Déploiement d’applications du Windows Store du Gestionnaire de certificats MIM

Une fois que MIM 2016 et Certificate Manager sont en cours d’exécution, vous pouvez déployer l’application Windows Store du Gestionnaire de certificats MIM. L’application du Windows Store permet à vos utilisateurs de gérer leurs cartes à puce physiques, leurs cartes à puce virtuelles et leurs certificats logiciels. Les étapes de déploiement de l'application MIM CM sont les suivantes :

1. Créer un modèle de certificat.

2. Créer un modèle de profil.

3. Préparer l'application.

4. Déployer l'application via SCCM ou Intune.

Créer un modèle de certificat

Vous créez un modèle de certificat pour l'application Gestionnaire de certificats (CM) de manière classique, à ceci près que vous devez vous assurer que le modèle de certificat correspond à la version 3 ou ultérieure.

1. Connectez-vous au serveur exécutant AD CS (le serveur de certificats).

2. Ouvrez la console MMC.

3. Cliquez sur Ajouter/Supprimer le composant logiciel enfichable Fichier>.

4. Dans la liste des composants logiciels enfichables disponibles, cliquez sur Modèles de certificat, puis sur Ajouter.

5. Vous verrez maintenant les modèles de certificat sous Racine de la console dans la console MMC. Double-cliquez dessus pour afficher tous les modèles de certificats disponibles.

6. Cliquez avec le bouton droit sur le modèle d’ouverture de session de carte à puce, puis cliquez sur Dupliquer le modèle.

7. Sous l’onglet Compatibilité, sous Autorité de certification, sélectionnez Windows Server 2008. Sous Destinataire du certificat, sélectionnez Windows 8.1/Windows Server 2012 R2. La version du modèle de version est définie la première fois que vous créez et enregistrez le modèle de certificat. Si vous n’avez pas créé le modèle de certificat de cette façon, il n’existe aucun moyen de le modifier à la version correcte.

   Remarque

   Cette étape est cruciale, car elle garantit que vous disposez d’un modèle de certificat version 3 (ou ultérieure). Seuls les modèles de version 3 fonctionnent avec l’application gestionnaire de certificats.

8. Sous l’onglet Général , dans le champ Nom complet, tapez le nom que vous souhaitez afficher dans l’interface utilisateur de l’application, tel que l’ouverture de session de carte à puce virtuelle.

9. Sous l’onglet Gestion des demandes, définissez l’objectif sur Signature et chiffrement, puis, sous Procédez comme suit... sélectionnez Inviter l’utilisateur pendant l’inscription.

10. Sous l'onglet Chiffrement, sous Catégorie de fournisseur, sélectionnez Fournisseur de stockage de clés et Les demandes peuvent utiliser un fournisseur disponible sur l'ordinateur du sujet.

    Remarque

    Vous verrez seulement l'option Fournisseur de stockage de clés, si votre modèle correspond à la version 3. Si vous ne voyez pas l'option, cela signifie probablement que vous n'avez pas créé le modèle de certificat avec la version appropriée. Recommencez à l'étape 5, ci-dessus.

11. Sous l’onglet Sécurité , ajoutez le groupe de sécurité pour lequel vous souhaitez fournir l’accès Inscrire . Par exemple, si vous souhaitez fournir l’accès à tous les utilisateurs, sélectionnez le groupe Utilisateurs authentifiés, puis sélectionnez Inscrire des autorisations pour eux.

12. Cliquez sur OK pour finaliser vos modifications et créer le nouveau modèle. Normalement, vous devez voir votre nouveau modèle dans la liste des modèles de certificats.

13. Sélectionnez Fichier , puis cliquez sur Ajouter/supprimer un composant logiciel enfichable Pour ajouter le composant logiciel enfichable Autorité de certification à votre console MMC. Lorsque vous êtes invité à gérer l’ordinateur, sélectionnez Ordinateur local.

14. Dans le volet gauche de la console MMC, développez Autorité de certification (locale), puis développez votre autorité de certification dans la liste autorité de certification.

