Utiliser des informations d’identification dérivées avec Microsoft Intune

Cet article s’applique à :

• Appareils Android Enterprise entièrement gérés qui exécutent la version 7.0 et ultérieure
• iOS/iPadOS
• Windows 10/11

Dans un environnement où des cartes à puce sont requises pour l’authentification, le chiffrement et la signature, vous pouvez utiliser Intune pour provisionner des appareils mobiles avec un certificat dérivé de la carte à puce d’un utilisateur. Ce certificat est appelé informations d’identification dérivées. Intune prend en charge plusieurs émetteurs d’informations d’identification dérivées, même si vous ne pouvez utiliser qu’un seul émetteur par locataire à la fois.

Les informations d’identification dérivées sont une implémentation des directives du National Institute of Standards and Technology (NIST) pour les informations d’identification PIV (Derived Personal Identity Verification) dans le cadre de la publication spéciale (SP) 800-157(Link opens a .pdf file on nvlpubs.nist.gov)).

Avec l’implémentation d’Intune :

• L'administrateur Intune configure son locataire pour qu'il travaille avec un émetteur de justificatifs dérivés pris en charge. Vous n’avez pas besoin de configurer de paramètres Intune spécifiques dans le système de l’émetteur d’informations d’identification dérivées.

• L’administrateur Intune spécifie Informations d’identification dérivées en tant que méthode d’authentification pour les objets suivants :

  Pour les appareils Android Entreprise entièrement gérés :

  • Types de profils courants tels que Wi-Fi
  • Authentification d’application

  Pour iOS/iPadOS :

  • Types de profils courants tels que Wi-Fi, VPN et Email, qui inclut l'application de messagerie native d'iOS/iPadOS
  • Authentification d’application
  • Signature et chiffrement S/MIME

  Pour Windows :

  • Types de profils courants, par exemple, Wi-Fi et VPN

  Remarque

  Actuellement, les informations d’identification dérivées en tant que méthode d’authentification pour les profils VPN ne fonctionnent pas comme prévu sur les appareils Windows. Ce comportement affecte uniquement les profils VPN sur les appareils Windows et sera corrigé dans une version ultérieure (pas d’ETA).

• Sur Android et iOS/iPadOS, les utilisateurs obtiennent des informations d’identification dérivées en utilisant leur carte à puce sur un ordinateur pour s’authentifier auprès de l’émetteur d’informations d’identification dérivées. L'émetteur délivre ensuite à l'appareil mobile un certificat dérivé de sa carte à puce. Sur Windows, les utilisateurs installent l’application à partir du fournisseur d’informations d’identification dérivées, qui installe le certificat sur l’appareil pour plus tard.

• Une fois que l’appareil a reçu les informations d’identification dérivées, il les utilise pour s’authentifier et pour la signature et le chiffrement S/MIME lorsque des applications ou des profils d’accès aux ressources nécessitent les informations d’identification dérivées.

Configuration requise

Passez en revue les informations suivantes avant de configurer votre locataire de manière à utiliser des informations d’identification dérivées.

Plateformes prises en charge

Intune prend en charge les informations d’identification dérivées sur les plateformes suivantes :

• iOS/iPadOS
• Android Enterprise :
  • Appareils entièrement gérés (version 7.0 et ultérieures)
  • Profil professionnel appartenant à l’entreprise
• Windows 10/11

Émetteurs pris en charge

Intune prend en charge un seul émetteur d’informations d’identification dérivées par locataire. Vous pouvez configurer Intune pour qu’il fonctionne avec les émetteurs suivants :

• DISA Purebred : https://public.cyber.mil/pki-pke/purebred/
• Entrust : https://www.entrust.com/
• Intercede : https://www.intercede.com/

Pour obtenir des détails importants sur les différents émetteurs, consultez les conseils les concernant. Pour plus d'informations, consultez la section Planifier les informations d'identification dérivées dans cet article.

Importante

Si vous supprimez un émetteur d’informations d’identification dérivées de votre locataire, les informations d’identification dérivées qui ont été configurées par le biais de cet émetteur ne fonctionneront plus.

Consultez Changer d’émetteur d’informations d’identification dérivées plus loin dans cet article.

