Partager via


Utilisation de certificats pour l’authentification unique locale jointe à Microsoft Entra

Cet article décrit les fonctionnalités ou scénarios windows Hello Entreprise qui s’appliquent à :


Si vous envisagez d’utiliser des certificats pour l’authentification unique locale, suivez ces étapes supplémentaires pour configurer l’environnement afin d’inscrire des certificats Windows Hello Entreprise pour les appareils joints à Microsoft Entra.

Important

Vérifiez que vous avez effectué les configurations dans les appareils joints à Microsoft Entra pour les Single-Sign locales avant de continuer.

Les étapes que vous allez effectuer sont les suivantes :

Conditions préalables

Vous devez installer et configurer une infrastructure supplémentaire pour fournir aux appareils joints à Microsoft Entra une authentification unique locale.

  • Une autorité de certification Windows Server Entreprise existante
  • Un serveur Windows Server joint à un domaine qui héberge le rôle NDES (Network Device Enrollment Services)

Haute disponibilité

Le rôle serveur NDES agit en tant qu’autorité d’inscription de certificats (CRA). Les serveurs d’inscription de certificats inscrivent des certificats au nom de l’utilisateur. Les utilisateurs demandent des certificats auprès du service NDES plutôt que directement auprès de l’autorité de certification émettrice.

L’architecture du serveur NDES l’empêche d’être en cluster ou d’équilibrer la charge pour une haute disponibilité. Pour fournir une haute disponibilité, vous devez installer plusieurs serveurs NDES configurés de manière identique et utiliser Microsoft Intune pour équilibrer la charge (en mode tourniquet).

Le rôle serveur NDES (Network Device Enrollment Service) peut émettre jusqu’à trois modèles de certificat uniques. Le rôle serveur effectue cette opération en mappant l’objectif de la demande de certificat à un modèle de certificat configuré. L’objectif de la demande de certificat a trois options :

  • Signature
  • Chiffrement
  • Signature et chiffrement

Si vous devez déployer plus de trois types de certificats sur l’appareil joint à Microsoft Entra, vous avez besoin de serveurs NDES supplémentaires. Vous pouvez également envisager de consolider les modèles de certificat pour réduire le nombre de modèles de certificat.

Configuration réseau requise

Toutes les communications se produisent en toute sécurité sur le port 443.

Préparer Microsoft Entra Connect

L’authentification réussie auprès de ressources locales à l’aide d’un certificat nécessite que le certificat fournisse un indicateur sur le domaine local. L’indicateur peut être le nom unique Active Directory de l’utilisateur comme objet du certificat, ou l’indicateur peut être le nom d’utilisateur principal de l’utilisateur où le suffixe correspond au nom de domaine Active Directory.

La plupart des environnements modifient le suffixe du nom d’utilisateur principal pour qu’il corresponde au nom de domaine externe (ou domaine personnel) de l’organisation, ce qui empêche le nom d’utilisateur principal comme indicateur de localiser un contrôleur de domaine. Par conséquent, le certificat a besoin du nom unique local de l’utilisateur dans l’objet pour localiser correctement un contrôleur de domaine.

Pour inclure le nom unique local dans l’objet du certificat, Microsoft Entra Connect doit répliquer l’attribut DistinguishedName Active Directory sur l’attribut Microsoft Entra ID onPremisesDistinguishedName . Microsoft Entra Connect version 1.1.819 inclut les règles de synchronisation appropriées nécessaires pour ces attributs.

Vérifier la version de Microsoft Entra Connect

Connectez-vous à l’ordinateur exécutant Microsoft Entra Connect avec un accès équivalent à l’administrateur local.

  1. Ouvrez Synchronization Services à partir du dossier Microsoft Entra Connect
  2. Dans Synchronization Service Manager, sélectionnez Aide , puis À propos de
  3. Si le numéro de version n’est pas 1.1.819 ou version ultérieure, mettez à niveau Microsoft Entra Connect vers la dernière version

Vérifier que l’attribut onPremisesDistinguishedName est synchronisé

Le moyen le plus simple de vérifier que l’attribut onPremisesDistingushedNamne est synchronisé consiste à utiliser l’Explorateur Graph pour Microsoft Graph.

  1. Ouvrez un navigateur web et accédez à l’Explorateur Graph

  2. Sélectionnez Se connecter à l’Explorateur Graph et fournissez les informations d’identification de l’ID Microsoft Entra.

    Remarque

    Pour interroger correctement l’API Graph, les autorisations appropriées doivent être accordées

  3. Sélectionnez Modifier les autorisations (préversion) . Faites défiler vers le bas et recherchez User.Read.All (ou toute autre autorisation requise), puis sélectionnez Consentement. Vous êtes maintenant invité à fournir le consentement des autorisations déléguées

  4. Dans l’URL de l’Explorateur Graph, entrez https://graph.microsoft.com/v1.0/users/[userid]?$select=displayName,userPrincipalName,onPremisesDistinguishedName, où [userid] est le nom d’utilisateur principal d’un utilisateur dans l’ID Microsoft Entra. Sélectionnez Exécuter la requête

    Remarque

    Étant donné que le point de terminaison v1.0 de l’API Graph fournit uniquement un ensemble limité de paramètres, nous allons utiliser le paramètre de requête OData facultatif $select. Pour plus de commodité, il est possible de basculer le sélecteur de version d’API de la version 1.0 vers laversion bêta avant d’exécuter la requête. Cela fournit toutes les informations utilisateur disponibles, mais n’oubliez pas que les requêtes de point de terminaison bêta ne doivent pas être utilisées dans les scénarios de production.

    Requête

    GET https://graph.microsoft.com/v1.0/users/{id | userPrincipalName}?$select=displayName,userPrincipalName,onPremisesDistinguishedName
    
  5. Dans les résultats retournés, passez en revue les données JSON de l’attribut onPremisesDistinguishedName . Vérifiez que l’attribut a une valeur et que la valeur est précise pour l’utilisateur donné. Si l’attribut onPremisesDistinguishedName n’est pas synchronisé, la valeur est null

    Réponse

    HTTP/1.1 200 OK
    Content-type: application/json
    
    {
        "@odata.context": "https://graph.microsoft.com/v1.0/$metadata#users(displayName,userPrincipalName,onPremisesDistinguishedName)/$entity",
        "displayName": "Nestor Wilke",
        "userPrincipalName": "NestorW@contoso.com",
        "onPremisesDistinguishedName" : "CN=Nestor Wilke,OU=Operations,DC=contoso,DC=com"
    }
    

Préparer le compte de service NDES (Network Device Enrollment Services)

Créer le groupe de sécurité global Serveurs NDES

Le déploiement utilise le groupe de sécurité Serveurs NDES pour affecter au service NDES les attributions de droits d’utilisateur appropriées.

Connectez-vous à un contrôleur de domaine ou à une station de travail de gestion avec un accès équivalent à l’administrateur de domaine.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory.
  2. Développez le nœud de domaine à partir du volet de navigation
  3. Cliquez avec le bouton droit sur le conteneur Utilisateurs. Pointez sur Nouveau, puis sélectionnez Grouper.
  4. Tapez Serveurs NDES dans la zone de texte Nom du groupe
  5. Sélectionnez OK.

