Configurer l’infrastructure de certificat pour SCEPConfigure certificate infrastructure for SCEP

S’applique à : Intune dans le portail ClassicApplies to: Intune in the classic portal
Vous recherchez de la documentation sur Intune dans le portail Azure ?Looking for documentation about Intune in the Azure portal? Cliquez ici.Go here.

Cette rubrique décrit l’infrastructure dont vous avez besoin pour créer et déployer des profils de certificat SCEP.This topic describes what infrastructure you need in order to create and deploy SCEP certificate profiles.

Infrastructure localeOn-premises infrastructure

  • Domaine Active Directory : tous les serveurs répertoriés dans cette section (à l’exception du serveur du proxy d’application web) doivent être joints à votre domaine Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Autorité de certification : une autorité de certification d’entreprise qui s’exécute sur une édition Entreprise de Windows Server 2008 R2 ou version ultérieure.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Une autorité de certification autonome n'est pas prise en charge.A Standalone CA is not supported. Pour savoir comment configurer une autorité de certification, consultez Installer l'autorité de certification.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Si votre autorité de certification exécute Windows Server 2008 R2, vous devez installer le correctif logiciel à partir de KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564. II

  • Serveur NDES : sur un serveur qui exécute Windows Server 2012 R2 ou version ultérieure, vous devez configurer le service d’inscription de périphérique réseau (NDES).NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Intune ne prend pas en charge le service NDES quand il s’exécute sur un serveur qui exécute également l’autorité de certification d’entreprise.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Consultez le Guide du service d’inscription de périphérique réseau pour obtenir des instructions sur la configuration de Windows Server 2012 R2 pour héberger le service d’inscription de périphérique réseau.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Le serveur NDES doit être joint au domaine qui héberge l’autorité de certification et ne doit pas se trouver sur le même serveur que l’autorité de certification.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. Vous trouverez plus d’informations sur le déploiement du serveur NDES dans une forêt distincte, un réseau isolé ou un domaine interne dans Utilisation d’un module de stratégie avec le service d’inscription de périphérique réseau.More information about deploying the NDES server in a separate forest, isolated network or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Microsoft Intune Certificate Connector : vous utilisez la console d’administration Intune pour télécharger le programme d’installation de Certificate Connector (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: You use the Intune admin console to download the Certificate Connector installer (ndesconnectorssetup.exe). Vous pouvez ensuite exécuter ndesconnectorssetup.exe sur l'ordinateur où vous souhaitez installer Certificate Connector.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector.

  • Serveur proxy d’application web (facultatif) : vous pouvez utiliser un serveur qui exécute Windows Server 2012 R2 ou version ultérieure comme serveur proxy d’application web.Web Application Proxy Server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Cette configuration :This configuration:

    • Permet aux appareils de recevoir des certificats à l'aide d'une connexion Internet.Allows devices to receive certificates using an Internet connection.
    • Est une recommandation de sécurité lorsque les appareils se connectent via Internet pour recevoir et renouveler les certificats.Is a security recommendation when devices connect through the Internet to receive and renew certificates.

    Note

    • Le serveur qui héberge le proxy d'application web doit installer une mise à jour qui permet la prise en charge des longues URL utilisées par le service d'inscription d'appareil réseau.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service. Cette mise à jour est incluse dans le correctif cumulatif de décembre 2014, ou individuellement à partir de l'article KB3011135.This update is included with the December 2014 update rollup, or individually from KB3011135.
    • En outre, le serveur qui héberge le proxy d’application web doit avoir un certificat SSL qui correspond au nom publié sur les clients externes, et approuver le certificat SSL utilisé sur le serveur NDES.Also, the server that hosts WAP must have a SSL certificate that matches the name being published to external clients as well as trust the SSL certificate that is used on the NDES server. Ces certificats permettent au serveur du proxy d'application web de mettre fin à la connexion SSL à partir des clients et de créer une nouvelle connexion SSL au serveur NDES.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server. Pour plus d’informations sur les certificats du proxy d’application web, consultez la section Planifier des certificats dans Planification de publication des applications à l’aide du proxy d’application webFor information about certificates for WAP, see the Plan certificates section of Planning to Publish Applications Using Web Application Proxy. Pour obtenir des informations générales sur les serveurs proxy d’application web, consultez Utilisation d’un proxy d’application web.|For general information about WAP servers, see Working with Web Application Proxy.|

Conditions requises en matière de réseauNetwork requirements

Depuis Internet jusqu’au réseau de périmètre, autorisez le port 443 depuis tous les hôtes/adresses IP sur Internet vers le serveur NDES.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

Depuis le réseau de périmètre jusqu’au réseau approuvé, autorisez tous les ports et protocoles requis pour l’accès au domaine sur le serveur NDES joint au domaine.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Le serveur NDES a besoin d’un accès aux serveurs de certificats, aux serveurs DNS, aux serveurs Configuration Manager et aux contrôleurs de domaine.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers and domain controllers.

