Certificats pour la passerelle de gestion cloudCertificates for the cloud management gateway

S’applique à : Configuration Manager (Current Branch)Applies to: Configuration Manager (current branch)

Selon le scénario que vous utilisez pour gérer des clients sur Internet avec la passerelle de gestion cloud, vous avez besoin d’un ou de plusieurs des certificats numériques suivants :Depending upon the scenario you use to manage clients on the internet with the cloud management gateway (CMG), you need one or more of the following digital certificates:

Pour plus d’informations sur les différents scénarios, consultez Planifier la passerelle de gestion cloud.For more information about the different scenarios, see plan for cloud management gateway.

Informations généralesGeneral information

Les certificats pour la passerelle de gestion cloud prennent en charge les configurations suivantes :Certificates for the cloud management gateway support the following configurations:

  • Longueur de clé de 2048 ou 4096 bits2048-bit or 4096-bit key length

  • Fournisseurs de stockage de clés pour les clés privées de certificat.Key storage providers for certificate private keys. Pour plus d’informations, consultez Vue d’ensemble des certificats CNG.For more information, see CNG certificates overview.

  • Lorsque vous configurez Windows avec la stratégie suivante : Chiffrement système : utilisez des algorithmes compatibles FIPS pour le chiffrement, le hachage et la signatureWhen you configure Windows with the following policy: System cryptography: Use FIPS-compliant algorithms for encryption, hashing, and signing

  • TLS 1.2.TLS 1.2. Pour plus d’informations, voir Comment activer TLS 1.2.For more information, see How to enable TLS 1.2.

Certificat d’authentification serveur de passerelle de gestion cloudCMG server authentication certificate

Ce certificat est obligatoire dans tous les scénarios.This certificate is required in all scenarios.

Vous fournissez ce certificat lors de la création de la passerelle de gestion cloud dans la console Configuration Manager.You supply this certificate when creating the CMG in the Configuration Manager console.

La passerelle de gestion cloud crée un service HTTPS auquel les clients Internet se connectent.The CMG creates an HTTPS service to which internet-based clients connect. Le serveur nécessite un certificat d’authentification serveur pour créer le canal sécurisé.The server requires a server authentication certificate to build the secure channel. Faites l’acquisition d’un certificat à cet effet auprès d’un fournisseur public ou émettez-le à partir de votre infrastructure à clé publique.Acquire a certificate for this purpose from a public provider, or issue it from your public key infrastructure (PKI). Pour plus d’informations, consultez Certificat racine approuvé de passerelle de gestion cloud pour les clients.For more information, see CMG trusted root certificate to clients.

Notes

Le certificat d’authentification serveur de la passerelle de gestion cloud prend en charge les caractères génériques.The CMG server authentication certificate supports wildcards. Certaines autorités de certification émettent des certificats en utilisant un caractère générique pour le nom d’hôte.Some certificate authorities issue certificates using a wildcard character for the hostname. Par exemple, *.contoso.com.For example, *.contoso.com. Certaines organisations utilisent des certificats génériques pour simplifier leur infrastructure à clé publique et réduire les coûts de maintenance.Some organizations use wildcard certificates to simplify their PKI and reduce maintenance costs.

Pour plus d’informations sur l’utilisation d’un certificat générique avec une passerelle de gestion cloud, consultez Configurer une passerelle de gestion cloud.For more information on how to use a wildcard certificate with a CMG, see Set up a CMG.

Ce certificat nécessite un nom global unique pour identifier le service dans Azure.This certificate requires a globally unique name to identify the service in Azure. Avant de demander un certificat, vérifiez que le nom de domaine Azure souhaité est unique.Before requesting a certificate, confirm that the Azure domain name you want is unique. Par exemple, GraniteFalls.CloudApp.Net.For example, GraniteFalls.CloudApp.Net.

  1. Connectez-vous au portail Azure.Sign in to the Azure portal.

  2. Sélectionnez Toutes les ressources, puis sélectionnez Ajouter.Select All resources, and then select Add.

  3. Recherchez service cloud.Search for Cloud service. Sélectionnez Créer.Select Create.

  4. Dans le champ Nom DNS, tapez le préfixe souhaité, par exemple GraniteFalls.In the DNS name field, type the prefix you want, for example GraniteFalls. L’interface indique si le nom de domaine est disponible ou déjà utilisé par un autre service.The interface reflects whether the domain name is available or already in use by another service.