Ajouter le serveur NDES au groupe de sécurité global Serveurs NDES

Connectez-vous à un contrôleur de domaine ou à une station de travail de gestion avec un accès équivalent à l’administrateur de domaine.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory.
  2. Développez le nœud de domaine à partir du volet de navigation
  3. Sélectionnez Ordinateurs dans le volet de navigation. Cliquez avec le bouton droit sur le nom du serveur NDES qui hébergera le rôle serveur NDES. Sélectionnez Ajouter à un groupe.
  4. Tapez Serveurs NDES dans Entrez les noms d’objets à sélectionner. Sélectionnez OK. Sélectionnez OK dans la boîte de dialogue Réussite des services de domaine Active Directory

Remarque

Pour une haute disponibilité, vous devez disposer de plusieurs serveurs NDES pour traiter les demandes de certificat Windows Hello Entreprise. Vous devez ajouter des serveurs NDES Windows Hello Entreprise supplémentaires à ce groupe pour vous assurer qu’ils reçoivent la configuration appropriée.

Créer le compte de service NDES

Le rôle NDES (Network Device Enrollment Services) s’exécute sous un compte de service. En règle générale, il est préférable d’exécuter des services à l’aide d’un compte de service géré de groupe (GMSA). Bien que le rôle NDES puisse être configuré pour s’exécuter à l’aide d’un GMSA, Intune Certificate Connector n’a pas été conçu ni testé à l’aide d’un GMSA et est considéré comme une configuration non prise en charge. Le déploiement utilise un compte de services normal.

Connectez-vous à un contrôleur de domaine ou à une station de travail de gestion avec un accès équivalent à l’administrateur de domaine.

  1. Dans le volet de navigation, développez le nœud qui contient votre nom de domaine. Sélectionner des utilisateurs
  2. Cliquez avec le bouton droit sur le conteneur Utilisateurs. Pointez sur Nouveau , puis sélectionnez Utilisateur. Tapez NDESSvc dans Nom complet et Nom d’ouverture de session utilisateur. Sélectionnez Suivant.
  3. Tapez un mot de passe sécurisé dans Mot de passe. Confirmez le mot de passe sécurisé dans Confirmer le mot de passe. Désélectionnez L’utilisateur doit changer le mot de passe à la prochaine ouverture de session. Sélectionnez Suivant.
  4. Sélectionnez Terminer.

Important

La configuration du mot de passe du compte du service sur Mot de passe n’expire jamais peut être plus pratique, mais elle présente un risque pour la sécurité. Les mots de passe de compte de service normaux doivent expirer conformément à la stratégie d’expiration du mot de passe utilisateur de l’organisation. Créez un rappel pour modifier le mot de passe du compte de service deux semaines avant son expiration. Partagez le rappel avec d’autres personnes autorisées à modifier le mot de passe pour vous assurer que le mot de passe est modifié avant son expiration.

Créer l’objet de stratégie de groupe des droits d’utilisateur du service NDES

L’objet de stratégie de groupe garantit que le compte de service NDES dispose du droit d’utilisateur approprié pour affecter tous les serveurs NDES dans le groupe Serveurs NDES . Lorsque vous ajoutez de nouveaux serveurs NDES à votre environnement et à ce groupe, le compte de service reçoit automatiquement les droits d’utilisateur appropriés via la stratégie de groupe.

Connectez-vous à un contrôleur de domaine ou des stations de travail de gestion à l’aide d’informations d’identification correspondant à l'administrateur de domaine.

  1. Démarrez la Console de gestion des stratégies de groupe (gpmc.msc).

  2. Développez le domaine et sélectionnez le nœud Objet de stratégie de groupe dans le volet de navigation

  3. Cliquez avec le bouton droit sur Objets de stratégie de groupe, puis sélectionnez Nouveau

  4. Tapez Droits de service NDES dans la zone nom, puis sélectionnez OK.

  5. Dans le volet de contenu, cliquez avec le bouton droit sur l’objet de stratégie de groupe des droits du service NDES , puis sélectionnez Modifier

  6. Dans le volet de navigation, développez Stratégies sous Configuration de l’ordinateur

  7. Développez Paramètres > Windows Paramètres > de sécurité Stratégies locales. Sélectionner les attributions de droits utilisateur

  8. Dans le volet de contenu, double-cliquez sur Autoriser l’ouverture de session localement. Sélectionnez Définir ces paramètres de stratégie , puis ok. Sélectionnez Ajouter un utilisateur ou un groupe... Dans la boîte de dialogue Ajouter un utilisateur ou un groupe , sélectionnez Parcourir. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes , tapez Administrateurs ; Opérateurs de sauvegarde ; DOMAINNAME\NDESSvc ; Utilisateurs pour lesquels DOMAINNAME est le nom NetBios du domaine (exemple CONTOSO\NDESSvc) dans Noms d’utilisateurs et de groupes. Sélectionnez OK deux fois

  9. Dans le volet de contenu, double-cliquez sur Se connecter en tant que travail par lots. Sélectionnez Définir ces paramètres de stratégie , puis ok. Sélectionnez Ajouter un utilisateur ou un groupe... Dans la boîte de dialogue Ajouter un utilisateur ou un groupe , sélectionnez Parcourir. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes , tapez Administrateurs ; Opérateurs de sauvegarde ; DOMAINNAME\NDESSvc ; Utilisateurs du journal des performancesDOMAINNAME est le nom NetBios du domaine (exemple CONTOSO\NDESSvc) dans Noms d’utilisateurs et de groupes. Sélectionnez OK deux fois

  10. Dans le volet de contenu, double-cliquez sur Se connecter en tant que service. Sélectionnez Définir ces paramètres de stratégie , puis ok. Sélectionnez Ajouter un utilisateur ou un groupe... Dans la boîte de dialogue Ajouter un utilisateur ou un groupe , sélectionnez Parcourir. Dans la boîte de dialogue Sélectionner des utilisateurs, des ordinateurs, des comptes de service ou des groupes , tapez NT SERVICE\ALL SERVICES ; DOMAINNAME\NDESSvcDOMAINNAME est le nom NetBios du domaine (exemple CONTOSO\NDESSvc) dans Noms d’utilisateurs et de groupes. Sélectionnez OK trois fois

  11. Fermer l’Éditeur de gestion des stratégies de groupe

Configurer la sécurité pour l’objet de stratégie de groupe des droits d’utilisateur du service NDES

La meilleure façon de déployer l’objet de stratégie de groupe des droits d’utilisateur du service NDES consiste à utiliser le filtrage des groupes de sécurité. Cela vous permet de gérer facilement les ordinateurs qui reçoivent les paramètres de stratégie de groupe en les ajoutant à un groupe.

Connectez-vous à un contrôleur de domaine ou à une station de travail de gestion avec un accès équivalent à l’administrateur de domaine.

  1. Démarrez la Console de gestion des stratégies de groupe (gpmc.msc).
  2. Développez le domaine et sélectionnez le nœud Objet de stratégie de groupe dans le volet de navigation
  3. Double-cliquez sur l’objet de stratégie de groupe des droits d’utilisateur du service NDES
  4. Dans la section Filtrage de sécurité du volet de contenu, sélectionnez Ajouter. Tapez Serveurs NDES ou le nom du groupe de sécurité que vous avez créé précédemment, puis sélectionnez OK.
  5. Sélectionnez l’onglet Délégation . Sélectionnez Utilisateurs authentifiés , puis Avancé
  6. Dans la liste Noms de groupes ou d’utilisateurs, sélectionnez Utilisateurs authentifiés. Dans la liste Autorisations pour les utilisateurs authentifiés, désactivez la case à cocher Autoriser pour l’autorisation Appliquer la stratégie de groupe. Sélectionnez OK.

Déployer l’objet de stratégie de groupe des droits utilisateur du service NDES

L’application de l’objet de stratégie de groupe des droits utilisateur du service NDES utilise le filtrage de groupe de sécurité. Cela vous permet de lier l’objet de stratégie de groupe au niveau du domaine, ce qui garantit que l’objet de stratégie de groupe est dans l’étendue de tous les ordinateurs. Toutefois, le filtrage des groupes de sécurité garantit que seuls les ordinateurs inclus dans le groupe de sécurité global serveurs NDES reçoivent et appliquent l’objet de stratégie de groupe, ce qui permet de fournir au compte de service NDESSvc les droits d’utilisateur appropriés.