Applications requises

Planifiez le déploiement des applications destinées aux utilisateurs sur les appareils qui s’inscriront pour obtenir des informations d’identification dérivées. Les utilisateurs d’appareils utilisent l’application pour commencer le processus d’inscription aux informations d’identification.

• Les appareils iOS utilisent l’application Portail d’entreprise. Voir Ajouter les applications de l'iOS store à Microsoft Intune.
• Les appareils Android Enterprise entièrement gérés et les appareils à profil professionnel appartenant à l'entreprise utilisent l'application Intune. Voir Ajout d’applications de l’App Store Android à Microsoft Intune.

Plan pour les titres de compétences dérivés

Tenez compte des points suivants avant de configurer un émetteur d’informations d’identification dérivées pour Android et iOS/iPadOS.

Pour les appareils Windows, consultez Informations d’identification dérivées pour Windows, plus loin dans cet article.

1 - Consultez la documentation de l’émetteur d’informations d’identification dérivée que vous avez choisi

Avant de configurer un émetteur, passez en revue la documentation de cet émetteur pour comprendre comment son système fournit des informations d’identification dérivées aux appareils.

Selon l'émetteur que vous choisissez, il se peut que vous ayez besoin de personnel disponible au moment de l'inscription pour aider les utilisateurs à compléter le processus. Passez également en revue vos configurations Intune actuelles pour vous assurer qu’elles ne bloquent pas l’accès requis aux appareils et utilisateurs pour effectuer la demande d’informations d’identification.

Par exemple, vous pouvez utiliser l’accès conditionnel pour bloquer l’accès à la messagerie pour les appareils non conformes. Si vous vous fiez aux notifications par e-mail pour informer les utilisateurs qu’ils doivent démarrer le processus d’inscription pour obtenir des informations d’identification dérivées, il se peut que vos utilisateurs ne recevront ces instructions qu’une fois qu’ils seront conformes à la stratégie.

De même, certains flux de demandes de justificatifs dérivés nécessitent l'utilisation de la caméra de l'appareil pour scanner un code QR à l'écran. Ce code lie cet appareil à la demande d’authentification reçue par l’émetteur d’informations d’identification dérivées avec les informations d’identification de la carte à puce de l’utilisateur. Si les stratégies de configuration de l'appareil bloquent l'utilisation de la caméra, l'utilisateur ne peut pas remplir la demande d'inscription de l'identifiant dérivé.

Informations générales :

• Vous ne pouvez configurer qu’un seul émetteur par locataire à la fois et cet émetteur est disponible pour tous les utilisateurs et appareils pris en charge dans votre locataire.

• Les utilisateurs ne sont pas informés qu'ils doivent s'inscrire pour obtenir des informations d'identification dérivées jusqu'à ce que vous les cibliez avec une stratégie qui exige des informations d'identification dérivées.

• La notification peut être envoyée via une notification d’application pour le Portail d’entreprise, via e-mail, ou les deux. Si vous choisissez d’utiliser les notifications par e-mail et que vous utilisez un accès conditionnel, les utilisateurs peuvent ne pas recevoir la notification par e-mail si leur appareil n’est pas conforme.

  Importante

  Pour vous assurer que les notifications liées aux informations d’identification de l’appareil sont reçues avec succès par les utilisateurs finaux, vous devez activer les notifications d’application pour le Portail d'entreprise, les notifications par courrier électronique ou les deux.

2 - Passer en revue le flux de travail de l’utilisateur final pour l’émetteur que vous avez choisi

Les éléments suivants sont des considérations essentielles pour chaque partenaire pris en charge. Familiarisez-vous avec ces informations afin de vous assurer que vos stratégies et configurations Intune n’empêchent pas les utilisateurs et les appareils d’effectuer correctement leur inscription pour obtenir des informations d’identification dérivées de cet émetteur.

DISA Purebred

Examinez le flux de travail utilisateur spécifique de la plateforme pour les appareils que vous allez utiliser avec les informations d’identification dérivées.

• iOS et iPadOS
• Android Enterprise - Profil professionnel appartenant à l’entreprise ou Appareils complètement managés

Les principales exigences comprennent :s :

• Les utilisateurs doivent avoir accès à un ordinateur ou à KIOSK où ils peuvent utiliser leur carte à puce pour s'authentifier auprès de l'émetteur.

