Configurer l’infrastructure de certificatConfigure certificate infrastructure

S’applique à : Intune dans la console classiqueApplies to: Intune in the classic console
Vous recherchez la documentation sur Intune dans Azure ?Looking for documentation about Intune on Azure? Cliquez ici.Go here.

Cette rubrique décrit les éléments dont vous avez besoin pour créer et déployer des profils de certificat .PFX.This topic describes what you need in order to create and deploy .PFX certificate profiles.

Pour effectuer une authentification basée sur certificat dans votre organisation, vous avez besoin d’une autorité de certification d’entreprise.To do any certificate-based authentication in your organization, you need an Enterprise Certification Authority.

Pour utiliser des profils de certificat .PFX, en plus de l’autorité de certification d’entreprise, il vous faut également :To use .PFX Certificate profiles, in addition to the Enterprise Certification Authority, you also need:

  • Un ordinateur capable de communiquer avec l’autorité de certification (ou vous pouvez utiliser l’ordinateur d’autorité de certification proprement dit)A computer that can communicate with the Certification Authority, or you can use the Certification Authority computer itself.

  • Intune Certificate Connector, qui s'exécute sur l'ordinateur qui peut communiquer avec l'autorité de certificationThe Intune Certificate Connector, which runs on the computer that can communicate with the Certification Authority.

Description de l’infrastructure localeOn-premises infrastructure description

  • Domaine Active Directory : tous les serveurs répertoriés dans cette section (à l’exception du serveur du proxy d’application web) doivent être joints à votre domaine Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Autorité de certification : autorité de certification d’entreprise qui s’exécute sur une édition Entreprise de Windows Server 2008 R2 ou version ultérieure.Certification Authority: An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Une autorité de certification autonome n'est pas prise en charge.A Standalone CA is not supported. Pour savoir comment configurer une autorité de certification, consultez Installer l'autorité de certification.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Si votre autorité de certification exécute Windows Server 2008 R2, vous devez installer le correctif logiciel à partir de KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Un ordinateur capable de communiquer avec l’autorité de certification : en guise d’alternative, utilisez l’ordinateur d’autorité de certification proprement dit.Computer that can communicate with Certification Authority: Alternatively, use the Certification Authority computer itself.

  • Microsoft Intune Certificate Connector : vous utilisez la console d’administration Intune pour télécharger le programme d’installation de Certificate Connector (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Vous pouvez ensuite exécuter ndesconnectorssetup.exe sur l'ordinateur où vous souhaitez installer Certificate Connector.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector. Pour les profils de certificat .PFX, installez Certificate Connector sur l'ordinateur qui communique avec l'autorité de certification.For .PFX Certificate profiles, install the Certificate Connector on the computer that communicates with the Certification Authority.
  • Serveur proxy d’application web (facultatif) : vous pouvez utiliser un serveur qui exécute Windows Server 2012 R2 ou version ultérieure comme serveur proxy d’application web.Web Application Proxy server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Cette configuration :This configuration:

    • Permet aux appareils de recevoir des certificats à l'aide d'une connexion Internet.Allows devices to receive certificates using an Internet connection.
    • Est une recommandation de sécurité lorsque les appareils se connectent via Internet pour recevoir et renouveler les certificats.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Note
    • Le serveur qui héberge le proxy d’application web doit installer une mise à jour qui permet la prise en charge des longues URL utilisées par le service d’inscription d’appareil réseau (NDES).The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service (NDES). Cette mise à jour est incluse dans le correctif cumulatif de décembre 2014, ou individuellement à partir de l'article KB3011135.This update is included with the December 2014 update rollup, or individually from KB3011135.
    • En outre, le serveur qui héberge le proxy d’application web doit avoir un certificat SSL qui correspond au nom publié sur les clients externes, et approuver le certificat SSL utilisé sur le serveur NDES.Also, the server that hosts WAP must have an SSL certificate that matches the name being published to external clients as well as trust the SSL certificate that is used on the NDES server. Ces certificats permettent au serveur du proxy d'application web de mettre fin à la connexion SSL à partir des clients et de créer une nouvelle connexion SSL au serveur NDES.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server. Pour plus d’informations sur les certificats du proxy d’application web, consultez la section Planifier des certificats dans Planification de publication des applications à l’aide du proxy d’application webFor information about certificates for WAP, see the Plan certificates section of Planning to Publish Applications Using Web Application Proxy. Pour obtenir des informations générales sur les serveurs proxy d’application web, consultez Utilisation d’un proxy d’application web.|For general information about WAP servers, see Working with Web Application Proxy.|

Certificats et modèlesCertificates and Templates

ObjetObject DétailsDetails
Modèle de certificatCertificate Template Vous configurez ce modèle sur votre autorité de certification émettrice.You configure this template on your issuing CA.
Certificat d’autorité de certification racine approuvéeTrusted Root CA certificate Vous l'exportez en tant que fichier .cer à partir de l'autorité de certification émettrice ou de tout appareil qui approuve l'autorité de certification émettrice, puis le déployez sur des appareils à l'aide du profil de certificat d'autorité de certification approuvée.You export this as a .cer file from the issuing CA or any device which trusts the issuing CA, and deploy it to devices by using the Trusted CA certificate profile.

