Configurer et utiliser des certificats PKCS avec IntuneConfigure and use PKCS certificates with Intune

Intune prend en charge l’utilisation de certificats de paires de clé privée et publique (PKCS).Intune supports the use of private and public key pair (PKCS) certificates. Cet article peut vous aider à configurer l’infrastructure requise, telle que les connecteurs de certificat locaux, à exporter un certificat PKCS, puis à ajouter le certificat à un profil de configuration d’appareil Intune.This article can help you configure the required infrastructure like on-premises certificate connectors, export a PKCS certificate, and then add the certificate to an Intune device configuration profile.

Microsoft Intune inclut des paramètres intégrés afin d’utiliser les certificats PKCS pour l’accès aux ressources de votre organisation et l’authentification.Microsoft Intune includes built-in settings to use PKCS certificates for access and authentication to your organizations resources. Les certificats servent à authentifier et à sécuriser l’accès à vos ressources d’entreprise, telles qu’un réseau privé virtuel ou Wi-Fi.Certificates authenticate and secure access to your corporate resources like a VPN or a WiFi network. Vous déployez ces paramètres sur les appareils à l’aide de profils de configuration d’appareil dans Intune.You deploy these settings to devices using device configuration profiles in Intune.

Pour plus d’informations sur l’utilisation des certificats PKCS importés, consultez Certificats PFX importés.For information about using imported PKCS certificates, see Imported PFX Certificates.

Configuration requiseRequirements

Pour utiliser des certificats PKCS avec Intune, vous devez disposer de l’infrastructure suivante :To use PKCS certificates with Intune, you'll need the following infrastructure:

  • Domaine Active Directory :Active Directory domain:
    tous les serveurs listés dans cette section doivent être joints à votre domaine Active Directory.All servers listed in this section must be joined to your Active Directory domain.

    Pour plus d’informations sur l’installation et la configuration des services AD DS (Active Directory Domain Services), consultez Planification et conception des services AD DS.For more information about installing and configuring Active Directory Domain Services (AD DS), see AD DS Design and Planning.

  • Autorité de certification :Certification Authority:
    autorité de certification d’entreprise.An Enterprise Certification Authority (CA).

    Pour obtenir des informations sur l’installation et la configuration des services de certificats Active Directory (AD CS), consultez Guide pas à pas des services de certificats Active Directory.For information on installing and configuring Active Directory Certificate Services (AD CS), see Active Directory Certificate Services Step-by-Step Guide.

    Avertissement

    Intune impose d’exécuter AD CS avec une autorité de certification (AC) d’entreprise, et non avec une AC autonome.Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Un client :A client:
    pour se connecter à l’autorité de certification d’entreprise.To connect to the Enterprise CA.

  • Certificat racine :Root certificate:
    Une copie exportée de votre certificat racine provenant de votre AC d’entreprise.An exported copy of your root certificate from your Enterprise CA.

  • PFX Certificate Connector pour Microsoft Intune :PFX Certificate Connector for Microsoft Intune:

    Pour plus d’informations sur PFX Certificate Connector, notamment les prérequis et les versions publiées, consultez Connecteurs de certificat.For information about the PFX Certificate connector, including prerequisites and release versions, see Certificate connectors.

    Important

    À compter de la publication de la version 6.2008.60.607 de PFX Certificate Connector, Microsoft Intune Connector n’est plus nécessaire pour les profils de certificat PKCS.Beginning with the release of the PFX Certificate Connector, version 6.2008.60.607, the Microsoft Intune Connector is no longer required for PKCS certificate profiles. PFX Certificate Connector prend en charge l’émission de certificats PKCS pour toutes les plateformes d’appareils.The PFX Certificate Connector supports issuing PKCS certificates to all device platforms. Cela comprend les plateformes suivantes qui ne sont pas prises en charge par le connecteur Microsoft Intune :This includes the following platforms which aren’t supported by the Microsoft Intune Connector:

    • Android Enterprise : Complètement managéAndroid Enterprise – Fully Managed
    • Android Enterprise : DédiéAndroid Enterprise – Dedicated
    • Android Enterprise : Profil professionnel appartenant à l’entrepriseAndroid Enterprise – Corporate Owned Work Profile

Exporter le certificat racine à partir de l’AC d’entrepriseExport the root certificate from the Enterprise CA

Pour l’authentification d’un appareil auprès d’un VPN, d’un réseau Wi-Fi ou d’autres ressources, cet appareil a besoin d’un certificat d’autorité de certification intermédiaire ou racine.To authenticate a device with VPN, WiFi, or other resources, a device needs a root or intermediate CA certificate. Les étapes suivantes expliquent comment récupérer le certificat requis auprès de l’AC d’entreprise concernée.The following steps explain how to get the required certificate from your Enterprise CA.

