Connecteurs de certificat pour Microsoft Intune

  • Article

Importante

À compter du 29 juillet 2021, le connecteur Certificate Connector pour Microsoft Intune remplace l’utilisation du connecteur PFX Certificate Connector pour Microsoft Intune et de Microsoft Intune Connector. Le nouveau connecteur comprend les fonctionnalités des deux connecteurs précédents. La prise en charge des précédents connecteurs, décrits dans cet article, a pris fin le 22/09/2021 avec la version 6.2109.51.0 de Certificate Connector pour Microsoft.

Si vous devez installer un nouveau connecteur de certificat ou réinstaller un connecteur, installez le connecteur Certificate Connector pour Microsoft Intune le plus récent. Pour plus d’informations, consultez Certificate Connector pour Microsoft Intune.

Pour prendre en charge l’utilisation de certificats pour l’authentification ainsi que la signature et le chiffrement des e-mails à l’aide de S/MIME, Intune nécessite l’utilisation d’un connecteur de certificat. Un connecteur de certificat est un logiciel que vous installez sur un serveur local. Le connecteur permet aux appareils gérés dans le cloud de provisionner des certificats à partir d’une infrastructure locale, telle qu’une autorité de certification émettrice.

Connecteurs disponibles

Il existe deux connecteurs de certificat pour Intune. Chacun a ses propres utilisations et exigences.

PFX Certificate Connector pour Microsoft Intune

PFX Certificate Connector prend en charge le déploiement de certificats pour les demandes de certificat PKCS #12 et gère les demandes de fichiers PFX importés dans Intune pour le chiffrement S/MIME des e-mails pour un utilisateur spécifique.

Conseil

Avant la mise à jour d’août pour ce connecteur (version 6.2008.60.607), les demandes de certificat PKCS #12 étaient gérées par Intune Certificate Connector. Avec la mise à jour d’août, les fonctionnalités de toutes les demandes de certificat PKCS ont été regroupées dans PFX Certificate Connector, qui prend en charge la mise à jour automatique du connecteur vers les nouvelles versions et nécessite l’utilisation de .NET Framework version 4.7.2.

Ce connecteur prend également en charge les trois plateformes suivantes, qui ne sont pas prises en charge par le biais du connecteur Microsoft Intune :

  • Android Enterprise : Complètement managé
  • Android Enterprise : Dédié
  • Android Enterprise : Profil professionnel appartenant à l’entreprise

La fonctionnalité du connecteur Microsoft Intune n’est pas dépréciée, et vous pouvez continuer à l’utiliser avec des profils de certificat PKCS pour certaines plateformes. Toutefois, si vous n’utilisez pas SCEP ou n’avez pas besoin d’utiliser NDES, vous pouvez basculer vers PFX Certificate Connector et supprimer NDES de vos serveurs.

PFX Certificate Connector :

  • Prend en charge plusieurs instances de ce connecteur pour chaque locataire Intune. Chaque instance du connecteur doit être installée sur un serveur Windows et avoir accès à la clé privée utilisée pour chiffrer les mots de passe des fichiers PFX chargés.

    Remarque

    Tous les connecteurs doivent avoir les mêmes autorisations et pouvoir se connecter à toutes les autorités de certification définies ultérieurement dans les profils PKCS.

    N’importe quelle instance de ce connecteur peut récupérer des demandes PKCS en attente dans la file d’attente du service Intune. Par conséquent, il n’est pas possible de définir le connecteur qui gère chaque demande.

    Il en va de même pour la révocation de certificats.

  • Peut être installé sur le même serveur que celui qui héberge une instance de Microsoft Intune Connector.

  • Prend en charge jusqu’à 100 instances de ce connecteur par locataire, chaque instance se trouvant sur un serveur Windows distinct. Quand vous utilisez plusieurs connecteurs :

    • La version de PFX Certificate Connector doit être identique pour toutes les instances de votre environnement.
    • Votre infrastructure des connecteurs prend en charge la redondance et l’équilibrage de charge, car n’importe quelle instance de connecteur disponible peut traiter vos demandes de certificat.

