Partager via

Supprimer l’autorité de certification PKI Microsoft Cloud

  • Article

Supprimez une autorité de certification émettrice et racine du service PKI Cloud Microsoft dans Microsoft Intune. Vous pouvez utiliser les actions suivantes dans le Centre d’administration Microsoft Intune pour gérer les autorités de certification (CA) dans votre locataire :

  • Suspendre l’autorité de certification : suspendez l’autorité de certification pour arrêter son utilisation.
  • Révoquer l’autorité de certification : révoquez tous les certificats feuille actifs, puis révoquez l’autorité de certification.
  • Supprimer l’autorité de certification : supprimez et supprimez l’autorité de certification de Microsoft Intune.

Une autorité de certification racine ne peut pas être supprimée tant que toutes les autorités de certification émettrices ancrées n’ont pas été supprimées. Si vous changez d’avis après avoir suspendu une autorité de certification, vous pouvez la désamorcer pour reprendre l’utilisation. Toutefois, la révocation et la suppression d’une autorité de certification sont des actions permanentes qui ne peuvent pas être annulées.

Cet article explique comment supprimer une autorité de certification émettrice et une autorité de certification racine de Microsoft Intune à l’aide des actions disponibles dans le centre d’administration.

Exigences d’accès en fonction du rôle

Ces rôles d’administrateur peuvent supprimer les autorités de certification dans le Centre d’administration Microsoft Intune :

  • Administrateur Intune, un rôle Microsoft Entra intégré
  • Rôle Intune personnalisé avec les autorisations Intune suivantes :
    • Lire les autorités de certification
    • Désactiver et réactiver les autorités de certification
    • Révoquer les certificats feuille émis

Supprimer l’autorité de certification émettrice

Supprimez définitivement une autorité de certification émettrice de Microsoft Intune. Si vous essayez de supprimer une autorité de certification racine, effectuez d’abord ces étapes pour supprimer l’autorité de certification émettrice qui y est ancrée.

  1. Accédez à Administration >du locatairePKI cloud.

  2. Sélectionnez une autorité de certification émettrice active dans la liste des autorités de certification disponibles. La sélection d’une autorité de certification ouvre ses actions disponibles.

  3. Sélectionnez Suspendre.

    Exemple de capture d’écran mettant en évidence l’action Suspendre pour l’infrastructure à clé publique cloud.

  4. Sélectionnez à nouveau Suspendre lorsque vous êtes invité à confirmer.

    Remarque

    Après avoir suspendu une autorité de certification émettrice :

    • Il ne peut pas émettre de certificats feuille.
    • Il continue de répondre aux demandes de liste de révocation de certificats (CRL) et aux demandes AIA.

  5. Revenez à votre liste d’autorités de certification et choisissez Actualiser. Regardez ensuite sous la colonne État pour confirmer que l’autorité de certification émettrice est suspendue.

    Exemple de capture d’écran mettant en évidence la colonne État dans la table des autorités de certification.

  6. Sélectionnez l’autorité de certification suspendue pour ouvrir à nouveau toutes les options disponibles. Deux nouvelles options s’affichent :

    • Resume : cette option désamorce l’autorité de certification et la réactive.
    • Révoquer : cette option révoque l’autorité de certification émettrice.

  7. Sélectionnez Révoquer.

    Conseil

    Pour que cette action fonctionne, tous les certificats feuille actifs appartenant à l’autorité de certification doivent déjà être révoqués. Pour plus d’informations et pour connaître les étapes à suivre, consultez Révoquer des certificats feuille actifs dans cet article.

    Exemple de capture d’écran mettant en évidence l’action Révoquer pour l’autorité de certification.

  8. Sélectionnez à nouveau Révoquer lorsque vous êtes invité à confirmer.

    Importante

    Cette action ne peut pas être annulée.

    Remarque

    Après avoir révoqué une autorité de certification émettrice :

    • Il continue de répondre aux demandes de liste de révocation de certificats et d’AIA.
    • Il n’est plus approuvé par les parties de confiance qui effectuent une opération de chaîne d’approbation.
    • La liste de révocation de certificats de l’autorité de certification racine indique que le certificat d’autorité de certification émettrice est révoqué.
    • Tous les certificats feuilles existants émis par l’autorité de certification cessent d’être authentifiés.

  9. Revenez à votre liste d’autorités de certification et choisissez Actualiser. Regardez ensuite sous la colonne État pour vérifier que l’autorité de certification émettrice est révoquée.

    Exemple de capture d’écran de la liste de l’autorité de certification, mettant en évidence l’état révoqué.

  10. Sélectionnez l’autorité de certification révoquée pour ouvrir à nouveau toutes les options disponibles.

  11. L’option de suppression de l’autorité de certification doit être disponible maintenant. Sélectionnez Supprimer pour supprimer l’autorité de certification de Microsoft Intune.

    Exemple de capture d’écran mettant en évidence l’action de suppression pour une autorité de certification émettrice.