Utiliser une ligne de commande :Use a command line:

  1. Connectez-vous au serveur d’autorité de certification racine avec un compte administrateur.Log into the Root Certification Authority server with Administrator Account.

  2. Accédez à Démarrer > Exécuter, puis entrez Cmd pour ouvrir l’invite de commandes.Go to Start > Run, and then enter Cmd to open command prompt.

  3. Spécifiez certutil -ca.cert ca_name.cer pour exporter le certificat racine dans un fichier nommé ca_name.cer.Specify certutil -ca.cert ca_name.cer to export the Root certificate as a file named ca_name.cer.

Configurer les modèles de certificats sur l’autorité de certificationConfigure certificate templates on the CA

  1. Connectez-vous à votre AC d’entreprise avec un compte disposant de privilèges administratifs.Sign in to your Enterprise CA with an account that has administrative privileges.

  2. Ouvrez la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats et sélectionnez Gérer.Open the Certification Authority console, right-click Certificate Templates, and select Manage.

  3. Recherchez le modèle de certificat Utilisateur, cliquez dessus avec le bouton droit et choisissez Dupliquer le modèle pour ouvrir Propriétés du nouveau modèle.Find the User certificate template, right-click it, and choose Duplicate Template to open Properties of New Template.

    Notes

    Pour les scénarios de signature et de chiffrement des e-mails S/MIME, de nombreux administrateurs utilisent des certificats différents pour la signature et le chiffrement.For S/MIME email signing and encryption scenarios, many administrators use separate certificates for signing and encryption. Si vous utilisez les Services de certificats Active Directory de Microsoft, vous pouvez utiliser le modèle Signature Exchange uniquement pour les certificats de signature des e-mails S/MIME, et le modèle Utilisateur Exchange pour les certificats de chiffrement S/MIME.If you're using Microsoft Active Directory Certificate Services, you can use the Exchange Signature Only template for S/MIME email signing certificates, and the Exchange User template for S/MIME encryption certificates. Si vous utilisez une autorité de certification tierce, il est recommandé de lire les instructions qui s’y rapportent pour configurer les modèles de signature et de chiffrement.If you're using a 3rd-party certification authority, it's suggested to review their guidance to set up signing and encryption templates.

  4. Sous l’onglet Compatibilité :On the Compatibility tab:

    • Autorité de certification : Windows Server 2008 R2Set Certification Authority to Windows Server 2008 R2
    • Destinataire du certificat : Windows 7 / Server 2008 R2Set Certificate recipient to Windows 7 / Server 2008 R2
  5. Dans l’onglet Général, spécifiez un Nom d’affichage du modèle qui soit significatif pour vous.On the General tab, set Template display name to something meaningful to you.

    Avertissement

    Par défaut, Nom du modèle est identique à Nom complet du modèle, sans les espaces.Template name by default is the same as Template display name with no spaces. Notez le nom du modèle, vous en aurez besoin plus tard.Note the template name, you need it later.

  6. Dans Traitement de la demande, sélectionnez Autoriser l’exportation de la clé privée.In Request Handling, select Allow private key to be exported.

    Notes

    Contrairement au protocole d’inscription de certificats simple (SCEP), avec PKCS, la clé privée de certificat est générée sur le serveur où le connecteur est installé, et non sur l’appareil.In contrary to SCEP, with PKCS the certificate private key is generated on the server where the connector is installed and not on the device. Il est nécessaire que le modèle de certificat autorise l’exportation de la clé privée, pour que le connecteur de certificat puisse exporter le certificat PFX et l’envoyer à l’appareil.It is required that the certificate template allows the private key to be exported, so that the certificate connector is able to export the PFX certificate and send it to the device.

    Notez toutefois que les certificats sont installés sur l’appareil avec la clé privée qui est signalée comme non exportable.However, please note that the certificates are installed on the device itself with the private key marked as not exportable.

  7. Dans Chiffrement, vérifiez que Taille de clé minimale a la valeur 2048.In Cryptography, confirm that the Minimum key size is set to 2048.

  8. Dans Nom du sujet, choisissez Fournir dans la requête.In Subject Name, choose Supply in the request.

  9. Dans Extensions, vérifiez que vous voyez bien Système de fichiers EFS, Messagerie sécurisée et Authentification client sous Stratégies d’application.In Extensions, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Important

    Pour les modèles de certificats iOS/iPadOS, accédez à l’onglet Extensions, mettez à jour Utilisation de la clé et vérifiez que l’option Signature faisant preuve de l’origine n’est pas sélectionnée.For iOS/iPadOS certificate templates, go to the Extensions tab, update Key Usage, and confirm that Signature is proof of origin isn't selected.