    Important

    Ne créez pas le service dans le portail. Utilisez ce processus seulement pour vérifier la disponibilité du nom.Don't create the service in the portal, just use this process to check the name availability.

Si vous activez également le contenu de la passerelle de gestion cloud, vérifiez que le nom du service de passerelle de gestion cloud est également un nom de compte de stockage Azure unique.If you also enable the CMG for content, confirm that the CMG service name is also a unique Azure storage account name. Si le nom du service cloud de la passerelle de gestion cloud est unique, mais que le nom de compte de stockage ne l’est pas, Configuration Manager ne parvient pas à approvisionner le service dans Azure.If the CMG cloud service name is unique, but the storage account name isn't, Configuration Manager fails to provision the service in Azure. Répétez le processus ci-dessus dans le portail Azure avec les modifications suivantes :Repeat the above process in the Azure portal with the following changes:

  • Recherchez le compte de stockageSearch for Storage account
  • Testez votre nom dans le champ Nom du compte de stockageTest your name in the Storage account name field

Le préfixe de nom DNS, par exemple, GraniteFalls, doit compter entre 3 et 24 caractères et utiliser uniquement des caractères alphanumériques.The DNS name prefix, for example GraniteFalls, should be 3 to 24 characters long, and only use alphanumeric characters. N’utilisez pas de caractères spéciaux, comme un tiret (-).Don't use special characters, like a dash (-).

Certificat racine approuvé de passerelle de gestion cloud pour les clientsCMG trusted root certificate to clients

Les clients doivent approuver le certificat d’authentification serveur de la passerelle de gestion cloud.Clients must trust the CMG server authentication certificate. Deux méthodes existent pour effectuer cette approbation :There are two methods to accomplish this trust:

  • Utiliser un certificat provenant d’un fournisseur de certificats public et approuvés globalement.Use a certificate from a public and globally trusted certificate provider. Par exemple, DigiCert, Thawte ou VeriSign (liste non limitative).For example, but not limited to, DigiCert, Thawte, or VeriSign. Les clients Windows incluent des autorités de certification racine approuvées provenant de ces fournisseurs.Windows clients include trusted root certificate authorities (CAs) from these providers. Si vous utilisez un certificat d’authentification serveur émis par un de ces fournisseurs, vos clients l’approuvent automatiquement.By using a server authentication certificate issued by one of these providers, your clients automatically trust it.

  • Utiliser un certificat émis par une autorité de certification d’entreprise depuis votre infrastructure à clé publique.Use a certificate issued by an enterprise CA from your public key infrastructure (PKI). La plupart des implémentations d’infrastructure à clé publique d’entreprise ajoutent les autorités de certification racine de confiance aux clients Windows.Most enterprise PKI implementations add the trusted root CAs to Windows clients. Par exemple, dans le cas d’une utilisation des services de certificats Active Directory avec la stratégie de groupe.For example, using Active Directory Certificate Services with group policy. Si vous émettez le certificat d’authentification serveur de passerelle de gestion cloud depuis une autorité de certification que vos clients n’approuvent pas automatiquement, ajoutez le certificat racine approuvé de l’autorité de certification aux clients Internet.If you issue the CMG server authentication certificate from a CA that your clients don't automatically trust, add the CA trusted root certificate to internet-based clients.

Certificat d’authentification serveur émis par le fournisseur publicServer authentication certificate issued by public provider

Un fournisseur de certificats tiers ne peut pas créer un certificat pour CloudApp.net, car ce domaine est détenu par Microsoft.A third-party certificate provider can't create a certificate for CloudApp.net, as that domain is owned by Microsoft. Vous pouvez seulement obtenir un certificat émis pour un domaine qui vous appartient.You can only get a certificate issued for a domain you own. La principale raison pour acquérir un certificat auprès d’un fournisseur tiers est que vos clients approuvent déjà le certificat de racine de ce fournisseur.The main reason for acquiring a certificate from a third-party provider is that your clients already trust that provider's root certificate.