• Les appareils iOS et iPadOS qui s'inscriront pour un justificatif dérivé doivent installer l'application Intune d’entreprise Intune. Les appareils Android Fully Managed et Corporate-Owned Work Profile doivent installer et utiliser l'application Intune.

• Utilisez Intune pour déployer l'application DISA Purebred sur les appareils qui s'inscriront pour obtenir un justificatif d'identité dérivé. Cette application doit être déployée par l'intermédiaire d'Intune afin d'être gérée et peut ensuite fonctionner avec l'application du portail d'entreprise Intune ou l'application Intune, que les utilisateurs utilisent pour effectuer la demande de justificatifs dérivés.

• Pour récupérer un justificatif d'identité dérivé à partir de l'application Purebred, l'appareil doit avoir accès au réseau sur site. L'accès peut se faire par le biais du Wi-Fi de l'entreprise ou d'un VPN.

• Les utilisateurs de l'appareil doivent travailler avec un agent en direct pendant le processus d'inscription. Au cours de l'inscription, des codes d'accès à usage unique limités dans le temps sont fournis à l'utilisateur au fur et à mesure de la procédure d'inscription.

• Lorsque des modifications sont apportées à une politique qui utilise des informations d'identification dérivées, comme la création d'un nouveau profil Wi-Fi, les utilisateurs d'iOS et d'iPadOS reçoivent une notification les invitant à ouvrir leur application Portail de l'entreprise.

• Les utilisateurs sont informés qu'ils doivent ouvrir l'application applicable lorsqu'ils doivent renouveler leur titre dérivé.

  Le processus de renouvellement se produit comme ceci :

  • L’émetteur d’informations d’identification dérivées doit émettre des certificats nouveaux ou mis à jour avant que les certificats précédents ne soient à 80 % de leur période de validité.
  • L’appareil est archivé pendant la période de renouvellement (20 % de la période de validité).
  • Microsoft Intune avertit l’utilisateur par e-mail ou par une notification d’application de lancer le Portail d'entreprise.
  • L’utilisateur lance le Portail d'entreprise et appuie sur la notification des informations d’identification dérivées, puis les certificats d’informations d’identification dérivées sont copiés sur l’appareil.

Pour obtenir des informations sur l’obtention et la configuration de l’application DISA Purebred, consultez Déployer l’application DISA Purebred plus loin dans cet article.

Entrust

Examinez le flux de travail utilisateur spécifique de la plateforme pour les appareils que vous allez utiliser avec les informations d’identification dérivées.

• iOS et iPadOS
• Android Enterprise- Profil professionnel appartenant à l’entreprise ou Appareils complètement managés

Les principales exigences comprennent :s :

• Les utilisateurs doivent avoir accès à un ordinateur ou à KIOSK où ils peuvent utiliser leur carte à puce pour s'authentifier auprès de l'émetteur.

• Les appareils iOS et iPadOS qui s'inscriront pour un justificatif dérivé doivent installer l'application Intune d’entreprise Intune. Les appareils Android Fully Managed et Corporate-Owned Work Profile doivent installer et utiliser l'application Intune.

• Utilisation d'un appareil photo de l'appareil pour scanner un code QR qui relie la demande d'authentification à la demande de justificatif dérivé du dispositif mobile.

• Les utilisateurs sont invités par l’application Portail d’entreprise ou par e-mail à s’inscrire pour les informations d’identification dérivées.

• Lorsque des modifications sont apportées à une stratégie utilisant des informations d’identification dérivées, telle la création d’un profil Wi-Fi :

  • iOS et iPados : les utilisateurs sont invités à ouvrir l’application Portail d’entreprise.
  • Appareils Android EnterpriseAppartenant à l’entreprise ou Entièrement gérés : l’application Portail d'entreprise n’a pas besoin de s’ouvrir.

• Les utilisateurs sont informés qu'ils doivent ouvrir l'application applicable lorsqu'ils doivent renouveler leur titre dérivé.

  Le processus de renouvellement se produit comme ceci :

  • L’émetteur d’informations d’identification dérivées doit émettre des certificats nouveaux ou mis à jour avant que les certificats précédents ne soient à 80 % de leur période de validité.
  • L’appareil est archivé pendant la période de renouvellement (20 % de la période de validité).
  • Microsoft Intune avertit l’utilisateur par e-mail ou par une notification d’application de lancer le Portail d'entreprise.
  • L’utilisateur lance le Portail d'entreprise et appuie sur la notification d’informations d’identification dérivées, puis les certificats d’informations d’identification dérivés sont copiés sur l’appareil

Intercede

Examinez le flux de travail utilisateur spécifique de la plateforme pour les appareils que vous allez utiliser avec les informations d’identification dérivées.

