Prérequis pour les profils de certificat dans Configuration Manager
S’applique à : Gestionnaire de Configuration (branche actuelle)
Les profils de certificat dans Configuration Manager ont des dépendances externes et des dépendances dans le produit.
Importante
À compter de la version 2203, cette fonctionnalité d’accès aux ressources d’entreprise n’est plus prise en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.
Dépendances externes à Configuration Manager
Dépendance | Plus d'informations |
---|---|
Une autorité de certification émettrice d’entreprise qui exécute les services de certificats Active Directory (AD CS). Pour révoquer des certificats, le compte d’ordinateur du serveur de site situé en haut de la hiérarchie nécessite des droits Émettre et gérer des certificats pour chaque modèle de certificat utilisé par un profil de certificat dans Configuration Manager. Vous pouvez également accorder des autorisations de Gestionnaire de certificats pour accorder des autorisations sur tous les modèles de certificat utilisés par cette autorité de certification L’approbation du gestionnaire pour les demandes de certificat est prise en charge. Toutefois, les modèles de certificat utilisés pour émettre des certificats doivent être configurés pour Fournir dans la demande pour l’objet du certificat afin que Configuration Manager puissiez fournir automatiquement cette valeur. |
Pour plus d’informations sur les services de certificats Active Directory, consultez Vue d’ensemble des services de certificats Active Directory. |
Utilisez le script PowerShell pour vérifier et, si nécessaire, installer les prérequis pour le service de rôle NDES (Network Device Enrollment Service) et le point d’inscription de certificat Configuration Manager. |
Le fichier d’instructions, readme_crp.txt, se trouve dans ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. Le script PowerShell, Test-NDES-CRP-Prereqs.ps1, se trouve dans le même répertoire que les instructions. Le script PowerShell doit être exécuté localement sur le serveur NDES. |
Service de rôle NDES (Network Device Enrollment Service) pour les services de certificats Active Directory, exécuté sur Windows Server 2012 R2. De plus : Les numéros de port autres que TCP 443 (pour HTTPS) ou TCP 80 (pour HTTP) ne sont pas pris en charge pour la communication entre le client et le service d’inscription de périphérique réseau. Le serveur qui exécute le service d’inscription de périphérique réseau doit se trouver sur un serveur différent de l’autorité de certification émettrice. |
Configuration Manager communique avec le service d’inscription de périphérique réseau dans Windows Server 2012 R2 pour générer et vérifier les demandes SCEP (Simple Certificate Enrollment Protocol). Si vous souhaitez émettre des certificats à des utilisateurs ou des appareils qui se connectent à partir d’Internet, tels que des appareils mobiles gérés par Microsoft Intune, ces appareils doivent pouvoir accéder au serveur qui exécute le service d’inscription de périphérique réseau à partir d’Internet. Par exemple, installez le serveur dans un réseau de périmètre (également appelé zone DMZ, zone démilitarisée et sous-réseau filtré). Si vous disposez d’un pare-feu entre le serveur qui exécute le service d’inscription de périphérique réseau et l’autorité de certification émettrice, vous devez configurer le pare-feu pour autoriser le trafic de communication (DCOM) entre les deux serveurs. Cette exigence de pare-feu s’applique également au serveur exécutant le serveur de site Configuration Manager et à l’autorité de certification émettrice, afin que Configuration Manager puissiez révoquer des certificats. Si le service d’inscription de périphérique réseau est configuré pour exiger SSL, une bonne pratique de sécurité consiste à s’assurer que les appareils connectés peuvent accéder à la liste de révocation de certificats (CRL) pour valider le certificat de serveur. Pour plus d’informations sur le service d’inscription des appareils réseau, consultez Utilisation d’un module de stratégie avec le service d’inscription de périphérique réseau. |