Pour créer un alias DNS, procédez comme suit :Use the following process to create a DNS alias:

  1. Créez un enregistrement de nom canonique (CNAME) dans le DNS public de votre organisation.Create a canonical name record (CNAME) in your organization's public DNS. Cet enregistrement crée un alias pour la passerelle de gestion cloud avec un nom convivial que vous utilisez dans le certificat public.This record creates an alias for the CMG to a friendly name that you use in the public certificate.

    Par exemple, Contoso nomme sa passerelle de gestion GraniteFalls.For example, Contoso names their CMG GraniteFalls. Ce nom devient GraniteFalls.CloudApp.Net dans Azure.This name becomes GraniteFalls.CloudApp.Net in Azure. Dans l’espace de noms contoso.com du DNS public de Contoso, l’administrateur DNS crée un enregistrement CNAME pour GraniteFalls.Contoso.com pour le nom d’hôte réel, GraniteFalls.CloudApp.net.In Contoso's public DNS contoso.com namespace, the DNS administrator creates a new CNAME record for GraniteFalls.Contoso.com for the real host name, GraniteFalls.CloudApp.net.

  2. Demandez à un fournisseur public un certificat d’authentification serveur en utilisant le nom commun (CN) de l’alias CNAME.Request a server authentication certificate from a public provider using the Common Name (CN) of the CNAME alias. Par exemple, Contoso utilise GraniteFalls.Contoso.com comme nom commun du certificat.For example, Contoso uses GraniteFalls.Contoso.com for the certificate CN.

  3. Créez la passerelle de gestion cloud dans la console Configuration Manager avec ce certificat.Create the CMG in the Configuration Manager console using this certificate. Dans la page Paramètres de l’Assistant Création d’une passerelle de gestion cloud :On the Settings page of the Create Cloud Management Gateway Wizard:

    • Quand vous ajoutez le certificat de serveur pour ce service cloud (depuis le fichier de certificat), l’Assistant extrait le nom d’hôte du certificat CN comme nom du service.When you add the server certificate for this cloud service (from Certificate file), the wizard extracts the hostname from the certificate CN as the service name.

    • Il ajoute ensuite ce nom d’hôte à cloudapp.net ou à usgovcloudapp.net pour le cloud Azure US Government, comme nom de domaine complet du service pour créer le service dans Azure.It then appends that hostname to cloudapp.net, or usgovcloudapp.net for the Azure US Government cloud, as the Service FQDN to create the service in Azure.

    • Par exemple, quand Contoso crée la passerelle de gestion cloud, Configuration Manager extrait le nom d’hôte GraniteFalls du nom commun du certificat.For example, when Contoso creates the CMG, Configuration Manager extracts the hostname GraniteFalls from the certificate CN. Azure crée le service proprement dit sous le nom GraniteFalls.CloudApp.net.Azure creates the actual service as GraniteFalls.CloudApp.net.

Quand vous créez l’instance de la passerelle de gestion cloud dans Configuration Manager, alors que le certificat comporte GraniteFalls.Contoso.com, Configuration Manager extrait seulement le nom d’hôte, par exemple : GraniteFalls.When you create the CMG instance in Configuration Manager, while the certificate has GraniteFalls.Contoso.com, Configuration Manager only extracts the hostname, for example: GraniteFalls. Il ajoute ce nom d’hôte à CloudApp.net, ce qui est exigé par Azure lors de la création d’un service cloud.It appends this hostname to CloudApp.net, which Azure requires when creating a cloud service. L’alias CNAME dans l’espace de noms DNS pour votre domaine, Contoso.com, mappe ces deux noms de domaine complets.The CNAME alias in the DNS namespace for your domain, Contoso.com, maps together these two FQDNs. Configuration Manager donne aux clients une stratégie pour accéder à cette passerelle CMG : le mappage DNS les lie pour qu’ils puissent accéder au service de façon sécurisée dans Azure.Configuration Manager gives clients a policy to access this CMG, the DNS mapping ties it together so that they can securely access the service in Azure.