  10. Dans Sécurité, ajoutez le compte d’ordinateur du serveur sur lequel vous avez installé Microsoft Intune Connector.In Security, add the Computer Account for the server where you install the Microsoft Intune Connector. Accordez les autorisations Lecture et Inscription à ce compte.Allow this account Read and Enroll permissions.

  11. Sélectionnez Appliquer > OK pour enregistrer le modèle de certificat.Select Apply > OK to save the certificate template. Fermez la Console Modèles de certificat.Close the Certificate Templates Console.

  12. Dans la console Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats > Nouveau > Modèle de certificat à délivrer.In the Certification Authority console, right-click Certificate Templates > New > Certificate Template to Issue. Choisissez le modèle que vous avez créé dans les étapes précédentes.Choose the template that you created in the previous steps. Sélectionnez OK.Select OK.

  13. Pour que le serveur gère les certificats pour les utilisateurs et appareils inscrits, suivez ces étapes :For the server to manage certificates for enrolled devices and users, use the following steps:

    1. Cliquez avec le bouton droit sur l’autorité de certification et sélectionnez Propriétés.Right-click the Certification Authority, choose Properties.
    2. Sous l’onglet Sécurité, ajoutez le compte d’ordinateur du serveur sur lequel vous exécutez les connecteurs (Microsoft Intune Connector ou PFX Certificate Connector pour Microsoft Intune).On the security tab, add the Computer account of the server where you run the connectors (Microsoft Intune Connector or PFX Certificate Connector for Microsoft Intune).
    3. Accordez les autorisations Émettre et gérer des certificats et Demander des certificats au compte d’ordinateur.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  14. Déconnectez-vous de l’AC d’entreprise.Sign out of the Enterprise CA.

Télécharger, installer et configurer PFX Certificate ConnectorDownload, install, and configure the PFX Certificate Connector

Avant de commencer, examinez les prérequis du connecteur et vérifiez que votre environnement et votre serveur Windows sont prêts à prendre en charge le connecteur.Before you begin, review requirements for the connector and ensure your environment and your Windows server is ready to support the connector.

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez Administration client > Connecteurs et jetons > Connecteurs de certificat > + Ajouter.Select Tenant administration > Connectors and tokens > Certificate connectors > + Add.

  3. Sélectionnez Téléchargez le logiciel du connecteur de certificat pour le connecteur de PKCS #12, puis enregistrez le fichier à un emplacement accessible à partir du serveur où vous installerez le connecteur.Select Download the certificate connector software for the connector for PKCS #12, and save the file to a location you can access from the server where you're going to install the connector.

    Téléchargement de Microsoft Intune Connector

  4. Une fois le téléchargement terminé, connectez-vous au serveur et exécutez le programme d’installation (PfxCertificateConnectorBootstrapper.exe).After the download completes, sign in to the server and run the installer (PfxCertificateConnectorBootstrapper.exe).

    • Lorsque vous acceptez l’emplacement d’installation par défaut, le connecteur est installé dans Program Files\Microsoft Intune\PFXCertificateConnector.When you accept the default installation location, the connector installs to Program Files\Microsoft Intune\PFXCertificateConnector.
    • Le service du connecteur s’exécute sous le compte système local.The connector service runs under the local system account. Si un proxy est exigé pour accéder à Internet, vérifiez que le compte de service local peut accéder aux paramètres de proxy du serveur.If a proxy is required for internet access, confirm that the local service account can access the proxy settings on the server.
  5. Après l’installation, PFX Certificate Connector pour Microsoft Intune ouvre l’onglet Inscription.The PFX Certificate Connector for Microsoft Intune opens the Enrollment tab after installation. Pour activer la connexion à Intune, sélectionnez Connexion et spécifiez un compte disposant d’autorisations d’administrateur général ou d’administrateur Intune.To enable the connection to Intune, Sign In, and enter an account with Azure global administrator or Intune administrator permissions.

    Avertissement

    Par défaut, dans Windows Server Configuration de sécurité renforcée d’Internet Explorer est définie sur Activé ce qui peut entraîner des problèmes avec la connexion à Office 365.By default, in Windows Server IE Enhanced Security Configuration is set to On which can cause issues with the sign-in to Office 365.

