Configurer et utiliser des certificats PKCS avec Intune

Microsoft Intune prend en charge l’utilisation de certificats de paires de clé privée et publique (PKCS). Cet article passe en revue ce qui est nécessaire pour utiliser des certificats PKCS avec Intune, notamment l’exportation d’un certificat PKCS, puis son ajout à un profil de configuration d’appareil Intune.

Microsoft Intune inclut des paramètres intégrés afin d’utiliser les certificats PKCS pour l’accès aux ressources de votre organisation et l’authentification. Les certificats servent à authentifier et à sécuriser l’accès à vos ressources d’entreprise, telles qu’un réseau privé virtuel ou Wi-Fi. Vous déployez ces paramètres sur les appareils à l’aide de profils de configuration d’appareil dans Intune.

Pour plus d’informations sur l’utilisation des certificats PKCS importés, consultez Certificats PFX importés.

Conseil

Les profils de certificat PKCS sont pris en charge pour les bureaux à distance Windows 10 Entreprise multi session.

Configuration requise

Pour utiliser des certificats PKCS avec Intune, vous devez disposer de l’infrastructure suivante :

• Domaine Active Directory :
  tous les serveurs listés dans cette section doivent être joints à votre domaine Active Directory.

  Pour plus d’informations sur l’installation et la configuration des services AD DS (Active Directory Domain Services), consultez Planification et conception des services AD DS.

• Autorité de certification :
  autorité de certification d’entreprise.

  Pour obtenir des informations sur l’installation et la configuration des services de certificats Active Directory (AD CS), consultez Guide pas à pas des services de certificats Active Directory.

  Avertissement

  Intune impose d’exécuter AD CS avec une autorité de certification (AC) d’entreprise, et non avec une AC autonome.

• Un client :
  pour se connecter à l’autorité de certification d’entreprise.

• Certificat racine :
  Une copie exportée de votre certificat racine provenant de votre AC d’entreprise.

• Certificate Connector pour Microsoft Intune :

  Pour plus d’informations sur le connecteur de certificat, consultez :

  • La vue d’ensemble du connecteur Certificate Connector pour Microsoft Intune.
  • Configuration requise.
  • Installation et configuration.

Exporter le certificat racine à partir de l’AC d’entreprise

Pour l’authentification d’un appareil auprès d’un VPN, d’un réseau Wi-Fi ou d’autres ressources, cet appareil a besoin d’un certificat d’autorité de certification intermédiaire ou racine. Les étapes suivantes expliquent comment récupérer le certificat requis auprès de l’AC d’entreprise concernée.

Utiliser une ligne de commande :

1. Connectez-vous au serveur d’autorité de certification racine avec le compte Administrateur.

2. Accéder à Démarrer>Exécuter, puis entrer Cmd pour ouvrir l’invite de commandes.

3. Spécifiez certutil -ca.cert ca_name.cer pour exporter le certificat racine dans un fichier nommé ca_name.cer.

Configurer les modèles de certificats sur l’autorité de certification

1. Connectez-vous à votre AC d’entreprise avec un compte disposant de privilèges administratifs.

2. Ouvrir la console Autorité de certification, cliquer avec le bouton droit sur Modèles de certificats et sélectionner Gérer.

3. Recherchez le modèle de certificat Utilisateur, cliquez dessus avec le bouton droit et choisissez Dupliquer le modèle pour ouvrir Propriétés du nouveau modèle.

   Remarque

   Pour les scénarios de signature et de chiffrement des e-mails (S/MIME), de nombreux administrateurs utilisent des certificats différents pour la signature et le chiffrement. Si vous utilisez les Services de certificats Active Directory de Microsoft, vous pouvez utiliser le modèle Signature Exchange uniquement pour les certificats de signature des e-mails S/MIME, et le modèle Utilisateur Exchange pour les certificats de chiffrement S/MIME. Si vous utilisez une autorité de certification tierce, il est recommandé de lire les instructions qui s’y rapportent pour configurer les modèles de signature et de chiffrement.