Nous vous recommandons de publier le serveur NDES via un proxy, comme le proxy de l’application Azure AD, le proxy de l’accès web ou un proxy tiers.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Certificats et modèlesCertificates and Templates

ObjetObject DétailsDetails
Modèle de certificatCertificate Template Vous configurez ce modèle sur votre autorité de certification émettrice.You configure this template on your issuing CA.
Certificat d’authentification clientClient authentication certificate Demandé auprès de votre autorité de certification émettrice ou de votre autorité de certification publique, ce certificat doit être installé sur le serveur NDES.Requested from your issuing CA or public CA, you install this certificate on the NDES Server.
Certificat d’authentification serveurServer authentication certificate Demandé auprès de votre autorité de certification émettrice ou autorité de certification publique, ce certificat doit être installé et lié dans IIS sur le serveur NDES.Requested from your issuing CA or public CA, you install and bind this SSL certificate in IIS on the NDES server.
Certificat d’autorité de certification racine approuvéeTrusted Root CA certificate Vous l’exportez en tant que fichier .cer à partir de l’autorité de certification racine ou de tout appareil qui approuve l’autorité de certification racine, puis le déployez sur des appareils à l’aide du profil de certificat d’autorité de certification approuvée.You export this as a .cer file from the root CA or any device which trusts the root CA, and deploy it to devices by using the Trusted CA certificate profile.

Vous utilisez un seul certificat d'autorité de certification racine approuvée par plateforme de système d'exploitation et l'associez à chaque profil de certificat racine approuvé que vous créez.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Vous pouvez utiliser des certificats d'autorité de certification racine approuvée supplémentaires chaque fois que nécessaire.You can use additional Trusted Root CA certificates when needed. Par exemple, vous pouvez agir ainsi pour fournir une relation d'approbation à une autorité de certification qui signe les certificats d'authentification du serveur pour vos points d'accès Wi-Fi.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

ComptesAccounts

NomName DétailsDetails
Compte de service NDESNDES service account Vous spécifiez un compte d'utilisateur de domaine à utiliser comme compte de service NDES.You specify a domain user account to use as the NDES Service account.

Configurer votre infrastructureConfigure your infrastructure

Avant de configurer les profils de certificat, vous devez effectuer les tâches suivantes, ce qui nécessite la connaissance de Windows Server 2012 R2 et des services de certificats Active Directory :Before you can configure certificate profiles you must complete the following tasks, which require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

Tâche 1 : Créer un compte de service NDESTask 1: Create an NDES service account

Tâche 2 : Configurer les modèles de certificats sur l’autorité de certificationTask 2: Configure certificate templates on the certification authority

Tâche 3 : Configurer les composants requis du serveur NDESTask 3: Configure prerequisites on the NDES server

Tâche 4 : Configurer NDES pour une utilisation avec IntuneTask 4: Configure NDES for use with Intune

Tâche 5 : Activer, installer et configurer Intune Certificate ConnectorTask 5: Enable, install, and configure the Intune Certificate Connector

Tâche 1 – Créer un compte de service NDESTask 1 - Create an NDES service account

Créez un compte d'utilisateur de domaine à utiliser comme compte de service NDES.Create a domain user account to use as the NDES service account. Vous spécifiez ce compte lorsque vous configurez des modèles sur l'autorité de certification émettrice avant d'installer et de configurer NDES.You will specify this account when you configure templates on the issuing CA before you install and configure NDES. Vérifiez que l’utilisateur a les droits par défaut d’ouverture d’une session locale, d’ouverture d’une session en tant que service et d’ouverture d’une session en tant que tâche.Make sure the user has the default rights, Logon Localy, Logon as a Service and Logon as a batch job rights. Certaines organisations disposent de stratégies de sécurisation renforcée qui désactivent ces droits.Some organizations have hardening policies that disable those rights.