  6. Sélectionnez l’onglet Compte d’autorité de certification, puis entrez les informations d’identification d’un compte qui possède l’autorisation Émettre et gérer des certificats sur votre autorité de certification émettrice.Select the CA Account tab, and then enter credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority. Ces informations d’identification seront utilisées pour effectuer l’émission et la révocation des certificats sur l’autorité de certification.These credentials will be used to perform certificate issuance and certificate revocation on the Certificate Authority. (Avant la version 6.2008.60.612 du connecteur de certificat PFX, ces informations d’identification étaient utilisées uniquement pour la révocation des certificats.)(Prior to the PFX certificate connector version 6.2008.60.612, these credentials were used only for certificate revocation.)

    Appliquez vos modifications.Apply your changes.

  7. Fermez la fenêtre.Close the window.

  8. Dans le Centre d’administration Microsoft Endpoint Manager, revenez à Administration client > Connecteurs et jetons > Connecteurs de certificat.In the Microsoft Endpoint Manager admin center, go back to Tenant administration > Connectors and tokens > Certificate connectors. Au bout d’un moment, une coche verte apparaît et l’état de la connexion se met à jour.In a few moments, a green check mark appears and the connection status updates. Le serveur de connecteur peut désormais communiquer avec Intune.The connector server can now communicate with Intune.

Créer un profil de certificat approuvéCreate a trusted certificate profile

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez et accédez à Appareils > Profils de configuration > Créer un profil.Select and go to Devices > Configuration profiles > Create profile.

  3. Entrez les propriétés suivantes :Enter the following properties:

    • Plateforme : Choisissez la plateforme des appareils qui recevront ce profil.Platform: Choose the platform of the devices that will receive this profile.
    • Profil : Sélectionner Certificat approuvéProfile: Select Trusted certificate
  4. Sélectionnez Créer.Select Create.

  5. Dans Informations de base, entrez les propriétés suivantes :In Basics, enter the following properties:

    • Nom : Entrez un nom descriptif pour le profil.Name: Enter a descriptive name for the profile. Nommez vos profils afin de pouvoir les identifier facilement ultérieurement.Name your profiles so you can easily identify them later. Par exemple, Profil de certificat approuvé pour toute l’entreprise est un bon nom de profil.For example, a good profile name is Trusted certificate profile for entire company.
    • Description : Entrez la description du profil.Description: Enter a description for the profile. Ce paramètre est facultatif, mais recommandé.This setting is optional, but recommended.
  6. Sélectionnez Suivant.Select Next.

  7. Dans Paramètres de configuration, spécifiez le fichier .cer du certificat d’autorité de certification racine que vous avez exporté.In Configuration settings, specify the .cer file Root CA Certificate you previously exported.

    Notes

    En fonction de la plateforme que vous avez choisie à l’Étape 3, vous n’aurez pas forcément la possibilité de choisir le Magasin de destination du certificat.Depending on the platform you chose in Step 3, you may or may not have an option to choose the Destination store for the certificate.

    Créer un profil et charger un certificat approuvé

  8. Sélectionnez Suivant.Select Next.

  9. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Sélectionnez Suivant.Select Next.

  10. Dans Affectations, sélectionnez l’utilisateur ou les groupes qui recevront votre profil.In Assignments, select the user or groups that will receive your profile. Prévoyez de déployer ce profil de certificat sur les groupes qui reçoivent le profil de certificat PKCS.Plan to deploy this certificate profile to the same groups that receive the PKCS certificate profile. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.For more information on assigning profiles, see Assign user and device profiles.

    Sélectionnez Suivant.Select Next.

  11. (S’applique uniquement à Windows 10) Dans Règles de mise en application, spécifiez des règles de mise en application pour affiner l’affectation de ce profil.(Applies to Windows 10 only) In Applicability Rules, specify applicability rules to refine the assignment of this profile. Vous pouvez choisir d’affecter ou non le profil en fonction de l’édition du système d’exploitation ou de la version d’un appareil.You can choose to assign or not assign the profile based on the OS edition or version of a device.

    Pour plus d’informations, consultez Règles de mise en application dans Créer un profil d’appareil dans Microsoft Intune.For more information, see Applicability rules in Create a device profile in Microsoft Intune.

  12. Dans Vérifier + créer, passez en revue vos paramètres.In Review + create, review your settings. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté.When you select Create, your changes are saved, and the profile is assigned. La stratégie apparaît également dans la liste des profils.The policy is also shown in the profiles list.

Créer un profil de certificat PKCSCreate a PKCS certificate profile

  1. Connectez-vous au Centre d’administration du Gestionnaire de points de terminaison Microsoft.Sign in to the Microsoft Endpoint Manager admin center.

  2. Sélectionnez et accédez à Appareils > Profils de configuration > Créer un profil.Select and go to Devices > Configuration profiles > Create profile.

