Partager via


Sécurité et confidentialité des profils de certificat dans Configuration Manager

S’applique à : Gestionnaire de Configuration (branche actuelle)

Importante

À compter de la version 2203, cette fonctionnalité d’accès aux ressources d’entreprise n’est plus prise en charge. Pour plus d’informations, consultez Forum aux questions sur la dépréciation de l’accès aux ressources.

Conseils de sécurité

Utilisez les conseils suivants lorsque vous gérez les profils de certificat pour les utilisateurs et les appareils.

Suivez les instructions de sécurité pour le service d’inscription de périphérique réseau (NDES)

Identifiez et suivez les instructions de sécurité pour NDES. Par exemple, configurez le site web NDES dans Internet Information Services (IIS) pour exiger HTTPS et ignorer les certificats clients.

Pour plus d’informations, consultez Guide du service d’inscription de périphérique réseau.

Choisir les options les plus sécurisées pour les profils de certificat

Lorsque vous configurez des profils de certificat SCEP, choisissez les options les plus sécurisées que les appareils et votre infrastructure peuvent prendre en charge. Identifiez, implémentez et suivez les instructions de sécurité recommandées pour vos appareils et votre infrastructure.

Spécifier de manière centralisée l’affinité entre l’utilisateur et l’appareil

Spécifiez manuellement l’affinité entre utilisateur et appareil au lieu d’autoriser les utilisateurs à identifier leur appareil principal. N’activez pas la configuration basée sur l’utilisation.

Si vous utilisez l’option dans un profil de certificat SCEP pour Autoriser l’inscription de certificat uniquement sur l’appareil principal de l’utilisateur, ne considérez pas les informations collectées auprès des utilisateurs ou de l’appareil comme faisant autorité. Si vous déployez des profils de certificat SCEP avec cette configuration et qu’un utilisateur administratif approuvé ne spécifie pas l’affinité entre les appareils utilisateur, les utilisateurs non autorisés peuvent recevoir des privilèges élevés et obtenir des certificats pour l’authentification.

Remarque

Si vous activez la configuration basée sur l’utilisation, ces informations sont collectées à l’aide de messages d’état. Configuration Manager ne sécurise pas les messages d’état. Pour atténuer cette menace, utilisez la signature SMB ou IPsec entre les ordinateurs clients et le point de gestion.

Gérer les autorisations du modèle de certificat

N’ajoutez pas les autorisations Lecture et Inscription pour les utilisateurs aux modèles de certificat. Ne configurez pas le point d’enregistrement de certificat pour ignorer la vérification du modèle de certificat.

Configuration Manager prend en charge la vérification supplémentaire si vous ajoutez les autorisations de sécurité de lecture et d’inscription pour les utilisateurs. Si l’authentification n’est pas possible, vous pouvez configurer le point d’enregistrement de certificat pour ignorer cette vérification. Mais aucune des deux configurations n’est recommandée.

Pour plus d’informations, consultez Planification des autorisations de modèle de certificat pour les profils de certificat.

Informations sur la confidentialité

Vous pouvez utiliser des profils de certificat pour déployer l’autorité de certification racine et les certificats clients, puis évaluer si ces appareils deviennent conformes une fois que le client a appliqué les profils. Le point de gestion envoie des informations de conformité au serveur de site et Configuration Manager stocke ces informations dans la base de données du site. Les informations de conformité incluent des propriétés de certificat telles que le nom de l’objet et l’empreinte numérique. Le client chiffre ces informations lorsqu’elles sont envoyées au point de gestion, mais la base de données du site ne les stocke pas dans un format chiffré. Les informations de conformité ne sont pas envoyées à Microsoft.

Les profils de certificat utilisent des informations que Configuration Manager collecte à l’aide de la découverte. Pour plus d’informations, consultez Informations de confidentialité pour la découverte.

Par défaut, les appareils n’évaluent pas les profils de certificat. Vous devez configurer les profils de certificat, puis les déployer sur des utilisateurs ou des appareils.

Remarque

Les certificats émis aux utilisateurs ou aux appareils peuvent autoriser l’accès aux informations confidentielles.