Tâche 2 – Configurer les modèles de certificats sur l’autorité de certificationTask 2 - Configure certificate templates on the certification authority

Dans cette tâche, vous allez :In this task you will:

  • Configurer un modèle de certificat pour NDESConfigure a certificate template for NDES

  • Publier le modèle de certificat pour NDESPublish the certificate template for NDES

Pour configurer l'autorité de certificationTo configure the certification authority
  1. Ouvrez une session en tant qu’administrateur d’entreprise.Log on as an enterprise administrator.

  2. Sur l'autorité de certification émettrice, utilisez le composant logiciel enfichable Modèles de certificats pour créer un modèle personnalisé ou copier un modèle existant, puis modifiez un modèle existant (comme le modèle de l'utilisateur), pour l'utiliser avec NDES.On the issuing CA, use the Certificate Templates snap-in to create a new custom template or copy an existing template and then edit an existing template (like the User template), for use with NDES.

    Le modèle doit avoir les configurations suivantes :The template must have the following configurations:

    • Spécifiez un Nom complet du modèle convivial pour le modèle.Specify a friendly Template display name for the template.

    • Sous l'onglet Nom de l'objet , sélectionnez Fournir dans la demande.On the Subject Name tab, select Supply in the request. (La sécurité est appliquée par le module de stratégie Intune pour NDES.)(Security is enforced by the Intune policy module for NDES).

    • Sous l'onglet Extensions , vérifiez que Description des stratégies d'application inclut Authentification du client.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Important

      Pour les modèles de certificats iOS et Mac OS XOS, sous l’onglet Extensions, modifiez Utilisation de la clé et vérifiez que l’option Signature faisant preuve de l’origine n’est pas sélectionnée.For iOS and Mac OS X certificate templates, on the Extensions tab, edit Key Usage and ensure Signature is proof of origin is not selected.

    • Sous l’onglet Sécurité , ajoutez le compte de service NDES et attribuez-lui les autorisations Inscription sur le modèle.On the Security tab, add the NDES service account, and give it Enroll permissions to the template. Les administrateurs Intune qui créent des profils SCEP exigent des droits en lecture afin de pouvoir accéder au modèle lors de la création des profils SCEP.Intune admins who will create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

    Note

    Pour révoquer des certificats, le compte de service NDES a besoin de droits Émettre et gérer des certificats pour chaque modèle de certificat utilisé par un profil de certificat.To revoke certificates the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Examinez la Période de validité sous l'onglet Général du modèle.Review the Validity period on the General tab of the template. Par défaut, Intune utilise la valeur configurée dans le modèle.By default, Intune uses the value configured in the template. Toutefois, vous pouvez configurer l’autorité de certification pour permettre au demandeur de spécifier une valeur différente, que vous pouvez alors définir à partir de la console d’administration Intune.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Si vous souhaitez toujours utiliser la valeur du modèle, ignorez le reste de l'étape.If you want to always use the value in the template, skip the remainder of this step.

    Important

    Les plateforme iOS et Mac OS X utilisent toujours la valeur définie dans le modèle, indépendamment des autres configurations que vous effectuez.The iOS and Mac OS X platforms always uses the value set in the template regardless of other configurations you make.

Voici les captures d’écran d’un exemple de configuration de modèle.Here are screenshots of an example template configuration.

Onglet Modèle, Traitement de la demande

Onglet Modèle, Nom du sujet

Onglet Modèle, Sécurité

Onglet Modèle, Extensions

Onglet Modèle, Conditions d’émission

Important

Pour les stratégies d’application (dans la 4e capture d’écran), ajoutez uniquement les stratégies d’application requises.For Application Policies (in the 4th screenshot), only add the application policies required. Confirmez vos choix avec vos administrateurs de sécurité.Confirm your choices with your security admins.

Pour configurer l'autorité de certification et permettre au demandeur de spécifier la période de validité, sur l'autorité de certification, exécutez les commandes suivantes :To configure the CA to allow the requester to specify the validity period, on the CA run the following commands:

  1. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
  2. net stop certsvcnet stop certsvc

  3. net start certsvcnet start certsvc

  1. Sur l'autorité de certification émettrice, utilisez le composant logiciel enfichable Autorité de Certification pour publier le modèle de certificat.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    1. Sélectionnez le nœud Modèles de certificats, cliquez sur Action-> Nouveau > Modèle de certificat à délivrer, puis sélectionnez le modèle que vous avez créé à l’étape 2.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    2. Validez le modèle publié en l'affichant sous le dossier Modèles de certificats .Validate that the template published by viewing it under the Certificate Templates folder.