Connectez-vous à un contrôleur de domaine ou à une station de travail de gestion avec un accès équivalent à l’administrateur de domaine.

  1. Démarrez la Console de gestion des stratégies de groupe (gpmc.msc).
  2. Dans le volet de navigation, développez le domaine, cliquez avec le bouton droit sur le nœud qui contient votre nom de domaine Active Directory, puis sélectionnez Lier un objet de stratégie de groupe existant.
  3. Dans la boîte de dialogue Sélectionner un objet de stratégie de groupe, sélectionnez Droits utilisateur du service NDES ou le nom de l’objet de stratégie de groupe que vous avez créé précédemment, puis sélectionnez OK

Important

La liaison de l’objet de stratégie de groupe des droits d’utilisateur du service NDES au domaine garantit que l’objet de stratégie de groupe est dans l’étendue de tous les ordinateurs. Toutefois, les paramètres de stratégie ne sont pas appliqués à tous les ordinateurs. Seuls les ordinateurs membres du groupe de sécurité global Serveurs NDES reçoivent les paramètres de stratégie. Tous les autres ordinateurs ignorent l’objet de stratégie de groupe.

Préparer l’autorité de certification Active Directory

Vous devez préparer l’infrastructure à clé publique et l’autorité de certification émettrice pour prendre en charge l’émission de certificats à l’aide de Microsoft Intune et du rôle serveur NDES (Network Devices Enrollment Services). Dans cette tâche, vous allez

  • Configurer l’autorité de certification pour permettre à Intune de fournir des périodes de validité
  • Créer un modèle de certificat d’authentification NDES-Intune
  • Créer un modèle de certificat d’authentification Windows Hello Entreprise joint à Microsoft Entra
  • Publier des modèles de certificat

Configurer l’autorité de certification pour permettre à Intune de fournir des périodes de validité

Lorsque vous déployez des certificats à l’aide de Microsoft Intune, vous avez la possibilité de fournir la période de validité dans le profil de certificat SCEP plutôt que de vous appuyer sur la période de validité dans le modèle de certificat. Si vous devez émettre le même certificat avec des périodes de validité différentes, il peut être avantageux d’utiliser le profil SCEP, compte tenu du nombre limité de certificats qu’un serveur NDES unique peut émettre.

Remarque

Ignorez cette étape si vous ne souhaitez pas autoriser Microsoft Intune à spécifier la période de validité du certificat. Sans cette configuration, la demande de certificat utilise la période de validité configurée dans le modèle de certificat.

Connectez-vous à l’autorité de certification émettrice avec un accès équivalent à l’administrateur local.

  1. Ouvrez une invite de commandes avec élévation de privilèges et tapez la commande suivante :

    certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    
  2. Redémarrer le service Services de certificats Active Directory

Créer un modèle de certificat d’authentification NDES-Intune

NDES utilise un certificat d’authentification serveur pour authentifier le point de terminaison du serveur, qui chiffre la communication entre celui-ci et le client de connexion. Intune Certificate Connector utilise un modèle de certificat d’authentification client pour s’authentifier auprès du point d’enregistrement de certificat.

Connectez-vous à l’autorité de certification émettrice ou aux stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur du domaine .

  1. Ouvrir la console de gestion de l’autorité de certification

  2. Cliquez avec le bouton droit sur Modèles de certificats , puis sélectionnez Gérer

  3. Dans la console modèle de certificat, cliquez avec le bouton droit sur le modèle Ordinateur dans le volet d’informations, puis sélectionnez Dupliquer le modèle

  4. Sous l’onglet Général , tapez Authentification NDES-Intune dans Nom d’affichage du modèle. Ajuster la période de validité et de renouvellement pour répondre aux besoins de votre entreprise

    Remarque

    Si vous utilisez des noms de modèles différents, vous devez mémoriser et remplacer ces noms dans différentes parties du labo

  5. Sous l’onglet Objet, sélectionnez Fournir dans la demande.

  6. Sous l’onglet Chiffrement , vérifiez que la taille de clé minimale est 2048

  7. Sous l’onglet Sécurité , sélectionnez Ajouter

  8. Sélectionnez Types d’objets, puis, dans la fenêtre qui s’affiche, choisissez Ordinateurs et sélectionnez OK.

  9. Tapez serveur NDES dans la zone de texte Entrez les noms d’objets à sélectionner, puis sélectionnez OK.

  10. Sélectionnez Serveur NDES dans la liste Noms des groupes ou des utilisateurs . Dans la section Autorisations pour , cochez la case Autoriser pour l’autorisation Inscrire . Décochez la case Autoriser pour les autorisations Inscrire et Inscrire automatiquement pour tous les autres éléments de la liste Noms de groupes ou d’utilisateurs si les cases à cocher ne sont pas déjà désactivées. Sélectionnez OK.

  11. Sélectionnez Appliquer pour enregistrer les modifications et fermer la console

Créer un modèle de certificat d’authentification Windows Hello Entreprise joint à Microsoft Entra

Pendant l’approvisionnement de Windows Hello Entreprise, Windows demande un certificat d’authentification à Microsoft Intune, qui demande le certificat d’authentification au nom de l’utilisateur. Cette tâche configure le modèle de certificat d’authentification Windows Hello Entreprise. Vous utilisez le nom du modèle de certificat lors de la configuration du serveur NDES.

Connectez-vous à une autorité de certification ou à des stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur de domaine .

  1. Ouvrir la console de gestion de l’autorité de certification

  2. Cliquez avec le bouton droit sur Modèles de certificats , puis sélectionnez Gérer

  3. Cliquez avec le bouton droit sur le modèle d’ouverture de session par carte à puce et choisissez Dupliquer le modèle

  4. Sur l’onglet Compatibilité , désélectionnez la case à cocher Afficher les modifications résultantes. Sélectionnez Windows Server 2012 ou Windows Server 2012 R2 dans la liste Autorité de certification. Sélectionnez Windows Server 2012 ou Windows Server 2012 R2 dans la liste Destinataire du certificat

  5. Sous l’onglet Général , tapez ENTRA AUTHENTIFICATION WHFB jointe dans Nom d’affichage du modèle. Ajuster la période de validité et de renouvellement pour répondre aux besoins de votre entreprise

    Remarque

    Si vous utilisez des noms de modèles différents, vous devez mémoriser et remplacer ces noms dans différentes parties du déploiement

  6. Dans l'onglet Chiffrement, sélectionnez Fournisseur de stockage de clés dans la liste Catégorie de fournisseur. Sélectionnez RSA dans la liste Nom d'algorithme. Saisissez 2048 dans la zone de texte Taille de clé minimale. Sélectionnez SHA256 dans la liste Hachage de la demande.

  7. Sous l’onglet Extensions , vérifiez que l’extension Stratégies d’application inclut l’ouverture de session par carte à puce

  8. Sous l’onglet Objet, sélectionnez Fournir dans la demande.

  9. Sous l’onglet Gestion des demandes , sélectionnez Signature et chiffrement dans la liste Objectif . Cochez la case Renouveler avec la même clé . Sélectionnez Inscrire l’objet sans aucune entrée utilisateur

  10. Sous l’onglet Sécurité , sélectionnez Ajouter. Tapez NDESSvc dans la zone de texte Entrez les noms d’objets à sélectionner , puis sélectionnez OK

  11. Sélectionnez NDESSvc dans la liste Noms des groupes ou des utilisateurs . Dans la section Autorisations pour les serveurs NDES , cochez la case Autoriser pour Lecture et inscription. Décochez la case Autoriser pour les autorisations Inscrire et inscrire automatiquement pour toutes les autres entrées de la section Noms de groupes ou d’utilisateurs si les cases à cocher ne sont pas déjà désactivées. Sélectionnez OK.

