Contexte : Argos déploie le Wi-Fi 802.1x et le VPN par certificat
😓
Avant : mots de passe partagés
Le Wi-Fi WPA2-PSK d'Argos utilise un mot de passe partagé. Quand un consultant quitte l'entreprise, il faut changer le mot de passe sur tous les appareils. Le VPN utilise des credentials utilisateur : risque de phishing.
🔐
Avec les certificats Intune
Chaque appareil reçoit un certificat unique émis par la CA Argos. Le Wi-Fi 802.1x et le VPN utilisent ce certificat pour l'authentification. Quand un appareil est désinscrit d'Intune, le certificat est révoqué automatiquement.
🏛️
L'infrastructure PKI Argos
🖥️ Root CA offline (Windows Server 2022)
🖥️ Issuing CA (Enterprise CA, en ligne)
🔌 Certificate Connector v6.2510.3.3007
🌐 NDES server (pour SCEP)
📜 Templates : Wi-Fi Device, VPN User
💡 Les certificats Intune servent trois cas d'usage : Authentification (Wi-Fi 802.1x, VPN, apps) · Signature S/MIME (emails signés) · Chiffrement S/MIME (emails chiffrés). Les cas d'usage et les types de certificats à utiliser dépendent du scénario.
1
Les 4 types de profils de certificats Intune
Clique sur un type pour voir sa description, ses cas d'usage et ses prérequis.
🏛️
Trusted Certificate
Certificat racine / intermédiaire
🔄
SCEP Certificate
Simple Certificate Enrollment Protocol
📦
PKCS Certificate
Public Key Cryptography Standards #12
📥
PKCS Imported
Même certificat sur plusieurs devices
↑ Sélectionne un type de certificat pour voir ses détails.
⚠️ Ordre obligatoire : le profil Trusted Certificate (certificat racine) DOIT être déployé avant tout profil SCEP ou PKCS. Sans la confiance établie envers la CA, les certificats ne peuvent pas être validés par les appareils.
2
SCEP vs PKCS : Choisir le bon type
🔄 SCEP : Simple Certificate Enrollment Protocol
Unicité du certificat
✓ Unique par requête : chaque appareil génère sa propre paire de clés
User affinity requise
Non : supporte les kiosques/appareils sans utilisateur
Infrastructure requise (Microsoft CA)
CA Entreprise + NDES + Certificate Connector
Infrastructure (tierce CA)
Intégration directe tierce CA : pas de connecteur Intune
Flux de délivrance
Appareil → NDES → CA → Appareil (la clé privée ne quitte jamais l'appareil)
Cas d'usage Argos
Wi-Fi 802.1x device cert (tous les PC), kiosques d'accueil
Complexité infra
Plus complexe (NDES)
S/MIME chiffrement
Non : utiliser PKCS Imported
📦 PKCS : Public Key Cryptography Standards #12
Unicité du certificat
✓ Unique par device/user : émis par le connecteur
User affinity requise
Oui pour type "User" Non pour type "Device"
Infrastructure requise
CA Entreprise + Certificate Connector (pas de NDES)
💡 Règle de décision Argos : Wi-Fi 802.1x sur tous les PC (y compris salles partagées) → SCEP (device cert, pas d'user affinity requise, clé privée générée sur l'appareil). VPN pour les consultants → PKCS (user cert, plus simple à déployer, le connecteur gère tout). S/MIME chiffrement → PKCS Imported (même cert déchiffrement sur tous les appareils du même utilisateur).
3
Infrastructure SCEP : Flux de délivrance des certificats
Clique sur chaque composant pour comprendre son rôle dans le flux SCEP.
💻
Appareil Intune
Windows 11 / iOS / Android
→
☁️
Service Intune
Profil SCEP + challenge token
→
🌐
NDES Server
Network Device Enrollment Service
→
🔌
Certificate Connector
Sur le serveur NDES
→
🏛️
Issuing CA
Active Directory CS
↑ Sélectionne un composant pour voir son rôle dans le flux SCEP.
Différence infrastructure SCEP vs PKCS
SCEP (Microsoft CA)
✓ CA Entreprise Active Directory✓ NDES server role installé✓ Certificate Connector (sur le NDES)✓ Template de certificat configuré✓ Ports : 443 (HTTPS) vers NDES depuis Internet
PKCS (Microsoft CA)
✓ CA Entreprise Active Directory✓ Certificate Connector uniquement✗ NDES non requis✓ Template de certificat configuré✓ Connecteur → Intune : 443 (sortant)
Le bouton Add télécharge l'installeur IntuneCertificateConnector.exe.
Version actuelle : 6.2510.3.3007 (18/05/2026)
Le connecteur unifié remplace depuis juillet 2021 l'ancien PFX Certificate Connector et le Microsoft Intune Connector (NDES). Un seul binaire pour toutes les fonctions.
💡 Max 100 instances du connecteur par tenant. Plusieurs connecteurs = haute disponibilité et répartition de charge. Toutes les instances doivent avoir la même version (mise à jour automatique via autoupdate.msappproxy.net:443).