Tâche 3 – Configurer les composants requis du serveur NDESTask 3 - Configure prerequisites on the NDES server

Dans cette tâche, vous allez :In this task you will:

  • Ajouter NDES à un serveur Windows Server et configurer IIS pour prendre en charge NDESAdd NDES to a Windows Server and configure IIS to support NDES

  • Ajouter le compte de service NDES au groupe IIS_IUSRAdd the NDES Service account to the IIS_IUSR group

  • Définir le SPN pour le compte de service NDESSet the SPN for the NDES Service account

  1. Sur le serveur qui héberge NDES, vous devez ouvrir une session en tant qu' Administrateur d'entreprise, puis utilisez l' Assistant Ajout de rôles et de fonctionnalités pour installer NDES :On the server that will hosts NDES, you must log on as a an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. Dans l'Assistant, sélectionnez Services de certificats Active Directory pour accéder aux services de rôle AD CS.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Sélectionnez Service d'inscription d'appareil réseau, décochez Autorité de certification, puis terminez l'Assistant.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Conseil

      Dans la page Progression de l'installation de l'Assistant, ne cliquez pas sur Fermer.On the Installation progress page of the wizard, do not click Close. Cliquez à la place sur le lien Configurer les services de certificats Active Directory sur le serveur de destination.Instead, click the link for Configure Active Directory Certificate Services on the destination server. Cette opération ouvre l'Assistant Configuration AD CS que vous utilisez pour la tâche suivante.This opens the AD CS Configuration wizard that you use for the next task. Une fois l'Assistant Configuration AD CS ouvert, vous pouvez fermer l'Assistant Ajout de rôles et de fonctionnalités.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Lorsque NDES est ajouté au serveur, l'Assistant installe également IIS.When NDES is added to the server, the wizard also installs IIS. Vérifiez qu'IIS a les configurations suivantes :Ensure IIS has the following configurations:

      • Serveur web > Sécurité > Filtrage des demandesWeb Server > Security > Request Filtering

      • Serveur web > Développement d’applications > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. L'installation d'ASP.NET 3.5 installe le .NET Framework 3.5.Installing ASP.NET 3.5 will install .NET Framework 3.5. Quand vous installez .NET Framework 3.5, installez à la fois le .NET Framework 3.5 et Activation HTTP.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

      • Serveur web > Développement d’applications > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. L'installation d'ASP.NET 4.5 installe .NET Framework 4.5.Installing ASP.NET 4.5 will install .NET Framework 4.5. Lors de l’installation de .NET Framework 4.5, installez la fonctionnalité .NET Framework 4.5 de base, ASP.NET 4.5 et la fonctionnalité Services WCF > Activation HTTP.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

      • Outils de gestion > IIS 6 Management Compatibility > Compatibilité avec la métabase de données IIS 6Management Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

      • Outils de gestion > IIS 6 Management Compatibility > Compatibilité WMI d’IIS 6Management Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    3. Sur le serveur, ajoutez le compte de service NDES en tant que membre du groupe IIS_IUSR.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Dans une invite de commandes avec élévation de privilèges, exécutez la commande suivante pour définir le SPN du compte de service NDES :In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

**setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>**

Par exemple, si votre serveur NDES se nomme Serveur01, votre domaine Contoso.comet le compte de service ServiceNDES, utilisez :For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

**setspn –s http/Server01.contoso.com contoso\NDESService**

Tâche 4 – Configurer NDES pour une utilisation avec IntuneTask 4 - Configure NDES for use with Intune

Dans cette tâche, vous allez :In this task you will:

  • Configurer NDES pour une utilisation avec l'autorité de certification émettriceConfigure NDES for use with the issuing CA

  • Lier le certificat du serveur d'authentification (SSL) dans IISBind the server authentication (SSL) certificate in IIS

  • Configurer le filtrage de demandes dans IISConfigure Request Filtering in IIS

Pour configurer NDES pour une utilisation avec IntuneTo configure NDES for use with Intune
  1. Sur le serveur NDES, ouvrez l'Assistant Configuration AD CS et procédez aux configurations suivantes.On the NDES Server, open the AD CS Configuration wizard and then make the following configurations.