Un certificat d’authentification client PKI et un certificat d’autorité de certification racine exporté. | Ce certificat authentifie le serveur qui exécute le service d’inscription de périphérique réseau pour Configuration Manager. Pour plus d’informations, consultez Configuration requise des certificats PKI pour les Configuration Manager. |
Systèmes d’exploitation d’appareil pris en charge. | Vous pouvez déployer des profils de certificat sur des appareils qui exécutent Windows 8.1, Windows RT 8.1 et Windows 10. |
dépendances Configuration Manager
Dépendance | Plus d'informations |
---|---|
Rôle de système de site de point d’inscription de certificat | Avant de pouvoir utiliser des profils de certificat, vous devez installer le rôle de système de site du point d’inscription de certificat. Ce rôle communique avec la base de données Configuration Manager, le serveur de site Configuration Manager et le module de stratégie de Configuration Manager. Pour plus d’informations sur la configuration système requise pour ce rôle de système de site et sur l’emplacement d’installation du rôle dans la hiérarchie, consultez la section Configuration requise du système de site dans l’article Configurations prises en charge pour Configuration Manager. Le point d’inscription de certificat ne doit pas être installé sur le serveur qui exécute le service d’inscription de périphérique réseau. |
Configuration Manager module de stratégie installé sur le serveur qui exécute le service de rôle Service d’inscription de périphérique réseau pour les services de certificats Active Directory | Pour déployer des profils de certificat, vous devez installer le module de stratégie de Configuration Manager. Vous trouverez ce module de stratégie sur le support d’installation Configuration Manager. |
Données de découverte | Les valeurs de l’objet du certificat et de l’autre nom de l’objet sont fournies par Configuration Manager et récupérées à partir des informations collectées à partir de la découverte : Pour les certificats utilisateur : Découverte d’utilisateurs Active Directory Pour les certificats d’ordinateur : Découverte du système Active Directory et découverte du réseau |
Autorisations de sécurité spécifiques pour gérer les profils de certificat | Vous devez disposer des autorisations de sécurité suivantes pour gérer les paramètres d’accès aux ressources de l’entreprise, tels que les profils de certificat, les profils de Wi-Fi et les profils VPN : Pour afficher et gérer les alertes et les rapports pour les profils de certificat : Créer, Supprimer, Modifier, Modifier le rapport, Lire et Exécuter le rapport pour l’objet Alerts . Pour créer et gérer des profils de certificat : Créer une stratégie, Modifier le rapport, Lire et Exécuter le rapport pour l’objet Profil de certificat . Pour gérer les déploiements wi-fi, de certificat et de profil VPN : déployez des stratégies de configuration, modifiez l’alerte d’état du client, lisez et lisez la ressource pour l’objet Collection . Pour gérer toutes les stratégies de configuration : Créer, Supprimer, Modifier, Lire et Définir l’étendue de sécurité pour l’objet Stratégie de configuration . Pour exécuter des requêtes liées aux profils de certificat : autorisation de lecture pour l’objet Query . Pour afficher les informations des profils de certificat dans la console Configuration Manager : Autorisation de lecture pour l’objet Site. Pour afficher les messages d’état pour les profils de certificat : autorisation de lecture pour l’objet Messages d’état . Pour créer et modifier le profil de certificat d’autorité de certification approuvée : Créer une stratégie, Modifier le rapport, Lire et Exécuter le rapport pour l’objet Profil de certificat d’autorité de certification approuvée . Pour créer et gérer des profils VPN : Créer une stratégie, Modifier le rapport, Lire et Exécuter le rapport pour l’objet Profil VPN . Pour créer et gérer Wi-Fi profils : Créer une stratégie, Modifier le rapport, Lire et Exécuter le rapport pour l’objet Profil Wi-Fi . Le rôle de sécurité Gestionnaire d’accès aux ressources de l’entreprise inclut ces autorisations requises pour gérer les profils de certificat dans Configuration Manager. Pour plus d’informations, consultez la section Configurer l’administration basée sur les rôles dans l’article Configurer la sécurité . |