4. Sous l’onglet Compatibilité :

   • Définir Autorité de certification sur Windows Server 2008 R2
   • Définir Destinataire du certificat sur Windows 7 / Server 2008 R2

5. Sur l'onglet Général:

   • définissez nom d’affichage du modèle sur quelque chose de significatif pour vous.
   • Décochez Publier le certificat dans Active Directory.

   Avertissement

   Par défaut, Nom du modèle est identique à Nom complet du modèle, sans les espaces. Noter le nom du modèle, vous en aurez besoin plus tard.

6. Dans Traitement de la demande, sélectionner Autoriser l’exportation de la clé privée.

   Remarque

   À la différence du protocole d’inscription de certificats simple (SCEP), avec PKCS, la clé privée de certificat est générée sur le serveur où le connecteur de certificat est installé, et non sur l’appareil. Le modèle de certificat doit autoriser l’exportation de la clé privée, pour que le connecteur puisse exporter le certificat PFX et l’envoyer à l’appareil.

   Quand les certificats sont installés sur l’appareil, la clé privée est signalée comme non exportable.

7. Dans Chiffrement, vérifier que la Taille de clé minimale a la valeur 2048.

   Les appareils Windows et Android prennent en charge l’utilisation de la taille de clé 4096 bits avec un profil de certificat PKCS. Pour utiliser cette taille de clé, spécifiez 4096 comme Taille de clé minimale.

   Remarque

   Pour les appareils Windows, le stockage de clés 4096 bits est pris en charge uniquement dans le fournisseur de stockage de clés logicielles (KSP). Les éléments suivants ne prennent pas en charge le stockage de clés de cette taille :

   • Module de plateforme sécurisée (TPM) matériel. Comme solution de contournement, vous pouvez utiliser le fournisseur de services KSP logiciel pour le stockage de clés.
   • Windows Hello Entreprise. Il n’existe aucune solution de contournement pour Windows Hello Entreprise pour l’instant.

8. Dans Nom du sujet, choisissez Fournir dans la requête.

9. Dans Extensions, vérifier que vous voyez bien Système de fichiers EFS, Messagerie sécurisée et Authentification client sous Stratégies d’application.

   Importante

   Pour les modèles de certificats iOS/iPadOS, accéder à l’onglet Extensions, mettre à jour Utilisation de la clé et vérifier que l’option Signature faisant preuve de l’origine n’est pas sélectionnée.

10. Dans Sécurité :

    1. (Obligatoire) : ajoutez le compte d’ordinateur pour le serveur sur lequel vous installez Certificate Connector pour Microsoft Intune. Accorder les autorisations Lecture et Inscription à ce compte.
    2. (Facultatif, mais recommandé) : supprimez le groupe Utilisateurs du domaine de la liste des groupes ou des noms d’utilisateurs autorisés sur ce modèle en sélectionnant le groupe Utilisateurs du domaine , puis sélectionnez Supprimer. Passez en revue les autres entrées dans Groupes ou noms d’utilisateur pour connaître les autorisations et l’applicabilité à votre environnement.

11. Sélectionner Appliquer>OK pour enregistrer le modèle de certificat. Fermez la Console Modèles de certificat.

12. Dans la console Autorité de certification, cliquer avec le bouton droit sur Modèles de certificats>Nouveau>Modèle de certificat à délivrer. Choisir le modèle que vous avez créé dans les étapes précédentes. Sélectionnez OK.

13. Pour que le serveur gère les certificats pour les utilisateurs et appareils inscrits, suivez ces étapes :

    1. Cliquer avec le bouton droit sur l’autorité de certification et sélectionner Propriétés.
    2. Sous l’onglet Sécurité, ajoutez le compte d’ordinateur du serveur sur lequel vous exécutez le connecteur.
    3. Accorder les autorisations Émettre et gérer des certificats et Demander des certificats au compte d’ordinateur.