• iOS et iPadOS
• Android Enterprise - Profil professionnel appartenant à l’entreprise ou Appareils complètement managés

Les principales exigences comprennent :s :

• Les utilisateurs doivent avoir accès à un ordinateur ou à KIOSK où ils peuvent utiliser leur carte à puce pour s'authentifier auprès de l'émetteur.

• Les appareils iOS et iPadOS qui s'inscriront pour un justificatif dérivé doivent installer l'application Intune d’entreprise Intune. Les appareils Android Fully Managed et Corporate-Owned Work Profile doivent installer et utiliser l'application Intune.

• Utilisation d'un appareil photo de l'appareil pour scanner un code QR qui relie la demande d'authentification à la demande de justificatif dérivé du dispositif mobile.

• Les utilisateurs sont invités par l’application Portail d’entreprise ou par e-mail à s’inscrire pour les informations d’identification dérivées.

• Lorsque des modifications sont apportées à une stratégie utilisant des informations d’identification dérivées, telle la création d’un profil Wi-Fi :

  • iOS et iPados : les utilisateurs sont invités à ouvrir l’application Portail d’entreprise.
  • Appareils Android EnterpriseAppartenant à l’entreprise ou Entièrement gérés : l’application Portail d'entreprise n’a pas besoin de s’ouvrir.

• Les utilisateurs sont informés qu'ils doivent ouvrir l'application applicable lorsqu'ils doivent renouveler leur titre dérivé.

  Le processus de renouvellement se produit comme ceci :

  • L’émetteur d’informations d’identification dérivées doit émettre des certificats nouveaux ou mis à jour avant que les certificats précédents ne soient à 80 % de leur période de validité.
  • L’appareil est archivé pendant la période de renouvellement (20 % de la période de validité).
  • Microsoft Intune avertit l’utilisateur par e-mail ou par une notification d’application de lancer le Portail d'entreprise.
  • L’utilisateur lance le Portail d'entreprise et appuie sur la notification d’informations d’identification dérivées, puis les certificats d’informations d’identification dérivés sont copiés sur l’appareil

3 - Déployer un certificat racine approuvé sur les appareils

Un certificat racine approuvé est utilisé avec les informations d’identification dérivées pour vérifier que la chaîne de certificat d’informations d’identification dérivées est valide et approuvée. Même s’il n’est pas directement référencé par la stratégie, un certificat racine approuvé est requis. Consultez Configurer un profil de certificat pour vos appareils dans Microsoft Intune.

4 - Fournir des instructions à l’utilisateur final pour obtenir les informations d’identification dérivées

Créez et fournissez à vos utilisateurs des conseils sur la façon de démarrer le processus d’inscription pour obtenir des informations d’identification dérivées, et de parcourir le flux de travail d’inscription pour l’émetteur que vous avez choisi.

Nous vous recommandons de fournir une URL qui héberge vos conseils. Vous spécifiez cette URL lorsque vous configurez l'émetteur d'accréditations dérivées pour votre locataire, et cette URL est disponible dans l'application du portail de l'entreprise. Si vous ne spécifiez pas votre propre URL, Intune fournit un lien vers des détails génériques. Ces détails ne peuvent pas couvrir tous les scénarios et peuvent ne pas être adaptés à votre environnement.

5 - Déployer des stratégies Intune qui nécessitent des informations d’identification dérivées

Créez de nouvelles stratégies ou modifiez des stratégies existantes pour utiliser des informations d'identification dérivées. Les informations d’identification dérivées remplacent d’autres méthodes d’authentification pour les objets suivants :

• Authentification d’application
• Wi-Fi
• VPN
• Courrier électronique (iOS uniquement)
• Signature et chiffrement S/MIME, notamment Outlook (iOS uniquement)

Évitez d'exiger l'utilisation d'un justificatif d'identité dérivé pour accéder à un processus que vous utiliserez dans le cadre du processus d'obtention du justificatif d'identité dérivé, car cela peut empêcher les utilisateurs de mener à bien la demande.

