Certificate Connector pour Microsoft Intune

  • Article

Afin que Microsoft Intune prenne en charge l’utilisation de certificats pour l’authentification ainsi que pour la signature et le chiffrement des e-mails avec S/MIME, vous pouvez utiliser le connecteur Certificate Connector pour Microsoft Intune. Le connecteur de certificat est un logiciel que vous installez sur un serveur local pour vous aider à fournir et à gérer des certificats pour vos appareils gérés par Intune.

Cet article présente le connecteur Certificate Connector pour Microsoft Intune, son cycle de vie et la façon de le maintenir à jour.

Conseil

À compter du 29 juillet 2021, le connecteur Certificate Connector pour Microsoft Intune remplace l’utilisation du connecteur PFX Certificate Connector pour Microsoft Intune et de Microsoft Intune Connector. Le nouveau connecteur comprend les fonctionnalités des deux connecteurs précédents. Avec la version 6.2109.51.0 du connecteur de certificat pour Microsoft Corporation, les connecteurs précédents ne sont plus pris en charge.

Vue d’ensemble du connecteur

Pour utiliser le connecteur de certificat, vous devez d’abord télécharger le logiciel à partir du centre d’administration Microsoft Intune, que vous installerez ensuite sur un serveur Windows Server.

Pendant l’installation, vous pouvez installer une ou plusieurs fonctionnalités de connecteur, notamment la prise en charge des éléments suivants :

  • Certificats de paire de clés publique et privée (PKCS)
  • Certificats PKCS importés
  • Protocole SCEP (Simple Certificate Enrollment Protocol)
  • Révocation du certificat

En outre, vous attribuez un compte de service pour exécuter le connecteur. Ce compte est utilisé pour toutes les interactions avec votre autorité de certification, et pour l’émission, la révocation et le renouvellement des certificats. Les options prises en charge pour le compte de service incluent le compte SYSTEM des serveurs du connecteur ou un compte de domaine.

Une fois le connecteur installé, vous pouvez réexécuter sa configuration à tout moment pour le mettre à jour ou changer les fonctionnalités que vous avez installées. Une fois installé et configuré, le connecteur peut installer automatiquement les mises à jour ultérieures pour que la version de vos connecteurs soit toujours la plus récente.

Intune prend en charge l’installation de plusieurs instances du connecteur dans un locataire, et chaque instance peut prendre en charge des fonctionnalités différentes. Si vous utilisez plusieurs connecteurs qui prennent en charge des fonctionnalités différentes, les demandes de certificat sont toujours routées vers un connecteur approprié. Par exemple, si vous installez deux connecteurs qui prennent en charge PKCS et deux autres qui prennent en charge à la fois PKCS et SCEP, les tâches de certificat pour PKCS peuvent être gérées par l’un des quatre connecteurs, mais les tâches pour SCEP sont uniquement dirigées vers les deux connecteurs qui prennent en charge SCEP.

Chaque instance du connecteur de certificat a les mêmes exigences réseau que les appareils gérés par Intune. Pour plus d’informations, consultez Points de terminaison réseau pour Microsoft Intune et Configuration requise pour le réseau Intune et bande passante.

Fonctionnalités du connecteur de certificat

Le connecteur Certificate Connector pour Microsoft Intune prend en charge les éléments suivants :

  • Demandes de certificat PKCS #12.

  • Certificats PKCS importés (fichier PFX) pour le chiffrement des e-mails S/MIME pour un utilisateur spécifique.

  • Émission de certificats SCEP (Protocole d’inscription de certificats simple). Quand vous utilisez une autorité de certification des services de certificats Active Directory, également appelée autorité de certification Microsoft, vous devez également configurer le service NDES (Network Device Enrollment Service) sur le serveur qui héberge le connecteur.

    L’utilisation de SCEP avec une autorité de certification tierce ne nécessite pas l’utilisation du connecteur Certificate Connector pour Microsoft Intune.

  • Révocation de certificat.

  • Mises à jour automatiques vers les nouvelles versions. Quand les serveurs qui hébergent le connecteur de certificat peuvent accéder à Internet, ils installent automatiquement les nouvelles mises à jour. Quand un connecteur ne parvient pas à se mettre à jour automatiquement, vous pouvez le mettre à jour manuellement.