  12. Fermer la console

Publier des modèles de certificat

L'autorité de certification peut émettre uniquement des certificats pour les modèles de certificats qui sont publiés sur cette autorité de certification. Si vous avez plusieurs autorités de certification et que vous souhaitez que cette autorité de certification pour émettre des certificats basés sur un modèle de certificat spécifique, vous devez publier le modèle de certificat pour toutes les autorités de certification devant émettre le certificat.

Important

Veillez à publier les modèles de certificat ENTRA JOINED WHFB Authentication sur l’autorité de certification que Microsoft Intune utilise par le biais des serveurs NDES. La configuration NDES vous demande de choisir une autorité de certification à partir de laquelle elle demande des certificats. Vous devez publier ces modèles de certificat sur l’autorité de certification émettrice. Le certificat d’authentification NDES-Intune est directement inscrit et peut être publié sur n’importe quelle autorité de certification.

Connectez-vous à l’autorité de certification ou aux stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .

  1. Ouvrir la console de gestion de l’autorité de certification
  2. Développez le nœud parent à partir du volet de navigation
  3. Sélectionnez Modèles de certificats dans le volet de navigation
  4. Cliquez sur le nœud Modèles de certificats. Sélectionnez Nouveau, puis modèle de certificat à émettre
  5. Dans la fenêtre Activer les modèles de certificats , sélectionnez les modèles d’authentification NDES-Intune et d’authentification WHFB JOINTE ENTRA que vous avez créés aux étapes précédentes. Sélectionnez OK pour publier les modèles de certificat sélectionnés sur l’autorité de certification
  6. Fermer la console

Installer et configurer le rôle NDES

Cette section comprend les articles suivants :

  • Installer le rôle de service d’inscription de périphérique réseau
  • Configurer le compte de service NDES
  • Configurer le rôle NDES et les modèles de certificat
  • Créer un proxy d’application web pour l’URL NDES interne
  • S’inscrire pour obtenir un certificat d’authentification NDES-Intune
  • Configurer le certificat de serveur web pour NDES
  • Vérifier la configuration

Installer le rôle Services d’inscription de périphériques réseau

Installez le rôle Service d’inscription de périphérique réseau sur un ordinateur autre que l’autorité de certification émettrice.

Connectez-vous à l’autorité de certification ou aux stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .

  1. Ouvrir le Gestionnaire de serveur sur le serveur NDES

  2. Sélectionnez Gérer. Sélectionnez Ajouter des rôles et des fonctionnalités.

  3. Dans l’Assistant Ajout de rôles et de fonctionnalités, dans la page Avant de commencer , sélectionnez Suivant. Sélectionnez Installation basée sur un rôle ou une fonctionnalité dans la page Sélectionner le type d’installation . Sélectionnez Suivant. Sélectionnez Sélectionner un serveur dans le pool de serveurs. Sélectionnez le serveur local dans la liste Pool de serveurs . Sélectionnez Suivant.

    Serveur de destination du Gestionnaire de serveur.

  4. Dans la page Sélectionner des rôles de serveur, sélectionnez Services de certificats Active Directory dans la liste Rôles

    Rôle AD CS du Gestionnaire de serveur.

    Sélectionnez Ajouter des fonctionnalités dans la boîte de dialogue Assistant Ajout de rôles et de fonctionnalités . Sélectionnez Suivant.

    Gestionnaire de serveur Ajouter des fonctionnalités.

  5. Dans la page Fonctionnalités , développez Fonctionnalités du .NET Framework 3.5. Sélectionnez Activation HTTP. Sélectionnez Ajouter des fonctionnalités dans la boîte de dialogue Assistant Ajout de rôles et de fonctionnalités . Développez Fonctionnalités du .NET Framework 4.5. Développez Services WCF. Sélectionnez Activation HTTP. Sélectionnez Ajouter des fonctionnalités dans la boîte de dialogue Assistant Ajout de rôles et de fonctionnalités . Sélectionnez Suivant.

    Activation HTTP des fonctionnalités du Gestionnaire de serveur.

  6. Dans la page Sélectionner des services de rôle , décochez la case Autorité de certification. Sélectionnez le service d’inscription de périphérique réseau. Sélectionnez Ajouter des fonctionnalités dans la boîte de dialogue Assistant Ajout de rôles et de fonctionnalités . Sélectionnez Suivant.

    Rôle NDES ADCS du Gestionnaire de serveur.

  7. Sélectionnez Suivant dans la page Rôle de serveur web (IIS)

  8. Dans la page Sélectionner les services de rôle pour le rôle Web Serve, sélectionnez les services supplémentaires suivants s’ils ne sont pas déjà sélectionnés, puis sélectionnez Suivant

    • Filtrage des demandes de sécurité > de serveur > web
    • Développement > d’applications serveur > web ASP.NET 3.5
    • Développement > d’applications serveur > web ASP.NET 4.5
    • Outils d’administration > Compatibilité de la gestion IIS 6 Compatibilité > de la métabase IIS 6
    • Outils d’administration > Compatibilité de gestion IIS 6 Compatibilité > WMI IIS 6

    Rôle serveur web du Gestionnaire de serveur.

  9. Sélectionnez Installer. Une fois l’installation terminée, passez à la procédure suivante. Ne cliquez pas sur Fermer

    Important

    .NET Framework 3.5 n’est pas inclus dans l’installation standard. Si le serveur est connecté à Internet, l’installation tente d’obtenir les fichiers à l’aide de Windows Update. Si le serveur n’est pas connecté à Internet, vous devez spécifier un autre chemin d’accès source tel que <driveLetter> :\Sources\SxS\

    .NET côte à côte.

Configurer le compte de service NDES

Cette tâche ajoute le compte de service NDES au groupe de IIS_USRS local. La tâche configure également le compte de service NDES pour l’authentification et la délégation Kerberos

Ajouter le compte de service NDES au groupe IIS_USRS

Connectez-vous au serveur NDES avec un accès équivalent à l’administrateur local.

  1. Démarrer la console de gestion Utilisateurs et groupes locaux (lusrmgr.msc)
  2. Sélectionnez Groupes dans le volet de navigation. Double-cliquez sur le groupe IIS_IUSRS
  3. Dans la boîte de dialogue Propriétés IIS_IUSRS , sélectionnez Ajouter. Tapez NDESSvc ou le nom de votre compte de service NDES. Sélectionnez Vérifier les noms pour vérifier le nom, puis sélectionnez OK. Sélectionnez OK pour fermer la boîte de dialogue propriétés
  4. Fermez la console de gestion.

Inscrire un nom de principal de service sur le compte de service NDES

Connectez-vous au serveur NDES avec un accès équivalent aux administrateurs de domaine.

  1. Ouvrir une invite de commandes avec élévation de privilèges

  2. Tapez la commande suivante pour inscrire le nom du principal de service

    setspn -s http/[FqdnOfNdesServer] [DomainName\\NdesServiceAccount]
    

    [FqdnOfNdesServer] est le nom de domaine complet du serveur NDES et [DomainName\NdesServiceAccount] est le nom de domaine et le nom du compte de service NDES séparés par une barre oblique inverse (\). Voici un exemple de commande :

    setspn -s http/ndes.corp.contoso.com contoso\ndessvc
    

Remarque

Si vous utilisez le même compte de service pour plusieurs serveurs NDES, répétez la tâche suivante pour chaque serveur NDES sous lequel le service NDES s’exécute.

Définir l’invite de commandes SPN.