  3. Entrez les propriétés suivantes :Enter the following properties:

    • Plateforme : Choisissez la plateforme de vos appareils.Platform: Choose the platform of your devices. Les options disponibles sont les suivantes :Your options:
      • Administrateur d’appareil AndroidAndroid device administrator
      • Android Enterprise :Android Enterprise:
        • Entièrement managéeFully Managed
        • DédiéDedicated
        • Profil professionnel appartenant à l’entrepriseCorporate-Owned Work Profile
        • Profil professionnel appartenant à l’utilisateurPersonally-Owned Work Profile
      • iOS/iPadOSiOS/iPadOS
      • macOSmacOS
      • Windows 10 et versions ultérieuresWindows 10 and later
    • Profil : Sélectionner Certificat PKCSProfile: Select PKCS certificate

    Notes

    Sur les appareils dotés d’un profil Android Entreprise, les certificats installés à l’aide d’un profil de certificat PKCS ne sont pas visibles sur l’appareil.On devices with an Android Enterprise profile, certificates installed using a PKCS certificate profile are not visible on the device. Pour confirmer le déploiement réussi du certificat, vérifiez l’état du profil dans la console Intune.To confirm successful certificate deployment, check the status of the profile in the Intune console.

  4. Sélectionnez Créer.Select Create.

  5. Dans Informations de base, entrez les propriétés suivantes :In Basics, enter the following properties:

    • Nom : Entrez un nom descriptif pour le profil.Name: Enter a descriptive name for the profile. Nommez vos profils afin de pouvoir les identifier facilement ultérieurement.Name your profiles so you can easily identify them later. Par exemple, un nom de profil approprié est Profil PKCS pour toute l’entreprise.For example, a good profile name is PKCS profile for entire company.
    • Description : Entrez la description du profil.Description: Enter a description for the profile. Ce paramètre est facultatif, mais recommandé.This setting is optional, but recommended.
  6. Sélectionnez Suivant.Select Next.

  7. Dans Paramètres de configuration, selon la plateforme que vous choisissez, les paramètres que vous pouvez configurer diffèrent.In Configuration settings, depending on the platform you chose, the settings you can configure are different. Sélectionnez votre plateforme pour connaître les paramètres détaillés :Select your platform for detailed settings:

    • Administrateur d’appareil AndroidAndroid device administrator
    • Android EntrepriseAndroid Enterprise
    • iOS/iPadOSiOS/iPadOS
    • Windows 10Windows 10
    ParamètreSetting Plate-formePlatform DétailsDetails
    Seuil de renouvellement (%)Renewal threshold (%)
    • ToutAll
    La valeur recommandée est 20 %Recommended is 20%
    Période de validité du certificatCertificate validity period
    • ToutAll
    si vous n’avez pas changé le modèle de certificat, cette option peut être définie sur un an.If you didn't change the certificate template, this option may be set to one year.

    Utilisez une période de validité de cinq jours ou plus.Use a validity period of five days or greater. Lorsque la période de validité est inférieure à cinq jours, il y a une probabilité élevée que le certificat bascule à l’état expiré ou proche de l’expiration, ce qui peut amener l’agent MDM sur les appareils à rejeter le certificat avant son installation.When the validity period is less than five days, there is a high likelihood of the certificate entering a near-expiry or expired state, which can cause the MDM agent on devices to reject the certificate before it’s installed.
    Fournisseur de stockage de clés (KSP)Key storage provider (KSP)
    • Windows 10Windows 10
    pour Windows, sélectionnez l’emplacement où stocker les clés sur l’appareil.For Windows, select where to store the keys on the device.
    Autorité de certificationCertification authority
    • ToutAll
    nom de domaine complet (FQDN) interne de l’autorité de certification d’entreprise.Displays the internal fully qualified domain name (FQDN) of your Enterprise CA.
    Nom de l’autorité de certificationCertification authority name
    • ToutAll
    indique le nom de l’autorité de certification d’entreprise, par exemple « Autorité de certification Contoso ».Lists the name of your Enterprise CA, such as "Contoso Certification Authority".
    Nom du modèle de certificatCertificate template name
    • ToutAll
    Affiche le nom de votre modèle de certificat.Lists the name of your certificate template.
    Type de certificatCertificate type
    • Android Enterprise (Profil professionnel appartenant à l’entreprise et appartenant à l’utilisateur)Android Enterprise (Corporate-Owned and Personally-Owned Work Profile)
    • iOSiOS
    • macOSmacOS
    • Windows 10 et versions ultérieuresWindows 10 and later
    Sélectionnez un type :Select a type:
    • Les certificats Utilisateur peuvent contenir à la fois des attributs d’utilisateur et des attributs d’appareil dans l’objet et l’autre nom de l’objet du certificat.User certificates can contain both user and device attributes in the subject and subject alternative name (SAN) of the certificate.
    • L’objet et le SAN d’un certificat de type Appareil peuvent contenir uniquement des attributs d’appareil.Device certificates can only contain device attributes in the subject and SAN of the certificate. Utilisez Appareil dans des scénarios de type appareils sans utilisateur, tels que des kiosques ou d’autres appareils partagés.Use Device for scenarios such as user-less devices, like kiosks or other shared devices.

