Vue d'ensemble du déploiement d'applications approuvéesTrusted Application Deployment Overview

Cette rubrique offre une vue d’ensemble du déploiement d’applications ClickOnceClickOnce qui ont des autorisations élevées à l’aide de la technologie de déploiement d’applications approuvées.This topic provides an overview of how to deploy ClickOnceClickOnce applications that have elevated permissions by using the Trusted Application Deployment technology.

Le déploiement d'applications approuvées, qui fait partie de la technologie de déploiement ClickOnceClickOnce , permet aux entreprises de toute taille d'accorder des autorisations supplémentaires à une application managée de façon plus sûre et plus sécurisée, sans la confirmation de l'utilisateur.Trusted Application Deployment, part of the ClickOnceClickOnce deployment technology, makes it easier for organizations of any size to grant additional permissions to a managed application in a safer, more secure manner without user prompting. Avec le déploiement d'applications approuvées, une organisation peut simplement configurer un ordinateur client pour avoir une liste d'éditeurs approuvés, identifiés à l'aide de certificats Authenticode.With Trusted Application Deployment, an organization can just configure a client computer to have a list of trusted publishers, who are identified using Authenticode certificates. Dès lors, toute application ClickOnceClickOnce signée par un de ces éditeurs approuvés reçoit un niveau de confiance supérieur.Thereafter, any ClickOnceClickOnce application signed by one of these trusted publishers receives a higher level of trust.

Note

Le déploiement d'applications approuvées requiert une configuration unique de l'ordinateur d'un utilisateur.Trusted Application Deployment requires one-time configuration of a user's computer. Dans les environnements de postes de travail gérés, cette configuration peut être effectuée à l'aide de la stratégie globale.In managed desktop environments, this configuration can be performed by using global policy. Si ce n'est pas ce que vous voulez pour votre application, utilisez plutôt l'élévation d'autorisations.If this is not what you want for your application, use permission elevation instead. Pour plus d’informations, consultez Sécurisation des applications ClickOnce.For more information, see Securing ClickOnce Applications.

Concepts de base du déploiement d'applications approuvéesTrusted Application Deployment Basics

Le tableau suivant indique les objets et les rôles qui interviennent dans le déploiement d'applications approuvées.The following table shows the objects and roles that are involved in Trusted Application Deployment.

Objet ou rôleObject or role DescriptionDescription
administrateuradministrator Entité organisationnelle responsable de la mise à jour et la maintenance des ordinateurs clientThe organizational entity responsible for updating and maintaining client computers
gestionnaire de confiancetrust manager Sous-système dans le Common Language Runtime (CLR) chargé d'appliquer la sécurité des applications clientes.The subsystem within the common language runtime (CLR) responsible for enforcing client application security.
publisherpublisher Entité qui écrit et gère l'application.The entity that writes and maintains the application.
système de déploiementdeployer Entité qui assemble et distribue l'application aux utilisateurs.The entity that packages and distributes the application to users.
certificatcertificate Signature de chiffrement qui se compose d'une clé publique et privée, émise en général par une autorité de certification (CA) pouvant se porter garante de son authenticité.A cryptographic signature that consists of a public and private key; generally issued by a certification authority (CA) that can vouch for its authenticity.
certificat AuthenticodeAuthenticode certificate Certificat avec des métadonnées incorporées décrivant, entre autres choses, les utilisations pour lesquelles le certificat peut être employé.A certificate with embedded metadata describing, among other things, the uses for which the certificate can be employed.
autorité de certificationcertification authority Organisation qui vérifie l'identité des éditeurs et leur délivre des certificats incorporés avec les métadonnées de l'éditeur.An organization that verifies the identity of publishers and issues them certificates embedded with the publisher's metadata.
autorité racineroot authority Autorité de certification qui autorise d'autres autorités de certification à émettre des certificats.A certification authority that authorizes other Certificate Authorities to issue certificates.
conteneur de clékey container Espace de stockage logique dans Microsoft Windows pour stocker des certificats.A logical storage space in Microsoft Windows for storing certificates.
éditeur approuvétrusted publisher Éditeur dont le certificat Authenticode a été ajouté à une liste de certificats de confiance (CTL) sur un ordinateur client.A publisher whose Authenticode certificate has been added to a certificate trust list (CTL) on a client computer.

Dans les grandes entreprises, l'éditeur et le système de déploiement sont souvent deux entités distinctes :In larger organizations, the publisher and deployer are frequently two separate entities:

  • L'éditeur est le groupe qui crée l'application ClickOnceClickOnce .The publisher is the group that creates the ClickOnceClickOnce application.

  • Le système de déploiement est le groupe, en général le service informatique, qui distribue l'application ClickOnceClickOnce aux ordinateurs de bureau de l'entreprise.The deployer is the group, typically the information technology (IT) department, that distributes ClickOnceClickOnce application to corporate enterprise desktop computers.