Configurer un émetteur d'accréditations dérivées

Avant de créer des stratégies qui nécessitent l’utilisation d’informations d’identification dérivées, configurez un émetteur d’informations d’identification dans le centre d’administration Microsoft Intune. Un émetteur d’informations d’identification dérivées est un paramètre à l’échelle du locataire. Les locataires prennent en charge un seul émetteur à la fois.

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. Sélectionnez Administration abonné>Connecteurs et jetons>Informations de connexion dérivées.

   

3. Spécifiez un nom complet convivial pour la stratégie d’émetteur d’informations d’identification dérivées. Ce nom n’est pas indiqué à vos utilisateurs d’appareils.

4. Pour l'émetteur d'accréditation dérivé, sélectionnez l'émetteur d'accréditation dérivé que vous avez choisi pour votre locataire :

   • DISA Purebred (iOS uniquement)
   • Entrust
   • Intercede

5. Spécifiez une URL d’aide sur les informations d’identification dérivées pour fournir un lien vers un emplacement contenant des instructions personnalisées qui aideront les utilisateurs à obtenir des informations d’identification dérivées pour votre organisation. Ces instructions doivent être spécifiques à votre organisation et au workflow nécessaire pour obtenir des informations d’identification auprès de l’émetteur que vous avez choisi. Le lien apparaît dans l'application Portail de l'entreprise et doit être accessible depuis l'appareil.

   Si vous ne spécifiez pas votre propre URL, Intune fournit un lien vers des détails génériques qui ne peuvent pas couvrir tous les scénarios. Ces conseils génériques peuvent ne pas être adaptés à votre environnement.

6. Sélectionnez une ou plusieurs options pour Type de notification. Les types de notification sont les méthodes que vous utilisez pour informer les utilisateurs au sujet des scénarios suivants :

   • Inscrire un appareil auprès d’un émetteur pour obtenir de nouvelles informations d’identification dérivées.
   • Obtenir de nouvelles informations d’identification dérivées lorsque les informations d’identification actuelles sont sur le point d’expirer.
   • Utilisez des informations d’identification dérivées avec un objet pris en charge.

7. Quand vous êtes prêt, sélectionnez Enregistrer pour terminer la configuration de l’émetteur d’informations d’identification dérivées.

Une fois la configuration enregistrée, vous pouvez apporter des modifications dans tous les champs, à l’exception de Émetteur des informations d’identification dérivées. Pour changer d’émetteur, consultez Changer d’émetteur d’informations d’identification dérivées.

Déployer l’application DISA Purebred

Cette section s’applique uniquement lorsque vous utilisez DISA Purebred.

Pour utiliser DISA Purebred en tant qu’émetteur d’informations d’identification dérivées pour Intune, vous devez obtenir l’application DISA Purebred, puis utiliser Intune pour la déployer sur les appareils. Ensuite, les utilisateurs demandent le justificatif d'identité dérivé à DISA Purebred en utilisant l'application Portail de l'entreprise sur leur appareil iOS/iPadOS, ou l'application Intune sur leurs appareils Android.

Outre le déploiement de l’application DISA Purebred avec Intune, l’appareil doit avoir accès au réseau local. Pour fournir cet accès, envisagez d'utiliser un VPN ou le Wi-Fi de l'entreprise.

Réalisez les tâches suivantes :

1. Téléchargez l’application DISA Purebred : https://cyber.mil/pki-pke/purebred/.

2. Déployez l’application DISA Purebred dans Intune.

   • Consultez Ajouter une application métier iOS à Microsoft Intune.
   • Consultez Ajouter une application métier Android à Microsoft Intune

   Des paramètres supplémentaires pour l’application Purebred peuvent être nécessaires. Contactez votre agent Purebred pour comprendre quelles valeurs doivent être incluses dans vos stratégies, ou si vous disposez d’une carte d’accès commun (CAC) émise par le DoD, vous pouvez accéder à la documentation Purebred en ligne à l’adresse https://cyber.mil/pki-pke/purebred/.

3. Si vous choisissez d’utiliser un VPN par application pour l’application DISA Purebred, consultez Créer un VPN par application.