Configurer le compte de service NDES pour la délégation

Le service NDES inscrit les certificats pour le compte des utilisateurs. Par conséquent, vous souhaitez limiter les actions qu’il peut effectuer au nom de l’utilisateur. Vous effectuez cette opération par le biais de la délégation.

Connectez-vous à un contrôleur de domaine avec un accès minimal équivalent aux administrateurs de domaine.

  1. Ouvrez Utilisateurs et ordinateurs Active Directory.

  2. Recherchez le compte de service NDES (NDESSvc). Cliquez avec le bouton droit et sélectionnez Propriétés. Sélectionnez l’onglet Délégation .

    Onglet Délégation NDES.

  3. Sélectionnez Approuver cet utilisateur pour la délégation aux services spécifiés uniquement.

  4. Sélectionnez Utiliser n’importe quel protocole d’authentification

  5. Sélectionnez Ajouter.

  6. Sélectionnez Utilisateurs ou Ordinateurs... Tapez le nom du serveur NDES que vous utilisez pour émettre des certificats d’authentification Windows Hello Entreprise aux appareils joints à Microsoft Entra. Dans la liste Services disponibles , sélectionnez HÔTE. Sélectionnez OK.

    Délégation de service NDES à l’hôte NDES.

  7. Répétez les étapes 5 et 6 pour chaque serveur NDES à l’aide de ce compte de service. Sélectionnez Ajouter.

  8. Sélectionnez Utilisateurs ou ordinateurs... Tapez le nom de l’autorité de certification émettrice que ce compte de service NDES utilise pour émettre des certificats d’authentification Windows Hello Entreprise aux appareils joints à Microsoft Entra. Dans la liste Services disponibles , sélectionnez dcom. Maintenez la touche Ctrl enfoncée et sélectionnez HÔTE. Sélectionnez OK.

  9. Répétez les étapes 8 et 9 pour chaque autorité de certification émettrice à partir de laquelle un ou plusieurs serveurs NDES demandent des certificats

    La délégation de service NDES est terminée.

  10. Sélectionnez OK. Fermer les utilisateurs et ordinateurs Active Directory

Configurer les modèles de rôle et de certificat NDES

Cette tâche configure le rôle NDES et les modèles de certificat que le serveur NDES émet.

Configurer le rôle NDES

Connectez-vous à l’autorité de certification ou aux stations de travail de gestion avec des informations d’identification équivalentes à l’administrateur d’entreprise .

Remarque

Si vous avez fermé le Gestionnaire de serveur à partir du dernier ensemble de tâches, démarrez le Gestionnaire de serveur et cliquez sur l’indicateur d’action qui affiche un point d’exclamation jaune.

Indicateur jaune post-installation du Gestionnaire de serveur.

  1. Sélectionnez le lien Configurer les services de certificats Active Directory sur le serveur de destination .

  2. Dans la page Informations d’identification , sélectionnez Suivant.

    Informations d’identification d’installation NDES.

  3. Dans la page Services de rôle , sélectionnez Service d’inscription de périphérique réseau , puis Suivant

    Services de rôle NDES.

  4. Dans la page Compte de service pour NDES, sélectionnez Spécifier le compte de service (recommandé). Sélectionnez Sélectionner.... Tapez le nom d’utilisateur et le mot de passe du compte de service NDES dans la boîte de dialogue Sécurité Windows . Sélectionnez Suivant.

    Compte de service NDES pour NDES.

  5. Dans la page Autorité de certification pour NDES , sélectionnez Nom de l’autorité de certification. Sélectionnez Sélectionner.... Sélectionnez l’autorité de certification émettrice à partir de laquelle le serveur NDES demande des certificats. Sélectionnez Suivant.

    Sélection de l’autorité de certification NDES.

  6. Dans informations sur l’ER, sélectionnez Suivant.

  7. Dans la page Chiffrement pour NDES , sélectionnez Suivant

  8. Passez en revue la page Confirmation . Sélectionnez Configurer.

    NDES Confirmation.

  9. Sélectionnez Fermer une fois la configuration terminée.

Configurer des modèles de certificat sur NDES

Un seul serveur NDES peut demander un maximum de trois modèles de certificat. Le serveur NDES détermine le certificat à émettre en fonction de la demande de certificat entrante qui est affectée dans le profil de certificat SCEP Microsoft Intune. Le profil de certificat SCEP Microsoft Intune a trois valeurs.

  • Signature numérique
  • Chiffrement de clé
  • Chiffrement de clé, signature numérique

Chaque valeur est mappée à un nom de valeur de Registre dans le serveur NDES. Le serveur NDES traduit une valeur SCEP entrante fournie dans le modèle de certificat correspondant. Le tableau ci-dessous présente les valeurs de profil SCEP des noms de valeurs de registre du modèle de certificat NDES.

Utilisation de la clé de profil SCEP Nom de la valeur de Registre NDES
Signature numérique SignatureTemplate
Chiffrement de clé EncryptionTemplate
Chiffrement de clé
Signature numérique
GeneralPurposeTemplate

Dans l’idéal, vous devez faire correspondre la demande de certificat avec le nom de la valeur de Registre pour que la configuration reste intuitive (les certificats de chiffrement utilisent le modèle de chiffrement, les certificats de signature utilisent le modèle de signature, etc.). Un résultat de cette conception intuitive est la croissance exponentielle potentielle du serveur NDES. Imaginez une organisation qui doit émettre neuf certificats de signature uniques au sein de son entreprise.

Si nécessaire, vous pouvez configurer un certificat de signature dans le nom de valeur du registre de chiffrement ou un certificat de chiffrement dans la valeur de registre de signature pour optimiser l’utilisation de votre infrastructure NDES. Cette conception intuitive nécessite une documentation actuelle et précise de la configuration pour garantir que le profil de certificat SCEP est configuré pour inscrire le certificat correct, quel que soit l’objectif réel. Chaque organisation doit équilibrer la facilité de configuration et d’administration avec une infrastructure NDES supplémentaire et la surcharge de gestion qui l’accompagne.

Connectez-vous au serveur NDES avec des informations d’identification équivalentes à l’administrateur local .

  1. Ouvrir une invite de commandes avec élévation de privilèges

  2. À l’aide du tableau ci-dessus, déterminez le nom de la valeur de Registre que vous utiliserez pour demander des certificats d’authentification Windows Hello Entreprise pour les appareils joints à Microsoft Entra

  3. Tapez la commande suivante :

    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v [registryValueName] /t REG_SZ /d [certificateTemplateName]
    

    registryValueName est l’un des trois noms de valeur de la table ci-dessus et où certificateTemplateName est le nom du modèle de certificat que vous avez créé pour les appareils joints à Microsoft Entra Windows Hello Entreprise. Exemple :

    reg add HKLM\Software\Microsoft\Cryptography\MSCEP /v SignatureTemplate /t REG_SZ /d ENTRAJOINEDWHFBAuthentication
    
  4. Tapez Y lorsque la commande demande l’autorisation de remplacer la valeur existante

  5. Fermez l’invite de commandes.

Important

Utilisez le nom du modèle de certificat ; pas le nom d’affichage. Le nom du modèle de certificat n’inclut pas d’espaces. Vous pouvez afficher les noms des certificats en examinant l’onglet Général des propriétés du modèle de certificat dans la console de gestion Des modèles de certificats (certtmpl.msc).

Créez un proxy d’application web pour l’URL NDES interne.

L’inscription de certificat pour les appareils joints à Microsoft Entra se fait sur Internet. Par conséquent, les URL NDES internes doivent être accessibles en externe. Vous pouvez le faire facilement et en toute sécurité à l’aide du proxy d’application Microsoft Entra. Le proxy d’application Microsoft Entra fournit une authentification unique et un accès à distance sécurisé pour les applications web hébergées localement, telles que les services d’inscription de périphériques réseau.

