Présentation des profils de certificat dans Configuration Manager
S'applique à: System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
Notes
Les informations contenues dans cette rubrique s'appliquent à System Center 2012 R2 Configuration Manager et System Center 2012 R2 Configuration Manager SP1.
Les profils de certificat dans System Center 2012 Configuration Manager s'intègrent aux services de certificats Active Directory et au rôle du service d'inscription d'appareil réseau afin de provisionner des certificats d'authentification pour des appareils gérés afin que les utilisateurs puissent accéder sans interruption aux ressources de l'entreprise. Par exemple, vous pouvez créer et déployer des profils de certificat pour fournir les certificats nécessaires aux utilisateurs pour établir des connexions VPN et sans fil.
Les profils de certificat dans Configuration Manager fournissent les fonctionnalités de gestion suivantes :
Inscription et renouvellement de certificats auprès d'une autorité de certification d'entreprise pour les appareils exécutant iOS, Windows 8.1, Windows RT 8.1 et Android. Ces certificats peuvent ensuite être utilisés pour les connexions Wi-Fi et VPN.
Déploiement de certificats d'autorité de certification racine approuvés et de certificats d'autorité de certification intermédiaires pour configurer une chaîne d'approbation sur les appareils pour les connexions VPN et Wi-Fi, lorsque l'authentification du serveur est requise.
Analyse et rapport sur les certificats installés.
Les profils de certificat peuvent automatiquement configurer des appareils d'utilisateur pour que les ressources d'entreprise, telles que les réseaux Wi-Fi et les serveurs VPN, soient accessibles sans avoir à installer manuellement des certificats ou à utiliser un processus hors bande. Les profils de certificat peuvent également contribuer à sécuriser les ressources d'entreprise, car vous pouvez utiliser les paramètres plus sécurisés pris en charge par votre infrastructure à clé publique (PKI) d'entreprise. Par exemple, vous pouvez exiger l'authentification du serveur pour toutes les connexions VPN et Wi-Fi car vous avez provisionné les certificats requis sur les appareils gérés.
Exemple : Tous les employés doivent pouvoir se connecter à des points d'accès Wi-Fi répartis à différents endroits dans l'entreprise. Pour ce faire, vous pouvez déployer les certificats requis pour établir la connexion Wi-Fi. Vous pouvez également déployer des profils Wi-Fi dans Configuration Manager qui font référence au bon certificat à utiliser pour que la connexion Wi-Fi se fasse sans interruption pour les utilisateurs.
Exemple : Vous disposez d'une PKI en place et voulez adopter une méthode plus flexible et sécurisée pour configurer les certificats qui permettent aux utilisateurs d'accéder aux ressources d'entreprise à partir de leurs appareils personnels sans compromettre la sécurité. Pour ce faire, vous pouvez configurer des profils de certificat avec les paramètres et les protocoles qui sont pris en charge pour la plate-forme d'appareil spécifique. Les appareils peuvent ensuite demander automatiquement ces certificats depuis un serveur d'inscription via Internet. Vous pouvez ensuite configurer des profils VPN pour utiliser ces certificats afin que l'appareil puisse accéder aux ressources d'entreprise.
Types de profil de certificat
Vous pouvez créer deux types de profils de certificat dans Configuration Manager :
Certificat d'Autorité de certification approuvé : vous permet de déployer un certificat d'autorité de certification racine ou intermédiaire approuvé pour former une chaîne d'approbation des certificats lorsque l'appareil doit authentifier un serveur.
Paramètres SCEP (Simple Certificate Enrollment Protocol) : vous permet de demander un certificat pour un appareil ou un utilisateur à l'aide du protocole SCEP et du service d'inscription d'appareil réseau sur un serveur exécutant Windows Server 2012 R2.
Notes
Vous devez créer un profil de certificat du type Certificat d'Autorité de certification approuvé avant de pouvoir créer un profil de certificat du type Paramètres SCEP (Simple Certificate Enrollment Protocol).
