Déploiement de certificats WiFi Microsoft Intune via SCEP et PKCS

Ce guide fournit une référence technique étape par étape pour le déploiement de certificats d'authentification WiFi via Microsoft Intune à l'aide de SCEP et PKCS. Il est conçu pour les responsables informatiques et les architectes réseau qui implémentent le WiFi 802.1X sans mot de passe afin de garantir une connectivité fluide et sécurisée dans les environnements d'entreprise.

📖 6 min de lecture📝 1,299 mots🔧 2 exemples concrets❓ 3 questions d'entraînement📚 8 définitions clés

Points clés à retenir

✓Le protocole 802.1X EAP-TLS est la norme pour le WiFi d'entreprise sécurisé, nécessitant des certificats clients sur tous les appareils.
✓Microsoft Intune automatise le déploiement de certificats à grande échelle à l'aide de profils SCEP ou PKCS.
✓Le protocole SCEP est fortement recommandé pour le WiFi car la clé privée est générée localement et ne quitte jamais l'appareil.
✓Le déploiement nécessite une séquence stricte : 1) Trusted Root, 2) Profil SCEP, 3) Profil Wi-Fi.
✓Le ciblage des groupes (Utilisateur vs Appareil) doit être identique pour les trois profils afin d'éviter les échecs de dépendance.
✓Les serveurs NDES doivent être publiés via Azure AD App Proxy pour permettre une attribution de certificats sécurisée et à distance.
✓Une vérification stricte de la CRL sur le serveur RADIUS est obligatoire pour garantir que les certificats révoqués ne peuvent pas accéder au réseau.

📚 Part of our core series: Sécurité et authentification WiFi d'entreprise : le guide complet →

Synthèse

Pour les entreprises — qu'il s'agisse d'un secteur dynamique comme l' Hôtellerie , d'un réseau de points de vente Retail ou d'un campus d'entreprise moderne —, s'appuyer sur des clés pré-partagées ou des portails captifs basiques pour le WiFi du personnel constitue une faille de sécurité et un goulot d'étranglement opérationnel. L'architecture réseau moderne exige une authentification 802.1X via EAP-TLS, garantissant que chaque appareil est vérifié par cryptographie avant d'accéder au réseau.

Cependant, le défi réside dans la distribution : comment déployer des certificats clients uniques sur des milliers d'appareils Windows, iOS et Android sans submerger votre support technique de tickets d'assistance ? Microsoft Intune résout ce problème grâce à la gestion automatisée du cycle de vie des certificats. En s'appuyant sur des profils de certificats SCEP (Simple Certificate Enrollment Protocol) ou PKCS (Public Key Cryptography Standards), les équipes informatiques peuvent pousser silencieusement des certificats racines et clients approuvés vers les terminaux gérés.

Ce guide fournit un modèle d'architecture définitif et une stratégie de mise en œuvre étape par étape pour le déploiement de certificats WiFi via Intune. Nous explorerons les différences critiques entre SCEP et PKCS, détaillerons la séquence de déploiement exacte requise pour réussir, et présenterons des stratégies concrètes de réduction des risques pour garantir que votre Guest WiFi et vos réseaux d'entreprise restent sécurisés et performants.

Écoutez le podcast d'accompagnement : microsoft_intune_wifi_certificate_deployment_via_scep_and_pkcs_podcast.wav

Analyse technique approfondie : SCEP vs. PKCS

Lors de la conception de votre stratégie de déploiement de certificats WiFi avec Intune, la première décision architecturale consiste à sélectionner le mécanisme de distribution des certificats. Intune prend en charge SCEP et PKCS, mais leur fonctionnement est fondamentalement différent.

SCEP (Simple Certificate Enrollment Protocol)

SCEP est la norme de l'industrie pour l'enregistrement des appareils en entreprise. Dans un flux de travail SCEP, le service Intune demande au terminal de générer sa propre paire de clés privée/publique. L'appareil crée ensuite une demande de signature de certificat (CSR) et l'envoie via un serveur NDES (Network Device Enrollment Service) à votre autorité de certification (CA). La CA signe la demande et renvoie le certificat public à l'appareil.

