Planification des autorisations de modèle de certificat pour les profils de certificat dans Configuration Manager

  • Article

S’applique à : Configuration Manager (branche actuelle)

Importante

À compter de la version 2203, cette fonctionnalité d’accès aux ressources d’entreprise n’est plus prise en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.

Les informations suivantes peuvent vous aider à planifier la configuration des autorisations pour les modèles de certificat que Configuration Manager utilise lorsque vous déployez des profils de certificat.

Autorisations et considérations de sécurité par défaut

Les autorisations de sécurité par défaut requises pour les modèles de certificats que Configuration Manager utiliseront pour demander des certificats pour les utilisateurs et les appareils sont les suivantes :

  • Lire et inscrire le compte utilisé par le pool d’applications service d’inscription de périphériques réseau

  • Lire pour le compte qui exécute la console Configuration Manager

    Pour plus d’informations sur ces autorisations de sécurité, consultez Configuration de l’infrastructure de certificats.

    Lorsque vous utilisez cette configuration par défaut, les utilisateurs et les appareils ne peuvent pas demander directement des certificats à partir des modèles de certificat et toutes les demandes doivent être lancées par le service d’inscription de périphérique réseau. Il s’agit d’une restriction importante, car ces modèles de certificat doivent être configurés avec La fourniture dans la demande pour l’objet du certificat, ce qui signifie qu’il existe un risque d’emprunt d’identité si un utilisateur non autorisé ou un appareil compromis demande un certificat. Dans la configuration par défaut, le service d’inscription de périphérique réseau doit lancer une telle demande. Toutefois, ce risque d’emprunt d’identité demeure si le service qui exécute le service d’inscription de périphérique réseau est compromis. Pour éviter ce risque, suivez toutes les bonnes pratiques de sécurité pour le service d’inscription de périphérique réseau et l’ordinateur qui exécute ce service de rôle.

    Si les autorisations de sécurité par défaut ne répondent pas aux besoins de votre entreprise, vous avez une autre option pour configurer les autorisations de sécurité sur les modèles de certificat : vous pouvez ajouter des autorisations de lecture et d’inscription pour les utilisateurs et les ordinateurs.

Ajout d’autorisations de lecture et d’inscription pour les utilisateurs et les ordinateurs

L’ajout d’autorisations de lecture et d’inscription pour les utilisateurs et les ordinateurs peut être approprié si une équipe distincte gère votre équipe d’infrastructure d’autorité de certification et que cette équipe distincte souhaite Configuration Manager vérifier que les utilisateurs disposent d’un services de domaine Active Directory valide avant de leur envoyer un profil de certificat pour demander un certificat utilisateur. Pour cette configuration, vous devez spécifier un ou plusieurs groupes de sécurité qui contiennent les utilisateurs, puis accorder à ces groupes des autorisations de lecture et d’inscription sur les modèles de certificat. Dans ce scénario, l’administrateur d’autorité de certification gère le contrôle de sécurité.

De même, vous pouvez spécifier un ou plusieurs groupes de sécurité qui contiennent des comptes d’ordinateur et accorder à ces groupes des autorisations de lecture et d’inscription sur les modèles de certificat. Si vous déployez un profil de certificat d’ordinateur sur un ordinateur membre du domaine, le compte d’ordinateur de cet ordinateur doit disposer des autorisations Lecture et Inscription. Ces autorisations ne sont pas requises si l’ordinateur n’est pas membre du domaine. Par exemple, s’il s’agit d’un ordinateur de groupe de travail ou d’un appareil mobile personnel.

Bien que cette configuration utilise un autre contrôle de sécurité, nous ne la recommandons pas comme bonne pratique. La raison en est que les utilisateurs ou propriétaires spécifiés des appareils peuvent demander des certificats indépendamment de Configuration Manager et fournir des valeurs pour l’objet du certificat qui peuvent être utilisées pour emprunter l’identité d’un autre utilisateur ou appareil.

En outre, si vous spécifiez des comptes qui ne peuvent pas être authentifiés au moment où la demande de certificat se produit, la demande de certificat échoue par défaut. Par exemple, la demande de certificat échoue si le serveur qui exécute le service d’inscription de périphérique réseau se trouve dans une forêt Active Directory qui n’est pas approuvée par la forêt qui contient le serveur de système de site du point d’inscription de certificat. Vous pouvez configurer le point d’enregistrement de certificat pour qu’il continue si un compte ne peut pas être authentifié, car il n’y a pas de réponse d’un contrôleur de domaine. Toutefois, il ne s’agit pas d’une bonne pratique en matière de sécurité.

Si le point d’enregistrement de certificat est configuré pour case activée pour les autorisations de compte et qu’un contrôleur de domaine est disponible et rejette la demande d’authentification (par exemple, le compte est verrouillé ou a été supprimé), la demande d’inscription de certificat échoue.

Pour case activée des autorisations de lecture et d’inscription pour les utilisateurs et les ordinateurs membres du domaine

  1. Sur le serveur de système de site qui héberge le point d’enregistrement de certificat, créez la clé de Registre DWORD suivante pour avoir la valeur 0 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheck

  2. Si un compte ne peut pas être authentifié, car il n’y a pas de réponse d’un contrôleur de domaine et que vous souhaitez contourner les autorisations case activée :

    • Sur le serveur de système de site qui héberge le point d’enregistrement de certificat, créez la clé de Registre DWORD suivante pour avoir la valeur 1 : HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SCCM\CRP\SkipTemplateCheckOnlyIfAccountAccessDenied

  3. Dans l’autorité de certification émettrice, sous l’onglet Sécurité dans les propriétés du modèle de certificat, ajoutez un ou plusieurs groupes de sécurité pour accorder aux comptes d’utilisateur ou d’appareil des autorisations de lecture et d’inscription.