    Conseil

    Si vous avez cliqué sur le lien de la tâche précédente, l'Assistant est déjà ouvert.If you clicked the link in the previous task, this wizard is already open. Sinon, ouvrez le Gestionnaire de serveur pour accéder à la configuration de post-déploiement pour les services de certificats Active Directory.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • Dans la page Services de rôle Page, sélectionnez le Service d'inscription d'appareil réseau.On the Role Services Page, select the Network Device Enrollment Service.

    • Dans la page Compte de service pour NDES , spécifiez le compte de service NDES.On the Service Account for NDES page, specify the NDES Service Account.

    • Dans la page Autorité de certification pour NDES , cliquez sur Sélectionner, puis sélectionnez l'autorité de certification émettrice où vous avez configuré le modèle de certificat.On the CA for NDES page, click Select, and then select the issuing CA where you configured the certificate template.

    • Dans la page Chiffrement pour NDES , définissez la longueur de la clé pour répondre aux besoins de votre entreprise.On the Cryptography for NDES page, set the key length to meet your company requirements.

    Dans la page Confirmation , cliquez sur Configurer pour terminer l'Assistant.On the Confirmation page, click Configure to complete the wizard.

  2. Une fois l'Assistant terminé, modifiez la clé de Registre suivante sur le serveur NDES :After the wizard completes, edit the following registry key on the NDES Server:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Pour modifier cette clé, identifiez l’Objet du modèle de certificat, tel qu’indiqué sous l’onglet Traitement de la demande, puis modifiez l’entrée correspondante du Registre en remplaçant les données existantes par le nom du modèle de certificat (pas le nom d’affichage du modèle) que vous avez spécifié dans la tâche 1.To edit this key, identify the certificate template's Purpose, as found on its Request Handling tab, and then edit the corresponding entry in the registry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. Le tableau suivant mappe le rôle de modèle de certificat aux valeurs du Registre :The following table maps the certificate template purpose to the values in the registry:

    Rôle de modèle de certificat (onglet Traitement de la demande)Certificate template Purpose (On the Request Handling tab) Valeur du Registre à modifierRegistry value to edit Valeur indiquée dans la console d’administration Intune pour le profil SCEPValue seen in the Intune admin console for the SCEP profile
    SignatureSignature SignatureTemplateSignatureTemplate Signature numériqueDigital Signature
    ChiffrementEncryption EncryptionTemplateEncryptionTemplate Chiffrement de la cléKey Encipherment
    Signature et chiffrementSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate Chiffrement de la cléKey Encipherment

    Signature numériqueDigital Signature

    Par exemple, si le rôle de votre modèle de certificat est Chiffrement, remplacez la valeur de EncryptionTemplate par le nom de votre modèle de certificat.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Le serveur NDES recevra de très longues URL (requêtes), qui nécessiteront l’ajout de deux entrées au Registre :The NDES server will receive very long URL’s (queries), which require that you add two registry entries:

    EmplacementLocation ValeurValue TypeType NiveauData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (décimal)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (décimal)65534 (decimal)
  4. Dans le Gestionnaire IIS, cliquez sur Site Web par défaut -> Filtrage des demandes -> Modifier un paramètre de fonction, et modifiez Longueur maximale des URL et Longueur maximale des chaînes de requête en spécifiant 65534, comme indiqué.In IIS manager, choose Default Web Site -> Request Filtering -> Edit Feature Setting, and change the Maximum URL length and Maximum query string to 65534, as shown.

    Longueur maximale des URL et des requêtes IIS

  5. Redémarrez le serveur.Restart the server. L’exécution de iisreset sur le serveur ne suffira pas pour finaliser ces modifications.Running iisreset on the server will not be sufficient to finalize these changes.

  6. Accédez à http://FQDN/certsrv/mscep/mscep.dll.Browse to http://FQDN/certsrv/mscep/mscep.dll. Vous devez voir une page NDES similaire à la suivante :You should see an NDES page similar to this:

    Page NDES test

    Si vous obtenez une erreur 503 Service indisponible, consultez l’Observateur d’événements.If you get a 503 Service unavailable, check the eventviewer. Il est probable que le pool d’applications soit arrêté en raison de l’absence d’un droit pour l’utilisateur NDES.It's likely that the application pool is stopped due to a missing right for the NDES user. Ces droits sont décrits dans la tâche 1.Those rights are described in Task 1.