15. Cliquez avec le bouton droit sur Modèles de certificat, cliquez sur Nouveau > modèle de certificat à émettre.

16. Dans la liste, sélectionnez le nouveau modèle que vous avez créé, puis cliquez sur OK.

Créer un modèle de profil

Quand vous créez un modèle de profil, veillez à le définir pour créer/détruire la carte à puce virtuelle, et supprimer la collection de données. L'application CM ne peut pas gérer les données collectées. Il est donc important de les désactiver, comme suit.

1. Connectez-vous au portail CM en tant qu'utilisateur disposant de privilèges d'administration.

2. Accédez aux modèles Administration > Gérer les profils. Vérifiez que la case est cochée en regard de l’exemple de journal de carte à puce MIM CM sur le modèle de profil, puis cliquez sur Copier un modèle de profil sélectionné.

3. Tapez le nom du modèle de profil, puis cliquez sur OK.

4. Dans l’écran suivant, cliquez sur Ajouter un nouveau modèle de certificat et veillez à cocher la case en regard du nom de l’autorité de certification.

5. Cochez la case en regard du nom de l’ouverture de session du modèle de profil, puis cliquez sur Ajouter.

6. Supprimez le modèle SmartCardLogon en cochant la case en regard de celle-ci, puis en cliquant sur Supprimer les modèles de certificat sélectionnés, puis OK.

7. Faites défiler vers le bas jusqu’au bas, puis cliquez sur Modifier les paramètres.

8. Cochez les cases en regard de Créer/Détruire une carte à puce virtuelle et diversifier la clé d’administration.

9. Sous Stratégie de code confidentiel utilisateur, sélectionnez Utilisateur fourni.

10. Dans le volet gauche, cliquez sur Renouveler les paramètres généraux des > modifications de stratégie. Sélectionnez Réutiliser la carte lors du renouvellement , puis cliquez sur OK.

11. Vous devez désactiver les éléments de collecte de données pour chaque stratégie en cliquant sur la stratégie dans le volet gauche. Vous devez ensuite cocher la case en regard de l’exemple d’élément de données, cliquez sur Supprimer les éléments de collecte de données, puis sur OK.

Préparer l'application CM au déploiement

1. Dans l’invite de commandes, exécutez la commande suivante pour décompresser l’application. La commande extrait le contenu dans un nouveau sous-dossier nommé appx et crée une copie afin de ne pas modifier le fichier d’origine.

   makeappx unpack /l /p <app package name>.appx /d ./appx
   ren <app package name>.appx <app package name>.appx.original
   cd appx
   

2. Dans le dossier appx, remplacez le nom du fichier CustomDataExample.xml par Custom.data

3. Ouvrez le fichier Custom.data, puis changez les paramètres, le cas échéant.

   Paramètre	Description
   MIMCM URL	Nom de domaine complet du portail que vous avez utilisé pour configurer CM. Par exemple, https://mimcmServerAddress/certificatemanagement
   ADFS URL	Si vous comptez utiliser AD FS, insérez votre URL AD FS. Par exemple, https://adfsServerSame/adfs si ADFS n’est pas utilisé, configurez ce paramètre avec une chaîne vide. Par exemple, <ADFS URL=""/>
   PrivacyUrl	Vous pouvez inclure une URL vers une page web expliquant ce que vous faites des détails utilisateur collectés pour l'inscription de certificats.
   SupportMail	Vous pouvez inclure une adresse de messagerie pour les problèmes de support.
   LobComplianceEnable	Vous pouvez affecter la valeur true ou false à ce paramètre. Par défaut, il a la valeur true.
   MinimumPinLength	Par défaut, il a la valeur 6.
   NonAdmin	Vous pouvez affecter la valeur true ou false à ce paramètre. Par défaut, il a la valeur false. Modifiez ce paramètre uniquement si vous souhaitez que les utilisateurs qui ne sont pas des administrateurs sur leurs ordinateurs puissent inscrire et renouveler des certificats.