  • Prend en charge les mises à jour automatiques vers les nouvelles versions. Pour installer automatiquement les nouvelles versions, l’ordinateur qui héberge le connecteur doit contacter autoupdate.msappproxy.net sur le port 443. Si le connecteur ne parvient pas à se mettre à jour automatiquement, vous pouvez le mettre à jour manuellement.

  • Prend en charge la révocation de certificat (nécessite la version d’exécution du connecteur 6.2008.60.607 ou ultérieure)

  • Impose la même configuration réseau requise que les appareils gérés

    Pour plus d’informations, consultez Points de terminaison réseau pour Microsoft Intune et Configuration requise pour le réseau Intune et bande passante.

Le serveur Windows sur lequel le connecteur s’installe :

  • Doit exécuter Windows Server 2012 R2 ou une version ultérieure.
  • Exécute .NET 4.7.2 Framework.

Pour installer PFX Certificate Connector :

Pour obtenir de l’aide sur l’installation de ce connecteur, consultez Télécharger, installer et configurer PFX Certificate Connector.

Connecteur Microsoft Intune

Microsoft Intune Connector est parfois appelé Microsoft Intune Certificate Connector. Ce connecteur prend en charge le déploiement de certificats quand vous utilisez SCEP (Simple Certificate Enrollment Protocol) et que vous disposez d’une autorité de certification des services de certificats Active Directory. Ce type d’autorité de certification est également appelé autorité de certification Microsoft.

Quand vous utilisez SCEP avec une autorité de certification Microsoft, vous devez également configurer le service NDES (Network Device Enrollment Service). C’est la raison pour laquelle ce connecteur est souvent appelé connecteur NDES Certificate.

Si vous utilisez une autorité de certification tierce, vous n’avez pas besoin d’utiliser ce connecteur et NDES n’est pas obligatoire.

Microsoft Intune Connector :

  • Prend en charge l’émission de certificats SCEP.

  • Peut être utilisé pour émettre des certificats PKCS pour la plupart des plateformes d’appareils, mais pas toutes. Ce connecteur ne prend pas en charge l’émission de certificats PKCS pour :

    • Android Enterprise : Complètement managé
    • Android Enterprise : Dédié
    • Android Enterprise : Profil professionnel appartenant à l’entreprise

    Pour prendre en charge ces plateformes, utilisez PFX Certificate Connector, qui prend en charge l’émission de certificats PKCS pour toutes les plateformes d’appareils. Si vous n’utilisez pas SCEP, vous pouvez désinstaller ce connecteur et utiliser uniquement PFX Certificate Connector.

    Remarque

    Avec PKCS, tous les connecteurs doivent avoir les mêmes autorisations et pouvoir se connecter à toutes les autorités de certification définies ultérieurement dans les profils PKCS.

    N’importe quelle instance de ce connecteur peut récupérer des demandes PKCS en attente dans la file d’attente du service Intune. Par conséquent, il n’est pas possible de définir le connecteur qui gère chaque demande.

    Il en va de même pour la révocation de certificats.

  • S’installe sur un serveur Windows, qui peut également héberger une instance de PFX Certificate Connector.

  • Prend en charge jusqu’à 100 instances de ce connecteur par locataire, chaque instance se trouvant sur un serveur Windows distinct. Quand vous utilisez plusieurs connecteurs :

    • Toutes les instances de Microsoft Intune Connector dans votre environnement doivent avoir la même version.
    • Votre infrastructure des connecteurs prend en charge la redondance et l’équilibrage de charge, car n’importe quelle instance de connecteur disponible peut traiter vos demandes de certificat.

  • Nécessite une mise à jour manuelle pour installer la nouvelle version du connecteur. La mise à jour manuelle vous oblige à désinstaller le connecteur actuel, puis à installer sa nouvelle version. Aucune action supplémentaire ne devrait être nécessaire.

  • Prend en charge le mode FIPS (Federal Information Processing Standard). FIPS n’est pas obligatoire. FIPS vous permet d’émettre et de révoquer des certificats quand il est activé.

