Configurer et utiliser des certificats PKCS importés avec IntuneConfigure and use imported PKCS certificates with Intune

Microsoft Intune prend en charge l’utilisation de certificats de paire de clés publiques (PKCS) importés, couramment utilisés pour le chiffrement S/MIME avec les profils de messagerie.Microsoft Intune supports the use of imported public key pair (PKCS) certificates, commonly used for S/MIME encryption with Email profiles. Certains profils de messagerie dans Intune prennent en charge une option permettant d’activer S/MIME dans laquelle vous pouvez définir un certificat de signature S/MIME et un certificat de chiffrement S/MIME.Certain email profiles in Intune support an option to enable S/MIME where you can define an S/MIME signing certificate and S/MIME encryption cert.

Le chiffrement S/MIME est difficile, car l’e-mail est chiffré avec un certificat spécifique :S/MIME encryption is challenging because email is encrypted with a specific certificate:

  • Vous devez disposer de la clé privée du certificat qui a chiffré le courrier électronique sur l’appareil sur lequel vous lisez le courrier afin de pouvoir le déchiffrer.You must have the private key of the certificate that encrypted the email on the device where you're reading the email so it can be decrypted.
  • Avant l’expiration d’un certificat sur un appareil, vous devez importer un nouveau certificat pour que les appareils puissent continuer à déchiffrer les nouveaux e-mails.Before a certificate on a device expires, you should import a new certificate so devices can continue to decrypt new email. Le renouvellement de ces certificats n’est pas pris en charge.Renewal of these certificates isn't supported.
  • Les certificats de chiffrement sont régulièrement renouvelés. Vous pouvez donc conserver le certificat précédent sur vos appareils pour vous assurer que les anciens e-mails continuent d’être déchiffrés.Encryption certificates are renewed regularly, which means that you might want to keep past certificate on your devices, to ensure that older email can continue to be decrypted.

Étant donné que le même certificat doit être utilisé sur les appareils, il n’est pas possible d’utiliser des profils de certificat SCEP ou PKCS à cet effet, car ces mécanismes de remise de certificat offrent des certificats uniques par appareil.Because the same certificate needs to be used across devices, it's not possible to use SCEP or PKCS certificate profiles for this purpose as those certificate delivery mechanisms deliver unique certificates per device.

Pour plus d’informations sur l’utilisation de S/MIME avec Intune, consultez Utiliser S/MIME pour chiffrer les e-mails.For more information about using S/MIME with Intune, Use S/MIME to encrypt email.

Plateformes prises en chargeSupported platforms

Intune prend en charge l’importation de certificats PFX pour les plateformes suivantes :Intune supports import of PFX certificates for the following platforms:

  • Android - Administrateur d’appareilAndroid - Device Administrator
  • Android Entreprise - Complètement géréAndroid Enterprise - Fully Managed
  • Android Entreprise - Profil de travailAndroid Enterprise - Work profile
  • Android Enterprise : Profil professionnel appartenant à l’entrepriseAndroid Enterprise - Corporate-owned work profile
  • iOS/iPadOSiOS/iPadOS
  • macOSmacOS
  • Windows 10Windows 10

Configuration requiseRequirements

Pour utiliser des certificats PKCS importés avec Intune, vous devez disposer de l’infrastructure suivante :To use imported PKCS certificates with Intune, you'll need the following infrastructure:

  • PFX Certificate Connector pour Microsoft Intune :PFX Certificate Connector for Microsoft Intune:

    Chaque locataire Intune prend en charge plusieurs instances de ce connecteur.Each Intune tenant supports multiple instance of this connector. Vérifiez que chaque connecteur a accès à la clé privée utilisée pour chiffrer les mots de passe des fichiers PFX chargés.Ensure each connector has access to the private key used to encrypt the passwords of the uploaded PFX files. Vous pouvez installer ce connecteur sur le même serveur qu’une instance de Microsoft Intune Certificate Connector.You can install this connector on the same server as an instance of the Microsoft Intune Certificate connector.

    Ce connecteur gère les demandes des fichiers PFX importés dans Intune en vue de chiffrer les e-mails S/MIME pour un utilisateur spécifique.This connector handles requests for PFX files imported to Intune for S/MIME email encryption for a specific user.