Dans l’idéal, vous configurez votre profil de certificat SCEP Microsoft Intune pour utiliser plusieurs URL NDES externes. Cela permet à Microsoft Intune d’équilibrer la charge par tourniquet (round robin) des demandes de certificat sur des serveurs NDES configurés de manière identique (chaque serveur NDES peut prendre en charge environ 300 demandes simultanées). Microsoft Intune envoie ces requêtes aux proxys d’application Microsoft Entra.

Les proxys d’application Microsoft Entra sont pris en charge par des agents légers du connecteur de proxy d’application. Pour plus d’informations, consultez Qu’est-ce que le proxy d’application  ? Ces agents sont installés sur vos appareils locaux joints à un domaine et établissent une connexion sortante sécurisée authentifiée vers Azure, en attente de traitement des demandes des proxys d’application Microsoft Entra. Vous pouvez créer des groupes de connecteurs dans l’ID Microsoft Entra pour affecter des connecteurs spécifiques à des applications spécifiques de service.

Groupe de connecteurs tourniquet automatiquement, équilibrez la charge des demandes de proxy d’application Microsoft Entra aux connecteurs au sein du groupe de connecteurs attribué. Cela garantit que les demandes de certificat Windows Hello Entreprise disposent de plusieurs connecteurs proxy d’application Microsoft Entra dédiés exclusivement disponibles pour répondre aux demandes d’inscription. L’équilibrage de charge des connecteurs et des serveurs NDES doit garantir que les utilisateurs inscrivent leurs certificats Windows Hello Entreprise en temps voulu.

Télécharger et installer l’agent du connecteur de proxy d’application

Connectez-vous à une station de travail disposant d’un accès équivalant à un Utilisateur de domaine.

  1. Accès au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins
  2. Sélectionnez Tous les Services. Tapez Microsoft Entra ID pour filtrer la liste des services. Sous SERVICES, sélectionnez ID Microsoft Entra
  3. Sous GÉRER, sélectionnez Proxy d’application
  4. Sélectionnez Télécharger le service de connecteur. Sélectionnez Accepter les conditions & Télécharger. Enregistrez le fichier (AADApplicationProxyConnectorInstaller.exe) dans un emplacement accessible par d’autres personnes sur le domaine Azure Application Proxy Connectors.
  5. Connectez-vous à l’ordinateur qui exécutera le connecteur avec un accès équivalent à un utilisateur de domaine

    Important

    Installez au moins deux connecteurs de proxy d’ID Microsoft Entra pour chaque proxy d’application NDES. Localisez stratégiquement les connecteurs de proxy d’application Microsoft Entra au sein de votre organisation pour garantir une disponibilité maximale. N’oubliez pas que les appareils exécutant le connecteur doivent être en mesure de communiquer avec Azure et les serveurs NDES locaux

  6. Démarrer AADApplicationProxyConnectorInstaller.exe
  7. Lisez les termes du contrat de licence, puis sélectionnez J’accepte les termes et conditions du contrat de licence. Sélectionnez Installer Leconnecteur de proxy d’application Azure : termes du contrat de licence
  8. Se connecter en tant qu’administrateur d’application Azure Proxy Connector au moins : connexion
  9. Une fois l’installation terminée. Lisez les informations relatives aux serveurs proxy sortants. Sélectionnez Fermer leconnecteur de proxy d’application Azure : lecture
  10. Répétez les étapes 5 à 10 pour chaque appareil qui exécutera le connecteur de proxy d’application Microsoft Entra pour les déploiements de certificats Windows Hello Entreprise

Créer un groupe de connecteurs

Connectez-vous à une station de travail disposant d’un accès équivalant à un Utilisateur de domaine.

  1. Accès au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins

  2. Sélectionnez Tous les Services. Tapez Microsoft Entra ID pour filtrer la liste des services. Sous SERVICES, sélectionnez ID Microsoft Entra

  3. Sous GÉRER, sélectionnez Proxy d’application.

    Groupes de connecteurs de proxy d’application Azure.

  4. Sélectionnez Nouveau groupe de connecteurs. Sous Nom, tapez NDES WHFB Connectors.

    Nouveau groupe de connecteurs d’application Azure.

  5. Sélectionnez chaque agent de connecteur dans la liste Connecteurs qui traitera les demandes d’inscription de certificat Windows Hello Entreprise

  6. Sélectionnez Enregistrer.

Créer le proxy d’application Azure

Connectez-vous à une station de travail disposant d’un accès équivalant à un Utilisateur de domaine.

  1. Accès au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins

  2. Sélectionnez Tous les Services. Tapez Microsoft Entra ID pour filtrer la liste des services. Sous SERVICES, sélectionnez ID Microsoft Entra

  3. Sous GÉRER, sélectionnez Proxy d’application

  4. Sélectionnez Configurer une application.

  5. Sous Paramètres de base en regard de Nom, tapez WHFB NDES 01. Choisissez un nom qui met en corrélation ce paramètre de proxy d’application Microsoft Entra avec le serveur NDES local. Chaque serveur NDES doit avoir son propre proxy d’application Microsoft Entra, car deux serveurs NDES ne peuvent pas partager la même URL interne

  6. En regard de URL interne, tapez le nom DNS complet interne du serveur NDES associé à ce proxy d’application Microsoft Entra. Exemple : https://ndes.corp.mstepdemo.net. Vous devez faire correspondre le nom d’hôte principal (nom du compte d’ordinateur AD) du serveur NDES et préfixer l’URL avec https

  7. Sous URL interne, sélectionnez https:// dans la première liste. Dans la zone de texte en regard de https://, tapez le nom d’hôte que vous souhaitez utiliser comme nom d’hôte externe pour le proxy d’application Microsoft Entra. Dans la liste en regard du nom d’hôte que vous avez tapé, sélectionnez un suffixe DNS que vous souhaitez utiliser en externe pour le proxy d’application Microsoft Entra. Il est recommandé d’utiliser la valeur par défaut , -[tenantName].msapproxy.net où [tenantName] est votre nom de locataire Microsoft Entra actuel (-mstephendemo.msappproxy.net).

    Configuration du proxy d’application NDES Azure.

  8. Sélectionnez Passthrough dans la liste Pré-authentification

  9. Sélectionnez Connecteurs WHFB NDES dans la liste Groupe de connecteurs

  10. Sous Paramètres supplémentaires, sélectionnez Par défaut dans Délai d’expiration de l’application principale. Dans la section Traduire les URL dans , sélectionnez Oui en regard d’En-têtes , puis Non en regard de Corps de l’application

  11. Sélectionnez Ajouter.

  12. Déconnectez-vous du Portail Azure.

    Important

    Notez les URL internes et externes. Vous aurez besoin de ces informations lorsque vous inscrivez le certificat d’authentification NDES-Intune.

Inscrire le certificat d’authentification NDES-Intune

Cette tâche inscrit un certificat d’authentification client et serveur utilisé par le connecteur Intune et le serveur NDES.

Connectez-vous au serveur NDES avec un accès équivalent aux administrateurs locaux.

  1. Démarrer le Gestionnaire de certificats de l’ordinateur local (certlm.msc)

  2. Développez le nœud Personnel dans le volet de navigation

  3. Cliquez avec le bouton droit sur Personnel. Sélectionner toutes les tâches et demander un nouveau certificat

  4. Sélectionnez Suivant dans la page Avant de commencer

  5. Sélectionnez Suivant dans la page Sélectionner la stratégie d’inscription de certificat

  6. Dans la page Demander des certificats, cochez la case Authentification NDES-Intune

  7. Sélectionnez l’option Plus d’informations sont requises pour l’inscription de ce certificat. Cliquez ici pour configurer le lien des paramètres

    Exemple d’onglet Objet des propriétés de certificat : c’est ce qui s’affiche lorsque vous cliquez sur le lien ci-dessus.