  • Impose la même configuration réseau requise que les appareils gérés.

    Pour plus d’informations, consultez Points de terminaison réseau pour Microsoft Intune et Configuration requise pour le réseau Intune et bande passante.

Le serveur Windows sur lequel le connecteur s’installe :

  • Doit exécuter Windows Server 2012 R2 ou ultérieur.
  • Exécute .NET 4.5 Framework. Quand ce connecteur s’installe sur le même serveur que PFX Certificate Connector, vous devez utiliser .NET 4.7.2 Framework, qui est requis par le connecteur PFX.
  • Ne peut pas être le même serveur que celui qui héberge votre autorité de certification émettrice.
  • Quand il est utilisé pour SCEP avec une autorité de certification Microsoft, nécessite l’accès à un serveur qui exécute NDES. NDES s’exécute sur un serveur Windows et peut s’exécuter sur le même serveur que ce connecteur.

Quand NDES est nécessaire :

Pour installer Microsoft Intune Connector :

Pour obtenir des conseils sur l’installation de ce connecteur, consultez Configurer l’infrastructure pour prendre en charge SCEP avec Intune.

Cycle de vie du connecteur

Importante

À compter du 29 juillet 2021, Certificate Connector pour Microsoft Intune remplace l’utilisation de PFX Certificate Connector pour Microsoft Intune et Microsoft Intune Connector. Le nouveau connecteur comprend les fonctionnalités des deux connecteurs précédents.

Des versions mises à jour des connecteurs de certificat sont régulièrement publiées. Vous trouverez les annonces relatives aux nouvelles versions du connecteur dans l’article Nouveautés concernant Intune, et dans la section Nouveautés des connecteurs à la fin de cet article.

Quand une nouvelle version est publiée, la prise en charge de la version précédente est dépréciée avec une période de grâce limitée pour la poursuite de son utilisation. Une fois la période de grâce expirée, la prise en charge de cette version dépréciée se termine et celle-ci peut cesser de fonctionner à tout moment. La période de grâce est de six mois.

Planifiez la mise à jour d’un connecteur vers la dernière version à la première occasion. Chaque connecteur a un chemin de mise à jour différent :

  • PFX Certificate Connector pour Microsoft Intune : prend en charge les mises à jour automatiques.
  • Microsoft Intune Connector : nécessite une mise à jour manuelle.

Mise à jour automatique

Quand il est pris en charge par le type de connecteur et votre environnement, Intune peut automatiquement mettre à jour le connecteur vers la dernière version peu après la publication de la version du connecteur.

Pour une mise à jour automatique, le serveur qui héberge le connecteur doit accéder au service de mise à jour Azure :

  • Port : 443
  • Point de terminaison : autoupdate.msappproxy.net

Quand les pare-feu, l’infrastructure ou les configurations réseau limitent l’accès à la mise à jour automatique, résolvez les problèmes de blocage ou mettez manuellement à jour le connecteur vers la nouvelle version.

Mise à jour manuelle

Le processus de mise à jour manuelle d’un connecteur de certificat est le même pour la réinstallation d’un connecteur.

Vous pouvez mettre à jour manuellement un connecteur de certificat même s’il prend en charge les mises à jour automatiques. Par exemple, vous pouvez mettre à jour manuellement le connecteur quand votre configuration réseau bloque une mise à jour automatique.

Pour réinstaller un connecteur de certificat

  1. Sur le serveur Windows qui héberge le connecteur, utilisez Applications et fonctionnalités Windows pour désinstaller le connecteur.

  2. Pour installer la nouvelle version, utilisez la procédure permettant d’installer une nouvelle version du connecteur. Veillez à vérifier les prérequis nouveaux ou mis à jour lors de l’installation d’une version plus récente d’un connecteur :

Connecteur status

Dans le centre d’administration Microsoft Intune, vous pouvez sélectionner un connecteur de certificat pour afficher des informations sur ses status :

  1. Connectez-vous au Centre d’administration Microsoft Intune

  2. Accédez à Administration de locataire>Connecteurs et jetons>Connecteurs de certificat.

  3. Sélectionnez un connecteur pour afficher son état.

Quand vous affichez l’état du connecteur :

  • Les connecteurs dépréciés s’affichent avec un avertissement. Après la période de grâce de six mois, l’avertissement devient une erreur.
  • Les connecteurs qui ont dépassé la période de grâce affichent une erreur. Ces connecteurs ne sont plus pris en charge et peuvent cesser de fonctionner à tout moment.