Certificat d’authentification serveur émis par l’infrastructure à clé publique (PKI) d’entrepriseServer authentication certificate issued from enterprise PKI

Créez un certificat SSL personnalisé pour la passerelle de gestion cloud de la même façon que pour un point de distribution cloud.Create a custom SSL certificate for the CMG the same as for a cloud distribution point. Suivez les instructions pour le déploiement du certificat de service pour les points de distribution cloud, mais procédez différemment pour ce qui suit :Follow the instructions for Deploying the service certificate for cloud-based distribution points but do the following things differently:

  • Lors de la demande du certificat de serveur web personnalisé, fournissez un nom de domaine complet pour le nom commun du certificat.When requesting the custom web server certificate, provide an FQDN for the certificate's common name. Il peut s’agir d’un nom de domaine public qui vous appartient, ou bien vous pouvez utiliser le domaine cloudapp.net.This name can be a public domain name you own or you may use the cloudapp.net domain. Si vous utilisez votre propre domaine public, référez-vous au processus ci-dessus concernant la création d’un alias DNS dans le DNS public de votre organisation.If using your own public domain, refer to the process above for creating a DNS alias in your organization's public DNS.

  • Quand vous utilisez le domaine public cloudapp.net pour le certificat de serveur web de passerelle de gestion cloud :When using the cloudapp.net public domain for the CMG web server certificate:

    • Sur le cloud public Azure, utilisez un nom qui se termine par cloudapp.netOn the Azure public cloud, use a name that ends in cloudapp.net

    • Utilisez un nom qui se termine par usgovcloudapp.net pour le cloud Azure US GovernmentUse a name that ends in usgovcloudapp.net for the Azure US Government cloud

Certificat d’authentification clientClient authentication certificate

Exigences du certificat d’authentification client :Client authentication certificate requirements:

  • Ce certificat est obligatoire pour les clients basés sur Internet sous Windows 8.1 et pour les appareils Windows 10 non joints Azure Active Directory (Azure AD).This certificate is required for internet-based clients running Windows 8.1, and Windows 10 devices not joined to Azure Active Directory (Azure AD).
  • Il peut également être obligatoire sur le point de connexion de la passerelle de gestion cloud.It may be required on the CMG connection point. Pour plus d’informations, consultez Point de connexion de la passerelle de gestion cloud.For more information, see CMG connection point.
  • Il n’est pas nécessaire pour les clients Windows 10 joints Azure AD.It isn't required for Windows 10 clients joined to Azure AD.
  • Les appareils peuvent utiliser un jeton émis par votre site si celui-ci fonctionne avec la version 2002 ou une version ultérieure.If your site is version 2002 or later, devices can use a token issued by the site. Pour plus d’informations, consultez Authentification basée sur un jeton pour CMG.For more information, see Token-based authentication for CMG.

Les clients utilisent ce certificat pour s’authentifier auprès de la passerelle de gestion cloud.The clients use this certificate to authenticate with the CMG. Les appareils Windows 10 qui sont hybrides ou joints à un domaine cloud ne nécessitent pas ce certificat, car ils utilisent Azure AD pour s’authentifier.Windows 10 devices that are hybrid or cloud domain-joined don't require this certificate because they use Azure AD to authenticate.

Provisionnez ce certificat en dehors du contexte de Configuration Manager.Provision this certificate outside of the context of Configuration Manager. Par exemple, utilisez les services de certificats Active Directory et la stratégie de groupe pour émettre des certificats d’authentification clients.For example, use Active Directory Certificate Services and group policy to issue client authentication certificates. Pour plus d’informations, consultez Déploiement du certificat client pour les ordinateurs Windows.For more information, see Deploying the client certificate for Windows computers.

Notes

Microsoft recommande de joindre les appareils à Azure AD.Microsoft recommends joining devices to Azure AD. Les appareils basés sur Internet peuvent utiliser Azure AD pour s’authentifier auprès de Configuration Manager.Internet-based devices can use Azure AD to authenticate with Configuration Manager. Les scénarios d’appareils et d’utilisateurs sont également gérés, que l’appareil soit sur Internet ou connecté au réseau interne.It also enables both device and user scenarios whether the device is on the internet or connected to the internal network. Pour plus d’informations, consultez Installer et inscrire le client avec l’identité Azure AD.For more information, see Install and register the client using Azure AD identity.