Étape 1 / 5
Étape 2 : Prérequis du serveur hôte
OS et logiciels
Windows Server 2016/2019/2022
.NET Framework 4.7.2+ installé
TLS 1.2 activé
Accès internet sortant : 443
Compte de service
SYSTEM local ou compte de domaine
Droit "Log on as a service"
Accès en émission sur la CA cible
⛔ Ne pas installer le Certificate Connector sur le même serveur que le Intune Connector for Active Directory (utilisé pour Autopilot Hybrid join). Les deux ne sont pas compatibles sur le même serveur.
Étape 2 / 5
Étape 3 : Lancer l'installeur
Exécuter IntuneCertificateConnector.exe en tant qu'administrateur sur le serveur.
Fonctionnalités à sélectionner pendant l'installation :
💡 Tu peux sélectionner toutes les fonctionnalités sur un seul connecteur. Pour SCEP, le rôle NDES doit être installé sur ce même serveur. Pour PKCS seul, NDES n'est pas nécessaire.
Étape 3 / 5
Étape 4 : Configurer le connecteur (wizard post-install)
Le wizard de configuration démarre automatiquement après l'installation, ou via C:\Program Files\Microsoft Intune\ConnectorUI\ConnectorUI.exe.
PowerShell : Si erreur SCEP : vérifier le compte de service NDES
# Vérifier que le service CertSvc (CA) est accessible depuis le connecteurTest-NetConnection-ComputerName"argos-ca.argos.local"-Port135# Vérifier les logs du connecteur dans l'Event ViewerGet-WinEvent-LogName"Microsoft-Intune-Certificate Connectors/Admin"-MaxEvents50|Where-Object { $_.Level -eq2 } # Level 2 = Error# Forcer la mise à jour automatique du connecteurRestart-Service"Microsoft Intune Certificate Connector Updater"
Étape 4 / 5
Étape 5 : Vérifier l'état du connecteur dans Intune
Tenant administration → Connectors and tokens → Certificate connectors
🔌 ARGOS-NDES-SRV01
Version 6.2510.3.3007 · Mis à jour le 19/05/2026
✓ Active
✓ PKCS✓ PKCS Import✓ SCEP✓ Revocation
🔌 ARGOS-NDES-SRV02 (failover)
Version 6.2406.0.2002 · Mis à jour le 22/07/2025
⚠️ Version ancienne
✓ PKCS✓ SCEP✗ PKCS Import✓ Revocation
⚠️ SRV02 tourne sur une version ancienne (cycle de vie : 6 mois de support, puis encore 12 mois fonctionnel). À mettre à jour via l'auto-update ou manuellement. Les deux connecteurs doivent idéalement être à la même version pour une cohérence de comportement.
⚠️ Pour Android 11+ en mode Device Administrator, le profil Trusted Certificate ne peut plus installer le certificat racine sur le device (sauf Samsung Knox). Android Device Administrator est d'ailleurs déprécié : migrer vers Android Enterprise Work Profile.
💡 Règle pratique : 1 profil = 1 plateforme. Si tu déploies des certificats SCEP Wi-Fi sur iOS ET Windows, tu dois créer 2 profils SCEP séparés (un par plateforme), même si la configuration est identique.
🔄 Simulateur de renouvellement de certificat
Intune renouvelle automatiquement les certificats SCEP/PKCS avant expiration. Clique sur un appareil pour voir son état et simuler une action.
AppareilSujet du certificatExpirationStatut
LAPTOP-ARGOS-001 Windows 11 · Entra JoinedCN=jdupont@argos.fr OU=Argos-WiFi28/08/2026✓ Valide
⭐ FondamentaleQuel profil de certificat Intune doit OBLIGATOIREMENT être déployé en premier, avant tout profil SCEP ou PKCS ?
⭐ FondamentaleArgos veut déployer des certificats Wi-Fi 802.1x sur 80 PC Windows ET sur 15 iPhones. Combien de profils SCEP doit-on créer dans Intune ?
⭐ FondamentaleQuelle est la différence entre SCEP et PKCS pour la clé privée du certificat ?
⭐ FondamentaleArgos veut que le Certificate Connector soit mis à jour automatiquement vers les nouvelles versions. Quel endpoint réseau doit être accessible depuis le serveur hébergeant le connecteur ?
⭐⭐ AvancéeLe DSI Argos veut chiffrer les emails des directeurs avec S/MIME. Plusieurs directeurs utilisent Outlook sur PC, iPhone et Mac. Chaque directeur doit pouvoir déchiffrer des emails reçus sur n'importe lequel de ses appareils. Quel type de profil de certificat Intune est adapté ?
⭐⭐ AvancéeArgos déploie SCEP avec une Microsoft CA. Le kiosque d'accueil (appareil Windows sans utilisateur connecté) ne reçoit pas son certificat Wi-Fi. PKCS est utilisé avec type "User". Quelle est la cause probable et la solution ?
⚠️ Réponds à toutes les questions avant de valider.