Logging

Les informations de journalisation suivantes sont disponibles à partir de la version du connecteur 6.2101.13.0.

Les journaux du connecteur PFX Certificate Connector sont disponibles en tant que journaux des événements sur le serveur sur lequel le connecteur est installé :

  • Observateur d’événements>Journaux des applications et des services>Microsoft>Intune>Connecteurs de certificats

Les journaux suivants sont disponibles et ont une taille par défaut de 50 Mo, avec activation de l’archivage automatique :

  • Journal d’administration : ce journal contient un événement de journal par demande au connecteur. Les événements incluent soit une réussite avec des informations sur la demande, soit une erreur avec des informations sur la demande et l’erreur.
  • Journal des opérations : ce journal affiche des informations supplémentaires non disponibles dans le journal d’administration et peut être utilisé pour résoudre des problèmes. Ce journal affiche également les opérations en cours du connecteur PFX Certificate au lieu de simples événements.

ID d’événement

Tous les événements ont l’un des ID suivants :

  • 0001 à 0999 : associé à aucun scénario spécifique
  • 1000 à 1999 : PKCS
  • 2000 à 2999 : importation PKCS
  • 3000 à 3999 : révocation

Catégories de tâches

Tous les événements sont marqués avec une catégorie de tâche pour faciliter le filtrage. Voici la liste, non exhaustive, des catégories de tâches :

PKCS

  • Admin
    • PkcsRequestSuccess : réussite de la réalisation et du chargement d’une demande PKCS sur Intune.
    • PkcsRequestFailure : échec de la réalisation et du chargement d’une demande PKCS sur Intune.
  • Opérationnel
    • PkcsDownloadSuccess : réussite du téléchargement des demandes PKCS à partir d’Intune
    • PkcsDownloadFailure : échec du téléchargement des demandes PKCS à partir d’Intune
    • PkcsDownloadedRequest : détails d’une demande téléchargée unique à partir d’Intune
    • PkcsIssuedSuccess : émission d’un certificat pour une demande
    • PkcsIssuedFailedAttempt : échec de l’émission d’un certificat pour une demande
    • PkcsIssuedFailure : échec de l’émission d’un certificat pour une demande
    • PkcsUploadSuccess : détails de la demande réussie qui a été chargée sur Intune
    • PkcsUploadFailure : un échec s’est produit lors du chargement des demandes dans Intune
    • PkcsUploadedRequest : détails d’une demande chargée sur Intune

importation PKCS

  • Admin
    • PkcsImportRequestSuccess : réussite du téléchargement des demandes d’importation PKCS à partir d’Intune
    • PkcsImportRequestFailure : échec du téléchargement des demandes d’importation PKCS à partir d’Intune
  • Opérationnel
    • PkcsImportDownloadSuccess : réussite du téléchargement des demandes d’importation PKCS à partir d’Intune
    • PkcsImportDownloadFailure : échec du téléchargement des demandes d’importation PKCS à partir d’Intune
    • PkcsImportDownloadedRequest : détails d’une demande téléchargée unique à partir d’Intune
    • PkcsImportReencryptSuccess : rechiffrement d’un certificat importé
    • PkcsImportReencryptFailedAttempt : échec du rechiffrement d’un certificat importé
    • PkcsImportReencryptFailure : échec du rechiffrement d’un certificat importé
    • PkcsImportUploadFailure : échec du chargement des demandes sur Intune
    • PkcsImportUploadedRequest : détails d’une demande chargée sur Intune