  • Installation de jusqu’à 100 instances du connecteur par locataire Intune, chaque instance se trouvant sur un serveur Windows distinct. Quand vous utilisez plusieurs connecteurs :

    • Chaque instance du connecteur doit avoir accès à la clé privée utilisée pour chiffrer les mots de passe de chaque fichier PFX chargé.

    • Chaque instance du connecteur doit avoir la même version. Étant donné que le connecteur prend en charge les mises à jour automatiques vers la version la plus récente, les mises à jour peuvent être gérées pour vous par Intune.

    • Votre infrastructure prend en charge la redondance et l’équilibrage de charge, car n’importe quelle instance de connecteur disponible qui prend en charge les mêmes fonctionnalités de connecteur peut traiter vos demandes de certificat.

    • Vous pouvez configurer un proxy pour autoriser le connecteur à communiquer avec Intune.

      Remarque

      Toute instance du connecteur qui prend en charge PKCS peut être utilisée pour récupérer les demandes PKCS en attente auprès de la file d’attente du service Intune, traiter les certificats importés et gérer les demandes de révocation. Il n’est pas possible de définir le connecteur qui gère chaque requête.

      Par conséquent, chaque connecteur qui prend en charge PKCS doit avoir les mêmes autorisations et être en mesure de se connecter à toutes les autorités de certification définies plus loin dans les profils PKCS.

Cycle de vie

Régulièrement, des mises à jour du connecteur de certificat sont publiées. Les annonces de nouvelles mises à jour du connecteur, y compris la version et la date de sortie de chaque mise à jour, apparaissent dans la section Quoi de neuf pour le connecteur de certificats de cet article.

Chaque nouvelle version du connecteur :

  • Est pris en charge pendant six mois après la publication d’une nouvelle version. Pendant cette période, les mises à jour automatiques peuvent installer une version plus récente du connecteur. Les versions mises à jour des connecteurs peuvent inclure, sans s'y limiter, des corrections de bogues et des améliorations des performances et des fonctionnalités.

  • Si un connecteur non pris en charge échoue, vous devrez mettre à jour la dernière version prise en charge.

  • Si vous bloquez la mise à jour automatique du connecteur, prévoyez de le mettre à jour manuellement dans les six mois, avant la fin du support de la version installée. Après la fin de l'assistance, vous devrez mettre à jour le connecteur vers une version qui reste dans l'assistance pour bénéficier d'une assistance en cas de problèmes avec le connecteur.

  • Les connecteurs qui ne sont pas pris en charge continueront de fonctionner jusqu’à 18 mois après la publication d’une nouvelle version. Après 18 mois, une fonctionnalité des connecteurs peut échouer en raison d'améliorations du niveau de service, de mises à jour ou de la correction de vulnérabilités de sécurité courantes qui pourraient apparaître à l'avenir.

Par exemple, lorsque la version du connecteur 6.2203.12.0 publiée le 4 mai 2022, la version précédente du connecteur 6.2202.38.0 sera supprimée du support le 4 novembre 2022. La version précédente du connecteur doit continuer à fonctionner (mais pas prise en charge) jusqu’en novembre 2023. Après novembre 2023, la version précédente du connecteur peut cesser de communiquer avec Intune.

Mise à jour automatique

Intune peut automatiquement mettre à jour le connecteur vers la dernière version peu après la publication de la version du connecteur.

Pour une mise à jour automatique, le serveur qui héberge le connecteur doit accéder au service de mise à jour Azure :

  • Port : 443
  • Point de terminaison : autoupdate.msappproxy.net

Quand les pare-feu, l’infrastructure ou les configurations réseau limitent l’accès à la mise à jour automatique, résolvez les problèmes de blocage ou mettez manuellement à jour le connecteur vers la nouvelle version.

Mise à jour manuelle

Le processus de mise à jour manuelle d’un connecteur de certificat est le même pour la réinstallation d’un connecteur.

Vous pouvez mettre à jour manuellement un connecteur de certificat même s’il prend en charge les mises à jour automatiques. Par exemple, vous pouvez mettre à jour manuellement le connecteur quand votre configuration réseau bloque une mise à jour automatique.

Réinstaller un connecteur de certificat

  1. Sur le serveur Windows hébergeant le connecteur, exécutez le programme d’installation du connecteur pour désinstaller ce dernier.

