’une source, comme un serveur de messagerie, vers plusieurs destinataires. Ce certificat partagé est utile pour garantir que tous vos utilisateurs ou appareils peuvent ensuite déchiffrer les e-mails qui ont été chiffrés par ce certificat.
Pour provisionner un utilisateur ou un appareil avec un type spécifique de certificat, Intune utilise un profil de certificat.
Outre les trois types de certificats et méthodes de provisionnement, vous aurez besoin d’un certificat racine approuvé délivré par une autorité de certification approuvée. L’autorité de certification peut être une autorité de certification Microsoft locale ou une autorité de certification tierce. Le certificat racine approuvé établit une approbation entre l’appareil et votre autorité de certification racine ou intermédiaire (émettrice) à partir de laquelle les autres certificats sont émis. Pour déployer ce certificat, vous utilisez le profil de certificat approuvé et vous le déployez sur les mêmes appareils et utilisateurs que ceux qui recevront les profils de certificat pour SCEP, PKCS et PKCS importé.
Conseil
Intune prend également en charge l’utilisation d’informations d’identification dérivées pour les environnements qui nécessitent l’utilisation de cartes à puce.
Éléments nécessaires pour utiliser des certificats
- Une autorité de certification. Votre autorité de certification est la source de confiance que les certificats référencent pour l’authentification. Vous pouvez utiliser une autorité de certification Microsoft ou une autorité de certification tierce
- Infrastructure locale. L’infrastructure dont vous aurez besoin dépend des types de certificats que vous utiliserez :
- Un certificat racine approuvé. Avant de déployer des profils de certificat SCEP ou PKCS, déployez le certificat racine approuvé à partir de votre autorité de certification à l’aide d’un profil de certificat approuvé. Ce profil permet d’établir l’approbation entre l’appareil et l’autorité de certification, et il est requis par les autres profils de certificat.
Une fois qu’un certificat racine approuvé est déployé, vous êtes prêt à déployer des profils de certificat afin de provisionner des utilisateurs et des appareils avec des certificats pour l’authentification.
Quel profil de certificat utiliser ?
Les comparaisons suivantes ne sont pas exhaustives, mais elles vous aideront à distinguer l’utilisation des différents types de profils de certificat.
| Type de profil | Détails |
|---|---|
| Certificat approuvé | Sert à déployer la clé publique (certificat) d’une autorité de certification racine ou intermédiaire vers des utilisateurs et des appareils afin d’établir une relation d’approbation avec l’autorité de certification source. D’autres profils de certificat nécessitent le profil de certificat approuvé et son certificat racine. |
| Certificat SCEP | Déploie un modèle pour une demande de certificat sur des utilisateurs et des appareils. Chaque certificat provisionné à l’aide de SCEP est unique et lié à l’utilisateur ou à l’appareil qui demande le certificat. Avec SCEP, vous pouvez déployer des certificats sur des appareils qui ne disposent pas d’une affinité utilisateur, notamment utiliser SCEP pour provisionner un certificat sur un kiosque ou un appareil sans utilisateur. |
| Certificat PKCS | Déploie un modèle pour une demande de certificat qui spécifie un type de certificat d’utilisateur ou d’appareil. - Les demandes pour un type de certificat d’utilisateur nécessitent toujours une affinité utilisateur. Lors du déploiement sur un utilisateur, chacun des appareils de l’utilisateur reçoit un certificat unique. Quand il est déployé sur un appareil avec un utilisateur, cet utilisateur est associé au certificat pour cet appareil. Quand il est déployé sur un appareil sans utilisateur, aucun certificat n’est provisionné. - Les modèles avec un type de certificat d’appareil ne nécessitent pas d’affinité utilisateur pour provisionner un certificat. Le déploiement sur un appareil provisionne l’appareil. Le déploiement sur un utilisateur provisionne l’appareil auquel l’utilisateur se connecte avec un certificat. |
| Certificat importé PKCS | Déploie un certificat unique sur plusieurs appareils et utilisateurs, ce qui permet de prendre en charge des scénarios tels que le chiffrement et la signature S/MIME. Par exemple, en déployant le même certificat sur chaque appareil, chaque appareil peut déchiffrer les e-mails reçus à partir du même serveur de messagerie. Les autres méthodes de déploiement de certificat sont insuffisantes pour ce scénario, car SCEP crée un certificat unique pour chaque demande, et PKCS associe un certificat différent pour chaque utilisateur, différents utilisateurs recevant différents certificats. |
Certificats pris en charge par Intune et utilisation
| Type | Authentification | Signature S/MIME | Chiffrement S/MIME |
|---|---|---|---|
| Certificat importé PKCS (Public Key Cryptography Standards) |  |
|
|
| PKCS#12 (ou PFX) | |
|
|
| Protocole SCEP (Simple Certificate Enrollment Protocol) | |
|
Pour déployer ces certificats, vous créez des profils de certificat et les attribuez à des appareils.
