Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Lorsqu’un utilisateur tente de se connecter à l’application Portail d’entreprise sur l’appareil Android géré par Microsoft Intune, il reçoit le message d’erreur « Vous ne pouvez pas vous connecter, car votre appareil ne dispose pas d’un certificat requis ».
Cause
L’appareil de l’utilisateur ne dispose pas d’un certificat ou d’un certificat intermédiaire nécessaire pour l’inscription, ou un certificat n’a pas été installé correctement. Passez en revue les sections suivantes pour diagnostiquer et résoudre le problème.
Solution 1
L’utilisateur peut être en mesure de récupérer le certificat manquant. Demandez à l’utilisateur de suivre les étapes d’installation du certificat manquant requis par votre organisation. Si l’erreur persiste, passez à la solution 2.
Solution 2
Après avoir entré leurs informations d’identification d’entreprise et être redirigés pour la connexion fédérée, les utilisateurs peuvent toujours voir l’erreur de certificat manquante. Dans ce cas, l’erreur peut signifier qu’un certificat intermédiaire est manquant à partir de votre serveur services de fédération Active Directory (AD FS) (AD FS).
L’erreur de certificat se produit, car les appareils Android nécessitent que les certificats intermédiaires soient inclus dans un serveur SSL Hello. Actuellement, un serveur AD FS par défaut ou un serveur proxy AD FS - L’installation du serveur proxy AD FS envoie uniquement le certificat SSL du service AD FS dans la réponse hello du serveur SSL à un client SSL hello.
Pour résoudre le problème, importez les certificats dans les certificats personnels ordinateurs sur le serveur AD FS ou les proxys comme suit :
- Sur les serveurs AD FS et proxy, cliquez avec le bouton droit sur Démarrer l’exécution>>de certlm.msc pour lancer la console de gestion des certificats de machine locale.
- Développez Personnel et choisissez Certificats.
- Recherchez le certificat de votre communication de service AD FS (certificat signé publiquement) et double-cliquez pour afficher ses propriétés.
- Choisissez l’onglet Chemin d’accès de certification pour afficher le ou les certificats parents du certificat.
- Sur chaque certificat parent, choisissez Afficher le certificat.
- Choisissez Copie des détails>dans le fichier....
- Suivez les invites de l’Assistant pour exporter ou enregistrer la clé publique du certificat parent à l’emplacement du fichier de votre choix.
- Cliquez avec le bouton droit sur Certificats>Pour toutes les tâches>, importez.
- Suivez les invites de l’Assistant pour importer le ou les certificats parents dans l’ordinateur local\Personal\Certificates.
- Redémarrez les serveurs AD FS.
- Répétez les étapes ci-dessus sur tous vos serveurs AD FS et proxy.
Vérifiez que le certificat est installé correctement
Les étapes suivantes décrivent uniquement l’une des nombreuses méthodes et outils que vous pouvez utiliser pour vérifier que le certificat est installé correctement.
- Accédez à l’outil Digicert gratuit.
- Dans la zone Adresse du serveur, entrez le nom de domaine complet de votre serveur AD FS (par exemple
sts.contoso.com) et sélectionnez CHECK SERVER.
Si le certificat serveur est installé correctement, vous voyez toutes les coches dans les résultats. Si le problème ci-dessus existe, vous voyez un X rouge dans le nom du certificat correspond et le certificat SSL est correctement installé dans le rapport.
Solution 3
Les utilisateurs ne peuvent pas s’authentifier dans le portail d’entreprise, mais ils peuvent s’authentifier dans Microsoft Authenticator et les navigateurs web. Ce problème se produit si votre serveur AD FS utilise un certificat utilisateur plutôt qu’un certificat émis par une autorité de certification publique.
Il existe deux magasins de certificats sur les appareils Android :
- Magasin de certificats utilisateur
- Magasin de certificats système
Staring in Android 7.0, les applications ignorent les certificats utilisateur par défaut, sauf si les applications optent explicitement. Pour plus d’informations, consultez Modifications apportées aux autorités de certification approuvées dans Android Nougat.
Pour résoudre ce problème, utilisez un certificat qui se connecte à une autorité de certification racine approuvée publiquement dans votre serveur AD FS. Vous trouverez la liste des autorités de certification publiques sur Android à l’adresse https://android.googlesource.com/platform/system/ca-certificates/+/master/files/.