   Important

   Une valeur doit être spécifiée pour l’URL ADFS. Si aucune valeur n’est spécifiée, l’application moderne se produit lors de la première utilisation.

4. Enregistrez le fichier et quittez l’éditeur.

5. La signature du package entraîne la création d'un fichier de signature. Vous devez donc supprimer le fichier de signature d'origine nommé AppxSignature.p7x.

6. Le fichier AppxManifest.xml spécifie le nom de sujet du certificat de signature. Ouvrez ce fichier pour le modifier.

7. Vous devez obtenir un certificat de signature avant de débuter cette section. Consultez ci-dessous, Activation du renouvellement de carte à puce pour les non-administrateurs dans le Gestionnaire de certificats MIM 2016, étape 1.

8. Dans l’élément <Identity> , modifiez la valeur de l’attribut Publisher pour qu’elle soit identique à l’objet répertorié dans votre certificat de signature, par exemple « CN=SUBJECT ».

9. Enregistrez le fichier et quittez l’éditeur.

10. À l'invite de commandes, exécutez la commande suivante pour recompresser et signer le fichier .appx.

    cd ..
    makeappx pack /l /d .\appx /p <app package name>.appx
    

    où le nom du package d'application est le même que le nom utilisé quand vous avez créé la copie.

    signtool sign /f <path\>mysign.pfx /p <pfx password> /fd "sha256" <app package name>.ap
    px
    

    Ceci permet d'obtenir le nouveau fichier .appx. Le fichier pfx fournit un emplacement pour le certificat de signature, et un mot de passe pour le fichier .pfx.

11. Pour utiliser l'authentification AD FS :

    • Ouvrez l'application Carte à puce virtuelle. Cela vous permet de trouver plus facilement les valeurs nécessaires pour la prochaine étape.

    • Pour ajouter l'application en tant que client au serveur AD FS et configurer CM sur le serveur, ouvrez Windows PowerShell sur le serveur AD FS et exécutez la commande ConfigureMimCMClientAndRelyingParty.ps1 –redirectUri <redirectUriString> -serverFQDN <MimCmServerFQDN>

      Voici le script ConfigureMimCMClientAndRelyingParty.ps1 :

      # HELP
      
      <#
      .SYNOPSIS
                       Configure ADFS for CM client app and server.
      .DESCRIPTION
          What the Script does:
                                       a. Registers the MIM CM client app on the ADFS server.
                                       b. Registers the MIM CM server relying party (Tells the ADFS server that it issues tokens for the CM server).
                       For parameter information, see 'get-help -detailed'
      .PARAMETER redirectUri
                       The redirectUri for CM client app. Will be added to ADFS server.
                       It can be found as follows:
                       1. Open the settings panel. Under settings, there is a "Redirect Uri" text box (an ADFS server address must be configured in order for the text to display).
                       2. Open MIM CM client app. Navigate to 'C:\Users\<your_username>\AppData\Local\Packages\CmModernAppv.<version>\LocalState', and open 'Logs_Virtual Smart Card Certificate Manager_<version>'. Search for "Redirect URI".
      .PARAMETER serverFqdn
                       Your deployed MIM CM server’s FQDN.
      .EXAMPLE
          .\ConfigureMimCMClientAndRelyingParty.ps1 -redirectUri ms-app://s-1-15-2-0123456789-0123456789-0123456789-0123456789-0123456789-0123456789-0123456789/ -serverFqdn WIN-TRUR24L4CFS.corp.cmteam.com
      #>
      
      # Parameter declaration
      [CmdletBinding()]
      Param(
         [Parameter(Mandatory=$True)]
          [string]$redirectUri,
      
          [Parameter(Mandatory=$True)]
          [string]$serverFqdn
      )
      
      Write-Host "Configuring ADFS Objects for OAuth.."
      