      Cette sélection affecte le format du nom de l’objet.This selection affects the Subject name format.
    Format du nom de l’objetSubject name format
    • ToutAll
    Pour plus d’informations sur la configuration du format du nom de l’objet, consultez Format du nom de l’objet plus loin dans cet article.For details on how to configure the subject name format, see Subject name format later in this article.

    Pour les plateforme suivante, le format de nom Objet est déterminé par le type de certificat :For the following platforms, the Subject name format is determined by the certificate type:
    • Android Enterprise (Profil de travail)Android Enterprise (Work Profile)
    • iOSiOS
    • macOSmacOS
    • Windows 10 et versions ultérieuresWindows 10 and later

    Autre nom de l’objetSubject alternative name
    • ToutAll
    Pour Attribut, sélectionnez Nom d’utilisateur principal (UPN) sauf indication contraire, configurez une Valeur correspondante, puis sélectionnez Ajouter.For Attribute, select User principal name (UPN) unless otherwise required, configure a corresponding Value, and then select Add.

    Vous pouvez utiliser des variables ou du texte statique pour l’autre nom de l’objet des deux types de certificats.You can use variables or static text for the SAN of both certificate types. L’utilisation d’une variable n’est pas obligatoire.Use of a variable isn't required.

    Pour plus d’informations, consultez Format du nom de l’objet plus loin dans cet article.For more information, see Subject name format later in this article.
    Utilisation avancée de la cléExtended key usage
    • Administrateur d’appareil AndroidAndroid device administrator
    • Android Enterprise (Propriétaire de l’appareil, Profil professionnel appartenant à l’entreprise et appartenant à l’utilisateur)Android Enterprise (Device Owner, Corporate-Owned and Personally-Owned Work Profile)
    • Windows 10Windows 10
    Habituellement, les certificats exigent une authentification client afin que l’utilisateur ou l’appareil puisse s’authentifier auprès d’un serveur.Certificates usually require Client Authentication so that the user or device can authenticate to a server.
    Autoriser toutes les applications à accéder à la clé privéeAllow all apps access to private key
    • macOSmacOS
    Affectez la valeur Activer pour accorder aux applications configurées pour l’appareil Mac associé l’accès à la clé privée des certificats PKCS.Set to Enable to give apps that are configured for the associated mac device access to the PKCS certificates private key.

    Pour plus d’informations sur ce paramètre, consultez AllowAllAppsAccess, la section sur la charge utile de certificat de référence de profil de configuration, dans la documentation pour les développeurs Apple.For more information on this setting, see AllowAllAppsAccess the Certificate Payload section of Configuration Profile Reference in the Apple developer documentation.
    Certificat racineRoot Certificate
    • Administrateur d’appareil AndroidAndroid device administrator
    • Android Enterprise (Propriétaire de l’appareil, Profil professionnel appartenant à l’entreprise et appartenant à l’utilisateur)Android Enterprise (Device Owner, Corporate-Owned and Personally-Owned Work Profile)
    Sélectionnez un profil de certificat d’autorité de certification racine qui a été précédemment affecté.Select a root CA certificate profile that was previously assigned.
  8. Sélectionnez Suivant.Select Next.

  9. Dans Balises d’étendue (facultatif), affectez une balise pour filtrer le profil sur des groupes informatiques spécifiques, par exemple US-NC IT Team ou JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Pour plus d’informations sur les balises d’étendue, consultez Utiliser le contrôle d’accès en fonction du rôle (RBAC) et les balises d’étendue pour l’informatique distribuée.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Sélectionnez Suivant.Select Next.

  10. Dans Affectations, sélectionnez l’utilisateur ou les groupes qui recevront votre profil.In Assignments, select the user or groups that will receive your profile. Prévoyez de déployer ce profil de certificat sur les groupes qui reçoivent le profil de certificat approuvé.Plan to deploy this certificate profile to the same groups that receive the trusted certificate profile. Pour plus d’informations sur l’affectation de profils, consultez Affecter des profils d’utilisateur et d’appareil.For more information on assigning profiles, see Assign user and device profiles.