À compter de la version 2002,Starting in version 2002, Configuration Manager étend sa prise en charge des appareils basés sur Internet à ceux qui ne se connectent pas souvent au réseau interne, ne peuvent pas être joints à Azure AD et ne disposent d’aucun moyen d’installer un certificat émis par une infrastructure à clé publique.Configuration Manager extends its support for internet-based devices that don't often connect to the internal network, aren't able to join Azure AD, and don't have a method to install a PKI-issued certificate. Pour plus d’informations, consultez Authentification basée sur un jeton pour CMG.For more information, see Token-based authentication for CMG.

Point de connexion de la passerelle de gestion cloudCMG connection point

Pour transférer les demandes client de manière sécurisée, le point de connexion de la passerelle de gestion cloud a besoin d’une connexion sécurisée avec le point de gestion.To securely forward client requests, the CMG connection point requires a secure connection with the management point. La façon dont les appareils et les points de gestion sont configurés détermine la configuration du point de connexion de la passerelle de gestion cloud.Depending upon how you configure your devices and management points determines the CMG connection point configuration.

  • Le point de gestion est HTTPS.The management point is HTTPS

    • Les clients disposent d’un certificat d’authentification client : le point de connexion de la passerelle de gestion cloud a besoin d’un certificat d’authentification client correspondant au certificat d’authentification serveur sur le point de gestion HTTPS.Clients have a client authentication certificate: The CMG connection point requires a client authentication certificate that corresponds to the server authentication certificate on the HTTPS management point.

    • Les clients utilisent l’authentification Azure AD ou un jeton Configuration Manager : ce certificat n’est pas obligatoire.Clients use Azure AD authentication or a Configuration Manager token: This certificate isn't required.

  • Le point de gestion est configuré sur Enhanced HTTP : ce certificat n’est pas obligatoire.If you configure the management point for Enhanced HTTP: This certificate isn't required.

Pour plus d’informations, consultez Activer le point de gestion pour HTTPS.For more information, see Enable management point for HTTPS.

Certificat racine approuvé de client pour la passerelle de gestion cloudClient trusted root certificate to CMG

Ce certificat est obligatoire lors de l’utilisation de certificats d’authentification clients. Quand tous les clients utilisent Azure AD pour l’authentification, ce certificat n’est pas nécessaire.This certificate is required when using client authentication certificates. When all clients use Azure AD for authentication, this certificate isn't required.

Vous fournissez ce certificat lors de la création de la passerelle de gestion cloud dans la console Configuration Manager.You supply this certificate when creating the CMG in the Configuration Manager console.

La passerelle de gestion cloud doit approuver les certificats d’authentification clients.The CMG must trust the client authentication certificates. Pour effectuer cette approbation, fournissez la chaîne de certificats racines approuvés.To accomplish this trust, provide the trusted root certificate chain. Veillez à ajouter tous les certificats dans la chaîne d’approbation.Make sure to add all certificates in the trust chain. Par exemple, si le certificat d’authentification client est émis par une autorité de certification intermédiaire, ajoutez les certificats d’autorité de certification intermédiaire et racine.For example, if the client authentication certificate is issued by an intermediate CA, add both the intermediate and root CA certificates.

Notes

Quand vous créez une passerelle de gestion cloud, vous n’êtes plus obligé de fournir un certificat racine approuvé dans la page Paramètres.When you create a CMG, you're no longer required to provide a trusted root certificate on the Settings page. Ce certificat n’est pas nécessaire si l’authentification client passe par Azure AD, alors qu’il l’était auparavant dans l’Assistant.This certificate isn't required when using Azure AD for client authentication, but used to be required in the wizard. Si vous utilisez des certificats d’authentification client PKI, vous devez continuer d’ajouter un certificat racine approuvé pour la passerelle de gestion cloud.If you're using PKI client authentication certificates, then you still must add a trusted root certificate to the CMG.

Dans la version 1902 et les versions antérieures, vous ne pouvez ajouter que deux autorités de certification racines de confiance et quatre autorités de certification (subordonnées) intermédiaires.In version 1902 and earlier, you can only add two trusted root CAs and four intermediate (subordinate) CAs.

Exporter la racine de confiance du certificat clientExport the client certificate's trusted root

Après avoir émis un certificat d’authentification client pour un ordinateur, utilisez ce processus sur cet ordinateur pour exporter la racine de confiance.After issuing a client authentication certificate to a computer, use this process on that computer to export the trusted root.

