Préparer les certificats et les profils réseau pour le Bureau géré Microsoft
L'authentification par certificat est une exigence courante pour les clients qui utilisent Microsoft Managed Desktop. Vous pourriez avoir besoin de certificats pour :
- Accès Wi-Fi ou LAN
- Se connecter à des solutions VPN
- Accéder aux ressources internes de votre organisation
Étant donné que les appareils Microsoft Managed Desktop sont joints à Microsoft Entra ID et gérés par Microsoft Intune, vous devez déployer ces certificats à l’aide de :
- le protocole SCEP (Simple Certificate Enrollment Protocol), ou
- Infrastructure de certificats PKCS ( de Public Key Cryptography Standard ) qui est intégrée à Intune.
Spécifications des certificats
Les certificats racine sont nécessaires pour déployer des certificats via une infrastructure SCEP ou PKCS. D'autres applications et services de votre organisation peuvent nécessiter des certificats racine pour être déployés sur vos appareils Microsoft Managed Desktop.
Avant de déployer des certificats SCEP ou PKCS dans Microsoft Managed Desktop, vous devez rassembler les exigences pour chaque service qui nécessite un certificat d'utilisateur ou de périphérique dans votre organisation. Pour faciliter cette activité, vous pouvez utiliser l'un des modèles de planification suivants :
Exigences en matière de connectivité Wi-Fi
Pour permettre à un appareil de recevoir automatiquement la configuration Wi-Fi requise pour votre réseau d'entreprise, vous pouvez avoir besoin d'un profil de configuration Wi-Fi.
Vous pouvez configurer Microsoft Managed Desktop pour déployer ces profils sur vos appareils. Si la sécurité de votre réseau exige que les appareils fassent partie du domaine local, vous devrez peut-être évaluer votre infrastructure de réseau Wi-Fi pour vous assurer qu'elle est compatible avec les appareils Microsoft Managed Desktop. Les appareils Microsoft Managed Desktop sont Microsoft Entra joints uniquement.
Avant de déployer une configuration Wi-Fi sur les appareils Microsoft Managed Desktop, vous devrez recueillir les exigences de votre organisation pour chaque réseau Wi-Fi. Pour faciliter cette activité, vous pouvez utiliser ce modèle de profil WiFi.
Exigences de connectivité filaire et authentification 802.1x
Si vous utilisez l'authentification 802.1x pour sécuriser l'accès des appareils à votre réseau local (LAN), vous devez transmettre les détails de configuration requis à vos appareils Microsoft Managed Desktop.
Les appareils Microsoft Managed Desktop exécutant Windows 10, version 1809 ou ultérieure prennent en charge le déploiement d'une configuration 802.1x via le fournisseur de services de configuration (CSP) WiredNetwork. Pour plus d'informations, voir la documentation de WiredNetwork CSP.
Avant de déployer un profil de configuration de réseau câblé sur les appareils Microsoft Managed Desktop, rassemblez les exigences de votre organisation pour votre réseau d'entreprise câblé.
Pour rassembler les exigences du réseau d'entreprise câblé :
- Connectez-vous à un appareil sur lequel votre profil 802.1x existant est configuré et qui est connecté au réseau local.
- Ouvrez une invite de commande avec des informations d'identification administratives.
- Trouvez le nom de l'interface LAN en exécutant
netsh interface show interface
. - Exportez le profil LAN XML en exécutant
netsh lan export profile folder=. Interface=”interface_name”
. - Si vous devez tester votre profil exporté sur un appareil de Microsoft Managed Desktop, exécutez
netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME"
.
Déployer l'infrastructure de certificats
Si vous disposez déjà d'une infrastructure SCEP ou PKCS avec Intune et que cette approche répond à vos besoins, vous pouvez également l'utiliser pour Microsoft Managed Desktop.
Si aucune infrastructure SCEP ou PKCS n'existe déjà, vous devrez en préparer une. Pour plus d’informations, consultez Configurer un profil de certificat pour vos appareils dans Microsoft Intune.
Déployer un profil de réseau local
Une fois que votre profil de réseau local a été exporté, vous pouvez préparer la stratégie pour Microsoft Managed Desktop.
Pour préparer la stratégie pour Microsoft Managed Desktop :
- Créez un profil personnalisé dans Microsoft Intune pour le profil de réseau local en utilisant les paramètres suivants (voir Utiliser des paramètres personnalisés pour les appareils Windows 10 dans Intune ). Dans Paramètres OMA-URI personnalisés, sélectionnez Ajouter, puis entrez les valeurs suivantes :
- Nom : Lieu de travail moderne-Windows 10 Profil LAN
- Description : entrez une description qui donne une vue d’ensemble du paramètre et tout autre détail important.
- OMA-URI (sensible à la casse) : Entrez
./Device/Vendor/MSFT/WiredNetwork/LanXML
- Type de données : Sélectionnez String (fichier XML).
- XML personnalisé : Téléchargez le fichier XML exporté.
- Affectez le profil personnalisé au groupe Appareils de travail modernes – Test.
- Effectuez les tests que vous jugez nécessaires à l'aide d'un appareil qui se trouve dans le groupe de déploiement Test. En cas de succès, affectez le profil personnalisé aux groupes suivants :
- Appareils de travail modernes – Premier
- Appareils de travail modernes – rapide
- Appareils modernes pour le travail – Large
Déployer les certificats et le profil Wi-Fi/VPN
Pour déployer les certificats et les profils :
- Créez un profil pour chacun des certificats racine et intermédiaire (voir Créer des profils de certificats de confiance. Chacun de ces profils doit avoir une description qui comprend une date d'expiration au format JJ/MM/AAAA. Les profils de certificat doivent avoir une date d'expiration.
- Créez un profil pour chaque certificat SCEP ou PKCS (voir Créer un profil de certificat SCEP ou Créer un profil de certificat PKCS). Chacun de ces profils doit avoir une description qui comprend une date d'expiration au format JJ/MM/AAAA. Les profils de certificat doivent avoir une date d'expiration.
- Créez un profil pour chaque réseau Wi-Fi d'entreprise (voir Paramètres Wi-Fi pour les appareils Windows 10 et ultérieurs).
- Créez un profil pour chaque VPN d'entreprise (voir Paramètres des appareils Windows 10 et Windows Holographic pour ajouter des connexions VPN à l'aide d 'Intune).
- Affectez les profils au groupe Appareils de travail modernes – Tes.
- Effectuez les tests que vous jugez nécessaires à l'aide d'un appareil qui se trouve dans le groupe de déploiement Test. En cas de succès, affectez le profil personnalisé aux groupes suivants :
- Appareils de travail modernes – Premier
- Appareils de travail modernes – rapide
- Appareils modernes pour le travail – Large