Résumé

  • 3 minutes

Dans ce module, vous avez configuré Microsoft Cloud PKI dans Microsoft Intune pour automatiser l’émission de certificats et la gestion du cycle de vie sur les appareils gérés de votre organization, sans infrastructure locale.

Vous avez créé une autorité de certification racine et émis une hiérarchie d’autorité de certification dans le centre d’administration Intune, déployé des profils de certificat approuvés pour établir l’approbation des appareils et configuré des profils de certificat SCEP pour activer l’inscription automatique. Vous définissez ensuite des périodes de validité des certificats et des seuils de renouvellement pour vous assurer que les appareils renouvellent les certificats avant qu’ils n’expirent, même s’ils case activée rarement.

Vous avez également utilisé le tableau de bord de création de rapports PKI cloud pour surveiller l’intégrité des certificats, interpréter les états Actifs, Expirés et Révoqués et identifier les appareils qui peuvent nécessiter une attention particulière. Vous avez appris comment fonctionne la liste de révocation de certificats (CRL), comment examiner les journaux d’audit pour la responsabilité administrative et comment créer des alertes proactives à l’aide de stratégies de conformité et de la surveillance Microsoft Entra.

Principaux points à retenir

  • Microsoft Cloud PKI est une solution PKI entièrement hébergée dans le cloud disponible dans le Microsoft Intune Suite et en tant que module complémentaire autonome. Il ne nécessite aucun serveur NDES local ni Intune connecteurs de certificat.
  • Une hiérarchie d’autorité de certification à deux niveaux (autorité de certification racine et autorité de certification émettrice) fournit la séparation de sécurité nécessaire pour la gestion des certificats d’entreprise. Chaque autorité de certification émettrice inclut un service SCEP intégré.
  • L’inscription SCEP est entièrement automatisée : les appareils génèrent une clé privée localement (qui ne quitte jamais l’appareil), envoient une demande de signature de certificat à l’infrastructure à clé publique cloud et reçoivent un certificat signé. L’administrateur configure le profil une seule fois ; les appareils gèrent le reste.
  • Le seuil de renouvellement contrôle le délai de Intune déclenche le renouvellement. Utilisez un seuil plus élevé (30 à 40 %) pour les appareils distants qui case activée moins fréquemment, afin qu’ils aient toujours le temps de renouveler avant l’expiration des certificats.
  • Le tableau de bord PKI cloud et les certificats de surveillance > des appareils > fournissent une visibilité sur les états des certificats sur tous les appareils gérés. Les rapports sont mis à jour toutes les 24 heures ; le moniteur Appareils n’a pas de limite de 1 000 enregistrements.
  • Les journaux d’audit enregistrent toutes les actions administratives (création d’autorité de certification, révocations et modifications de propriété) qui prennent en charge vos exigences de conformité et de responsabilité.

Étapes suivantes

Maintenant que vous avez implémenté l’infrastructure à clé publique cloud, envisagez les étapes suivantes :

  • Liez vos profils de certificat SCEP aux profils Wi-Fi et VPN pour activer l’authentification réseau basée sur les certificats sans mot de passe.
  • Explorez l’option ByOCA (Bring Your Own CA) si votre organization doit être lié à une autorité de certification racine locale ou tierce existante.
  • Routez Microsoft Entra journaux de connexion vers Azure Monitor et créez des règles d’alerte pour intercepter les échecs d’authentification de certificat avant qu’ils n’affectent les utilisateurs.

En savoir plus