14. Déconnectez-vous de l’AC d’entreprise.

Télécharger, installer et configurer le connecteur Certificate Connector pour Microsoft Intune

Pour obtenir de l’aide, consultez Installer et configurer le connecteur Certificate Connector pour Microsoft Intune.

Créer un profil de certificat approuvé

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Sélectionnez et accédez àConfiguration>des appareils>Créer.

3. Entrez les propriétés suivantes :

   • Plateforme : choisir la plateforme des appareils qui recevront ce profil.
     • Administrateur d’appareils Android
     • Android Enterprise :
       • Entièrement géré
       • Dédié
       • Profil professionnel appartenant à l’entreprise
       • Profil professionnel appartenant à l’utilisateur
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Profil : Sélectionner Certificat approuvé. Vous pouvez également sélectionner Modèles>Certificat approuvé.

4. Sélectionnez Créer.

5. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le profil. Nommer vos profils afin de pouvoir les identifier facilement ultérieurement. Par exemple, Profil de certificat approuvé pour toute l’entreprise est un bon nom de profil.
   • Description : entrer une description pour le profil. Ce paramètre est facultatif, mais recommandé.

6. Sélectionnez Suivant.

7. Dans les Paramètres de configuration, spécifiez le fichier .cer pour le certificat d’autorité de certification que vous avez précédemment exporté.

   Remarque

   En fonction de la plateforme que vous avez choisie à l’Étape 3, vous n’aurez pas forcément la possibilité de choisir le Magasin de destination du certificat.

   

8. Sélectionnez Suivant.

9. Dans Affectations, sélectionnez le ou les groupes d’appareils ou d’utilisateurs qui seront affectés au profil. Pour plus de granularité, consultez Créer des filtres Microsoft Intune et appliquez-les en sélectionnant Modifier le filtre.

   Prévoyez de déployer ce profil de certificat dans les groupes qui reçoivent le profil de certificat PKCS et qui reçoivent un profil de configuration comme un profil de Wi-Fi qui utilise le certificat. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

   Sélectionnez Suivant.

10. (S’applique uniquement à Windows 10/11) Dans Règles de mise en application, spécifiez des règles de mise en application pour affiner l’affectation de ce profil. Vous pouvez choisir d’affecter ou non le profil en fonction de l’édition du système d’exploitation ou de la version d’un appareil.

    Pour plus d’informations, consultez Règles de mise en application dans Créer un profil d’appareil dans Microsoft Intune.

11. Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.

Créer un profil de certificat PKCS

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Sélectionnez et accédez àConfiguration>des appareils>Créer.

3. Entrez les propriétés suivantes :

   • Plateforme: Choisissez la plateforme de vos appareils. Les options disponibles sont les suivantes :
     • Administrateur d’appareils Android
     • Android Enterprise :
       • Entièrement géré
       • Dédié
       • Profil professionnel appartenant à l’entreprise
       • Profil professionnel appartenant à l’utilisateur
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Profil : sélectionner Certificat PKCS. Ou sélectionner Modèles>Certificat PKCS.

   Remarque

   Sur les appareils dotés d’un profil Android Entreprise, les certificats installés à l’aide d’un profil de certificat PKCS ne sont pas visibles sur l’appareil. Pour confirmer la réussite du déploiement de certificat, case activée la status du profil dans le Centre d’administration Intune.

4. Sélectionnez Créer.

5. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le profil. Nommer vos profils afin de pouvoir les identifier facilement ultérieurement. Par exemple, un nom de profil approprié est Profil PKCS pour toute l’entreprise.
   • Description : entrer une description pour le profil. Ce paramètre est facultatif, mais recommandé.