L'avantage de sécurité critique de SCEP est que la clé privée ne quitte jamais l'appareil. Elle est générée localement, stockée dans l'enclave sécurisée de l'appareil (comme le TPM sous Windows ou la Secure Enclave sur iOS), et n'est jamais transmise sur le réseau. Cela fait de SCEP la méthode fortement recommandée pour l'authentification 802.1X.

PKCS (Public Key Cryptography Standards)

Inversement, avec PKCS, l'Autorité de Certification génère à la fois les clés publique et privée de manière centralisée. Le Microsoft Intune Certificate Connector exporte ensuite de manière sécurisée cette paire de clés et la pousse vers l'appareil cible.

Bien que PKCS élimine le besoin de déployer et de maintenir un serveur NDES — simplifiant ainsi l'empreinte de l'infrastructure —, il introduit un risque de sécurité théorique car la clé privée est transmise sur le réseau. PKCS est généralement mieux adapté aux cas d'usage où le séquestre de clés est requis, comme le chiffrement d'e-mails S/MIME, plutôt qu'à l'authentification réseau.

Guide d'implémentation : La séquence de déploiement

La configuration réussie d'un profil WiFi Intune pour le 802.1X nécessite le respect strict d'une séquence de déploiement spécifique. Les dépendances des profils Intune imposent que la confiance soit établie avant que l'authentification puisse être configurée.

Étape 1 : Déployer le profil de certificat racine de confiance

Avant qu'un appareil ne puisse demander un certificat client ou faire confiance à votre serveur RADIUS, il doit faire confiance à l'Autorité de Certification émettrice.

Exportez votre certificat de CA racine (et tous les certificats de CA intermédiaires) sous forme de fichiers .cer.
Dans le centre d'administration Microsoft Endpoint Manager, accédez à Appareils > Profils de configuration > Créer un profil.
Sélectionnez la plateforme cible (par ex., Windows 10 et versions ultérieures) et choisissez le type de profil Certificat de confiance.
Téléversez le fichier .cer et déployez ce profil sur vos groupes d'appareils cibles.

Règle d'or : Ciblez toujours les mêmes groupes (soit Utilisateurs, soit Appareils) sur l'ensemble des profils associés afin d'éviter les incohérences de déploiement.

Étape 2 : Configurer le profil de certificat SCEP

Une fois la confiance établie, configurez le profil SCEP pour indiquer aux appareils comment obtenir leur certificat client.

Créez un nouveau profil de configuration et sélectionnez Certificat SCEP.
Configurez le Format du nom de l'objet. Pour l'authentification basée sur l'utilisateur, CN={{UserPrincipalName}} est la norme. Pour l'authentification de l'appareil, utilisez CN={{AAD_Device_ID}}.
Définissez l'Utilisation de la clé sur Signature numérique et Chiffrement de la clé.
Sous Utilisation étendue de la clé, spécifiez Authentification client (OID : 1.3.6.1.5.5.7.3.2).
Liez ce profil au profil de certificat racine de confiance créé à l'Étape 1.
Renseignez l'URL externe de votre serveur NDES.

Étape 3 : Déployer le profil WiFi 802.1X

La dernière étape consiste à pousser la configuration WiFi qui associe les certificats au SSID du réseau.

Créez un profil de configuration Wi-Fi.
Saisissez le Nom du réseau (SSID) exactement tel qu'il est diffusé par vos Points d'accès sans fil .
Sélectionnez WPA2-Enterprise ou WPA3-Enterprise comme type de sécurité.
Définissez le Type d'EAP sur EAP-TLS.
Dans les paramètres d'authentification, sélectionnez le profil de certificat SCEP créé à l'étape 2 comme certificat d'authentification client.
Spécifiez le certificat racine de confiance pour la validation du serveur afin de garantir que l'appareil se connecte uniquement à votre serveur RADIUS légitime.

Bonnes pratiques et standards de l'industrie

Lors de la mise en œuvre du déploiement de certificats WiFi avec Intune, respectez les bonnes pratiques neutres suivantes pour garantir la conformité et la fiabilité.