Utiliser des informations d'identification dérivées pour l'authentification, la signature et le cryptage S/MIME

Vous pouvez spécifier des informations d’identification dérivées pour les types de profils et les objectifs suivants :

• Applications

• E-mail :

  • iOS et iPadOS
  • Android Entreprise

• VPN :

  • iOS et iPadOS

• Chiffrement et signature S/MIME

• Wi-Fi :

  • iOS et iPadOS
  • Android Entreprise

  Pour les profils Wi-Fi, la méthode d’authentification est disponible uniquement lorsque le type EAP est défini sur l’une des valeurs suivantes :

  • EAP – TLS
  • EAP–TTLS
  • PEAP

Utiliser des informations d’identification dérivées pour l’authentification auprès des applications

Utilisez des informations d'identification dérivées pour l'authentification basée sur un certificat pour les sites et les applications Web. Pour fournir des informations de connexion pour l’authentification de l’application :

1. Connectez-vous au Centre d’administration Microsoft Intune.

2. SélectionnezConfiguration>des appareils> Sous l’onglet Stratégies, sélectionnez + Créer.

3. Utilisez les paramètres suivants :

   Pour iOS et iPadOS :

   • Pour Platform. sélectionnez iOS/iPadOS, puis pour Type de profil, sélectionnez Modèles > Informations d’identification dérivées. Sélectionnez Créer pour continuer.
   • Pour Nom, entrez un nom descriptif pour le profil. Nommez vos profils afin de pouvoir les identifier facilement par la suite. Par exemple, un nom de profil correct est Informations de connexion dérivées pour les profil des appareils iOS.
   • Pour Description, entrez une description qui donne une vue d’ensemble du paramètre et d’autres détails importants.

   Pour Android Enterprise :

   • Pour Platform. Sélectionnez Android Entreprise, puis, pour Type de profil, sous Entièrement managé, Dédié et Corporate-Owned Profil professionnel, sélectionnez Informations d’identification dérivées**. Sélectionnez Créer pour continuer.
   • Pour Nom, entrez un nom descriptif pour le profil. Nommez vos profils afin de pouvoir les identifier facilement par la suite. Par exemple, un bon nom de profile est dérivé de l'accréditation pour les appareils Android Enterprise profile.
   • Pour Description, entrez une description qui donne une vue d’ensemble du paramètre et d’autres détails importants.
   • Dans la page Applications , configurez l’accès par certificat pour gérer la façon dont l’accès par certificat est accordé aux applications. Choisissez parmi les autorisations suivantes :
     • Exiger l’approbation de l’utilisateur pour les applications(par défaut) : les utilisateurs doivent approuver l’utilisation d’un certificat par toutes les applications.
     • Accorder en mode silencieux pour des applications spécifiques (nécessite l’approbation de l’utilisateur pour d’autres applications) : avec cette option, sélectionnez Ajouter des applications, puis sélectionnez une ou plusieurs applications qui utiliseront le certificat sans intervention de l’utilisateur.

4. Dans la page Affectations , sélectionnez les groupes qui doivent recevoir la stratégie.

5. Lorsque vous avez terminé, sélectionnez Créer pour créer le profil Intune. Quand vous avez terminé, votre profil apparaît dans la liste Profils des appareils - de configuration.

Les utilisateurs reçoivent une notification par application ou par courriel, selon les paramètres que vous avez spécifiés lors de la configuration de l'émetteur de justificatifs dérivés. La notification informe l'utilisateur qu'il doit lancer le portail de l'entreprise pour que les stratégies d'accréditation dérivées puissent être traitées.

Informations d’identification dérivées pour Windows

Vous pouvez utiliser des certificats dérivés comme méthode d’authentification pour les profils Wi-Fi et VPN sur les appareils Windows. Les fournisseurs pris en charge pour Windows sont les mêmes que ceux des appareils Android et iOS/iPadOS :

• DISA Purebred
• Entrust
• Intercede

Remarque

Actuellement, les informations d’identification dérivées en tant que méthode d’authentification pour les profils VPN ne fonctionnent pas comme prévu sur les appareils Windows. Ce comportement affecte uniquement les profils VPN sur les appareils Windows et sera corrigé dans une version ultérieure (pas d’ETA).