  1. Ouvrez le menu Démarrer.Open the Start menu. Tapez « run » pour ouvrir la fenêtre Exécuter.Type "run" to open the Run window. Ouvrez mmc.Open mmc.

  2. Dans le menu Fichier, choisissez Ajouter/supprimer un composant logiciel enfichable.From the File menu, choose Add/Remove Snap-in....

  3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez Certificats, puis sélectionnez Ajouter.In the Add or Remove Snap-ins dialog box, select Certificates, then select Add.

    1. Dans la boîte de dialogue Composant logiciel enfichable Certificats, sélectionnez Compte d’ordinateur, puis sélectionnez Suivant.In the Certificates snap-in dialog box, select Computer account, then select Next.

    2. Dans la boîte de dialogue Sélectionner un ordinateur, sélectionnez Ordinateur local, puis sélectionnez Terminer.In the Select Computer dialog box, select Local computer, then select Finish.

    3. Dans la boîte de dialogue Ajouter ou supprimer des composants logiciels enfichables, sélectionnez OK.In the Add or Remove Snap-ins dialog box, select OK.

  4. Développez Certificats, développez Personnel, puis sélectionnez Certificats.Expand Certificates, expand Personal, and select Certificates.

  5. Sélectionnez un certificat dont le rôle prévu est Authentification client.Select a certificate whose Intended Purpose is Client Authentication.

    1. Dans le menu Action, sélectionnez Ouvrir.From the Action menu, select Open.

    2. Accédez à l’onglet Chemin d’accès de certification.Go to the Certification Path tab.

    3. Sélectionnez le certificat suivant plus haut dans la chaîne, puis sélectionnez Afficher le certificat.Select the next certificate up the chain, and select View Certificate.

  6. Dans cette boîte de dialogue Nouveau certificat, accédez à l’onglet Détails. Sélectionnez Copier dans un fichier... .On this new Certificate dialog box, go to the Details tab. Select Copy to File....

  7. Effectuez l’Assistant Exportation de certificat en utilisant le format de certificat par défaut, X.509 binaire encodé DER (.cer) .Complete the Certificate Export Wizard using the default certificate format, DER encoded binary X.509 (.CER). Notez le nom et l’emplacement du certificat exporté.Make note of the name and location of the exported certificate.

  8. Exportez tous les certificats dans le chemin de certification du certificat d’authentification client d’origine.Export all of the certificates in the certification path of the original client authentication certificate. Notez quels certificats exportés sont des autorités de certification intermédiaires, et lesquels sont des autorités de certification racines de confiance.Make note of which exported certificates are intermediate CAs, and which ones are trusted root CAs.

Activer le point de gestion pour HTTPSEnable management point for HTTPS

Provisionnez ce certificat en dehors du contexte de Configuration Manager.Provision this certificate outside of the context of Configuration Manager. Par exemple, utilisez les services de certificats Active Directory et la stratégie de groupe pour émettre un certificat de serveur web.For example, use Active Directory Certificate Services and group policy to issue a web server certificate. Pour plus d’informations, consultez Spécifications pour les certificats d’infrastructure à clé publique et Déployer le certificat de serveur web pour les systèmes de site qui exécutent IIS.For more information, see PKI certificate requirements and Deploy the web server certificate for site systems that run IIS.

Quand vous utilisez l’option de site Utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP, le point de gestion peut être HTTP.When using the site option to Use Configuration Manager-generated certificates for HTTP site systems, the management point can be HTTP. Pour plus d’informations, consultez HTTP amélioré.For more information, see Enhanced HTTP.

Conseil

Si vous n’utilisez pas le protocole HTTP amélioré et que votre environnement comporte plusieurs points de gestion, vous n’êtes pas obligé de les activer tous par HTTPS pour la passerelle de gestion cloud.If you aren't using Enhanced HTTP, and your environment has multiple management points, you don't have to HTTPS-enable them all for CMG. Configurez les points de gestion compatibles avec la passerelle de gestion cloud en tant qu’Internet uniquement.Configure the CMG-enabled management points as Internet only. Ensuite, vos clients locaux n’essaient pas de les utiliser.Then your on-premises clients don't try to use them.