Vous utilisez un seul certificat d'autorité de certification racine approuvée par plateforme de système d'exploitation et l'associez à chaque profil de certificat racine approuvé que vous créez.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Vous pouvez utiliser des certificats d'autorité de certification racine approuvée supplémentaires chaque fois que nécessaire.You can use additional Trusted Root CA certificates when needed. Par exemple, vous pouvez agir ainsi pour fournir une relation d'approbation à une autorité de certification qui signe les certificats d'authentification du serveur pour vos points d'accès Wi-Fi.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

Configurer votre infrastructureConfigure your infrastructure

Pour pouvoir configurer des profils de certificat, vous devez d’abord effectuer les tâches suivantes.Before you can configure certificate profiles, you must complete the following tasks. Pour effectuer ces tâches, vous devez connaître Windows Server 2012 R2 et les services de certificats Active Directory (AD CS) :These tasks require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

  • Tâche 1 : Configurer les modèles de certificats sur l’autorité de certification.Task 1 - Configure certificate templates on the certification authority.
  • Tâche 2 : Activer, installer et configurer Intune Certificate Connector.Task 2 - Enable, install, and configure the Intune Certificate Connector.

Tâche 1 : Configurer les modèles de certificats sur l'autorité de certificationTask 1 - Configure certificate templates on the certification authority

Au cours de cette tâche, vous allez publier le modèle de certificat.In this task, you will publish the certificate template.

Pour configurer l'autorité de certificationTo configure the certification authority
  1. Sur l’autorité de certification émettrice, utilisez le composant logiciel enfichable Modèles de certificats pour créer un modèle personnalisé ou copiez un modèle existant, puis modifiez-le (par exemple le modèle Utilisateur), pour l’utiliser avec .PFX.On the issuing CA, use the Certificate Templates snap-in to create a new custom template, or copy and edit an existing template (like the User template), for use with .PFX.

    Le modèle doit inclure les éléments suivants :The template must include the following:

    • Spécifiez un Nom complet du modèle convivial pour le modèle.Specify a friendly Template display name for the template.

    • Sous l'onglet Nom de l'objet , sélectionnez Fournir dans la demande.On the Subject Name tab, select Supply in the request.

    • Sous l'onglet Extensions , vérifiez que Description des stratégies d'application inclut Authentification du client.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Important

      Pour les modèles de certificats iOS et Mac OS XOS, sous l’onglet Extensions, modifiez Utilisation de la clé et vérifiez que l’option Signature faisant preuve de l’origine n’est pas sélectionnée.For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  2. Examinez la Période de validité sous l'onglet Général du modèle.Review the Validity period on the General tab of the template. Par défaut, Intune utilise la valeur configurée dans le modèle.By default, Intune uses the value configured in the template. Toutefois, vous pouvez configurer l’autorité de certification pour permettre au demandeur de spécifier une valeur différente, que vous pouvez alors définir à partir de la console d’administration Intune.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Si vous souhaitez toujours utiliser la valeur du modèle, ignorez le reste de l'étape.If you want to always use the value in the template, skip the remainder of this step.

    Important

    Les plateformes iOS et Mac OS X utilisent toujours la valeur définie dans le modèle, indépendamment des autres configurations que vous effectuez.The iOS and Mac OS X platforms always uses the value set in the template, regardless of other configurations you make.

    Pour configurer l’autorité de certification et permettre au demandeur de spécifier la période de validité, exécutez les commandes suivantes sur l’autorité de certification :To configure the CA to allow the requester to specify the validity period, run the following commands on the CA:

    a.a. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    b.b. net stop certsvcnet stop certsvc

    c.c. net start certsvcnet start certsvc

  3. Sur l'autorité de certification émettrice, utilisez le composant logiciel enfichable Autorité de Certification pour publier le modèle de certificat.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    a.a. Sélectionnez le nœud Modèles de certificats, cliquez sur Action-> Nouveau > Modèle de certificat à délivrer, puis sélectionnez le modèle que vous avez créé à l’étape 2.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    b.b. Validez le modèle publié en l'affichant sous le dossier Modèles de certificats .Validate that the template published by viewing it under the Certificate Templates folder.

