Profils de certificat racine approuvés pour Microsoft Intune

Quand vous utilisez Intune pour provisionner des appareils avec des certificats pour accéder à vos ressources et votre réseau d’entreprise, utilisez un profil de certificat approuvé pour déployer le certificat racine approuvé sur ces appareils. Les certificats racine approuvés établissent une approbation entre l’appareil et votre autorité de certification racine ou intermédiaire (émettrice) à partir de laquelle les autres certificats sont émis.

Vous déployez le profil de certificat approuvé sur les mêmes appareils et utilisateurs qui reçoivent les profils de certificat pour SCEP (Simple Certificate Enrollment Protocol ), PKCS (Public Key Cryptography Standards) et les PKCS importés.

Conseil

Les profils de certificat approuvé sont pris en charge pour les bureaux à distance Windows Entreprise multisession.

Exporter le certificat d’autorité de certification racine de confiance

Pour utiliser des certificats importés PKCS, SCEP et PKCS, les appareils doivent approuver votre autorité de certification racine. Pour établir l’approbation, exportez le certificat d’autorité de certification racine de confiance, ainsi que les certificats d’autorité de certification intermédiaire ou émettrice, sous la forme d’un certificat public (.cer). Vous pouvez obtenir ces certificats auprès de l’autorité de certification émettrice ou de n’importe quel appareil qui approuve votre autorité de certification émettrice.

Pour exporter le certificat, consultez la documentation de votre autorité de certification. Vous devez exporter le certificat public en tant que fichier .cer encodé en DER. N’exportez pas la clé privée (fichier .pfx).

Vous utilisez ce fichier .cer pour créer des profils de certificat approuvé afin de déployer ce certificat sur vos appareils.

Créer des profils de certificat approuvés

Créez et déployez un profil de certificat approuvé avant de créer un profil de certificat importé SCEP, PKCS ou PKCS. En déployant un profil de certificat approuvé sur les groupes qui reçoivent les autres types de profils de certificat, vous permettez à tous les appareils de reconnaître la légitimité de votre autorité de certification. Ceci comprend des profils tels que ceux pour le VPN, le Wi-Fi et la messagerie.

Les profils de certificat SCEP référencent directement un profil de certificat approuvé. Les profils de certificat PKCS ne référencent pas directement le profil de certificat approuvé, mais référencent directement le serveur qui héberge votre autorité de certification. Les profils de certificat PKCS importé ne référencent pas directement le profil de certificat approuvé, mais peuvent l’utiliser sur l’appareil. Le déploiement d’un profil de certificat approuvé sur des appareils garantit que cette confiance est établie. Quand un appareil ne fait pas confiance à l’autorité de certification racine, la stratégie de profil de certificat SCEP ou PKCS échoue.

Créez un profil de certificat approuvé distinct pour chaque plateforme d’appareil que vous voulez prendre en charge, tout comme pour les profils de certificat SCEP, PKCS et PKCS importés.

Importante

Les profils racines approuvés que vous créez pour la plateforme Windows 10 et versions ultérieures s’affichent dans le centre d’administration Microsoft Intune en tant que profils pour la plateforme Windows 8.1 et versions ultérieures.

Il s’agit d’un problème connu avec la présentation de la plateforme pour les profils de certificat approuvés. Bien que le profil affiche une plateforme Windows 8.1 et versions ultérieures, il fonctionne pour Windows 10/11.

Remarque

Le profil Trusted Certificate dans Intune peut uniquement être utilisé pour fournir des certificats racines ou intermédiaires. L’objectif du déploiement de tels certificats est d’établir une chaîne de confiance. L’utilisation du profil de certificat approuvé pour fournir des certificats autres que les certificats racines ou intermédiaires n’est pas prise en charge par Microsoft. Vous risquez de ne pas pouvoir importer des certificats qui ne sont pas considérés comme des certificats racine ou intermédiaires lors de la sélection du profil de certificat approuvé dans le centre d’administration Microsoft Intune. Même si vous pouvez importer et déployer un certificat qui n’est ni un certificat racine ni un certificat intermédiaire avec ce type de profil, vous risquez d’obtenir des résultats inattendus entre différentes plateformes, comme iOS et Android.

Profils de certificat approuvés pour l’administrateur d’appareil Android

Importante

Microsoft Intune prend fin à la prise en charge de la gestion des administrateurs d’appareils Android sur les appareils ayant accès à Google Mobile Services (GMS) le 30 août 2024. Après cette date, l’inscription de l’appareil, le support technique, les correctifs de bogues et les correctifs de sécurité ne seront pas disponibles. Si vous utilisez actuellement la gestion des administrateurs d’appareils, nous vous recommandons de passer à une autre option de gestion Android dans Intune avant la fin du support. Pour plus d’informations, consultez Fin de la prise en charge de l’administrateur d’appareils Android sur les appareils GMS.

À compter d’Android 11, vous ne pouvez plus utiliser un profil de certificat approuvé pour déployer un certificat racine approuvé sur les appareils inscrits en tant que Administrateur d’appareil Android. Cette limitation ne s’applique pas à Samsung Knox.

Comme les profils de certificat SCEP nécessitent l’installation du certificat racine approuvé sur un appareil et qu’ils doivent référencer un profil de certificat approuvé qui à son tour fait référence à ce certificat, utilisez les étapes suivantes pour contourner cette limitation :

1. Provisionnez manuellement l’appareil avec le certificat racine approuvé. Pour obtenir des instructions, consultez la section suivante.

2. Déployez sur l’appareil un profil de certificat racine approuvé qui référence le certificat racine approuvé que vous avez installé sur l’appareil.