Certificat HTTP amélioré pour les points de gestionEnhanced HTTP certificate for management points

Lorsque vous activez le protocole HTTP étendu, le serveur de site génère un certificat auto-signé nommé Certificat SSL du rôle SMS, émis par le certificat d’émission de SMS racine.When you enable Enhanced HTTP, the site server generates a self-signed certificate named SMS Role SSL Certificate, issued by the root SMS Issuing certificate. Le point de gestion ajoute ce certificat au site web IIS par défaut lié au port 443.The management point adds this certificate to the IIS Default Web site bound to port 443.

Récapitulatif du mode de connexion client du point de gestionManagement point client connection mode summary

Les tableaux suivants récapitulent si le point de gestion nécessite HTTP ou HTTPS, en fonction du type de client et de la version du site.These tables summarize whether the management point requires HTTP or HTTPS, depending upon the type of client and site version.

Pour les clients basés sur Internet qui communiquent avec la passerelle de gestion cloudFor internet-based clients communicating with the cloud management gateway

Configurez un point de gestion local pour autoriser les connexions à partir de la passerelle de gestion cloud avec le mode de connexion client suivant :Configure an on-premises management point to allow connections from the CMG with the following client connection mode:

Type de clientType of client Point de gestionManagement point
Groupe de travailWorkgroup E-HTTPRemarque 1, HTTPSE-HTTPNote 1, HTTPS
Joint à un domaine ADAD domain-joined E-HTTPRemarque 1, HTTPSE-HTTPNote 1, HTTPS
Joint à Azure ADAzure AD-joined E-HTTP, HTTPSE-HTTP, HTTPS
Joint à une version hybrideHybrid-joined E-HTTP, HTTPSE-HTTP, HTTPS

Notes

Remarque 1 : avec cette configuration, le client doit avoir un certificat d’authentification client et prendre uniquement en charge des scénarios centrés sur les appareils.Note 1: This configuration requires the client has a client authentication certificate, and only supports device-centric scenarios.

Pour les clients locaux qui communiquent avec le point de gestion localFor on-premises clients communicating with the on-premises management point

Configurez un point de gestion local avec le mode de connexion client suivant :Configure an on-premises management point with the following client connection mode:

Type de clientType of client Point de gestionManagement point
Groupe de travailWorkgroup HTTP, HTTPSHTTP, HTTPS
Joint à un domaine ADAD domain-joined HTTP, HTTPSHTTP, HTTPS
Joint à Azure ADAzure AD-joined HTTPSHTTPS
Joint à une version hybrideHybrid-joined HTTP, HTTPSHTTP, HTTPS

Notes

Les clients joints à un domaine AD prennent en charge les scénarios centrés sur l’utilisateur et ceux centrés sur les appareils qui communiquent avec un point de gestion HTTP ou HTTPS.AD domain-joined clients support both device- and user-centric scenarios communicating with an HTTP or HTTPS management point.

Les clients joints à Azure AD et ceux joints à une version hybride peuvent communiquer par le biais du protocole HTTP pour les scénarios centrés sur les appareils, mais ils ont besoin d’E-HTTP ou de HTTPS pour autoriser les scénarios centrés sur l’utilisateur.Azure AD-joined and hybrid-joined clients can communicate via HTTP for device-centric scenarios, but need E-HTTP or HTTPS to enable user-centric scenarios. Sinon, ils se comportent comme des clients de groupe de travail.Otherwise they behave the same as workgroup clients.

Légende des termesLegend of terms

  • Groupe de travail: l’appareil n’est pas joint à un domaine ou à Azure AD, mais il dispose d’un certificat d’authentification client.Workgroup: The device isn't joined to a domain or Azure AD, but has a client authentication certificate.

  • Joint à un domaine AD : vous joignez l’appareil à un domaine Active Directory local.AD domain-joined: You join the device to an on-premises Active Directory domain.

  • Joint à Azure AD : (également appelé « joint à un domaine cloud ») vous joignez l’appareil à un locataire Azure AD.Azure AD-joined: Also known as cloud domain-joined, you join the device to an Azure AD tenant. Pour plus d'informations, consultez Déployer des appareils joints à Azure AD.For more information, see Azure AD joined devices.

