Certificats dans Configuration Manager
S’applique à : Configuration Manager (branche actuelle)
Configuration Manager utilise une combinaison de certificats numériques auto-signés et d’infrastructure à clé publique (PKI).
Utilisez des certificats PKI dans la mesure du possible. Pour plus d’informations, consultez Configuration requise des certificats PKI. Lorsque Configuration Manager demande des certificats PKI lors de l’inscription d’appareils mobiles, utilisez services de domaine Active Directory et une autorité de certification d’entreprise. Pour tous les autres certificats PKI, déployez-les et gérez-les indépendamment de Configuration Manager.
Les certificats PKI sont requis lorsque les ordinateurs clients se connectent à des systèmes de site Basés sur Internet. La passerelle de gestion cloud nécessite également des certificats. Pour plus d’informations, consultez Gérer les clients sur Internet.
Lorsque vous utilisez une infrastructure à clé publique, vous pouvez également utiliser IPsec pour sécuriser la communication de serveur à serveur entre les systèmes de site d’un site, entre sites et pour d’autres transferts de données entre ordinateurs. L’implémentation d’IPsec est indépendante de Configuration Manager.
Lorsque les certificats PKI ne sont pas disponibles, Configuration Manager génère automatiquement des certificats auto-signés. Certains certificats dans Configuration Manager sont toujours auto-signés. Dans la plupart des cas, Configuration Manager gère automatiquement les certificats auto-signés, et vous n’avez pas à effectuer une autre action. Le certificat de signature du serveur de site en est un exemple. Ce certificat est toujours auto-signé. Il garantit que les stratégies que les clients téléchargent à partir du point de gestion ont été envoyées à partir du serveur de site et n’ont pas été falsifiées. Autre exemple, lorsque vous activez le site pour le protocole HTTP amélioré, le site émet des certificats auto-signés pour les rôles de serveur de site.
Importante
À compter de Configuration Manager version 2103, les sites qui autorisent la communication client HTTP sont déconseillés. Configurez le site pour HTTPS ou HTTP amélioré. Pour plus d’informations, consultez Activer le site pour HTTPS uniquement ou HTTP amélioré.
Certificats CNG v3
Configuration Manager prend en charge les certificats Cryptography : Next Generation (CNG) v3. Configuration Manager clients peuvent utiliser un certificat d’authentification client PKI avec une clé privée dans un fournisseur de stockage de clés CNG (KSP). Avec la prise en charge de KSP, les clients Configuration Manager prennent en charge les clés privées matérielles, telles qu’un KSP TPM pour les certificats d’authentification client PKI.
Pour plus d’informations, consultez Vue d’ensemble des certificats CNG v3.
HTTP amélioré
L’utilisation de la communication HTTPS est recommandée pour tous les chemins de communication Configuration Manager, mais elle est difficile pour certains clients en raison de la surcharge liée à la gestion des certificats PKI. L’introduction de l’intégration Microsoft Entra réduit certaines exigences de certificat, mais pas toutes. Vous pouvez à la place autoriser le site à utiliser http amélioré. Cette configuration prend en charge le protocole HTTPS sur les systèmes de site à l’aide de certificats auto-signés, ainsi que l’ID de Microsoft Entra pour certains scénarios. Il ne nécessite pas d’infrastructure à clé publique.
Pour plus d’informations, consultez HTTP amélioré.
Certificats pour la passerelle de gestion cloud
La gestion des clients sur Internet via la passerelle de gestion cloud (CMG) nécessite l’utilisation de certificats. Le nombre et le type de certificats varient en fonction de vos scénarios spécifiques.
Pour plus d’informations, consultez Liste de contrôle de configuration de la passerelle de gestion cloud.
Remarque
Le point de distribution cloud (CDP) est déconseillé. À compter de la version 2107, vous ne pouvez pas créer de nouvelles instances CDP. Pour fournir du contenu à des appareils Basés sur Internet, autorisez la passerelle de gestion cloud à distribuer du contenu. Pour plus d’informations, consultez Fonctionnalités déconseillées.