    Sélectionnez Suivant.Select Next.

  11. Dans Vérifier + créer, passez en revue vos paramètres.In Review + create, review your settings. Quand vous sélectionnez Créer, vos modifications sont enregistrées et le profil est affecté.When you select Create, your changes are saved, and the profile is assigned. La stratégie apparaît également dans la liste des profils.The policy is also shown in the profiles list.

Format du nom de l'objetSubject name format

Quand vous créez un profil de certificat PKCS pour les plateformes suivantes, les options de format du nom Objet dépendent du type de certificat que vous sélectionnez, Utilisateur ou Appareil.When you create a PKCS certificate profile for the following platforms, options for the subject name format depend on the Certificate type you select, either User or Device.

Plateformes :Platforms:

  • Android Enterprise (Profil professionnel appartenant à l’entreprise et appartenant à l’utilisateur)Android Enterprise (Corporate-Owned and Personally-Owned Work Profile)
  • iOSiOS
  • macOSmacOS
  • Windows 10 et versions ultérieuresWindows 10 and later

Notes

Il existe un problème connu lié à l’utilisation de PKCS pour obtenir des certificats qui correspond au même problème détecté pour SCEP, lorsque le nom d’objet dans la demande de signature de certificat (CSR) résultante inclut l’un des caractères suivants comme caractère d’échappement (suivi d’une barre oblique inverse \) :There is a known issue for using PKCS to get certificates which is the same issue as seen for SCEP when the subject name in the resulting Certificate Signing Request (CSR) includes one of the following characters as an escaped character (proceeded by a backslash \):

  • +
  • ;;
  • ,,
  • =
  • Type de certificat UtilisateurUser certificate type
    Les options de Format du nom de l’objet incluent deux variables : Nom commun (CN) et E-mail (E) .Format options for the Subject name format include two variables: Common Name (CN) and Email (E). Email (E) est généralement défini avec la variable {{EmailAddress}}.Email (E) would usually be set with the {{EmailAddress}} variable. Par exemple : E={{EmailAddress}}For example: E={{EmailAddress}}

    Nom courant (cn) peut être défini sur une des variables suivantes :Common Name (CN) can be set to any of the following variables:

    • CN={{UserName}} : Nom d’utilisateur de l’utilisateur, par exemple janedoe.CN={{UserName}}: The user name of the user, such as janedoe.

    • CN={{UserPrincipalName}} : Nom principal d’utilisateur de l’utilisateur, par exemple, janedoe@contoso.com.CN={{UserPrincipalName}}: The user principal name of the user, such as janedoe@contoso.com.

    • CN={{AAD_Device_ID}} : ID attribué quand vous inscrivez un appareil dans Azure Active Directory (AD).CN={{AAD_Device_ID}}: An ID assigned when you register a device in Azure Active Directory (AD). Cet ID est généralement utilisé pour l’authentification auprès d’Azure AD.This ID is typically used to authenticate with Azure AD.

    • CN={{SERIALNUMBER}} : Numéro de série unique (SN) généralement utilisé par le fabricant pour identifier un appareil.CN={{SERIALNUMBER}}: The unique serial number (SN) typically used by the manufacturer to identify a device.

    • CN={{IMEINumber}} : Numéro IMEI (International Mobile Equipment Identity) unique utilisé pour identifier un téléphone mobile.CN={{IMEINumber}}: The International Mobile Equipment Identity (IMEI) unique number used to identify a mobile phone.

    • CN={{OnPrem_Distinguished_Name}} : Séquence de noms uniques relatifs séparés par une virgule, par exemple, CN=Jane Doe,OU=UserAccounts,DC=Corp,DC=contoso,DC=com.CN={{OnPrem_Distinguished_Name}}: A sequence of relative distinguished names separated by comma, such as CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

      Pour utiliser la variable {{OnPrem_Distinguished_Name}} , synchronisez l’attribut utilisateur onpremisesdistinguishedname à l’aide d’Azure AD Connect sur votre Azure AD.To use the {{OnPrem_Distinguished_Name}} variable, be sure to sync the onpremisesdistinguishedname user attribute using Azure AD Connect to your Azure AD.