  • Joint à une version hybride : vous joignez l’appareil à votre instance Active Directory locale et vous l’inscrivez auprès de votre instance Azure AD.Hybrid-joined: You join the device to your on-premises Active Directory and register it with your Azure AD. Pour plus d'informations, consultez Appareils joints à Azure AD hybride.For more information, see Hybrid Azure AD joined devices.

  • HTTP : dans les propriétés du point de gestion, vous définissez les connexions clientes sur HTTP.HTTP: On the management point properties, you set the client connections to HTTP.

  • HTTPS : dans les propriétés du point de gestion, vous définissez les connexions clientes sur HTTPS.HTTPS: On the management point properties, you set the client connections to HTTPS.

  • E-HTTP : dans l’onglet Sécurité des communications des propriétés du site, vous définissez les paramètres du système de site sur HTTPS ou HTTP, puis vous activez l’option Utiliser les certificats générés par Configuration Manager pour les systèmes de site HTTP.E-HTTP: On the site properties, Communication Security tab, you set the site system settings to HTTPS or HTTP, and you enable the option to Use Configuration Manager-generated certificates for HTTP site systems. Vous configurez le point de gestion pour le protocole HTTP : le point de gestion HTTP est prêt pour la communication HTTP et HTTPS (scénarios d’authentification du jeton).You configure the management point for HTTP, the HTTP management point is ready for both HTTP and HTTPS communication (token auth scenarios).

    Notes

    Dans la version 1902 et les versions antérieures, cet onglet est appelé Communication des ordinateurs clients.In version 1902 and earlier, this tab is called Client Computer Communication.

Certificat de gestion AzureAzure management certificate

Ce certificat est obligatoire pour les déploiements de services classiques. Il n’est pas nécessaire pour les déploiements Azure Resource Manager.This certificate is required for classic service deployments. It's not required for Azure Resource Manager deployments.

Important

Depuis la version 1810, les déploiements de services Classic dans Azure sont dépréciés dans Configuration Manager.Starting in version 1810, classic service deployments in Azure are deprecated in Configuration Manager. Commencez par utiliser des déploiements Azure Resource Manager pour la passerelle de gestion cloud.Start using Azure Resource Manager deployments for the cloud management gateway. Pour plus d’informations, consultez Planifier la passerelle de gestion cloud.For more information, see Plan for CMG.

À compter de la version 1902 de Configuration Manager, Azure Resource Manager est le seul mécanisme de déploiement pour les nouvelles instances de la passerelle de gestion cloud.Starting in Configuration Manager version 1902, Azure Resource Manager is the only deployment mechanism for new instances of the cloud management gateway. Ce certificat n’est pas requis dans Configuration Manager, version 1902 ou ultérieure.This certificate isn't required in Configuration Manager version 1902 or later.

Vous fournissez ce certificat dans le portail Azure, lors de la création de la passerelle de gestion cloud dans la console Configuration Manager.You supply this certificate in the Azure portal, and when creating the CMG in the Configuration Manager console.

Pour créer la passerelle de gestion cloud dans Azure, le point de connexion du service Configuration Manager doit d’abord s’authentifier auprès de votre abonnement Azure.To create the CMG in Azure, the Configuration Manager service connection point needs to first authenticate to your Azure subscription. Lors de l’utilisation d’un déploiement de service classique, il utilise le certificat de gestion Azure pour cette authentification.When using a classic service deployment, it uses the Azure management certificate for this authentication. Un administrateur Azure charge ce certificat sur votre abonnement.An Azure administrator uploads this certificate to your subscription. Quand vous créez la passerelle de gestion cloud dans la console Configuration Manager, fournissez ce certificat.When you create the CMG in the Configuration Manager console, provide this certificate.

Pour plus d’informations et des instructions sur la manière de charger un certificat de gestion, consultez les articles suivants dans la documentation Azure :For more information and instructions for how to upload a management certificate, see the following articles in the Azure documentation:

Important

Veillez à copier l’ID d’abonnement associé au certificat de gestion.Make sure to copy the subscription ID associated with the management certificate. Vous l’utilisez pour la création de la passerelle de gestion cloud dans la console Configuration Manager.You use it for creating the CMG in the Configuration Manager console.

Étapes suivantesNext steps