    Ce connecteur peut automatiquement se mettre à jour quand de nouvelles versions deviennent disponibles.This connector can automatically update itself when new versions become available. Pour utiliser la fonctionnalité de mise à jour, vous devez vous assurer que des pare-feux sont ouverts autorisant le connecteur à contacter autoupdate.msappproxy.net sur le port 443, pour recevoir automatiquement les mises à jour importantes.To use the update capability, you must ensure firewalls are open that allow the connector to contact autoupdate.msappproxy.net on port 443.

    Pour plus d’informations, consultez Points de terminaison réseau pour Microsoft Intune et Configuration requise pour le réseau Intune et bande passante.For more information, see Network endpoints for Microsoft Intune, and Intune network configuration requirements and bandwidth.

  • Windows Server :Windows Server:

    Vous utilisez un serveur Windows Server pour héberger PFX Certificate Connector pour Microsoft Intune.You use a Windows Server to host the PFX Certificate Connector for Microsoft Intune. Le connecteur permet de traiter les demandes de certificats importés dans Intune.The connector is used to process requests for certificates imported to Intune.

    Le connecteur nécessite un accès aux mêmes ports que ceux des appareils gérés, comme indiqué dans notre contenu du point de terminaison d’appareil.The connector requires access to the same ports as detailed for managed devices, as found in our device endpoint content.

    Intune prend en charge l’installation de Microsoft Intune Certificate Connector sur le même réseau que celui où est installé PFX Certificate Connector pour Microsoft Intune.Intune supports install of the Microsoft Intune Certificate Connector on the same server as the PFX Certificate Connector for Microsoft Intune.

    Pour prendre en charge le connecteur, le serveur doit exécuter .NET 4.6 Framework ou une version ultérieure.To support the connector, the server must run .NET 4.6 Framework or higher. Si .NET 4.6 Framework n’est pas installé lorsque vous démarrez l’installation du connecteur, celle-ci l’installe automatiquement.If .NET 4.6 Framework isn't installed when you start the installation of the connector, the connector installation will install it automatically.

  • Visual Studio 2015 ou version ultérieure (facultatif) :Visual Studio 2015 or above (optional):

    Vous utilisez Visual Studio pour générer le module d’assistance PowerShell avec des cmdlets pour l’importation de certificats PFX dans Microsoft Intune.You use Visual Studio to build the helper PowerShell module with cmdlets for importing PFX certificates to Microsoft Intune. Pour obtenir les cmdlets PowerShell d’assistance, consultez Projet PowerShell PFXImport dans GitHub.To get the helper PowerShell cmdlets, see PFXImport PowerShell Project in GitHub.

FonctionnementHow it works

Quand vous utilisez Intune pour déployer un certificat PFX importé pour un utilisateur, deux composants sont impliqués en plus de l’appareil :When you use Intune to deploy an imported PFX certificate to a user, there are two components at play in addition to the device:

  • Service Intune : Stocke les certificats PFX dans un état chiffré et gère le déploiement du certificat sur l’appareil de l’utilisateur.Intune Service: Stores the PFX certificates in an encrypted state and handles the deployment of the certificate to the user device. Les mots de passe protégeant les clés privées des certificats sont chiffrés avant d’être chargés à l’aide d’un module de sécurité matériel (HSM) ou du chiffrement Windows, ce qui garantit qu’Intune ne peut jamais accéder à la clé privée.The passwords protecting the private keys of the certificates are encrypted before they're uploaded using either a hardware security module (HSM) or Windows Cryptography, ensuring that Intune can't access the private key at any time.

  • PFX Certificate Connector pour Microsoft Intune : Quand un appareil demande un certificat PFX importé dans Intune, le mot de passe chiffré, le certificat et la clé publique de l’appareil sont envoyés au connecteur.PFX Certificate Connector for Microsoft Intune: When a device requests a PFX certificate that was imported to Intune, the encrypted password, the certificate, and the device's public key are sent to the connector. Le connecteur déchiffre le mot de passe à l’aide de la clé privée locale, puis chiffre à nouveau le mot de passe (et tous les profils plist si vous utilisez iOS) avec la clé de l’appareil avant de renvoyer le certificat à Intune.The connector decrypts the password using the on-premises private key, and then re-encrypts the password (and any plist profiles if using iOS) with the device key before sending the certificate back to Intune. Intune remet ensuite le certificat à l’appareil et l’appareil est en mesure de le déchiffrer avec la clé privée de l’appareil et d’installer le certificat.Intune then delivers the certificate to the device and the device is able to decrypt it with the device's private key and install the certificate.