6. Sélectionnez Suivant.

7. Dans Paramètres de configuration, selon la plateforme que vous choisissez, les paramètres que vous pouvez configurer diffèrent. Sélectionner votre plateforme pour connaître les paramètres détaillés :

   • Administrateur d’appareils Android
   • Android Entreprise
   • iOS/iPadOS
   • Windows 10/11

   Setting	Plateforme	Détails
   Seuil de renouvellement (%)	Tous	La valeur recommandée est 20 %
   Période de validité du certificat	Tous	Si vous n’avez pas changé le modèle de certificat, cette option peut être définie sur un an. Utilisez une période de validité de cinq jours ou allant jusqu’à 24 mois. Lorsque la période de validité est inférieure à cinq jours, il y a une forte probabilité que le certificat entre dans un état d’expiration proche ou expiré, ce qui peut entraîner le rejet du certificat par l’agent MDM sur les appareils avant son installation.
   Fournisseur de stockage de clés (KSP)	Windows 10/11	Pour Windows, sélectionner l’emplacement où stocker les clés sur l’appareil.
   Autorité de certification	Tous	Affiche le nom de domaine complet (FQDN) interne de l’autorité de certification d’entreprise.
   Nom de l’autorité de certification	Tous	Indique le nom de l’autorité de certification d’entreprise, par exemple « Autorité de certification Contoso ».
   Nom du modèle de certificat	Tous	Affiche le nom de votre modèle de certificat.
   Type de certificat	Android Enterprise (Profil professionnel appartenant à l’entreprise et appartenant à l’utilisateur) iOS macOS Windows 10/11	Sélectionner un type : Les certificats Utilisateur peuvent contenir à la fois des attributs d’utilisateur et des attributs d’appareil dans l’objet et l’autre nom de l’objet du certificat. Les certificats d’un appareil ne peuvent contenir que des attributs d’appareil dans l’objet et le SAN du certificat. Utiliser Appareil dans des scénarios de type appareils sans utilisateur, tels que des kiosques ou d’autres appareils partagés. Cette sélection affecte le format du nom de l’objet.
   Format de nom d’objet	Tous	Pour plus d’informations sur la configuration du format du nom de l’objet, consulter Format du nom de l’objet plus loin dans cet article. Pour les plateformes suivantes, le format de nom Objet est déterminé par le type de certificat : Android Enterprise (Profil de travail) iOS macOS Windows 10/11
   Autre nom du sujet	Tous	Pour Attribut, sélectionnez Nom d’utilisateur principal (UPN) sauf indication contraire, configurez une Valeur correspondante, puis sélectionnez Ajouter. Vous pouvez utiliser des variables ou du texte statique pour l’autre nom de l’objet des deux types de certificats. L’utilisation d’une variable n’est pas obligatoire. Pour plus d’informations, consulter Format du nom de l’objet plus loin dans cet article.
   Utilisation de la clé étendue	Administrateur d’appareils Android Android Enterprise (Propriétaire de l’appareil, Profil professionnel appartenant à l’entreprise et appartenant à l’utilisateur) Windows 10/11	Habituellement, les certificats exigent une authentification client afin que l’utilisateur ou l’appareil puisse s’authentifier auprès d’un serveur.
   Autoriser toutes les applications à accéder à la clé privée	macOS	Affectez la valeur Activer pour accorder aux applications configurées pour l’appareil Mac associé l’accès à la clé privée du certificat PKCS. Pour plus d’informations sur ce paramètre, consultez AllowAllAppsAccess, la section sur la charge utile de certificat de référence de profil de configuration, dans la documentation pour les développeurs Apple.
   Certificat racine	Administrateur d’appareils Android Android Enterprise (Propriétaire de l’appareil, Profil professionnel appartenant à l’entreprise et appartenant à l’utilisateur)	Sélectionner un profil de certificat d’autorité de certification racine qui a été précédemment affecté.

8. Cette étape s’applique uniquement aux profils d’appareils Android Enterprise pour profil professionnel entièrement managé, dédié et Corporate-Owned.

