Demande de certificats pour les terminaux gérés par Microsoft Intune

Dans un monde en réseau, travailler de n'importe où est devenu la norme, et travailler avec des terminaux mobiles tels que des smartphones ou des tablettes en plus des ordinateurs de bureau classiques. Ces terminaux sont généralement connectés au moyen de Gestion des dispositifs mobiles (MDM) systèmes comme Microsoft Intune.

Pour accéder aux ressources de l'entreprise, les utilisateurs de terminaux mobiles ont généralement besoin de certificats numériques pour prouver leur identité. Il est donc nécessaire de mettre à disposition de ces appareils une interface automatisable et néanmoins sécurisée pour la demande de ces certificats.

La demande de certificat pour les terminaux gérés avec Microsoft Intune se heurte au fait que les appareils ne sont pas connectés au réseau de l'entreprise comme les ordinateurs de bureau classiques, mais sont généralement gérés par téléphonie mobile (en anglais Over the Air, OTA).

De même, les appareils (contrairement à leurs utilisateurs) ne disposent pas d'un compte dans le service d'annuaire Active Directory.

Microsoft a donc décidé de représenter la demande de certificat pour les terminaux gérés avec Intune par le service d'enregistrement des appareils de réseau (Network Device Enrollment Service, NDES).

Le service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES) offre la possibilité de demander des certificats auprès d'une autorité de certification pour les périphériques qui ne disposent pas d'un identifiant dans Active Directory (par exemple les périphériques réseau tels que les routeurs, les commutateurs, les imprimantes, les clients légers ou les smartphones et tablettes). Pour une description plus détaillée, voir l'article "Principes de base du service d'enregistrement des périphériques réseau (Network Device Enrollment Service, NDES)„ .

Fonctionnement

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Le Intune Certificate Connector est installé sur le serveur NDES. Celui-ci apporte un module de politique pour NDES, de sorte que ce serveur NDES ne peut plus être utilisé en dehors d'Intune.

Intune demande un mot de passe à usage unique (One time password, OTP) au serveur NDES pour le terminal géré concerné.
Le mot de passe à usage unique est transmis au terminal géré. Dans la foulée, l'adresse publique du serveur NDES est également communiquée au terminal.
Le terminal géré crée alors une demande de certificat et demande maintenant au serveur NDES, via Internet, un certificat pour l'utilisateur en utilisant l'OTP reçu.
Le serveur NDES transmet la demande de certificat par MS-WCCE à l'autorité de certification.

Comme on peut le voir dans la procédure et la documentation correspondante, le serveur NDES doit être accessible depuis Internet :

Pour permettre aux périphériques sur Internet d'obtenir des certificats, vous devez publier votre URL NDES à l'extérieur de votre réseau d'entreprise. Pour ce faire, vous pouvez utiliser un proxy inverse tel que Proxy d'application Azure AD, Le serveur proxy d'applications web de Microsoftou un service ou dispositif tiers de proxy inverse.
Configurer l'infrastructure pour prendre en charge SCEP avec Intune (Microsoft Corporation)

Liens complémentaires :

Sources externes

Connecteur de certificats pour Microsoft Intune (Microsoft Corporation)
Configurer l'infrastructure pour prendre en charge SCEP avec Intune (Microsoft Corporation)