  4. Sur l’ordinateur de l’autorité de certification, vérifiez que l’ordinateur qui héberge Intune Certificate Connector a l’autorisation Inscription qui lui permet d’accéder au modèle utilisé pour créer le profil .PFX.On the CA computer, ensure that the computer that hosts the Intune Certificate Connector has enroll permission, so that it can access the template used in creating the .PFX profile. Définissez cette autorisation sous l'onglet Sécurité des propriétés de l'ordinateur d'autorité de certification.Set that permission on the Security tab of the CA computer properties.

Tâche 2 : Activer, installer et configurer Intune Certificate ConnectorTask 2 - Enable, install, and configure the Intune Certificate Connector

Dans cette tâche, vous allez :In this task you will:

télécharger, installer et configurer Certificate Connector.Download, install, and configure the Certificate Connector.

Pour activer la prise en charge de Certificate ConnectorTo enable support for the Certificate Connector
  1. Ouvrez la console d’administration Intune et choisissez Administration > Certificate Connector.Open the Intune administration console, and choose Admin > Certificate Connector.

  2. Choisissez Configurer On-premises Certificate Connector.Choose Configure On-Premises Certificate Connector.

  3. Sélectionnez Activer Certificate Connector, puis choisissez OK.Select Enable Certificate Connector, and then choose OK.

Pour télécharger, installer et configurer Certificate ConnectorTo download, install, and configure the Certificate Connector
  1. Ouvrez la console d’administration Intune, puis choisissez Administration > Gestion des appareils mobiles > Certificate Connector > Télécharger Certificate Connector.Open the Intune administration console, and then choose Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. Une fois le téléchargement terminé, exécutez le programme d’installation téléchargé (ndesconnectorssetup.exe).After the download completes, run the downloaded installer (ndesconnectorssetup.exe).

    Exécutez le programme d’installation sur l’ordinateur qui peut se connecter à l’autorité de certification.Run the installer on the computer that is able to connect with the Certification Authority. Choisissez l’option Distribution .PFX, puis choisissez Installer.Choose the .PFX Distribution option, and then choose Install. Une fois l’installation terminée, créez un profil de certificat comme décrit dans Configurer les profils de certificat.When the installation has completed, continue by creating a certificate profile as described in Configure certificate profiles.

  3. Quand vous êtes invité à entrer le certificat client pour Certificate Connector, choisissez Sélectionner et sélectionnez le certificat d’authentification client que vous avez installé pendant la tâche 3.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed in Task 3.

    Après avoir sélectionné le certificat d'authentification client, vous revenez au Certificat client pour Microsoft Intune Certificate Connector .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Bien que le certificat sélectionné n’apparaisse pas, choisissez Suivant pour afficher les propriétés du certificat.Although the certificate you selected is not shown, choose Next to view the properties of that certificate. Choisissez ensuite Suivant, puis Installer.Then choose Next, and then Install.

  4. Une fois l'Assistant terminé, mais avant de fermer l'Assistant, cliquez sur Lancer l'interface utilisateur de Certificate Connector.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Conseil

    Si vous fermez l'Assistant avant de lancer l'interface utilisateur de Certificate Connector, vous pouvez le rouvrir en exécutant la commande suivante :If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <chemin_installation>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. Dans l'interface utilisateur de Certificate Connector :In the Certificate Connector UI:

    a.a. Choisissez Connexion et entrez vos informations d’identification d’administrateur du service Intune ou les informations d’identification d’un administrateur client doté de l’autorisation d’administration globale.Choose Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    b.b. Sélectionnez l’onglet Avancé , puis fournissez les informations d’identification d’un compte qui possède l’autorisation Émettre et gérer des certificats sur votre autorité de certification émettrice.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority.

    c.c. Choisissez Appliquer.Choose Apply.

    Vous pouvez maintenant fermer l'interface utilisateur de Certificate Connector.You can now close the Certificate Connector UI.

  6. Ouvrez une invite de commandes et tapez services.msc.Open a command prompt and type services.msc. Appuyez ensuite sur Entrée, cliquez avec le bouton droit sur Service du connecteur Intune, puis choisissez Redémarrer.Then press Enter, right-click the Intune Connector Service, and choose Restart.

Étapes suivantesNext steps

Vous êtes maintenant prêt à configurer des profils de certificat, comme décrit dans Configurer les profils de certificat.You are now ready to set up certificate profiles, as described in Configure certificate profiles.

Pour envoyer vos commentaires sur le produit, consultez Intune Feedback