• Article

Conditions requises pour les profils de certificat dans Configuration Manager

 

S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Notes

Les informations de cette rubrique s'appliquent seulement aux versions System Center 2012 R2 Configuration Manager.

Les profils de certificat dans System Center 2012 Configuration Manager présentent des dépendances externes et des dépendances au sein du produit.

Dépendances externes à Configuration Manager

Dépendance

Plus d'informations

Une autorité de certification d'entreprise émettrice qui exécute des services de certificats Active Directory (AD CS).

Pour révoquer un certificat, l'autorité de certification émettrice doit être configurée avec l'autorisation Émettre et gérer des certificats pour le serveur de site au sommet de la hiérarchie.

Notes

Les demandes d'approbation du gestionnaire de certificat sont prises en charge. Toutefois, les modèles de certificat utilisés pour émettre des certificats doivent être configurés avec Fourni dans la demande comme objet de certificat pour que Configuration Manager puisse fournir automatiquement cette valeur.

Pour plus d'informations sur les services de certificats Active Directory, consultez votre documentation Windows Server :

Le service de rôle du service d'inscription de périphériques réseau pour les services de certificats Active Directory, exécuté sur Windows Server 2012 R2.

En outre :

  • Les numéros de port autres que TCP 443 (pour HTTPS) ou TCP 80 (pour HTTP) ne sont pas pris en charge pour la communication entre le client et le service d'inscription de périphériques réseau.

  • Le serveur exécutant le service d'inscription de périphériques réseau doit se trouver sur un serveur différent de l'autorité de certification émettrice.

Configuration Manager communique avec le service d'inscription de périphériques réseau dans Windows Server 2012 R2 pour générer et vérifier des demandes de protocole SCEP (Simple Certificate Enrollment Protocol).

Si vous prévoyez d'émettre des certificats pour des utilisateurs ou des appareils qui se connectent depuis Internet, tels que des appareils mobiles gérés par Microsoft Intune, ces appareils doivent pouvoir accéder au serveur qui exécute le service d'inscription de périphériques réseau sur Internet. Par exemple, installez le serveur dans un réseau de périmètre (également appelé sous-réseau filtré ou DMZ, exemple, installez le serveur dans un réseau de périmètre (également appelé sous-réseau filtré ou DMZ).).

S'il existe un pare-feu entre le serveur exécutant le service d'inscription de périphériques réseau et l'autorité de certification émettrice, vous devez configurer le pare-feu afin qu'il autorise le trafic de communication (DCOM) entre les deux serveurs. Cette exigence de pare-feu s'applique aussi au serveur exécutant le serveur de site Configuration Manager et à l'autorité de certification émettrice, pour que Configuration Manager puisse révoquer les certificats.

Si le service d'inscription de périphériques réseau est configuré pour exiger SSL (une meilleure pratique de sécurité), assurez-vous que les périphériques connectés peuvent accéder à la liste de révocation des certificats (CRL) pour valider le certificat de serveur.

Pour plus d'informations sur le service d'inscription de périphériques réseau dans Windows Server 2012 R2, voir Using a Policy Module with the Network Device Enrollment Service (Utilisation d'un module de stratégie avec le service d'inscription de périphériques réseau).

Si l'autorité de certification émettrice exécute Windows Server 2008 R2, ce serveur exige un correctif pour les demandes de renouvellement SCEP.

S'il n'est pas déjà installé sur l'ordinateur de l'autorité de certification émettrice, installez le correctif. Pour plus d'informations, consultez l'article 2483564 : Demande de renouvellement d'un certificat SCEP échoue dans Windows Server 2008 R2 si le certificat est géré à l'aide de NDES de la Base de connaissances Microsoft.

Un certificat d'authentification de client PKI et un certificat d'autorité de certification racine exporté.

Ce certificat authentifie le serveur exécutant le service d'inscription de périphériques réseau pour Configuration Manager.

Pour plus d'informations, voir Configuration requise des certificats PKI pour Configuration Manager.