Configuration requise et plates-formes prises en charge
Pour déployer des profils de certificat qui utilisent le protocole SCEP, vous devez installer le point d'enregistrement de certificat sur un serveur de système de site sur le site d'administration centrale ou sur un site principal. Vous devez également installer un module de stratégie pour le service d'inscription d'appareil réseau, le module de stratégie de Configuration Manager, sur un serveur exécutant Windows Server 2012 R2 avec le rôle de services de certificats Active Directory et un service d'inscription d'appareil réseau accessible aux appareils qui requièrent les certificats. Pour les appareils inscrits par Microsoft Intune, le service d'inscription d'appareil réseau doit être accessible sur Internet, par exemple sur un sous-réseau filtré (également appelé DMZ).
Pour plus d'informations sur la façon dont le service d'inscription de périphérique réseau prend en charge un module de stratégie pour que Configuration Manager puisse déployer des certificats, voir Using a Policy Module with the Network Device Enrollment Service (Utilisation d'un module de stratégie avec le service d'inscription de périphérique réseau).
Configuration Manager prend en charge le déploiement des certificats sur des magasins de certificats différents, en fonction de la configuration requise, du type d'appareil et du système d'exploitation. Les appareils et les systèmes d'exploitation suivants sont pris en charge :
Windows RT 8.1
Windows 8.1
Windows Phone 8.1
Avertissement Pour prendre en charge Windows Phone 8.1, vous devez installer l'extension Windows Phone 8.1 facultative. Pour plus d'informations sur l'installation de l'extension, consultez Planification de l'utilisation des extensions dans Configuration Manager.
iOS
Android
Notes
Pour plus d'informations sur les actions que les utilisateurs finaux doivent effectuer lors de l'installation d'un certificat sur un appareil Android, voir Comment installer des certificats sur des périphériques Android dans Configuration Manager.
Important
Pour déployer des profils sur des appareils Android, iOS, Windows Phone et sur des appareils Windows 8.1 inscrits, il faut que ces appareils soient inscrits dans Microsoft Intune. Pour plus d'informations sur la façon d'inscrire vos appareils, consultez Gérer les appareils mobiles avec Microsoft Intune.
Un scénario type pour System Center 2012 Configuration Manager consiste à installer des certificats d'autorité de certification racine approuvés pour authentifier des serveurs Wi-Fi et VPN lorsque la connexion utilise les protocoles d'authentification EAP-TLS, EAP-TTLS et PEAP, ainsi que les protocoles de tunneling IKEv2, L2TP/IPsec et Cisco IPsec VPN.
Vous devez vous assurer qu'un certificat d'autorité de certification racine d'entreprise est installé sur l'appareil avant que l'appareil puisse demander des certificats à l'aide d'un profil de certificat SCEP.
Vous pouvez spécifier divers paramètres dans un profil de certificat SCEP pour demander des certificats personnalisés pour différents environnements ou besoins en connectivité. L'Assistant Créer un profil de certificat comporte deux pages pour les paramètres d'inscription. La première, Inscription SCEP, contient les paramètres de la demande d'inscription et l'emplacement où installer le certificat. La seconde, Propriétés du certificat, décrit le certificat demandé.
Déploiement de profils de certificat
Lorsque vous déployez un profil de certificat, les fichiers de certificat dans le profil sont installés sur des appareils clients. Tous les paramètres SCEP sont également déployés et les demandes SCEP sont traitées sur l'appareil client. Vous pouvez déployer des profils de certificat sur des regroupements d'utilisateurs ou d'appareils et spécifier la banque de destination pour chaque certificat. Les règles de mise en application déterminent si les certificats peuvent être installés sur l'appareil. Lorsque des profils de certificat sont déployés sur des regroupements d'utilisateurs, l'affinité utilisateur/appareil détermine les appareils des utilisateurs qui installeront les certificats. Lors du déploiement de profils de certificat contenant des certificats d'utilisateur sur des regroupements d'appareils, par défaut, les certificats sont installés sur chacun des appareils d'utilisateur principaux. Vous pouvez modifier ce comportement pour installer le certificat sur l'un des appareils d'utilisateur sur la page Inscription SCEP de l'Assistant Créer un profil de certificat. En outre, les certificats d'utilisateur ne seront pas déployés sur les appareils s'il s'agit d'ordinateurs de groupe de travail.