   Dans Applications, configurez l’accès par certificat pour gérer la façon dont l’accès par certificat est accordé aux applications. Choisissez parmi les autorisations suivantes :

   • Exiger l’approbation de l’utilisateur pour les applications(par défaut) : les utilisateurs doivent approuver l’utilisation d’un certificat par toutes les applications.
   • Accorder en mode silencieux pour des applications spécifiques (nécessite l’approbation de l’utilisateur pour d’autres applications) : avec cette option, sélectionnez Ajouter des applications, puis sélectionnez une ou plusieurs applications qui utiliseront le certificat sans intervention de l’utilisateur.

9. Sélectionnez Suivant.

10. Dans Affectations, sélectionnez l’utilisateur ou les groupes qui recevront votre profil. Prévoyez de déployer ce profil de certificat vers les mêmes groupes qui reçoivent le profil de certificat approuvé et qui reçoivent un profil de configuration tel qu’un profil Wi-Fi qui utilise le certificat. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

    Sélectionnez Suivant.

11. Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.

Format de nom d’objet

Quand vous créez un profil de certificat PKCS pour les plateformes suivantes, les options de format du nom Objet dépendent du type de certificat que vous sélectionnez, Utilisateur ou Appareil.

Plateformes :

• Android Enterprise (Profil professionnel appartenant à l’entreprise et appartenant à l’utilisateur)
• iOS
• macOS
• Windows 10/11

Remarque

Il existe un problème connu pour l’utilisation de PKCS pour obtenir des certificats , qui est le même que celui rencontré pour SCEP lorsque le nom de l’objet dans la demande de signature de certificat (CSR) obtenue inclut l’un des caractères suivants comme caractère d’échappement (suivi d’une barre oblique inverse \) :

• +
• ;
• ,
• =

Remarque

En commençant par Android 12, Android ne prend plus en charge l’utilisation des identifiants matériels suivants pour les appareils de profil de travail appartenant à la personne :

• Numéro de série
• IMEI
• MEID

Les profils de certificat Intune pour les appareils de profil professionnel appartenant à l’utilisateur qui s’appuient sur ces variables dans le nom de l’objet ou SAN ne parviennent pas à approvisionner un certificat sur les appareils qui exécutent Android 12 ou version ultérieure au moment où l’appareil est inscrit auprès d’Intune. Les appareils inscrits avant la mise à niveau vers Android 12 peuvent toujours recevoir des certificats tant qu’Intune a précédemment obtenu les identificateurs matériels des appareils.

Pour plus d’informations à ce sujet et d’autres changements introduits avec Android 12, voir la publication du blog Android Day Zero Support pour Microsoft Endpoint Manager.

• Type de certificat Utilisateur
  Les options de format pour le format de nom d’objet incluent deux variables : nom commun (CN) et e-mail (E). Email (E) est généralement défini avec la variable {{EmailAddress}}. Par exemple : E={{EmailAddress}}

  Nom courant (cn) peut être défini sur une des variables suivantes :

  • CN={{UserName}} : Nom d’utilisateur de l’utilisateur, par exemple Jane Doe.

  • CN={{UserPrincipalName}} : nom d’utilisateur principal de l’utilisateur, tel que janedoe@contoso.com.

  • CN={{{AAD_Device_ID}} : ID attribué lorsque vous inscrivez un appareil dans Microsoft Entra ID. Cet ID est généralement utilisé pour l’authentification auprès de Microsoft Entra ID.

  • CN={{DeviceId}} : ID attribué quand vous inscrivez un appareil dans Intune.

  • CN={{SERIALNUMBER}} : numéro de série unique (SN) généralement utilisé par le fabricant pour identifier un appareil

  • CN={{IMEINumber}} : numéro IMEI (International Mobile Equipment Identity) unique utilisé pour identifier un téléphone mobile.

  • CN={{OnPrem_Distinguished_Name}}: séquence de noms uniques relatifs séparés par une virgule, par exemple, CN=Jane Doe,OU=UserAccounts,DC=Corp,DC=contoso,DC=com.