    Vous devez suivre ces étapes pour tirer parti du déploiement d'applications approuvées :You must follow these steps to take advantage of Trusted Application Deployment:

  1. Obtenir un certificat pour l'éditeur.Obtain a certificate for the publisher.

  2. Ajouter l'éditeur au magasin d'éditeurs approuvés sur tous les clients.Add the publisher to the trusted publishers store on all clients.

  3. Créer votre application ClickOnceClickOnce .Create your ClickOnceClickOnce application.

  4. Signer le manifeste de déploiement avec le certificat de l'éditeur.Sign the deployment manifest with the publisher's certificate.

  5. Publier le déploiement d'applications sur les ordinateurs clients.Publish the application deployment to client computers.

Obtenir un certificat pour l'éditeurObtain a Certificate for the Publisher

Les certificats numériques sont un composant principal du système de sécurité et d'authentification de Microsoft Authenticode.Digital certificates are a core component of the Microsoft Authenticode authentication and security system. Authenticode est un composant standard du système d'exploitation Windows.Authenticode is a standard part of the Windows operating system. Toutes les applications ClickOnceClickOnce doivent être signées avec un certificat numérique, qu'elles participent ou non au déploiement d'applications approuvées.All ClickOnceClickOnce applications must be signed with a digital certificate, regardless of whether they participate in Trusted Application Deployment. Pour une explication complète du fonctionne d’Authenticode avec ClickOnceClickOnce, consultez ClickOnce et Authenticode.For a full explanation of how Authenticode works with ClickOnceClickOnce, see ClickOnce and Authenticode.

Ajouter l'éditeur au magasin d'éditeurs approuvésAdd the Publisher to the Trusted Publishers Store

Pour que votre application ClickOnceClickOnce reçoive un niveau supérieur de confiance, vous devez ajouter votre certificat en tant qu'éditeur approuvé à chaque ordinateur client sur lequel l'application s'exécutera.For your ClickOnceClickOnce application to receive a higher level of trust, you must add your certificate as a trusted publisher to each client computer on which the application will run. Cette tâche est une configuration unique.Performing this task is a one-time configuration. Une fois terminée, vous pouvez déployer autant d'applications ClickOnceClickOnce signées avec le certificat de votre éditeur que vous souhaitez, et elles s'exécuteront toutes avec un niveau de confiance élevé.After it is completed, you can deploy as many ClickOnceClickOnce applications signed with your publisher's certificate as you want, and they will all run with high trust.

Si vous déployez votre application dans un environnement de bureau géré, par exemple, un intranet d'entreprise exécutant le système d'exploitation Windows, vous pouvez ajouter des éditeurs approuvés au magasin d'un client en créant une nouvelle liste de certificats de confiance (CTL) avec la stratégie de groupe.If you are deploying your application in a managed desktop environment; for example, a corporate intranet running the Windows operating system; you can add trusted publishers to a client's store by creating a new certificate trust list (CTL) with Group Policy. Pour plus d’informations, consultez Créer une liste de certificats de confiance pour un objet Stratégie de groupe.For more information, see Create a certificate trust list for a Group Policy object.

Si vous ne déployez pas votre application dans un environnement de bureau géré, vous disposez des options suivantes pour ajouter un certificat au magasin d'éditeurs approuvés :If you are not deploying your application in a managed desktop environment, you have the following options for adding a certificate to the trusted publisher store:

Créer une application ClickOnceCreate a ClickOnce Application

Une application ClickOnceClickOnce est une application cliente .NET Framework.NET Framework combinée avec des fichiers manifestes qui décrivent l'application et fournissent les paramètres d'installation.A ClickOnceClickOnce application is a .NET Framework.NET Framework client application combined with manifest files that describe the application and supply installation parameters. Vous pouvez transformer votre programme en application ClickOnceClickOnce à l'aide de la commande Publier dans Visual StudioVisual Studio.You can turn your program into a ClickOnceClickOnce application by using the Publish command in Visual StudioVisual Studio. Vous pouvez également générer tous les fichiers requis pour le déploiement ClickOnceClickOnce à l'aide des outils inclus dans le Kit de développement logiciel WindowsWindows Software Development Kit (SDK).Alternatively, you can generate all the files required for ClickOnceClickOnce deployment by using tools that are included with the Kit de développement logiciel WindowsWindows Software Development Kit (SDK). Pour obtenir des instructions détaillées sur ClickOnceClickOnce déploiement, consultez procédure pas à pas : déploiement manuel d’une Application ClickOnce.For detailed steps about ClickOnceClickOnce deployment, see Walkthrough: Manually Deploying a ClickOnce Application.

Le déploiement d'applications approuvées est spécifique de ClickOnceClickOnceet peut uniquement être utilisé avec des applications ClickOnceClickOnce .Trusted Application Deployment is specific to ClickOnceClickOnce, and can only be used with ClickOnceClickOnce applications.