  2. Pour installer la nouvelle version, utilisez la procédure permettant d’installer une nouvelle version du connecteur. Veillez à vérifier les prérequis nouveaux ou mis à jour lors de l’installation d’une version plus récente d’un connecteur.

État du connecteur

Dans le centre d’administration Microsoft Intune, vous pouvez sélectionner un connecteur de certificat pour afficher des informations sur ses status :

  1. Connectez-vous au Centre d’administration Microsoft Intune

  2. Accédez à Administration de locataire>Connecteurs et jetons>Connecteurs de certificat.

  3. Sélectionnez un connecteur pour afficher son état.

Quand vous affichez l’état du connecteur :

  • Les connecteurs dépréciés affichent un Avertissement. Après la période de grâce de six mois, l’avertissement devient une erreur.
  • Les connecteurs qui ont dépassé la période de grâce affichent une erreur. Ces connecteurs ne sont plus pris en charge et peuvent cesser de fonctionner à tout moment.

Logging

Les journaux du connecteur Certificate Connector pour Microsoft Intune sont disponibles en tant que journaux des événements sur le serveur sur lequel le connecteur est installé :

  • Observateur d’événements>Journaux des applications et des services>Microsoft>Intune>Connecteurs de certificats

Les journaux suivants sont disponibles, ont une taille par défaut de 50 Mo et bénéficient de l’archivage automatique :

  • Journal d’administration : ce journal contient un événement de journal par demande au connecteur. Les événements incluent soit une réussite avec des informations sur la demande, soit une erreur avec des informations sur la demande et l’erreur.
  • Journal des opérations : ce journal affiche des informations supplémentaires non disponibles dans le journal d’administration et peut être utilisé pour résoudre des problèmes. Ce journal affiche également les opérations en cours au lieu de simples événements.

Outre le niveau de journalisation par défaut, vous pouvez activer la journalisation du débogage pour chaque journal afin d’obtenir des détails supplémentaires.

ID d’événement

Tous les événements ont l’un des ID suivants :

  • 0001 à 0999 : associé à aucun scénario spécifique
  • 1000 à 1999 : PKCS
  • 2000 à 2999 : importation PKCS
  • 3000 à 3999 : révocation
  • 4000 à 4999 : SCEP
  • 5000-5999 : Intégrité du connecteur

Catégories de tâches

Tous les événements sont marqués avec une catégorie de tâche pour faciliter le filtrage. Voici la liste, non exhaustive, des catégories de tâches :

PKCS

  • Admin

    • ID d’événement: 1000 - PkcsRequestSuccess
      Une demande PKCS a été chargée dans Intune.

    • ID d’événement: 1001 - PkcsRequestFailure
      Échec du traitement ou du chargement d’une demande PKCS dans Intune.

    • ID d’événement: 1200 - PkcsRecryptRequestSuccess
      La requête de rechiffrage PKCS a été traitée.

    • ID d’événement: 1201 - PkcsRecryptRequestFailure
      Échec du traitement de la demande de rechiffrage PKCS.

  • Opérationnel

    • ID d’événement: 1002 - PkcsDownloadSuccess
      Les demandes PKCS ont été téléchargées à partir d’Intune.

    • ID d’événement: 1003 - PkcsDownloadFailure
      Échec du téléchargement des demandes PKCS à partir d’Intune.

    • ID d’événement: 1020 - PkcsDownloadedRequest
      Demande PKCS téléchargée à partir d’Intune

    • ID d’événement: 1032 - PkcsDigiCertRequest
      Téléchargement réussi d’une demande PKCS pour l’autorité de certification DigiCert à partir d’Intune.

    • ID d’événement: 1050 - PkcsIssuedSuccess
      Un certificat PKCS a été émis.

    • ID d’événement: 1051 - PkcsIssuedFailedAttempt
      Échec de l’émission d’un certificat PKCS. Réessayez.

    • ID d’événement: 1052 - PkcsIssuedFailure
      Échec de l’émission d’un certificat PKCS.

    • ID d’événement: 1100 - PkcsUploadSuccess
      Les résultats de la demande PKCS ont été chargés dans Intune.

    • ID d’événement: 1101 - PkcsUploadFailure
      Échec du chargement des résultats de la demande PKCS dans Intune.

    • ID d’événement: 1102 - PkcsUploadedRequest
      La demande PKCS a été téléchargée vers Intune.

    • ID d’événement: 1202 - PkcsRecryptDownloadSuccess
      Demandes de rechiffrage PKCS téléchargées.