Pour installer et lier des certificats sur le serveur NDESTo Install and bind certificates on the NDES Server
  1. Sur votre serveur NDES, demandez et installez un certificat d' authentification serveur auprès de votre autorité de certification interne ou autorité de certification publique.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Vous allez ensuite lier ce certificat SSL dans IIS.You will then bind this SSL certificate in IIS.

    Conseil

    Après avoir lié le certificat SSL dans IIS, vous allez également installer un certificat d'authentification client.After you bind the SSL certificate in IIS, you will also install a client authentication certificate. Ce certificat peut être émis par toute autorité de certification approuvée par le serveur NDES.This certificate can be issued by any CA that is trusted by the NDES Server. Bien que cette solution ne soit pas recommandée, vous pouvez utiliser le même certificat pour l'authentification serveur et l'authentification client aussi longtemps que le certificat possède les deux utilisations améliorées de la clé.Although it is not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKU’s). Passez en revue les étapes suivantes pour plus d'informations sur ces certificats d'authentification.Review the following steps for information about these authentication certificates.

    1. Après avoir obtenu le certificat d'authentification serveur, ouvrez le Gestionnaire IIS, sélectionnez le Site web par défaut dans le volet Connexions , puis cliquez sur Liaisons dans le volet Actions .After you obtain the server authentication certificate, open IIS Manager, select the Default Web Site in the Connections pane, and then click Bindings in the Actions pane.

    2. Cliquez sur Ajouter, définissez Type avec la valeur https, puis vérifiez que le port est 443.Click Add, set Type to https, and then ensure the port is 443. (Seul le port 443 est pris en charge pour la version autonome d’Intune).(Only port 443 is supported for standalone Intune.

    3. Pour Certificat SSL, spécifiez le certificat d'authentification serveur.For SSL certificate, specify the server authentication certificate.

      Note

      Si le serveur NDES utilise un nom interne et un nom externe pour une même adresse réseau, le certificat d'authentification serveur doit avoir un Nom de l'objet avec un nom de serveur public externe et un Autre nom de l'objet incluant le nom du serveur interne.If the NDES server uses both an external and internal name for a single network address, the server authentication certificate must have a Subject Name with an external public server name, and a Subject Alternative Name that includes the internal server name.

  2. Sur votre serveur NDES, demandez et installez un certificat d' authentification client auprès de votre autorité de certification interne ou d'une autorité de certification publique.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Cela peut être le même certificat que le certificat d'authentification serveur si ce certificat possède les deux fonctions.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Le certificat d'authentification client doit avoir les propriétés suivantes :The client authentication certificate must have the following properties:

    Utilisation améliorée de la clé : doit inclure l’Authentification du client.Enhanced Key Usage - This must include Client Authentication.

    Nom de l’objet : doit être équivalent au nom DNS du serveur sur lequel vous installez le certificat (serveur NDES).Subject Name - This must be equal to the DNS name of the server where you are installing the certificate (the NDES Server).

Pour configurer le filtrage des demandes IISTo configure IIS Request Filtering
  1. Sur le serveur NDES, ouvrez le Gestionnaire IIS, sélectionnez le Site web par défaut dans le volet Connexions , puis ouvrez Filtrage des demandes.On the NDES Server open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Cliquez sur Modifier les paramètres de la fonctionnalité, puis définissez les éléments suivants :Click Edit Feature Settings, and then set the following:

    Chaîne de requête (octets) = 65534query string (Bytes) = 65534

    Longueur maximale des URL (octets) = 65534Maximum URL length (Bytes) = 65534

  3. Vérifiez la clé de Registre suivante :Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Vérifiez que les valeurs suivantes sont définies en tant qu'entrées DWORD :Ensure the following values are set as DWORD entries:

    Nom : MaxFieldLength, avec une valeur décimale de 65534Name: MaxFieldLength, with a decimal value of 65534

    Nom : MaxRequestBytes, avec une valeur décimale de 65534Name: MaxRequestBytes, with a decimal value of 65534

  4. Redémarrez le serveur NDES.Reboot the NDES server. Le serveur est maintenant prêt à prendre en charge Certificate Connector.The server is now ready to support the Certificate Connector.

Tâche 5 – Activer, installer et configurer Intune Certificate ConnectorTask 5 - Enable, install, and configure the Intune Certificate Connector

Dans cette tâche, vous allez :In this task you will:

activer la prise en charge de NDES dans Intune ;Enable support for NDES in Intune.

télécharger, installer et configurer Certificate Connector sur le serveur NDES.Download, install, and configure the Certificate Connector on the NDES Server.