Emplacement et sécurité du serveur NDES

Le serveur NDES doit être accessible depuis Internet pour permettre aux appareils distants de provisionner des certificats avant d'arriver sur site. Cependant, exposer directement un serveur interne à Internet présente un risque de sécurité majeur.

Recommandation : Publiez l'URL NDES à l'aide du proxy d'application Azure AD. Cela fournit un accès distant sécurisé sans ouvrir de ports de pare-feu entrants et vous permet d'appliquer des politiques d'accès conditionnel au flux d'inscription.

RADIUS et vérification de la CRL

Le déploiement de certificats ne représente que la moitié de l'équation de sécurité ; la révocation est tout aussi essentielle. Si un employé est licencié, la désactivation de son compte Active Directory peut ne pas révoquer immédiatement son accès WiFi si son certificat client reste valide et que le serveur RADIUS ne vérifie pas strictement la liste de révocation de certificats (CRL).

Recommandation : Configurez votre serveur NPS (Network Policy Server) ou votre serveur RADIUS pour imposer une vérification stricte de la CRL. Assurez-vous que vos points de distribution de CRL (CDP) sont hautement disponibles ; si le serveur RADIUS ne peut pas accéder à la CRL, l'authentification échouera, provoquant une panne généralisée.

Pour en savoir plus sur la conception de réseaux sécurisés, vous pouvez consulter The Core SD WAN Benefits for Modern Businesses .

Dépannage et atténuation des risques

Même avec une planification minutieuse, le déploiement de certificats peut rencontrer des problèmes. Voici les modes de défaillance courants et les stratégies d'atténuation.

Problème : Échec de l'application du profil WiFi

Symptôme : L'appareil reçoit les certificats racine de confiance et SCEP, mais le profil WiFi s'affiche comme « Erreur » ou « Non applicable » dans Intune.

Cause racine : Cela est presque toujours dû à une mauvaise correspondance dans le ciblage des groupes. Si le profil SCEP est attribué à un groupe d'utilisateurs, mais que le profil WiFi est attribué à un groupe d'appareils, Intune ne peut pas résoudre la dépendance.

Atténuation : Auditez vos attributions. Assurez-vous que les profils de certificat racine de confiance, SCEP et WiFi sont tous déployés sur le même groupe Azure AD.

Problème : Erreurs NDES 403 Forbidden

Symptôme : Les appareils ne parviennent pas à récupérer le certificat SCEP et les journaux IIS de NDES affichent des erreurs HTTP 403.

Cause racine : Le compte de service Intune Certificate Connector ne dispose pas des autorisations nécessaires sur le modèle de certificat, ou le filtrage d'URL sur votre pare-feu bloque les paramètres de chaîne de requête spécifiques utilisés par SCEP. Mitigation : Vérifiez que le compte du connecteur dispose des autorisations « Lecture » et « Inscrire » sur le modèle de CA. Vérifiez les journaux du pare-feu pour vous assurer que les URL contenant ?operation=GetCACaps ne sont pas bloquées.

ROI et impact commercial

La transition vers le déploiement de certificats Microsoft Intune 802.1X offre des rendements mesurables en matière de sécurité et d'opérations.

Réduction des tickets de support : Le WiFi basé sur mot de passe génère un volume important de tickets de support (expirations de mots de passe, verrouillages, fautes de frappe). L'authentification par certificat est invisible pour l'utilisateur, ce qui réduit généralement le volume de tickets d'assistance liés au WiFi de 70 à 80 %.
Posture de sécurité renforcée : L'EAP-TLS élimine le risque de vol d'identifiants et d'attaques de type Man-in-the-Middle (MitM). Cela est essentiel pour la conformité avec des cadres tels que PCI DSS et le GDPR, en particulier dans les secteurs de la santé et du commerce de détail.
Intégration fluide : Pour les organisations gérant de grandes flottes d'appareils Apple aux côtés de Windows, l'intégration d'Intune aux flux de travail MDM existants (voir notre guide sur Jamf et RADIUS : Authentification WiFi par certificat pour les flottes d'appareils Apple ) garantit une expérience de provisionnement unifiée et sans contact dès le premier jour.