    • ID: 1203 - PkcsRecryptDownloadFailure
      Échec du téléchargement des demandes de rechiffrage PKCS.

    • ID d’événement: 1220 - PkcsRecryptDownloadedRequest
      Une demande de rechiffrage PKCS a été téléchargée.

    • ID d’événement: 1250 - PkcsRecryptReencryptSuccess
      La charge utile du certificat PKCS a été rechiffrée.

    • ID d’’événement: 1251 - PkcsRecryptDecryptSuccess
      La charge utile du certificat PKCS a été déchiffrée.

    • ID d’événement: 1252 - PkcsRecryptDecryptFailure
      Échec du déchiffrement de la charge utile du certificat PKCS.

    • ID d’événement: 1253 - PkcsRecryptReencryptFailure
      Échec du rechiffrage de la charge utile du certificat PKCS.

    • ID d’événement: 1300 - PkcsRecryptUploadSuccess
      Les résultats de la demande PKCS dans Intune ont été chargés.

    • ID d’événement: 1301 - PkcsRecryptUploadFailure
      Échec du chargement des résultats de la demande de rechiffrage PKCS dans Intune.

    • ID d’événement: 1302 - PkcsRecryptUploadedRequest
      Une demande de rechiffrage PKCS a été chargée sur Intune.

importation PKCS

  • Admin

    • ID d’événement: 2000 - PkcsImportRequestSuccess
      Demandes d’importation PKCS téléchargées à partir d’Intune.

    • ID d’événement: 2001 - PkcsImportRequestFailure
      Échec du traitement d’une demande d’importation PKCS à partir d’Intune.

  • Opérationnel

    • ID d’événement: 2202 - PkcsImportDownloadSuccess
      Demandes d’importation PKCS téléchargées à partir d’Intune.

    • ID d’événement: 2203 - PkcsImportDownloadFailure
      Échec du téléchargement des requêtes d’importation PKCS à partir d’Intune.

    • ID d’événement: 2020 - PkcsImportDownloadedRequest
      Une requête d’importation PKCS a été téléchargée à partir d’Intune.

    • ID d’événement: 2050 - PkcsImportReencryptSuccess
      Un certificat d’importation PKCS a été rechiffrée.

    • ID d’événement: 2051 - PkcsImportReencryptFailedAttempt
      Échec du rechiffrement d’un certificat d’importation PKCS. Réessayez.

    • ID d’événement: 2052 - PkcsImportReencryptFailure
      Échec du rechiffrage d’un certificat importé.

    • ID d’événement: 2100 - PkcsImportUploadSuccess
      Les résultats de la requête d’importation PKCS ont été chargés dans Intune.

    • ID d’événement: 2101 - PkcsImportUploadFailure
      Échec du chargement des résultats de la demande PKCS dans Intune.

    • ID d’événement: 2102 - PkcsImportUploadedRequest
      Une demande d’importation PKCS a été chargée dans Intune.

Révocation

  • Admin

    • ID d’événement: 3000 - RevokeRequestSuccess
      Demandes de révocation téléchargées à partir d’Intune.

    • ID d’événement: 3001 - RevokeRequestFailure
      RevokeRequestFailure : échec du téléchargement des demandes de révocation à partir d’Intune.

  • Opérationnel

    • ID d’événement: 3002 - RevokeDownloadSuccess
      Demandes de révocation téléchargées à partir d’Intune.

    • ID d’événement: 3003 - RevokeDownloadFailure
      RevokeRequestFailure : échec du téléchargement des demandes de révocation à partir d’Intune.

    • ID d’événement: 3020 - RevokeDownloadedRequest
      Détails d’une demande téléchargée unique à partir d’Intune

    • ID d’événement : 3032 - RevokeDigicertRequest
      Réception d’une demande de révocation d’Intune et transfert de la demande à Digicert pour l’exécution de la demande.

    • ID d’événement: 3050 - RevokeSuccess
      Certificat révoqué.

    • ID d’événement: 3051 - RevokeFailure
      Échec de la révocation d’un certificat.

    • ID d’événement: 3052 - RevokeFailedAttempt
      Échec de la révocation d’un certificat. Réessayez.

    • ID d’événement: 3100 - RevokeUploadSuccess
      Les résultats de la demande de révocation ont été chargés dans Intune.