Chaque profil de certificat que vous créez prend en charge une seule plateforme. Par exemple, si vous utilisez des certificats PKCS, vous créez un profil de certificat PKCS pour Android et un autre profil de certificat PKCS pour iOS/iPadOS. Si vous utilisez également des certificats SCEP pour ces deux plateformes, vous créez un profil de certificat SCEP pour Android et un autre pour iOS/iPadOS.
Considérations générales relatives à l’utilisation d’une autorité de certification Microsoft
Quand vous utilisez une autorité de certification Microsoft (CA) :
Pour utiliser des profils de certificat SCEP :
- Configurez un serveur de service d’inscription de périphérique réseau (NDES) pour une utilisation avec Intune.
- Installez Certificate Connector pour Microsoft Intune.
Pour utiliser des profils de certificat PKCS :
Pour utiliser les certificats PKCS importés :
- Installez Certificate Connector pour Microsoft Intune.
- Exportez les certificats de l’autorité de certification, puis importez-les dans Microsoft Intune. Consultez le projet PowerShell PFXImport.
Déployez des certificats à l’aide des mécanismes suivants :
- Profils de certificat approuvés pour déployer le certificat d’autorité de certification racine approuvé de votre autorité de certification racine ou intermédiaire (émettrice) sur les appareils
- Profils de certificat SCEP
- Profils de certificat PKCS
- Profils de certificat PKCS importés
Considérations générales relatives à l’utilisation d’une autorité de certification tierce
Quand vous utilisez une autorité de certification tierce (hors Microsoft) :
Pour utiliser des profils de certificat SCEP :
- Configurez l’intégration avec une autorité de certification tierce à partir de l’un de nos partenaires pris en charge. La configuration comprend les instructions de l’autorité de certification tierce pour terminer l’intégration de leur autorité de certification à Intune.
- Créez une application dans Azure AD qui délègue des droits à Intune pour effectuer la validation de demande de certificat SCEP.
Les certificats importés PKCS nécessitent l’installation de Certificate Connector pour Microsoft Intune.
Déployez des certificats à l’aide des mécanismes suivants :
- Profils de certificat approuvés pour déployer le certificat d’autorité de certification racine approuvé de votre autorité de certification racine ou intermédiaire (émettrice) sur les appareils
- Profils de certificat SCEP
- Profils de certificat PKCS (pris en charge uniquement avec la plateforme DigiCert PKI)
- Profils de certificat PKCS importés
Profils de certificat et plateformes prises en charge
| Plateforme | Profil de certificat approuvé | Profil de certificat PKCS | Profil de certificat SCEP | Profil de certificat PKCS importé |
|---|---|---|---|---|
| Administrateur d’appareils Android | (Voir la Remarque 1) |
|
|
|
| Android Entreprise - Entièrement géré (propriétaire de l’appareil) |
|
|
|
|
| Android Entreprise - Dédié (propriétaire de l’appareil) |
|
|
|
|
| Android Entreprise - Profil professionnel appartenant à l’entreprise |
|
|
|
|
| Android Entreprise - Profil professionnel appartenant à l’utilisateur |
|
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 et versions ultérieures | |
|
||
| Windows 10/11 | (voir Remarque 2) |
(voir Remarque 2) |
(voir Remarque 2) |
|
- Remarque 1 : À compter d’Android 11, les profils de certificat approuvé ne peuvent plus installer le certificat racine approuvé sur les appareils inscrits en tant qu’administrateur d’appareil Android. Cette limitation ne s’applique pas à Samsung Knox. Pour plus d’informations sur cette limitation, consultez Profils de certificat approuvés pour l’administrateur d’appareil Android.
- Remarque 2 - Ce profil est pris en charge pour les bureaux à distance Windows Entreprise multisession.
Importante
Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.
Si vous utilisez actuellement Windows 8.1, nous vous recommandons de passer aux appareils Windows 10/11. Microsoft Intune dispose de fonctionnalités intégrées de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.
Prochaines étapes
Plus de ressources
Créer des profils de certificat :
- Configurer un profil de certificat approuvé
- Configurer l’infrastructure pour prendre en charge les certificats SCEP avec Intune
- Configurer et gérer les certificats PKCS avec Intune
- Créer un profil de certificat PKCS importé
En savoir plus sur Certificate Connector pour Microsoft Intune