Télécharger, installer et configurer PFX Certificate Connector pour Microsoft IntuneDownload, install, and configure the PFX Certificate Connector for Microsoft Intune

Avant de commencer, examinez les exigences pour le connecteur et vérifiez que votre environnement et votre serveur Windows sont prêts à prendre en charge le connecteur.Before you begin, review requirements for the connector and ensure your environment and your Windows server is ready to support the connector.

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez Administration client > Connecteurs et jetons > Connecteurs de certificat > + Ajouter.Select Tenant administration > Connectors and tokens > Certificate connectors > + Add.

  3. Cliquez sur Téléchargez le logiciel du connecteur de certificat pour le connecteur de PKCS #12, puis enregistrez le fichier à un emplacement accessible à partir du serveur où vous installerez le connecteur.Click Download the certificate connector software for the connector for PKCS #12, and save the file to a location you can access from the server where you're going to install the connector.

    Téléchargement de Microsoft Intune Connector

  4. Une fois le téléchargement terminé, connectez-vous au serveur et exécutez le programme d’installation (PfxCertificateConnectorBootstrapper.exe).After the download completes, sign in to the server and run the installer (PfxCertificateConnectorBootstrapper.exe).

    • Lorsque vous acceptez l’emplacement d’installation par défaut, le connecteur est installé dans Program Files\Microsoft Intune\PFXCertificateConnector.When you accept the default installation location, the connector installs to Program Files\Microsoft Intune\PFXCertificateConnector.
    • Le service du connecteur s’exécute sous le compte système local.The connector service runs under the local system account. Si un proxy est exigé pour accéder à Internet, vérifiez que le compte de service local peut accéder aux paramètres de proxy du serveur.If a proxy is required for internet access, confirm that the local service account can access the proxy settings on the server.
  5. Après l’installation, PFX Certificate Connector pour Microsoft Intune ouvre l’onglet Inscription.The PFX Certificate Connector for Microsoft Intune opens the Enrollment tab after installation. Pour activer la connexion à Intune, sélectionnez Connexion et spécifiez un compte disposant d’autorisations d’administrateur général ou d’administrateur Intune.To enable the connection to Intune, Sign In, and enter an account with Azure global administrator or Intune administrator permissions.

    Avertissement

    Par défaut, dans Windows Server, la Configuration de sécurité renforcée d’Internet Explorer est définie sur Activé, ce qui peut entraîner des problèmes avec la connexion à Microsoft 365.By default, in Windows Server IE Enhanced Security Configuration is set to On which can cause issues with the sign-in to Microsoft 365.

  6. Fermez la fenêtre.Close the window.

  7. Dans le Centre d’administration Microsoft Endpoint Manager, revenez à Administration client > Connecteurs et jetons > Connecteurs de certificat.In the Microsoft Endpoint Manager admin center, go back to Tenant administration > Connectors and tokens > Certificate connectors. Au bout d’un moment, une coche verte apparaît et l’état de la connexion se met à jour.In a few moments, a green check mark appears and the connection status updates. Le serveur de connecteur peut désormais communiquer avec Intune.The connector server can now communicate with Intune.

Importer des certificats PFX dans IntuneImport PFX Certificates to Intune

Vous utilisez Microsoft Graph pour importer les certificats PFX de vos utilisateurs dans Intune.You use Microsoft Graph to import your users PFX certificates into Intune. Le projet d’assistance PowerShell PFXImport sur GitHub fournit des cmdlets pour faciliter les opérations.The helper PFXImport PowerShell Project at GitHub provides you with cmdlets to do the operations with ease.

Si vous préférez utiliser votre propre solution personnalisée à l’aide de Graph, utilisez le type de ressource userPFXCertificate.If you prefer to use your own custom solution using Graph, use the userPFXCertificate resource type.

Cmdlets de création de 'Projet PowerShell PFXImport'Build 'PFXImport PowerShell Project' cmdlets

Pour utiliser les cmdlets PowerShell, vous générez le projet vous-même à l’aide de Visual Studio.To make use of the PowerShell cmdlets, you build the project yourself using Visual Studio. Le processus est simple et même s’il peut s’exécuter sur le serveur, nous vous recommandons de l’exécuter sur votre station de travail.The process is straight forward and while it can run on the server, we recommended you run it on your workstation.