    Pour utiliser la variable {{OnPrem_Distinguished_Name}}, veillez à synchroniser l’attribut utilisateur onpremisesdistinguishedname à l’aide de Microsoft Entra Connect à votre Microsoft Entra ID.

  • CN={{{onPremisesSamAccountName}} : les administrateurs peuvent synchroniser l’attribut samAccountName à partir d’Active Directory pour Microsoft Entra ID à l’aide de Microsoft Entra Connect dans un attribut appelé onPremisesSamAccountName. Intune peut remplacer cette variable dans le cadre d’une demande d’émission de certificat dans l’objet d’un certificat. L’attribut samAccountName est le nom de connexion de l’utilisateur utilisé pour prendre en charge les clients et serveurs avec une version antérieure de Windows (antérieure à Windows 2000). Le format du nom de connexion de l’utilisateur est : DomainName\testUser, ou seulement testUser.

    Pour utiliser la variable {{onPremisesSamAccountName}}, veillez à synchroniser l’attribut utilisateur onPremisesSamAccountName à l’aide de Microsoft Entra Connect à votre Microsoft Entra ID.

  Toutes les variables d’appareil listées dans la section Type de certificat d’appareil ci-dessous peuvent également être utilisées dans les noms d’objet de certificat utilisateur.

  En utilisant une combinaison d’une ou de plusieurs de ces variables et de chaînes statiques, vous pouvez créer un format de nom d’objet personnalisé, tel que : CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

  Cet exemple comprend un format de nom d’objet qui utilise les variables CN et E ainsi que des chaînes pour les valeurs Unité d’organisation, Organisation, Emplacement, Région et Pays. La page CertStrToName function (Fonction CertStrToName) illustre cette fonction et ses chaînes prises en charge.

  Les attributs utilisateur ne sont pas pris en charge pour les appareils qui n’ont pas d’associations d’utilisateurs, tels que les appareils inscrits comme Android Enterprise dédiés. Par exemple, un profil qui utilise CN={{UserPrincipalName}} dans l’objet ou SAN ne peut pas obtenir le nom d’utilisateur principal lorsqu’il n’y a pas d’utilisateur sur l’appareil.

• Type de certificat Appareil
  Les options de format du nom de l’objet sont notamment les variables suivantes :

  • {{AAD_Device_ID}}
  • {{DeviceId}} : il s’agit de l’ID d’appareil Intune
  • {{Device_Serial}}
  • {{Device_IMEI}}
  • {{SerialNumber}}
  • {{IMEINumber}}
  • {{AzureADDeviceId}}
  • {{WiFiMacAddress}}
  • {{IMEI}}
  • {{DeviceName}}
  • {{FullyQualifiedDomainName}}(Applicable uniquement pour les appareils Windows et joints à un domaine)
  • {{MEID}}

  Vous pouvez spécifier ces variables, suivies du texte de la variable, dans la zone de texte. Par exemple, le nom commun d’un appareil nommé Device1 peut être ajouté sous la forme CN={{DeviceName}}Device1.

  Importante

  • Quand vous spécifiez une variable, mettez le nom de la variable entre accolades { }, comme indiqué dans l’exemple, pour éviter une erreur.
  • Les propriétés de l’appareil utilisées dans l’objet ou le SAN d’un certificat d’appareil, par exemple, IMEI, SerialNumber et FullyQualifiedDomainName, sont des propriétés qui peuvent être usurpées par quiconque a accès à l’appareil.
  • Un appareil doit prendre en charge toutes les variables spécifiées dans un profil de certificat pour que ce profil s’installe sur cet appareil. Par exemple, si {{IMEI}} est utilisé dans le nom d’objet d’un profil SCEP et correspond à un appareil qui n’a pas de numéro IMEI, l’installation du profil échoue.

Prochaines étapes

• Utiliser SCEP pour les certificats
• Émettre des certificats PKCS à partir d’un service web du gestionnaire PKI Symantec
• Résoudre les problèmes liés aux profils de certificat PKCS