  12. Sélectionnez à nouveau Supprimer lorsque vous êtes invité à confirmer.

    Importante

    Cette action ne peut pas être annulée.

  13. Revenez à votre liste d’autorités de certification et choisissez Actualiser. Vérifiez que l’autorité de certification émettrice n’apparaît plus dans la liste.

Supprimer l’autorité de certification racine

Supprimez définitivement une autorité de certification racine de Microsoft Intune.

Conseil

Supprimez toutes les autorités de certification émettrices ancrées avant de supprimer l’autorité de certification racine.

  1. Accédez à Administration >du locatairePKI cloud.

  2. Sélectionnez une autorité de certification racine dans la liste des autorités de certification disponibles. La sélection d’une autorité de certification ouvre ses actions disponibles.

    Exemple de capture d’écran de la liste des autorités de certification, mettant en surbrillance une autorité de certification racine.

  3. Sélectionnez Supprimer pour supprimer l’autorité de certification de Microsoft Intune.

    Exemple de capture d’écran du centre d’administration mettant en évidence l’action de suppression pour l’autorité de certification racine.

  4. Sélectionnez à nouveau Supprimer lorsque vous êtes invité à confirmer.

    Importante

    Cette action ne peut pas être annulée.

  5. Revenez à votre liste d’autorités de certification et choisissez Actualiser. Vérifiez que l’autorité de certification racine n’apparaît plus dans la liste.

Révoquer les certificats feuille actifs

Lorsque vous essayez de révoquer une autorité de certification émettrice, il est important de révoquer d’abord tous ses certificats feuille actifs. Vous pouvez révoquer un certificat feuille à la fois d’une autorité de certification émettrice, ou vous pouvez révoquer en bloc des certificats feuille.

Révoquer un certificat feuille

  1. Dans le Centre d’administration Microsoft Intune, accédez à Administration >du locatairePKI cloud.
  2. Sélectionnez une autorité de certification émettrice.
  3. Choisissez Afficher tous les certificats.
  4. Sélectionnez un certificat feuille actif, puis choisissez Révoquer. Répétez cette étape sur chaque certificat feuille restant.

Révoquer tous les certificats feuille

Vous pouvez utiliser l’exemple de script PowerShell de cette section pour révoquer tous les certificats feuille appartenant à une autorité de certification. Le script récupère des informations de votre locataire Microsoft Intune sur l’infrastructure À clé publique Microsoft Cloud et révoque les certificats feuille pour une autorité de certification émettrice dans votre locataire.

  • Le script récupère tous les certificats feuilles et effectue l’action de révocation sur chacun d’eux.
  • Le script vous invite, en tant qu’administrateur, à confirmer que vous souhaitez révoquer tous les certificats feuille.
  • Le script a une configuration facultative que vous pouvez inclure qui envoie une invite de confirmation pour chaque certificat. La section du script étant commentée dans l’exemple, rajoutez-la si vous souhaitez exécuter ce composant.

Importante

Utilisez ce script avec précaution. Vous ne pouvez pas annuler l’action de révocation pour les certificats feuille.

  • Passez en revue l’exemple de script avant de l’exécuter pour mieux comprendre son fonctionnement et réfléchir à son impact sur votre locataire.
  • Exécutez d’abord l’exemple de script dans un compte de locataire de non-production ou de test.

Le script installe le module Microsoft Graph PowerShell, Microsoft.Graph. L’appareil qui exécute le script doit disposer de privilèges administratifs pour installer correctement le module.

La Connect-MgGraph commande doit être émise par un administrateur qui a l’autorisation de révoquer les certificats feuille sur l’autorité de certification émettrice.

L’ID d’autorité de certification est requis pour exécuter le script. Pour trouver ces informations dans le centre d’administration :

  1. Accédez à Administration >du locatairePKI cloud.

  2. Sélectionnez une autorité de certification émettrice.

  3. Examinez l’URL du navigateur pour trouver l’ID d’autorité de certification. La chaîne alphanumérique avec coupure d’union à la fin de l’URL est l’ID d’autorité de certification. Par exemple, dans l’URL suivante, l’ID d’autorité de certification est f12345-acf1-12ab-1b2a-1a1234567a89 :

    https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89

Exemple de script

Exécutez l’exemple de script PowerShell à partir d’une station de travail d’administration. Pour l’exécuter, vous devez disposer des autorisations Intune suivantes :

  • Lire les autorités de certification
  • Révoquer les certificats feuille émis
 param (
	[string]$caId = $(Read-Host "Input CaId")
	)

Install-Module Microsoft.Graph

Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"

Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"

### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"

# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")

if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
	Write-Host "Aborted"
	Stop-Transcript
	exit
}

# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
	Write-Host ""
	if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
	 	Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping" 
	 	continue
	}
	
    Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)" 
	
	# Uncomment next five lines to prompt for each cert
	# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
	# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
	# 	Write-Host "Skipping"
	# 	continue
	# }
	
	$currentCertId = $($leafCert.id)
	$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }

	Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}