  8. Sous Nom du sujet, sélectionnez Nom commun dans la liste Type. Tapez l’URL interne utilisée dans la tâche précédente (sans le https://, par exemple ndes.corp.mstepdemo.net), puis sélectionnez Ajouter

  9. Sous Autre nom, sélectionnez DNS dans la liste Type. Tapez l’URL interne utilisée dans la tâche précédente (sans le https://, par exemple ndes.corp.mstepdemo.net). Sélectionnez Ajouter. Tapez l’URL externe utilisée dans la tâche précédente (sans le https://, par exemple ndes-mstephendemo.msappproxy.net). Sélectionnez Ajouter. Sélectionnez OK lorsque vous avez terminé.

  10. Sélectionnez Inscrire.

  11. Répétez ces étapes pour tous les serveurs NDES utilisés pour demander des certificats d’authentification Windows Hello Entreprise pour les appareils joints à Microsoft Entra

Configurer le rôle serveur web

Cette tâche configure le rôle Serveur web sur le serveur NDES pour utiliser le certificat d’authentification serveur.

Connectez-vous au serveur NDES avec un accès équivalent à l’administrateur local.

  1. Démarrer le Gestionnaire des services Internet (IIS) à partir des outils d’administration

  2. Développez le nœud qui porte le nom du serveur NDES. Développez Sites et sélectionnez Site web par défaut.

    NDES IIS Console

  3. Sélectionnez Liaisons... sous Actions. Sélectionnez Ajouter.

    Console IIS NDES : Ajouter

  4. Sélectionnez https dans Type. Vérifiez que la valeur de Port est 443

  5. Sélectionnez le certificat que vous avez précédemment inscrit dans la liste des certificats SSL . Sélectionnez OK.

    Console IIS NDES : Liste des certificats

  6. Sélectionnez http dans la liste Liaisons de site . Sélectionnez Supprimer.

  7. Sélectionnez Fermer dans la boîte de dialogue Liaisons de site

  8. Fermer le Gestionnaire des services Internet (IIS)

Vérifier la configuration

Cette tâche confirme la configuration TLS pour le serveur NDES.

Connectez-vous au serveur NDES avec un accès équivalent à l’administrateur local.

Désactiver la configuration de sécurité renforcée d’Internet Explorer

  1. Ouvrez le Gestionnaire de serveur. Sélectionnez Serveur local dans le volet de navigation
  2. Sélectionnez Activé en regard de Configuration de la sécurité renforcée d’Internet Explorer dans la section Propriétés .
  3. Dans la boîte de dialogue Configuration de la sécurité renforcée d’Internet Explorer , sous Administrateurs, sélectionnez Désactivé. Sélectionnez OK.
  4. Fermer le Gestionnaire de serveur

Tester le serveur web NDES

  1. Ouvrir Internet Explorer

  2. Dans la barre de navigation, tapez

    https://[fqdnHostName]/certsrv/mscep/mscep.dll
    

    [fqdnHostName] est le nom d’hôte DNS interne complet du serveur NDES.

Une page web semblable à ce qui suit doit apparaître dans votre navigateur web. Si vous ne voyez pas une page similaire ou si vous recevez un message 503 Service indisponible , vérifiez que le compte de service NDES dispose des droits d’utilisateur appropriés. Vous pouvez également consulter le journal des événements de l’application pour les événements avec la source NetworkDeviceEnrollmentService .

Console IIS NDES : Source

Vérifiez que le site web utilise le certificat d’authentification du serveur.

Console IIS NDES : Confirmer

Configurer les services d’inscription d’appareils réseau pour qu’ils fonctionnent avec Microsoft Intune

Vous avez correctement configuré les services d’inscription de périphériques réseau. Vous devez maintenant modifier la configuration pour qu’elle fonctionne avec Intune Certificate Connector. Dans cette tâche, vous allez autoriser le serveur NDES et http.sys à gérer les URL longues.

  • Configurer NDES pour prendre en charge les URL longues

Configurer NDES et HTTP pour prendre en charge les URL longues

Connectez-vous au serveur NDES avec un accès équivalent à l’administrateur local.

Configurer le site web par défaut

  1. Démarrer le Gestionnaire des services Internet (IIS) à partir des outils d’administration

  2. Développez le nœud qui porte le nom du serveur NDES. Développez Sites et sélectionnez Site web par défaut.

  3. Dans le volet de contenu, double-cliquez sur Filtrage des demandes. Sélectionnez Modifier les paramètres de fonctionnalité... dans le volet Action

    Filtrage des demandes NDES Intune.

  4. Sélectionnez Autoriser les extensions de nom de fichier non listées

  5. Sélectionnez Autoriser les verbes non répertoriés

  6. Sélectionnez Autoriser les caractères en bits élevés

  7. Tapez 30000000 dans Longueur de contenu maximale autorisée (octets)

  8. Tapez 65534 dans Longueur maximale de l’URL (octets)

  9. Tapez 65534 dans Chaîne de requête maximale (octets)

  10. Sélectionnez OK. Fermer le Gestionnaire des services Internet (IIS)

Configurer des paramètres pour HTTP.SYS

  1. Ouvrir une invite de commandes avec élévation de privilèges

  2. Exécutez les commandes suivantes :

    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxFieldLength /t REG_DWORD /d 65534
    reg add HKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters /v MaxRequestBytes /t REG_DWORD /d 65534
    
  3. Redémarrer le serveur NDES

Télécharger, installer et configurer Intune Certificate Connector

L’application Intune Certificate Connector permet à Microsoft Intune d’inscrire des certificats à l’aide de votre infrastructure à clé publique locale pour les utilisateurs sur des appareils gérés par Microsoft Intune.

Pour savoir comment télécharger, installer et configurer Intune Certificate Connector, consultez Installer Certificate Connector pour Microsoft Intune.

Configurer le connecteur NDES pour la révocation de certificat (facultatif)

Si vous le souhaitez (non obligatoire), vous pouvez configurer le connecteur Intune pour la révocation de certificats lorsqu’un appareil est effacé, désinscrit ou lorsque le profil de certificat tombe en dehors de l’étendue de l’utilisateur ciblé (les utilisateurs sont supprimés, supprimés ou le profil est supprimé). Vous devez sélectionner l’option Révocation de certificats pendant la configuration du connecteur pour activer la révocation automatique des certificats émis par une autorité de certification Microsoft Active Directory. En outre, vous devez activer le compte de service NDES pour la révocation.

  1. Connectez l’autorité de certification utilisée par le connecteur NDES avec un accès équivalent à l’administrateur de domaine

  2. Démarrer la console de gestion de l’autorité de certification

  3. Dans le volet de navigation, cliquez avec le bouton droit sur le nom de l’autorité de certification, puis sélectionnez Propriétés.

  4. Sélectionnez l’onglet Sécurité , puis sélectionnez Ajouter. Dans la zone Entrez les noms d’objets à sélectionner , entrez NDESSvc (ou le nom que vous avez donné au compte de service NDES). Sélectionnez Vérifier les noms, puis OK. Sélectionnez le compte de service NDES dans la liste Noms de groupe ou d’utilisateur . Sélectionnez Autoriser pour l’autorisation Émettre et gérer les certificats . Sélectionnez OK.

    Configurez la révocation de certificat Intune 02.