      #Configure SSO to get persistent sign on cookie
      Set-ADFSProperties -SsoLifetime 2880
      
      #Configure Authentication Policy
      #Intranet to use Kerberos
      #Extranet to use U/P
      
      #Create Client Objects
      
      Write-Host "Creating Client Objects..."
      
      $existingClient = Get-ADFSClient -Name "MIM CM Modern App"
      
      if ($existingClient -ne $null)
      {
           Write-Host "Found existing instance of the MIM CM Modern App, removing"
           Remove-ADFSClient -TargetName "MIM CM Modern App"
           Write-Host "Client object removed"
      }
      
      Write-Host "Adding Client Object for MIM CM Modern App client"
      Add-ADFSClient -Name "MIM CM Modern App" -ClientId "70A8B8B1-862C-4473-80AB-4E55BAE45B4F" -RedirectUri $redirectUri
      Write-Host "Client Object for MIM CM Modern App client Created"
      
      #Create Relying Parties
      Write-Host "Creating Relying Party Objects"
      
      $existingRp = Get-ADFSRelyingPartyTrust -Name "MIM CM Service"
      if ($existingRp -ne $null)
      {
           Write-Host "Found existing instance of the MIM CM Service RP, removing"
           Remove-ADFSRelyingPartyTrust -TargetName "MIM CM Service"
           Write-Host "RP object Removed"
      }
      
      $authorizationRules =
      "@RuleTemplate = `"AllowAllAuthzRule`"
      => issue(Type = `"http://schemas.microsoft.com/authorization/claims/permit`", Value = `"true`");"
      
      $issuanceRules =
      "@RuleTemplate = `"LdapClaims`"
      @RuleName = `"Emit UPN and common name`"
      c:[Type == `"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname`", Issuer == `"AD AUTHORITY`"]
      => issue(store = `"Active Directory`", types =
      (`"http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn`",
      `"http://schemas.xmlsoap.org/claims/CommonName`"), query =
      `";userPrincipalName,cn;{0}`", param = c.Value);
      
      @RuleTemplate = `"PassThroughClaims`"
      @RuleName = `"Pass through Windows Account Name`"
      c:[Type ==`"http://schemas.microsoft.com/ws/2008/06/identity/claims/windowsaccountname`"] => issue(claim = c);"
      
      Write-Host "Creating RP Trust for MIM CM Service"
      Add-ADFSRelyingPartyTrust -Name "MIM CM Service" -Identifier ("https://"+$serverFqdn+"/certificatemanagement") -IssuanceAuthorizationRules $authorizationRules -IssuanceTransformRules $issuanceRules
      Write-Host "RP Trust for MIM CM Service has been created"
      

    • Mettez à jour les valeurs de redirectUri et serverFQDN.

    • Pour rechercher le redirectUri, dans l’application Carte à puce virtuelle, ouvrez le panneau paramètres de l’application, cliquez sur Paramètres et l’URI de redirection doit être répertorié sous la barre d’adresse du serveur AD FS. L'URI apparaît uniquement si une adresse de serveur ADFS est configurée.

    • Le nom de domaine complet (FQDN) du serveur correspond uniquement au nom complet de l'ordinateur du serveur MIMCM.

    • Pour obtenir de l’aide sur le script ConfigureMIimCMClientAndRelyingParty.ps1 , exécutez :
      

      get-help  -detailed ConfigureMimCMClientAndRelyingParty.ps1
      

Déployer l’application

Lorsque vous configurez l’application CM, dans le Centre de téléchargement, téléchargez le fichier MIMDMModernApp_<version>_AnyCPU_Test.zip et extrayez tout son contenu. Le fichier .appx représente le programme d'installation. Vous pouvez le déployer de n’importe quelle façon que vous déployez généralement des applications du Windows Store, à l’aide de System Center Configuration Manager ou d’Intune pour charger l’application de manière à ce que les utilisateurs devront y accéder via le portail d’entreprise ou les envoyer directement à leurs machines.

Étapes suivantes

• Configuration des modèles de profil
• Gestion des applications de carte à puce