Révocation

  • Admin
    • RevokeRequestSuccess : réussite du téléchargement des demandes de révocation à partir d’Intune
    • RevokeRequestFailure : échec du téléchargement des demandes de révocation à partir d’Intune
  • Opérationnel
    • RevokeDownloadSuccess : réussite du téléchargement des demandes de révocation à partir d’Intune
    • RevokeDownloadFailure : échec du téléchargement des demandes de révocation à partir d’Intune
    • RevokeDownloadedRequest : détails d’une demande téléchargée unique à partir d’Intune
    • RevokeSuccess : réussite de la révocation d’un certificat
    • RevokeFailure : échec de la révocation d’un certificat
    • RevokeFailedAttempt : échec de la révocation d’un certificat
    • RevokeUploadSuccess : détails de la demande réussie qui a été chargée sur Intune
    • RevokeUploadFailure : échec du chargement des demandes sur Intune
    • RevokeUploadedRequest : détails d’une demande chargée sur Intune

Nouveautés des connecteurs

Des mises à jour pour les deux connecteurs de certificats sont régulièrement publiées. Quand nous mettons à jour un connecteur, vous pouvez découvrir ici les modifications apportées.

Importante

À compter d’avril 2022, les connecteurs de certificat antérieurs à la version 6.2101.13.0 seront déconseillés et afficheront l’état Erreur. Cet état n’affecte pas les fonctionnalités. À compter de juin 2022, ces connecteurs ne pourront pas émettre de certificats. Consultez la remarque au début de cet article pour plus d’informations sur le passage au nouveau Connecteur de certificat pour Microsoft.

Historique des versions de PFX Certificate Connector

PFX Certificate Connector pour Microsoft Intuneprend en charge les mises à jour automatiques.

10 mars 2021

Version 6.2101.16.0. – Changements dans cette version :

  • Améliorations apportées au flux de création de certificat PFX pour empêcher la duplication de fichiers de requête de certificat sur les serveurs locaux qui hébergent le connecteur.

24 février 2021

Version 6.2101.13.0. Cette nouvelle version du connecteur apporte des améliorations pour la journalisation au connecteur PFX :

  • Nouvel emplacement pour les journaux des événements, répartis en Administrateur, Opérationnels et Débogage
  • Les journaux Opérationnels et Administrateur ont une taille par défaut de 50 Mo, avec activation de l’archivage automatique.
  • ID d’événements pour les opérations de révocation, de création PKCS et d’importation PKCS.

26 janvier 2021

Version 6.2009.2.0 – Changements dans cette version :

  • Améliore la mise à niveau du connecteur pour la persistance des comptes qui exécutent les services du connecteur.

15 janvier 2021

Version 6.2009.1.9 - Changements dans cette version :

  • Améliorations apportées au renouvellement du certificat du connecteur.

2 octobre 2020

Version 6.2008.60.612 - Modifications dans cette version :

  • Correction d’un problème de remise de certificat PKCS pour les appareils Android Enterprise complètement managés. Le problème requis par le fournisseur de stockage de clés de chiffrement est un fournisseur hérité. Vous pouvez maintenant utiliser également un fournisseur de stockage de clés de chiffrement nouvelle génération.
  • Modifications apportées à l’onglet Compte d’autorité de certification du connecteur certificat PFX : le nom d’utilisateur et le mot de passe (informations d’identification) que vous spécifiez sont désormais utilisés pour émettre et pour révoquer des certificats. Auparavant, ces informations d’identification étaient utilisées uniquement pour la révocation des certificats.

Historique des versions de Microsoft Intune Connector

2 avril 2019

Version 6.1904.1.0 - Changements dans cette version :

  • Correction d’un problème pouvant entraîner l’échec de l’inscription du connecteur auprès d’Intune après la connexion au connecteur avec un compte d’administrateur général.
  • Inclusion de correctifs de fiabilité pour la révocation de certificats.
  • Inclusion de correctifs de performances pour augmenter la vitesse de traitement des demandes de certificat PKCS.

Prochaines étapes

Créez des profils de certificat SCEP, PKCS ou PKCS importé pour chaque plateforme que vous voulez utiliser. Pour continuer, consultez les articles suivants :