Systèmes d'exploitation d'appareil pris en charge.

Vous pouvez déployer des profils de certificat sur des appareils qui exécutent les systèmes d'exploitation iOS, Windows 8.1, Windows RT 8.1 et Android.

Dépendances de Configuration Manager

Dépendance

Plus d'informations

Rôle de système de site du point d'enregistrement de certificat

Pour pouvoir utiliser des profils de certificat, vous devez installer le rôle de système de site du point d'enregistrement de certificat. Ce rôle communique avec la base de données Configuration Manager, le serveur de site Configuration Manager et le module de stratégie Configuration Manager.

Pour plus d'informations sur la configuration système requise pour ce rôle de système de site et sur son emplacement d'installation dans la hiérarchie, consultez les sections suivantes :

Important

Le point d'enregistrement de certificat ne doit pas être installé sur le serveur qui exécute le service d'inscription de périphériques réseau.

Module de stratégie Configuration Manager installé sur le serveur exécutant le service de rôle du service d'inscription de périphériques réseau pour les services de certificats Active Directory

Pour déployer des profils de certificat, vous devez installer le module de stratégie Configuration Manager. Vous pouvez trouver ce module de stratégie sur le support d'installation de Configuration Manager.

Données de découverte

Des valeurs pour l'objet du certificat et pour l'autre nom d'objet sont fournies par Configuration Manager et extraites des informations collectées à partir de la découverte.

  • Pour les certificats d'utilisateur : Détection d'utilisateur Active Directory

  • Pour les certificats d'ordinateur : Découverte de systèmes Active Directory et découverte du réseau

Pour plus d'informations sur la découverte, consultez Planification de la découverte dans Configuration Manager.

Autorisations de sécurité spécifiques pour gérer les profils de certificat

Vous devez disposer des autorisations de sécurité suivantes pour gérer les paramètres d'accès aux ressources de l'entreprise, par exemple, les profils de certificat, les profils Wi-Fi et les profils VPN :

  • Pour afficher et gérer les alertes et rapports pour les profils de certificat : Créer, Supprimer, Modifier, Modifier le rapport, Lecture et Exécuter le rapport pour l'objet Alertes.

  • Pour créer et gérer des profils de certificat : Créer une stratégie, Modifier le rapport, Lecture et Exécuter le rapport pour l'objet Profil de certificat.

  • Pour gérer les déploiements de profil Wi-Fi, VPN et de certificat : Déployer des stratégies de configuration, Modifier l'alerte relative à l'état du client, Lecture et Lire la ressource pour l'objet Regroupement.

  • Pour gérer toutes les stratégies de configuration : Créer, Supprimer, Modifier, Lecture et Définir l'étendue de sécurité pour l'objet Stratégie de configuration.

  • Pour exécuter des requêtes liées aux profils de certificat : Autorisation de Lecture pour l'objet Requête.

  • Pour afficher les informations des profils de certificat dans la console Configuration Manager : Autorisation de Lecture pour l'objet Site.

  • Pour afficher les messages d'état pour les profils de certificat : Autorisation de Lecture pour l'objet Messages d'état.

  • Pour créer et modifier le profil de certificat d'Autorité de certification approuvé : Créer une stratégie, Modifier le rapport, Lecture et Exécuter le rapport pour l'objet Profil de certificat d'Autorité de certification approuvé.

  • Pour créer et gérer les profils VPN : Créer une stratégie, Modifier le rapport, Lecture et Exécuter le rapport pour l'objet Profil VPN.

  • Pour créer et gérer les profils Wi-Fi : Créer une stratégie, Modifier le rapport, Lecture et Exécuter le rapport pour l'objet Profil Wi-Fi.

Le rôle de sécurité Gestionnaire d'accès aux ressources de l'entreprise inclut les autorisations qui sont requises pour gérer les profils de certificat dans Configuration Manager. Pour plus d'informations, voir la section Configurer l'administration basée sur des rôles dans la rubrique Configuration de la sécurité pour Configuration Manager.