Surveillance des profils de certificat
Vous pouvez surveiller les déploiements de profils de certificat à partir du nœud Déploiements de l'espace de travail Surveillance dans la console Configuration Manager.
Vous pouvez également utiliser l'un des rapports Configuration Manager suivants pour surveiller des profils de certificat :
Historique des certificats émis par le point d'enregistrement de certificat
Liste de biens par état d'émission de certificat pour les certificats inscrits par le point d'enregistrement de certificat
Liste de biens dont la date d'expiration des certificats approche
Révocation automatique de certificats
Configuration Manager révoque automatiquement les certificats utilisateur et ordinateur qui ont été déployés à l'aide de profils de certificat dans les circonstances suivantes :
L'appareil est retiré de la gestion Configuration Manager.
Une réinitialisation sélective est appliquée à l'appareil.
L'appareil est bloqué de la hiérarchie Configuration Manager.
Pour révoquer les certificats, le serveur de site envoie une commande de révocation à l'autorité de certification émettrice. Le motif de révocation est la cessation de fonctionnement.
Nouveautés de System Center 2012 R2 Configuration Manager
Notes
Les informations contenues dans cette section apparaissent également dans le guide Mise en route de System Center 2012 Configuration Manager.
Les profils de certificat sont nouveaux dans System Center 2012 R2 Configuration Manager. Ils offrent les fonctionnalités suivantes et ont certaines configurations dépendantes :
Déploiement de certificats d'utilisateur et d'appareil pour des appareils gérés à l'aide du protocole SCEP (Simple Certificate Enrollment Protocol). Ces certificats peuvent être utilisés pour prendre en charge les connexions VPN et Wi-Fi.
Appareils pris en charge incluant ceux qui exécutent iOS, Windows 8.1, Windows RT 8.1 et Android.
Déploiement de certificats d'Autorité de certification racine et intermédiaires afin que les appareils puissent créer une chaîne d'approbation lorsqu'ils utilisent l'authentification serveur pour les connexions réseau.
Un point d'enregistrement de certificat doit être déployé sur le site d'administration centrale ou sur un site principal et le module de stratégie de Configuration Manager doit être installé sur un serveur exécutant Windows Server 2012 R2 avec des services de certificats Active Directory et le rôle du service d'inscription de périphériques réseau. Ce serveur doit être accessible sur Internet et communiquer avec une Autorité de certification d'entreprise pour émettre les certificats. Pour plus d'informations sur les modifications apportées au service d'inscription de périphériques réseau pour prendre en charge ce scénario, voir What's New in Certificate Services in Windows Server 2012 R2 (Nouveautés des services de certificat dans Windows Server 2012 R2).
Nouveautés de System Center 2012 Configuration Manager SP2
Configuration Manager 2012 SP2 vous permet de configurer des fichiers d'échange d'informations personnelles (.pfx) sur les appareils des utilisateurs. Vous pouvez utiliser des fichiers PFX pour générer des certificats spécifiques à l'utilisateur pour prendre en charge l'échange de données chiffrées. Vous pouvez créer des certificats PFX dans Configuration Manager ou les importer. Avec Configuration Manager 2012 SP2, vous pouvez déployer des certificats PFX nouveaux ou importés vers des appareils iOS, Android, Windows 8.1 et versions ultérieures, et Windows Phone 8.1 et versions ultérieures. Vous pouvez ensuite déployer ces fichiers sur plusieurs appareils pour prendre en charge la communication PKI basée sur l'utilisateur. Pour plus d'informations, consultez Comment créer des profils de certificat PFX dans Configuration Manager.