    • CN={{onPremisesSamAccountName}} : Les administrateurs peuvent synchroniser l’attribut samAccountName d’Active Directory sur Azure AD à l’aide d’Azure AD Connect dans un attribut appelé onPremisesSamAccountName.CN={{onPremisesSamAccountName}}: Admins can sync the samAccountName attribute from Active Directory to Azure AD using Azure AD connect into an attribute called onPremisesSamAccountName. Intune peut remplacer cette variable dans le cadre d’une demande d’émission de certificat dans l’objet d’un certificat.Intune can substitute that variable as part of a certificate issuance request in the subject of a certificate. L’attribut samAccountName est le nom de connexion de l’utilisateur utilisé pour prendre en charge les clients et serveurs avec une version antérieure de Windows (antérieure à Windows 2000).The samAccountName attribute is the user sign-in name used to support clients and servers from a previous version of Windows (pre-Windows 2000). Le format du nom de connexion de l’utilisateur est : DomainName\testUser ou simplement testUser.The user sign-in name format is: DomainName\testUser, or only testUser.

      Pour utiliser la variable {{onPremisesSamAccountName}} , synchronisez l’attribut utilisateur onPremisesSamAccountName à l’aide d’Azure AD Connect sur votre Azure AD.To use the {{onPremisesSamAccountName}} variable, be sure to sync the onPremisesSamAccountName user attribute using Azure AD Connect to your Azure AD.

    En combinant une ou plusieurs de ces variables et chaînes statiques, vous pouvez créer un format de nom d’objet personnalisé tel que :By using a combination of one or many of these variables and static strings, you can create a custom subject name format, such as:

    • CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=USCN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

    Cet exemple comprend un format de nom d’objet qui utilise les variables CN et E ainsi que des chaînes pour les valeurs Unité d’organisation, Organisation, Emplacement, Région et Pays.That example includes a subject name format that uses the CN and E variables, and strings for Organizational Unit, Organization, Location, State, and Country values. La page CertStrToName function (Fonction CertStrToName) illustre cette fonction et ses chaînes prises en charge.CertStrToName function describes this function, and its supported strings.

  • Type de certificat AppareilDevice certificate type
    Les options de format du nom de l’objet sont notamment les variables suivantes :Format options for the Subject name format include the following variables:

    • {{AAD_Device_ID}}{{AAD_Device_ID}}
    • {{Device_Serial}}{{Device_Serial}}
    • {{Device_IMEI}}{{Device_IMEI}}
    • {{SerialNumber}}{{SerialNumber}}
    • {{IMEINumber}}{{IMEINumber}}
    • {{AzureADDeviceId}}{{AzureADDeviceId}}
    • {{WiFiMacAddress}}{{WiFiMacAddress}}
    • {{IMEI}}{{IMEI}}
    • {{DeviceName}}{{DeviceName}}
    • {{FullyQualifiedDomainName}} (Applicable uniquement aux appareils Windows et joints à un domaine){{FullyQualifiedDomainName}} (Only applicable for Windows and domain-joined devices)
    • {{MEID}}{{MEID}}

    Vous pouvez spécifier ces variables, suivies du texte de la variable, dans la zone de texte.You can specify these variables, followed by the text for the variable, in the textbox. Par exemple, le nom commun d’un appareil nommé Device1 peut être ajouté sous la forme CN={{DeviceName}}Device1.For example, the common name for a device named Device1 can be added as CN={{DeviceName}}Device1.

    Important

    • Quand vous spécifiez une variable, mettez le nom de la variable entre accolades { }, comme indiqué dans l’exemple, pour éviter une erreur.When you specify a variable, enclose the variable name in curly brackets { } as seen in the example, to avoid an error.
    • Les propriétés de l’appareil utilisées dans l’objet ou le SAN d’un certificat d’appareil, par exemple, IMEI, SerialNumber et FullyQualifiedDomainName, sont des propriétés qui peuvent être usurpées par quiconque a accès à l’appareil.Device properties used in the subject or SAN of a device certificate, like IMEI, SerialNumber, and FullyQualifiedDomainName, are properties that could be spoofed by a person with access to the device.
    • Un appareil doit prendre en charge toutes les variables spécifiées dans un profil de certificat pour que ce profil s’installe sur cet appareil.A device must support all variables specified in a certificate profile for that profile to install on that device. Par exemple, si {{IMEI}} est utilisé dans le nom d’objet d’un profil SCEP et correspond à un appareil qui n’a pas de numéro IMEI, l’installation du profil échoue.For example, if {{IMEI}} is used in the subject name of a SCEP profile and is assigned to a device that doesn't have an IMEI number, the profile fails to install.

Étapes suivantesNext steps

Utilisez SCEP pour les certificats ou émettez des certificats PKCS à partir d’un service web du gestionnaire PKI Symantec.Use SCEP for certificates, or issue PKCS certificates from a Symantec PKI manager web service.

Résoudre les problèmes des profils de certificat PKCSTroubleshoot PKCS certificate profiles