  1. Accédez à la racine du référentiel Intune-Resource-Access sur GitHub, puis téléchargez ou clonez le référentiel avec Git sur votre ordinateur.Go to the root of the Intune-Resource-Access repository on GitHub, and then either download or clone the repository with Git to your machine.

    Bouton de téléchargement GitHub

  2. Accédez à .\Intune-Resource-Access-develop\src\PFXImportPowershell\ et ouvrez le projet avec Visual Studio à l’aide du fichier PFXImportPS.sln.Go to .\Intune-Resource-Access-develop\src\PFXImportPowershell\ and open the project with Visual Studio using the file PFXImportPS.sln.

  3. En haut, passez de Déboguer à Publier.On the top, change from Debug to Release.

  4. Accédez à Build, puis sélectionnez Générer PFXImportPS.Go to Build and select Build PFXImportPS. Après quelques instants, la confirmation de Build réussie s’affiche en bas à gauche de Visual Studio.In a few moments, you'll see the Build succeeded confirmation appear at the bottom left of Visual Studio.

    Option de build de Visual Studio

  5. Le processus de build crée un nouveau dossier avec le module PowerShell dans .\Intune-Resource-Access-develop\src\PFXImportPowershell\PFXImportPS\bin\Release.The build process creates a new folder with the PowerShell Module at .\Intune-Resource-Access-develop\src\PFXImportPowershell\PFXImportPS\bin\Release.

    Vous utiliserez ce dossier Publier pour les étapes suivantes.You'll use this Release folder for the next steps.

Créer la clé publique de chiffrementCreate the encryption Public Key

Vous importez des certificats PFX et leurs clés privées dans Intune.You import PFX Certificates and their private keys to Intune. Le mot de passe protégeant la clé privée est chiffré avec une clé publique stockée localement.The password protecting the private key is encrypted with a public key that is stored on-premises. Vous pouvez utiliser le chiffrement Windows, un module de sécurité matériel ou un autre type de chiffrement pour générer et stocker les paires de clés publiques/privées.You can use either Windows cryptography, a hardware security module, or another type of cryptography to generate and store the public/private key pairs. Selon le type de chiffrement utilisé, la paire de clés publique/privée peut être exportée dans un format de fichier à des fins de sauvegarde.Depending on the type of cryptography used, the public/private key pair can be exported in a file format for backup purposes.

Le module PowerShell fournit des méthodes pour créer une clé à l’aide du chiffrement Windows.The PowerShell module provides methods to create a key using Windows cryptography. Vous pouvez également utiliser d’autres outils pour créer une clé.You can also use other tools to create a key.

Pour créer la clé de chiffrement à l’aide du chiffrement WindowsTo create the encryption key using Windows cryptography

  1. Copiez le dossier Publier créé par Visual Studio sur le serveur où vous avez installé PFX Certificate Connector pour Microsoft Intune.Copy the Release folder that's created by Visual Studio to the server where you installed the PFX Certificate Connector for Microsoft Intune. Ce dossier contient le module PowerShell.This folder contains the PowerShell module.

  2. Sur le serveur, ouvrez PowerShell en tant qu’administrateur, puis accédez au dossier Publier qui contient le module PowerShell.On the server, open PowerShell as an Administrator and then navigate to the Release folder that contains the PowerShell module.

  3. Pour importer le module, exécutez Import-Module .\IntunePfxImport.psd1 pour importer le module.To import the module, run Import-Module .\IntunePfxImport.psd1 to import the module.

  4. Ensuite, exécutez Add-IntuneKspKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "PFXEncryptionKey"Next, run Add-IntuneKspKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "PFXEncryptionKey"

    Conseil

    Le fournisseur que vous utilisez doit être sélectionné à nouveau lorsque vous importez des certificats PFX.The provider you use must be selected again when you import PFX Certificates. Vous pouvez utiliser le fournisseur de stockage de clés logicielles Microsoft, bien qu’il soit possible d’utiliser un autre fournisseur.You can use the Microsoft Software Key Storage Provider, although it is supported to use a different provider. Le nom de la clé est également fourni à titre d’exemple et vous pouvez utiliser un autre nom de clé de votre choix.The key name is also provided as an example, and you can use a different key name of your choice.