Pour Windows, les utilisateurs n'ont pas à passer par un processus d'enregistrement de carte à puce pour obtenir un certificat à utiliser comme justificatif dérivé. Au lieu de cela, l'utilisateur doit installer l'application pour Windows, qui est obtenue auprès du fournisseur d'informations d'identification dérivées. Pour utiliser des informations d’identification dérivées avec Windows, appliquez les configurations suivantes :

1. Installez l’application à partir des fournisseurs d’informations d’identification dérivées sur l’appareil Windows.

   Lorsque vous installez l’application Windows à partir d’un fournisseur d’informations d’identification dérivé sur un appareil Windows, le certificat dérivé est ajouté au magasin de certificats Windows de cet appareil. Il peut alors servir de méthode d’authentification des informations d’identification dérivées.

   Une fois l’application récupérée auprès du fournisseur choisi, l’application peut être déployée pour les utilisateurs ou installée directement par l’utilisateur de l’appareil.

2. Configurez les profils Wi-Fi et VPN de façon à utiliser les informations d’identification dérivées comme méthode d’authentification.

   Quand vous configurez un profil Windows pour un réseau Wi-Fi ou VPN, sélectionnez Informations d’identification dérivées comme Méthode d’authentification. Avec cette configuration, le profil utilise le certificat qui s’installe sur l’appareil lors de l’installation de l’application du fournisseur.

Renouveler un titre dérivé

Les informations d’identification dérivées des appareils Android et iOS/iPadOS ne peuvent pas être étendues ou renouvelées. Au lieu de cela, les utilisateurs doivent utiliser le flux de travail de demande de justificatif d'identité pour demander un nouveau justificatif d'identité dérivé pour leur appareil. Pour les appareils Windows, consultez la documentation de l’application auprès de votre fournisseur d’informations d’identification dérivées.

Si vous configurez une ou plusieurs méthodes pour Type de notification, Intune avertit automatiquement les utilisateurs lorsque les informations d’identification dérivées actuelles atteignent 80 % de leur durée de vie. La notification indique aux utilisateurs de suivre le processus de demande d’informations d’identification pour obtenir de nouvelles informations d’identification dérivées.

Une fois qu’un appareil a reçu de nouvelles informations d’identification dérivées, les stratégies qui utilisent des informations d’identification dérivées sont redéployées sur cet appareil.

Changer d’émetteur d’informations d’identification dérivées

Au niveau du client, vous pouvez modifier votre émetteur d’informations d’identification, bien qu’un seul émetteur soit pris en charge par un client à la fois.

Après avoir changé d’émetteur, les utilisateurs sont invités à obtenir de nouvelles informations d’identification dérivées auprès du nouvel émetteur. Ils doivent le faire avant de pouvoir utiliser des informations d’identification dérivées pour l’authentification.

Changer d’émetteur pour votre locataire

Importante

Si vous supprimez un émetteur et reconfigurez immédiatement le même émetteur, vous devez encore mettre à jour les profils et les appareils pour utiliser les informations d’identification dérivées de cet émetteur. Les informations d'identification dérivées qui ont été obtenues avant que vous ne supprimiez l'émetteur ne sont plus valides.

1. Connectez-vous au Centre d’administration Microsoft Intune.
2. Sélectionnez Administration abonné>Connecteurs et jetons>Informations de connexion dérivées.
3. Sélectionnez Supprimer pour supprimer l’émetteur d’informations d’identification dérivées actuel.
4. Configurez un nouvel émetteur.

Mettre à jour les profils qui utilisent des informations d’identification dérivées

Après avoir supprimé un émetteur, puis en avoir ajouté un nouveau, modifiez chaque profil qui utilise des informations d’identification dérivées. Cette règle s’applique même si vous restaurez l’émetteur précédent. Toute modification du profil déclenche une mise à jour, y compris une simple modification de la description du profil.

Mettre à jour les informations d’identification dérivées sur les appareils

Après avoir supprimé un émetteur, puis en avoir ajouté un nouveau, les utilisateurs d’appareils doivent demander de nouvelles informations d’identification dérivées. Cette règle s’applique même lorsque vous ajoutez l’émetteur que vous avez supprimé. Le processus de demande de nouvelles informations d’identification dérivées est le même que celui utilisé pour l’inscription d’un nouvel appareil ou le renouvellement d’informations d’identification existantes.

Prochaines étapes

Créer des profils de configuration d’appareil.