    • ID d’événement: 3101 - RevokeUploadFailure
      Échec du chargement des résultats de la demande de révocation dans Intune.

    • ID d’événement: 3102 - RevokeUploadedRequest
      La demande de révocation a été téléchargée dans Intune.

SCEP

  • Admin

    • ID d’événement: 4000 - ScrepRequestSuccess
      Traitement réussi d’une demande SCEP et notification d’Intune.

    • ID d’événement: 4001 - ScepRequestIssuedFailure
      Échec du traitement d’une demande SCEP et notification d’Intune.

    • ID d’événement: 4002 - ScepRequestUploadFailure
      La demande SCEP a été traitée, mais n’a pas pu notifier Intune.

  • Opérationnel

    • ID d’événement: 4003 - ScepRequestReceived
      Une demande SCEP a été reçue d’un appareil.

    • ID d’événement: 4004 - ScepVerifySuccess
      Une demande SCEP a été vérifiée avec Intune.

    • ID d’événement: 4005 - ScepVerifyFailure
      Échec de la vérification d’une demande SCEP avec Intune.

    • ID d’événement: 4006 - ScepIssuedSuccess
      Certificat émis avec succès pour une demande SCEP.

    • ID d’événement: 4007 - ScepIssuedFailure
      Échec de l’émission du certificat pour la demande SCEP.

    • ID d’événement: 4008 - ScepNotifySuccess
      Le résultat d’une demande SCEP a été notifié à Intune.

    • ID d’événement: 4009 - ScepNotifyAttemptFailed
      Échec de notification à Intune du résultat d’une demande SCEP. Réessayez.

    • ID de l’événement: 4010 - ScepNotifySaveToDiskFailed
      Échec de l’écriture de la notification sur le disque et impossible d’avertir Intune de l’état de la demande.

Intégrité du connecteur

  • Opérationnel

    • ID d’événement : 5000 - HealthMessageUploadSuccess Messages d’intégrité chargés sur Intune.

    • ID d’événement : 5001 - HealthMessageUploadFailedAttempt Échec du chargement des messages d’intégrité sur Intune, réessaye.

    • ID d’événement : 5002 - HealthMessageUploadFailure Échec du chargement des messages d’intégrité sur Intune.

Nouveautés du connecteur Certificate Connector

Les mises à jour du connecteur de certificats pour Microsoft Intune sont publiées périodiquement et font l'objet d'une assistance pendant six mois. Quand nous mettons à jour le connecteur, vous pouvez découvrir ici les modifications apportées.

Les nouvelles mises à jour du connecteur peuvent prendre une semaine ou plus pour devenir disponibles pour chaque client.

Importante

À compter d’avril 2022, les connecteurs de certificat antérieurs à la version 6.2101.13.0 seront déconseillés et afficheront l’état Erreur. À compter d’août 2022, ces versions de connecteur ne pourront pas révoquer les certificats. À compter de septembre 2022, ces versions de connecteur ne pourront pas émettre de certificats. Cela inclut pfx Certificate Connector pour Microsoft Intune et Microsoft Intune Connector, qui ont été remplacés le 29 juillet 2021 par Certificate Connector pour Microsoft Intune (comme décrit dans cet article).

15 février 2023

Version 6.2301.1.0 - Modifications apportées à cette version :

  • Informations de journalisation à mettre en corrélation avec les journaux du service Intune
  • Améliorations de la journalisation dans le flux d’émission de certificat PFX

21 septembre 2022

Version 6.2206.122.0 - Modifications apportées à cette version :

  • Amélioration de la télémétrie en plus des correctifs de bogues et des améliorations des performances

jeudi 30 juin 2022

Version 6.2205.201.0 : modifications dans cette version :

  • Mise à jour du canal de télémétrie pour Intune afin de permettre à Administrateur Intune de collecter des données dans le portail

4 mai 2022

Version 6.2203.12.0 - Changements dans cette version :

  • Prise en charge des fournisseurs CNG pour les certificats d’authentification client
  • Prise en charge améliorée du renouvellement automatique des certificats d’authentification client

10 mars 2022

Version 6.2202.38.0. Cette mise à jour inclut :

  • Modifications apportées à la prise en charge de TLS 1.2 pour la mise à jour automatique

Prochaines étapes

Passer en revue les prérequis pour le connecteur Certificate Connector pour Microsoft Intune