    Si vous prévoyez d’importer le certificat à partir de votre station de travail, vous pouvez exporter cette clé vers un fichier à l’aide de la commande suivante : Export-IntunePublicKey -ProviderName "<ProviderName>" -KeyName "<KeyName>" -FilePath "<File path\Filename.PFX>"If you plan to import the certificate from your workstation, you can export this key to a file with the following command: Export-IntunePublicKey -ProviderName "<ProviderName>" -KeyName "<KeyName>" -FilePath "<File path\Filename.PFX>"

    La clé privée doit être importée sur le serveur qui héberge PFX Certificate Connector pour Microsoft Intune afin que les certificats PFX importés puissent être traités correctement.The private key must be imported on the server that hosts the PFX Certificate Connector for Microsoft Intune so that imported PFX certificates can be processed successfully.

Pour utiliser un module de sécurité matériel (HSM)To use a hardware security module (HSM)

Vous pouvez utiliser un module de sécurité matériel (HSM) pour générer et stocker la paire de clés publique/privée.You can use a hardware security module (HSM) to generate and store the public/private key pair. Pour plus d'informations, consultez la documentation du fournisseur HSM.For more information, see the HSM provider's documentation.

Importer des certificats PFXImport PFX Certificates

Le processus suivant utilise les cmdlets PowerShell comme exemple d’importation des certificats PFX.The following process uses the PowerShell cmdlets as an example of how to import the PFX certificates. Vous pouvez choisir différentes options en fonction de vos besoins.You can pick different options depending on your requirements.

Les options sont les suivantes :Options include:

  • Objectif prévu (regroupe les certificats en fonction d’une balise) :Intended Purpose (groups certificates together based on a tag):

    • non attribuéunassigned
    • smimeEncryptionsmimeEncryption
    • smimeSigningsmimeSigning
  • Schéma de remplissage :Padding Scheme:

    • oaepSha256oaepSha256
    • oaepSha384oaepSha384
    • oaepSha512oaepSha512

Sélectionnez le fournisseur de stockage de clés qui correspond au fournisseur que vous avez utilisé pour créer la clé.Select the Key Storage Provider that matches the provider you used to create the key.

Pour importer le certificat PFXTo import the PFX certificate

  1. Exportez les certificats d’une autorité de certification en suivant la documentation du fournisseur.Export the certificates from any Certification Authority (CA) by following the documentation from the provider. Pour les services de certificats Microsoft Active Directory Certificate Services, vous pouvez utiliser cet exemple de script.For Microsoft Active Directory Certificate Services, you can use this sample script.

  2. Sur le serveur, ouvrez PowerShell en tant qu’administrateur, puis accédez au dossier Publier qui contient le module PowerShell.On the server, open PowerShell as an Administrator and then navigate to the Release folder that contains the PowerShell module.

  3. Pour importer le module, exécutez Import-Module .\IntunePfxImport.psd1To import the module, run Import-Module .\IntunePfxImport.psd1

  4. Pour vous authentifier auprès d’Intune Graph, exécutez Set-IntuneAuthenticationToken -AdminUserName "<Admin-UPN>"To authenticate to Intune Graph, run Set-IntuneAuthenticationToken -AdminUserName "<Admin-UPN>"

    Notes

    Comme l’authentification est exécutée sur Graph, vous devez fournir des autorisations à l’AppID.As the authentication is run against Graph, you must provide permissions to the AppID. Si c’est la première fois que vous utilisez cet utilitaire, un administrateur général est requis.If it's the first time you've used this utility, a Global administrator is required. Les cmdlets PowerShell utilisent le même AppID que celui utilisé avec les exemples Intune PowerShell.The PowerShell cmdlets use the same AppID as the one used with PowerShell Intune Samples.

  5. Convertissez le mot de passe pour chaque fichier PFX que vous importez en une chaîne sécurisée en exécutant $SecureFilePassword = ConvertTo-SecureString -String "<PFXPassword>" -AsPlainText -Force.Convert the password for each PFX file you're importing to a secure string by running $SecureFilePassword = ConvertTo-SecureString -String "<PFXPassword>" -AsPlainText -Force.