  5. Fermer l’autorité de certification

Créer et attribuer un profil de certificat SCEP (Simple Certificate Enrollment Protocol)

Créer un groupe d’utilisateurs de certificats WHFB JOINTS ENTRA

Connectez-vous à une station de travail disposant d’un accès équivalant à un Utilisateur de domaine.

  1. Accès au Centre d’administration Microsoft Entra en tant qu’administrateur d’application au moins

  2. Sélectionnez Tous les Services. Tapez Microsoft Entra ID pour filtrer la liste des services. Sous SERVICES, sélectionnez ID Microsoft Entra

  3. Sélectionnez Groupes. Sélectionnez Nouveau groupe

  4. Sélectionnez Sécurité dans la liste Type de groupe

  5. Sous Nom du groupe, tapez le nom du groupe. Par exemple, utilisateurs de certificats WHFB JOINTS ENTRA

  6. Fournir une description du groupe, le cas échéant

  7. Sélectionnez Affecté dans la liste Type d’appartenance

    Création d’un nouveau groupe Microsoft Entra.

  8. Sélectionnez Membres. Utilisez le volet Sélectionner des membres pour ajouter des membres à ce groupe. Lorsque vous avez terminé, sélectionnez Sélectionner

  9. Sélectionnez Créer.

Créer un profil de certificat SCEP

Connectez-vous à une station de travail disposant d’un accès équivalant à un Utilisateur de domaine.

  1. Connectez-vous au Centre d’administration Microsoft Intune
  2. Sélectionnez Appareils, puis profils de configuration
  3. Sélectionnez Créer un profil. Configuration de l’appareil Intune - Créer un profil.
  4. Sélectionnez Windows 10 et versions ultérieures dans la liste Plateforme
  5. Choisissez certificat SCEP dans la liste Profil , puis sélectionnez Créer.
  6. L’Assistant Certificat SCEP doit s’ouvrir. En regard de Nom, tapez Inscription de certificat WHFB
  7. En regard de Description, fournissez une description explicite pour votre environnement, puis sélectionnez Suivant
  8. Sélectionner Utilisateur comme type de certificat
  9. Configurez la période de validité du certificat pour qu’elle corresponde à votre organisation.

    Important

    N’oubliez pas que vous devez configurer votre autorité de certification pour permettre à Microsoft Intune de configurer la validité des certificats

  10. Sélectionnez Inscrire auprès de Windows Hello Entreprise, sinon échec (Windows 10 et versions ultérieures) dans la liste Fournisseur de stockage de clés (KSP)
  11. En regard de Format du nom de l’objet, tapez CN={{OnPrem_Distinguished_Name}} pour que le nom unique local soit l’objet du certificat émis.

    Remarque

    Si le nom unique contient des caractères spéciaux tels qu’un signe plus (« + »), une virgule (« , »), un point-virgule (« ; ») ou un signe égal (« = »), le nom entre crochets doit être placé entre guillemets : CN="{{OnPrem_Distinguished_Name}}".

    Si la longueur du nom unique est supérieure à 64 caractères, l’application de la longueur du nom sur l’autorité de certification doit être désactivée.

  12. Spécifiez le nom d’utilisateur principal (UPN) en tant que paramètre autre nom de l’objet . Définissez sa valeur sur {{UserPrincipalName}}
  13. Reportez-vous à la tâche « Configurer des modèles de certificat sur NDES » pour savoir comment vous avez configuré le modèle de certificat d’authentification WHFB ENTRA JOINT dans le Registre. Sélectionnez la combinaison appropriée d’utilisations de clés dans la liste Utilisations de clés qui correspondent au modèle NDES configuré dans le Registre. Dans cet exemple, le modèle de certificat d’authentification WHFB ENTRA JOINT a été ajouté au nom de la valeur de Registre SignatureTemplate . L’utilisation de la clé qui correspond à ce nom de valeur de Registre est Signature numérique
  14. Sélectionnez un profil de certificat approuvé précédemment configuré qui correspond au certificat racine de l’autorité de certification émettrice en tant que certificat racine pour le profil
  15. Sous Utilisation étendue de la clé, tapez Connexion par carte à puce sous Nom. Tapez 1.3.6.1.4.1.311.20.2.2 sous Identificateur d’objet. Sélectionnez Ajouter.
  16. Tapez un pourcentage (sans le signe pourcentage) en regard de Seuil de renouvellement pour déterminer quand le certificat doit tenter de le renouveler. La valeur recommandée est 20 EKUsde profil de certificat SCEP WHFB.
  17. Sous URL du serveur SCEP, tapez le nom externe complet du proxy d’application Microsoft Entra que vous avez configuré. Ajoutez au nom /certsrv/mscep/mscep.dll. Exemple : https://ndes-mtephendemo.msappproxy.net/certsrv/mscep/mscep.dll. Sélectionnez Ajouter. Répétez cette étape pour chaque proxy d’application Microsoft Entra NDES supplémentaire que vous avez configuré pour émettre des certificats Windows Hello Entreprise. Microsoft Intune équilibre la charge des requêtes entre les URL répertoriées dans le profil de certificat SCEP
  18. Sélectionnez Suivant.
  19. Sélectionnez Suivant plusieurs fois pour ignorer les étapes Balises d’étendue, Affectations et Règles d’applicabilité de l’Assistant, puis sélectionnez Créer.

Attribuer un groupe au profil de certificat d’inscription de certificat WHFB

Connectez-vous à une station de travail disposant d’un accès équivalant à un Utilisateur de domaine.

  1. Se connecter au Centre d’administration Microsoft Intune
  2. Sélectionnez Appareils, puis profils de configuration
  3. Sélectionnez Inscription de certificat WHFB
  4. Sélectionnez Propriétés, puis Modifier en regard de la section Affectations
  5. Dans le volet Affectations , sélectionnez Groupes sélectionnés dans la liste Affecter à . Sélectionnez Sélectionner les groupes à inclure. Attribution de profil WHFB SCEP.
  6. Sélectionnez le groupe Utilisateurs de certificats WHFB JOINTS ENTRA . Sélectionnez Sélectionner
  7. Sélectionnez Vérifier + enregistrer, puis Enregistrer.

Vous avez terminé la configuration. Ajoutez des utilisateurs qui doivent inscrire un certificat d’authentification Windows Hello Entreprise au groupe Utilisateurs de certificats WHFB JOINTS ENTRA . Ce groupe, combiné à la configuration d’inscription d’appareil Windows Hello Entreprise, invite l’utilisateur à s’inscrire à Windows Hello Entreprise et à inscrire un certificat qui peut être utilisé pour l’authentification auprès des ressources locales.

Remarque

Le fournisseur de services de configuration (CSP) Passport for Work qui est utilisé pour gérer Windows Hello Entreprise avec la gestion des appareils mobiles (MDM) contient une stratégie appelée UseCertificateForOnPremAuth. Cette stratégie n’est pas nécessaire lors du déploiement de certificats sur des utilisateurs Windows Hello Entreprise via les instructions décrites dans ce document et ne doit pas être configurée. Les appareils gérés avec GPM pour lesquels UseCertificateForOnPremAuth est activé échouent à la vérification des prérequis pour le provisionnement de Windows Hello Entreprise. Cet échec empêche les utilisateurs de configurer Windows Hello Entreprise s’ils ne l’ont pas déjà configuré.

Révision de la section

  • Conditions préalables
  • Préparer Microsoft Entra Connect
  • Préparer le compte de service NDES (Network Device Enrollment Services)
  • Préparer l’autorité de certification Active Directory
  • Installer et configurer le rôle NDES
  • Configurer les services d’inscription d’appareils réseau pour qu’ils fonctionnent avec Microsoft Intune
  • Télécharger, installer et configurer Intune Certificate Connector
  • Créer et attribuer un protocole d’inscription de certificat simple (profil de certificat SCEP)