3. Déployez un profil de certificat SCEP sur l’appareil qui fait référence au profil de certificat racine approuvé.

Ce problème n’est pas limité aux profils de certificat SCEP. Par conséquent, prévoyez d’installer manuellement le certificat racine approuvé sur les appareils concernés si votre utilisation de profils de certificat PKCS ou de profils de certificat importés par PKCS le nécessite.

Découvrez plus d’informations sur les changements du support pour l’administrateur d’appareil Android sur techcommunity.microsoft.com.

Provisionner manuellement un appareil avec le certificat racine approuvé

Les instructions suivantes peuvent vous aider à provisionner manuellement des appareils avec un certificat racine approuvé.

1. Téléchargez ou transférez le certificat racine approuvé sur l’appareil Android. Par exemple, vous pouvez distribuer le certificat par e-mail aux utilisateurs de l’appareil ou demander à ces derniers de télécharger le certificat à partir d’un emplacement sécurisé. Une fois que le certificat se trouve sur l’appareil, vous devez l’ouvrir, le nommer et l’enregistrer. L’enregistrement du certificat l’ajoute au magasin de certificats de l’utilisateur sur l’appareil.

   1. Pour ouvrir le certificat sur l’appareil, l’utilisateur doit le localiser et appuyer dessus. Par exemple, une fois le certificat envoyé par e-mail, l’utilisateur de l’appareil peut appuyer sur la pièce jointe du certificat ou l’ouvrir.
   2. Quand le certificat s’ouvre, l’utilisateur doit fournir son code PIN ou s’authentifier auprès de l’appareil avant de pouvoir gérer le certificat.

2. Une fois l’authentification effectuée, le certificat s’ouvre et doit être nommé pour pouvoir être enregistré dans le magasin de certificats de l’utilisateur. Le nom du certificat doit correspondre au nom de certificat spécifié dans le profil de certificat racine approuvé qui sera envoyé à l’appareil. Une fois le certificat nommé, il peut être enregistré.

3. Une fois enregistré, le certificat est prêt à être utilisé. Un utilisateur peut vérifier que le certificat se trouve à l’emplacement approprié sur l’appareil :

   1. Ouvrez Paramètres>Sécurité>Informations d’identification approuvée. Le chemin des informations d’identification approuvées peut varier selon l’appareil.
   2. Ouvrez l’onglet Utilisateur, puis localisez le certificat.
   3. S’il est présent dans la liste des certificats utilisateur, le certificat est installé correctement.

4. Avec un certificat racine installé sur un appareil, vous devez toujours déployer les éléments suivants pour provisionner les certificats SCEP ou PKCS :

   • Un profil de certificat approuvé qui référence ce certificat
   • Le profil SCEP ou PKCS qui référence le profil de certificat pour provisionner les certificats SCEP ou PKCS

Pour créer un profil de certificat approuvé

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Sélectionnez et accédez àConfiguration>des appareils>Créer.

   

3. Entrez les propriétés suivantes :

   • Plateforme : choisir la plateforme des appareils qui recevront ce profil.
   • Profil : Selon la plateforme choisie, sélectionnez Certificat approuvé ou Modèles>Certificat approuvé.

   Importante

   Le 22 octobre 2022, Microsoft Intune a mis fin à la prise en charge des appareils exécutant Windows 8.1. L’assistance technique et les mises à jour automatiques sur ces appareils ne sont pas disponibles.

   Si vous utilisez actuellement Windows 8.1, nous vous recommandons de passer aux appareils Windows 10/11. Microsoft Intune dispose de fonctionnalités intégrées de sécurité et d’appareil qui gèrent les appareils clients Windows 10/11.

4. Sélectionnez Créer.

5. Dans Informations de base, entrez les propriétés suivantes :

   • Nom : entrez un nom descriptif pour le profil. Nommer vos profils afin de pouvoir les identifier facilement ultérieurement. Par exemple, Profil de certificat approuvé pour toute l’entreprise est un bon nom de profil.
   • Description : entrer une description pour le profil. Ce paramètre est facultatif, mais recommandé.

6. Sélectionnez Suivant.

7. Dans Paramètres de configuration, spécifiez le fichier .cer du certificat d’autorité de certification racine approuvé que vous avez exporté.

   Pour les appareils Windows 8.1 et Windows 10/11 uniquement, sélectionnez le Magasin de destination pour le certificat approuvé à partir de :

   • Magasin de certificats de l’ordinateur – Racine
   • Boutique de certificats de l’ordinateur - Intermédiaire
   • Magasin de certificats de l’utilisateur – Intermédiaire

   

8. Sélectionnez Suivant.

9. Dans Affectations, sélectionnez l’utilisateur ou les groupes qui recevront votre profil. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.

   Sélectionnez Suivant.

10. (S’applique uniquement à Windows 10/11) Dans Règles de mise en application, spécifiez des règles de mise en application pour affiner l’affectation de ce profil. Vous pouvez choisir d’affecter ou non le profil en fonction de l’édition du système d’exploitation ou de la version d’un appareil.

    Pour plus d’informations, consultez Règles de mise en application dans Créer un profil d’appareil dans Microsoft Intune.

11. Dans Vérifier + créer, passez en revue vos paramètres. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté. La stratégie apparaît également dans la liste des profils.

Prochaines étapes

Créer des profils de certificat :

• Configurer l’infrastructure pour prendre en charge les certificats SCEP avec Intune
• Configurer et gérer les certificats PKCS avec Intune
• Créer un profil de certificat PKCS importé