  6. Pour créer un objet UserPFXCertificate, exécutez $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>"To create a UserPFXCertificate object, run $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>"

    Par exemple : $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "C:\temp\userA.pfx" $SecureFilePassword "userA@contoso.com" "Microsoft Software Key Storage Provider" "PFXEncryptionKey" "smimeEncryption"For example: $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "C:\temp\userA.pfx" $SecureFilePassword "userA@contoso.com" "Microsoft Software Key Storage Provider" "PFXEncryptionKey" "smimeEncryption"

    Notes

    Lorsque vous importez le certificat à partir d’un système autre que le serveur sur lequel le connecteur est installé, utilisez la commande suivante, qui comprend le chemin d’accès au fichier de clé : $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>" "<PaddingScheme>" "<File path to public key file>"When you import the certificate from a system other than the server where the connector is installed, use must use the following command that includes the key file path: $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>" "<PaddingScheme>" "<File path to public key file>"

    VPN n’est pas pris en charge en tant qu’IntendedPurpose.VPN is not supported as a IntendedPurpose.

  7. Importez l’objet UserPFXCertificate dans Intune en exécutant Import-IntuneUserPfxCertificate -CertificateList $userPFXObjectImport the UserPFXCertificate object to Intune by running Import-IntuneUserPfxCertificate -CertificateList $userPFXObject

  8. Pour valider que le certificat a été importé, exécutez Get-IntuneUserPfxCertificate -UserList "<UserUPN>"To validate the certificate was imported, run Get-IntuneUserPfxCertificate -UserList "<UserUPN>"

  9. En guise de bonne pratique, pour nettoyer le cache de jeton Azure AD sans attendre qu’il expire de lui-même, exécutez Remove-IntuneAuthenticationTokenAs a best practice to clean up the Azure AD token cache without waiting for it to expire on it’s own, run Remove-IntuneAuthenticationToken

Pour plus d’informations sur les autres commandes disponibles, consultez le fichier Lisez-moi dans Projet PowerShell PFXImport sur GitHub.For more information about other available commands, see the readme file at PFXImport PowerShell Project at GitHub.

Créer un profil de certificat importé PKCSCreate a PKCS imported certificate profile

Après avoir importé les certificats dans Intune, créez un profil Certificat PKCS importé et affectez-le aux groupes Azure Active Directory.After importing the certificates to Intune, create a PKCS imported certificate profile, and assign it to Azure Active Directory groups.

Notes

Une fois que vous avez créé un profil de certificat importé PKCS, les valeurs Usage prévu et Fournisseur de stockage de clés (KSP) du profil sont en lecture seule et non modifiables.After you create a PKCS imported certificate profile, the Intended Purpose and Key storage provider (KSP) values in the profile are read-only and can't be edited. Si vous avez besoin d’une autre valeur pour ces paramètres, créez et déployez un nouveau profil.If you need a different value for either of these settings, create and deploy a new profile.

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez et accédez à Appareils > Profils de configuration > Créer un profil.Select and go to Devices > Configuration profiles > Create profile.

  3. Entrez les propriétés suivantes :Enter the following properties:

    • Plateforme : Choisissez la plateforme de vos appareils.Platform: Choose the platform of your devices.
    • Profil : Sélectionner Certificat importé PKCSProfile: Select PKCS imported certificate
  4. Sélectionnez Créer.Select Create.

  5. Dans Informations de base, entrez les propriétés suivantes :In Basics, enter the following properties:

    • Nom : Entrez un nom descriptif pour le profil.Name: Enter a descriptive name for the profile. Nommez vos profils afin de pouvoir les identifier facilement ultérieurement.Name your profiles so you can easily identify them later. Par exemple, Profil PKCS de certificat importé pour toute l’entreprise est un bon nom de profil.For example, a good profile name is PKCS imported certificate profile for entire company.
    • Description : Entrez la description du profil.Description: Enter a description for the profile. Ce paramètre est facultatif, mais recommandé.This setting is optional, but recommended.
  6. Sélectionnez Suivant.Select Next.

