Planification d'autorisations de modèles de certificat pour les profils de certificat dans Configuration Manager

Les autorisations de sécurité requises pour les modèles de certificat que Configuration Manager utilisera pour demander des certificats pour les utilisateurs et les périphériques sont les suivantes :

• Lecture et Inscription pour le compte utilisé par le pool d'applications du service d'inscription de périphériques réseau

• Lecture pour le compte qui exécute la console Configuration Manager

Pour plus d'informations sur ces autorisations de sécurité, consultez Étape 1 : Installer et configurer le service d'inscription d'appareils réseau et les dépendances dans Configuration des profils de certificat dans Configuration Manager.

Lorsque vous utilisez cette configuration par défaut, les utilisateurs et les périphériques ne peuvent pas demander directement des certificats depuis les modèles de certificat et toutes les demandes doivent être lancées par le service d'inscription de périphériques réseau. Il s'agit d'une restriction importante car ces modèles de certificat doivent être configurés avec Fourni dans la demande comme objet de certificat, ce qui signifie qu'il existe un risque d'emprunt d'identité si un utilisateur non autorisé ou un périphérique compromis a demandé un certificat. Dans la configuration par défaut, le service d'inscription de périphériques réseau doit lancer une telle demande. Toutefois, ce risque d'emprunt d'identité demeure si le service qui exécute le service d'inscription de périphériques réseau est compromis. Afin d'éviter ce risque, suivez toutes les meilleures pratiques de sécurité pour le service d'inscription de périphériques réseau et l'ordinateur qui exécute ce service de rôle.

Si les autorisations de sécurité par défaut ne répondent pas à vos besoins, vous avez une autre option pour configurer les autorisations de sécurité sur les modèles de certificat : Vous pouvez ajouter des autorisations Lecture et Inscription pour les utilisateurs et les ordinateurs

L'ajout d'autorisations Lecture et Inscription pour les utilisateurs et les ordinateurs peut être adapté si une équipe distincte gère votre équipe d'infrastructure d'autorité de certification et qu'elle veut que Configuration Manager vérifie que les utilisateurs disposent d'un compte Active Directory Domain Services valide avant de leur envoyer un profil de certificat pour demander un certificat utilisateur. Pour cette configuration, vous devez spécifier un ou plusieurs groupes de sécurité contenant les utilisateurs et leur accorder des autorisations Lecture et Inscription sur les modèles de certificat. Dans ce scénario, l'administrateur de l'autorité de certification gère le contrôle de sécurité.

Vous pouvez également spécifier un ou plusieurs groupes de sécurité qui contiennent des comptes d'ordinateur et accorder à ces groupes des autorisations Lecture et Inscription sur les modèles de certificat. Si vous déployez un profil de certificat d'ordinateur sur un ordinateur membre du domaine, le compte d'ordinateur de cet ordinateur doit bénéficier des autorisations Lecture et Inscription. Ces autorisations ne sont pas requises si l'ordinateur n'est pas membre du domaine, par exemple, s'il s'agit d'un ordinateur de groupe de travail ou d'un périphérique mobile personnel.

Bien que cette configuration utilise un contrôle de sécurité supplémentaire, nous ne la recommandons pas comme meilleure pratique. En effet, les utilisateurs ou les propriétaires spécifiés des périphériques pourraient demander des certificats indépendamment de Configuration Manager, et fournir des valeurs pour l'objet du certificat qui pourraient être utilisées pour emprunter l'identité d'un autre utilisateur ou d'un autre périphérique.

En outre, si vous spécifiez des comptes qui ne peuvent pas être authentifiés au moment de la demande du certificat, par défaut, la demande de certificat échoue. Par exemple, la demande de certificat échoue si le serveur exécutant le service d'inscription de périphériques réseau se trouve dans une forêt Active Directory non approuvée par la forêt contenant le serveur de système de site du point d'enregistrement de certificat. Vous pouvez configurer le point d'enregistrement de certificat afin qu'il continue si un compte ne peut pas être authentifié car un contrôleur de domaine ne répond pas. Toutefois, il ne s'agit pas d'une meilleure pratique de sécurité.

Notez que si le point d'enregistrement de certificat est configuré pour rechercher des autorisations de compte et qu'un contrôleur de domaine est disponible et rejette la demande d'authentification (par exemple, le compte est verrouillé ou a été supprimé), la demande d'inscription de certificat échouera.