Signer le déploiementSign the Deployment

Après avoir obtenu votre certificat, vous devez l'utiliser pour signer votre déploiement.After obtaining your certificate, you must use it to sign your deployment. Si vous déployez votre application à l'aide de l'Assistant Publication de Visual StudioVisual Studio , ce dernier génère automatiquement un certificat de test pour vous si vous n'avez pas spécifié de certificat.If you are deploying your application by using the Visual StudioVisual Studio Publish wizard, the wizard will automatically generate a test certificate for you if you have not specified a certificate yourself. Vous pouvez également utiliser la fenêtre du Concepteur de projets Visual StudioVisual Studio , pour fournir un certificat fourni par une autorité de certification.You can also use the Visual StudioVisual Studio Project Designer window, however, to supply a certificate provided by a CA. Consultez également Comment : publier une Application ClickOnce à l’aide de l’Assistant Publication.Also see How to: Publish a ClickOnce Application using the Publish Wizard.

Attention

Nous ne recommandons pas le déploiement de l'application avec un certificat de test.We do not recommend that the application be deployed with a test certificate.

Vous pouvez également signer l'application à l'aide des outils des SDK Mage.exe ou MageUI.exe.You can also sign the application by using the Mage.exe or MageUI.exe SDK tools. Pour plus d’informations, consultez procédure pas à pas : déploiement manuel d’une Application ClickOnce.For more information, see Walkthrough: Manually Deploying a ClickOnce Application. Pour obtenir une liste complète des options de ligne de commande relatives à la signature de déploiement, consultez Mage.exe (Manifest Generation and Editing Tool).For a full list of command-line options related to deployment signing, see Mage.exe (Manifest Generation and Editing Tool).

Publier l'applicationPublish the Application

Dès que vous avez signé vos manifestes ClickOnceClickOnce , l'application est prête à être publiée dans votre emplacement d'installation.As soon as you have signed your ClickOnceClickOnce manifests, the application is ready to publish to your install location. L'emplacement d'installation peut être un serveur web, un partage de fichiers ou le disque local.The installation location can be a Web server, a file share, or the local disk. Quand un client accède au manifeste de déploiement pour la première fois, le Gestionnaire de confiance doit déterminer si l'application ClickOnceClickOnce a été autorisée ou non à ne pas s'exécuter à un niveau de confiance supérieur par un éditeur approuvé installé.When a client accesses the deployment manifest for the first time, the trust manager must choose whether the ClickOnceClickOnce application has been granted authority or not to run at a higher level of trust by an installed trusted publisher. Le Gestionnaire de confiance fait ce choix en comparant le certificat utilisé pour signer le déploiement aux certificats stockés dans le magasin d'éditeurs approuvés du client.The trust manager makes this choice by comparing the certificate used to sign the deployment with the certificates stored in the client's trusted publisher store. Si le Gestionnaire de confiance trouve une correspondance, l'application s'exécute avec un niveau de confiance élevé.If the trust manager finds a match, the application runs with high trust.

Déploiement d'applications approuvées et élévation d'autorisationsTrusted Application Deployment and Permission Elevation

Si l'éditeur actuel n'est pas un éditeur approuvé, le Gestionnaire de confiance utilise l'élévation d'autorisations pour demander à l'utilisateur s'il souhaite accorder à votre application des autorisations élevées.If the current publisher is not a trusted publisher, trust manager will use Permission Elevation to query the user about whether he or she wants to grant your application elevated permissions. Toutefois, si l'élévation d'autorisations est désactivée par l'administrateur, l'application ne peut pas obtenir l'autorisation de s'exécuter.If permission elevation is disabled by the administrator, however, the application cannot obtain permission to run. L'application ne s'exécute pas et aucune notification n'est affichée à l'utilisateur.The application will not run and no notification will be displayed to the user. Pour plus d’informations sur l’élévation d’autorisations, consultez sécurisation des Applications ClickOnce.For more information about Permission Elevation, see Securing ClickOnce Applications.

Limitations du déploiement d'applications approuvéesLimitations of Trusted Application Deployment

Vous pouvez utiliser le déploiement d'applications approuvées pour accorder une confiance élevée aux applications ClickOnceClickOnce déployées sur le web ou via un partage de fichiers d'entreprise.You can use Trusted Application Deployment to grant elevated trust to ClickOnceClickOnce applications deployed over the Web or through an enterprise file share. Vous n'êtes pas obligé d'utiliser le déploiement d'applications approuvées pour les applications ClickOnceClickOnce distribuées sur un CD, car, par défaut, ces applications ont un niveau de confiance totale.You do not have to use Trusted Application Deployment for ClickOnceClickOnce applications distributed on a CD, because, by default, these applications are granted full trust.

Voir aussiSee Also

Mage.exe (outil Manifest Generation and Editing) Mage.exe (Manifest Generation and Editing Tool)
Procédure pas à pas : déploiement manuel d’une application ClickOnceWalkthrough: Manually Deploying a ClickOnce Application