Pour plus d’informations sur les certificats d’un CDP, consultez Certificats pour le point de distribution cloud.
Certificat de signature du serveur de site
Le serveur de site crée toujours un certificat auto-signé. Il utilise ce certificat à plusieurs fins.
Les clients peuvent obtenir en toute sécurité une copie du certificat de signature du serveur de site à partir de services de domaine Active Directory et de l’installation push du client. Si les clients ne peuvent pas obtenir une copie de ce certificat par l’un de ces mécanismes, installez-le lorsque vous installez le client. Ce processus est particulièrement important si la première communication du client avec le site est avec un point de gestion basé sur Internet. Étant donné que ce serveur est connecté à un réseau non approuvé, il est plus vulnérable aux attaques. Si vous n’effectuez pas cette autre étape, les clients téléchargent automatiquement une copie du certificat de signature du serveur de site à partir du point de gestion.
Les clients ne peuvent pas obtenir en toute sécurité une copie du certificat de serveur de site dans les scénarios suivants :
Vous n’installez pas le client à l’aide de l’envoi (push) du client et :
Vous n’avez pas étendu le schéma Active Directory pour Configuration Manager.
Vous n’avez pas publié le site du client sur services de domaine Active Directory.
Le client provient d’une forêt ou d’un groupe de travail non approuvé.
Vous utilisez la gestion des clients basée sur Internet et vous installez le client lorsqu’il est sur Internet.
Pour plus d’informations sur l’installation des clients avec une copie du certificat de signature du serveur de site, utilisez la propriété de ligne de commande SMSSIGNCERT . Pour plus d’informations, consultez À propos des paramètres et des propriétés d’installation du client.
Fournisseur de stockage de clés liée au matériel
Configuration Manager utilise des certificats auto-signés pour l’identité du client et pour protéger la communication entre le client et les systèmes de site. Lorsque vous mettez à jour le site et les clients vers la version 2107 ou ultérieure, le client stocke son certificat à partir du site dans un fournisseur de stockage de clés lié au matériel (KSP). Ce KSP est généralement le module de plateforme sécurisée (TPM) au moins version 2.0. Le certificat est également marqué comme non exportable.
Si le client dispose également d’un certificat PKI, il continue à utiliser ce certificat pour la communication HTTPS TLS. Il utilise son certificat auto-signé pour signer des messages avec le site. Pour plus d’informations, consultez Configuration requise des certificats PKI.
Remarque
Pour les clients qui disposent également d’un certificat PKI, la console Configuration Manager affiche la propriété Certificat clientauto-signé. La propriété Certificat client du panneau de configuration client affiche l’infrastructure à clé publique.
Lorsque vous effectuez une mise à jour vers la version 2107 ou ultérieure, les clients avec des certificats PKI recréent des certificats auto-signés, mais ne se réinscriront pas auprès du site. Les clients sans certificat PKI se réinscriront auprès du site, ce qui peut entraîner un traitement supplémentaire sur le site. Assurez-vous que votre processus de mise à jour des clients autorise la randomisation. Si vous mettez à jour simultanément un grand nombre de clients, cela peut entraîner un backlog sur le serveur de site.
Configuration Manager n’utilise pas de TPM qui sont connus comme vulnérables. Par exemple, la version du module de plateforme sécurisée est antérieure à la version 2.0. Si un appareil a un module de plateforme sécurisée vulnérable, le client revient à utiliser un fournisseur de services clés basé sur un logiciel. Le certificat n’est toujours pas exportable.
Le support de déploiement du système d’exploitation n’utilise pas de certificats liés au matériel, il continue à utiliser des certificats auto-signés à partir du site. Vous créez le média sur un appareil doté de la console, mais il peut ensuite s’exécuter sur n’importe quel client.
Pour résoudre les problèmes de comportement des certificats, utilisez certificateMaintenance.log sur le client.