  7. Dans Paramètres de configuration, entrez les propriétés suivantes :In Configuration settings, enter the following properties:

    • Rôle prévu : Indiquez la finalité des certificats qui sont importés pour ce profil.Intended purpose: Specify the intended purpose of the certificates that are imported for this profile. Les administrateurs peuvent importer des certificats avec différents rôles (par exemple, la signature S/MIME ou le chiffrement S/MIME).Administrators can import certificates with different intended purposes (like S/MIME signing or S/MIME encryption). La finalité sélectionnée dans le profil de certificat correspond au profil de certificat comprenant les certificats importés associés.The intended purpose selected in the certificate profile matches the certificate profile with the right imported certificates. Le rôle prévu est une balise permettant de regrouper les certificats importés et ne garantit pas que les certificats importés avec cette balise seront conformes au rôle prévu.Intended purpose is a tag to group imported certificates together and doesn't guarantee that certificates imported with that tag will meet the intended purpose.
    • Fournisseur de stockage de clés (KSP)  : pour Windows, sélectionnez l’emplacement où stocker les clés sur l’appareil.Key storage provider (KSP): For Windows, select where to store the keys on the device.
  8. Sélectionnez Suivant.Select Next.

  9. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Sélectionnez Suivant.Select Next.

  10. Dans Affectations, sélectionnez l’utilisateur ou les groupes qui recevront votre profil.In Assignments, select the user or groups that will receive your profile. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.For more information on assigning profiles, see Assign user and device profiles.

    Sélectionnez Suivant.Select Next.

  11. (S’applique uniquement à Windows 10) Dans Règles de mise en application, spécifiez des règles de mise en application pour affiner l’affectation de ce profil.(Applies to Windows 10 only) In Applicability Rules, specify applicability rules to refine the assignment of this profile. Vous pouvez choisir d’affecter ou non le profil en fonction de l’édition du système d’exploitation ou de la version d’un appareil.You can choose to assign or not assign the profile based on the OS edition or version of a device.

    Pour plus d’informations, consultez Règles de mise en application dans Créer un profil d’appareil dans Microsoft Intune.For more information, see Applicability rules in Create a device profile in Microsoft Intune.

    Sélectionnez Suivant.Select Next.

  12. Dans Vérifier + créer, passez en revue vos paramètres.In Review + create, review your settings. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté.When you select Create, your changes are saved, and the profile is assigned. La stratégie apparaît également dans la liste des profils.The policy is also shown in the profiles list.

Prise en charge des partenaires tiersSupport for third-party partners

Les partenaires suivants fournissent des méthodes ou des outils pris en charge que vous pouvez utiliser pour importer des certificats PFX dans Intune.The following partners provide supported methods or tools you can use to import PFX certificates to Intune.

DigiCertDigiCert

Si vous utilisez le service de plateforme PKI DigiCert, vous pouvez utiliser l’outil d’importation pour les certificats S/MIME Intune de DigiCert pour importer des certificats PFX dans Intune.If you use the DigiCert PKI Platform service, you can use the DigiCert Import Tool for Intune S/MIME Certificates to import PFX certificates to Intune. Si vous utilisez cet outil, vous n’avez pas besoin de suivre les instructions de la section Importer des certificats PFX dans Intune plus haut dans cet article.Use of this tool replaces the need to follow the instructions in the section Import PFX Certificates to Intune that's detailed earlier in this article.

Pour en savoir plus sur l’outil d’importation de DigiCert et sur la façon de vous le procurer, consultez https://knowledge.digicert.com/tutorials/microsoft-intune.html dans la base de connaissances DigiCert.To learn more about the DigiCert Import tool, including how to obtain the tool, see https://knowledge.digicert.com/tutorials/microsoft-intune.html in the DigiCert knowledge base.

KeyTalkKeyTalk

Si vous utilisez le service KeyTalk, vous pouvez le configurer pour importer des certificats PFX dans Intune.If you use the KeyTalk service, you can configure their service to import PFX certificates to Intune. Après avoir terminé l’intégration, vous n’aurez pas besoin de suivre les instructions de la section Importer des certificats PFX dans Intune relative à Intune plus haut dans cet article.After you complete integration, you won’t need to follow the instructions in the section Import PFX Certificates to Intune to Intune that's detailed earlier in this article.

Pour en savoir plus sur l’intégration de KeyTalk dans Intune, consultez https://keytalk.com/support dans la base de connaissances KeyTalk.To learn more about KeyTalk’s integration with Intune, see https://keytalk.com/support in the KeyTalk knowledge base.

Étapes suivantesNext steps

Le profil est créé, mais il ne fait rien pour le moment.The profile is created, but it's not doing anything yet. Affectez le nouveau profil d’appareil.Assign the new device profile.