Pour activer la prise en charge de Certificate ConnectorTo enable support for the Certificate Connector
  1. Ouvrez la console d’administration Intune, cliquez sur Administration > Certificate Connector.Open the Intune administration console, click Admin > Certificate Connector.

  2. Cliquez sur Configurer On-premises Certificate Connector.Click Configure On-Premises Certificate Connector.

  3. Sélectionnez Activer Certificate Connector, puis cliquez sur OK.Select Enable Certificate Connector, and then click OK.

Pour télécharger, installer et configurer Certificate ConnectorTo download, install and configure the Certificate Connector
  1. Ouvrez la console d’administration Intune, puis cliquez sur Administration > Gestion des appareils mobiles > Certificate Connector > Télécharger Certificate Connector.Open the Intune administration console, and then click Admin > Mobile Device Management > Certificate Connector > Download Certificate Connector.

  2. Une fois le téléchargement terminé, exécutez le programme d’installation téléchargé (ndesconnectorssetup.exe) sur un serveur Windows Server 2012 R2.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on a Windows Server 2012 R2 server. Le programme d’installation installe également le module de stratégie pour NDES et le service web CRP.The installer also installs the policy module for NDES and the CRP Web Service. (Le service web CRP, CertificateRegistrationSvc, s'exécute en tant qu'application dans IIS.)(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Note

    Quand vous installez NDES pour la version autonome d’Intune, le service CRP est installé automatiquement avec Certificate Connector.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Quand vous utilisez Intune avec Configuration Manager, vous installez le Point d’enregistrement de certificat comme rôle de système de site distinct.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  3. Quand vous êtes invité à entrer le certificat client pour Certificate Connector, cliquez sur Sélectionner, puis sélectionnez le certificat d' authentification client installé sur votre serveur NDES à la tâche 3.When prompted for the client certificate for the Certificate Connector, click Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Après avoir sélectionné le certificat d'authentification client, vous revenez au Certificat client pour Microsoft Intune Certificate Connector .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Bien que le certificat sélectionné n'apparaisse pas, cliquez sur Suivant pour afficher les propriétés du certificat.Although the certificate you selected is not shown, click Next to view the properties of that certificate. Cliquez sur Suivant, puis cliquez sur Installer.Then click Next, and then click Install.

  4. Une fois l'Assistant terminé, mais avant de fermer l'Assistant, cliquez sur Lancer l'interface utilisateur de Certificate Connector.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Conseil

    Si vous fermez l'Assistant avant de lancer l'interface utilisateur de Certificate Connector, vous pouvez le rouvrir en exécutant la commande suivante :If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <chemin_installation>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  5. Dans l'interface utilisateur de Certificate Connector :In the Certificate Connector UI:

    Cliquez sur Connexion et entrez vos informations d’identification du service Intune ou les informations d’identification d’un administrateur client avec l’autorisation d’administration globale.Click Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Si votre organisation utilise un serveur proxy et que ce dernier est nécessaire au serveur NDES pour accéder à Internet, cliquez sur Utiliser un serveur proxy, puis indiquez le nom, le port et les informations d’identification de compte du serveur proxy pour vous connecter.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, click Use proxy server and then provide the proxy server name, port, and account credentials to connect.

    Sélectionnez l'onglet Avancé , puis fournissez les informations d'identification d'un compte qui possède l'autorisation Émettre et gérer des certificats sur votre autorité de certification émettrice, puis cliquez sur Appliquer.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority, and then click Apply.

    Vous pouvez maintenant fermer l'interface utilisateur de Certificate Connector.You can now close the Certificate Connector UI.

  6. Ouvrez une invite de commandes et tapez services.msc, appuyez sur Entrée, cliquez avec le bouton droit sur Service du connecteur Intune, puis cliquez sur Redémarrer.Open a command prompt and type services.msc, and then press Enter, right-click the Intune Connector Service, and then click Restart.

Pour valider que le service s'exécute, ouvrez un navigateur et entrez l'URL suivante, ce qui doit retourner une erreur 403 :To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

https:// <nom_de_domaine_complet_de_votre_serveur_NDES>/certsrv/mscep/mscep.dllhttps:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

Étapes suivantesNext steps

Vous êtes maintenant prêt à configurer des profils de certificat, comme décrit dans Configurer les profils de certificat.You are now ready to configure certificate profiles, as described in Configure certificate profiles.