Définitions clés

SCEP (Simple Certificate Enrollment Protocol)

Un protocole qui permet aux appareils de demander des certificats numériques à une autorité de certification, où la clé privée est générée et stockée de manière sécurisée sur l'appareil lui-même.

La méthode recommandée pour déployer des certificats d'authentification WiFi en raison de son niveau de sécurité élevé et de sa scalabilité.

PKCS (Public Key Cryptography Standards)

Un ensemble de normes où les clés publiques et privées sont générées par l'autorité de certification, puis transmises de manière sécurisée au terminal.

Souvent utilisé pour le chiffrement des e-mails S/MIME, mais moins idéal pour le WiFi en raison de la transmission de la clé privée sur le réseau.

NDES (Network Device Enrollment Service)

Un rôle Windows Server de Microsoft qui sert de passerelle, permettant aux appareils sans identifiants de domaine d'obtenir des certificats via SCEP.

Un composant d'infrastructure requis lors de la mise en œuvre du déploiement de certificats SCEP avec Microsoft Intune.

EAP-TLS (Extensible Authentication Protocol - Transport Layer Security)

La méthode d'authentification 802.1X la plus sécurisée, exigeant que le serveur et le client présentent tous deux des certificats numériques valides.

Le protocole d'authentification cible que les profils WiFi et de certificat Intune sont conçus pour activer.

CRL (Certificate Revocation List)

Une liste publiée par l'autorité de certification contenant les numéros de série des certificats qui ont été révoqués avant leur date d'expiration.

Crucial pour la sécurité ; les serveurs RADIUS doivent vérifier la CRL pour s'assurer que les employés licenciés ne peuvent pas accéder au WiFi à l'aide d'un certificat par ailleurs valide.

Intune Certificate Connector

Un agent logiciel installé sur un serveur Windows local qui sert d'intermédiaire pour les requêtes entre Microsoft Intune et l'autorité de certification interne.

Requis pour les déploiements SCEP (pour valider les demandes) et PKCS (pour exporter les clés).

Subject Alternative Name (SAN)

Une extension d'un certificat numérique qui permet d'associer plusieurs valeurs (telles que l'UPN, l'e-mail ou l'adresse MAC) au certificat.

Configuré dans le profil SCEP d'Intune pour garantir que le serveur RADIUS peut identifier avec précision l'utilisateur ou l'appareil.

Azure AD Application Proxy

Une fonctionnalité qui fournit un accès distant sécurisé aux applications web locales sans nécessiter de VPN ni l'ouverture de ports de pare-feu entrants.

La méthode recommandée pour publier en toute sécurité l'URL du serveur NDES interne sur Internet pour l'enregistrement des appareils distants.

Exemples concrets

Une chaîne nationale de vente au détail comptant 500 points de vente migre du WPA2-Personnel (clé pré-partagée) vers le WPA3-Entreprise pour les tablettes de ses associés en magasin (appareils Android Enterprise dédiés). Ils utilisent Intune pour la gestion des terminaux mobiles (MDM). Comment doivent-ils concevoir l'architecture de déploiement des certificats ?

Déployer un serveur NDES publié via Azure AD App Proxy.
Créer un profil de certificat SCEP basé sur l'appareil dans Intune, car il s'agit d'appareils dédiés (bornes) non liés à un utilisateur spécifique. Utiliser CN={{AAD_Device_ID}} pour le nom de l'objet (Subject Name).
Déployer le profil de l'autorité de certification racine (Root CA) sur le groupe d'appareils Azure AD « Toutes les tablettes de magasin ».
Déployer le profil SCEP sur ce même groupe « Toutes les tablettes de magasin ».
Créer un profil Wi-Fi configuré pour le WPA3-Entreprise, EAP-TLS, faisant référence au profil SCEP, et le déployer sur ce même groupe.
Configurer les serveurs RADIUS centraux pour authentifier les certificats d'appareil par rapport aux objets ordinateurs d'Active Directory.

Commentaire de l'examinateur : Cette approche identifie correctement que les appareils dédiés nécessitent des certificats basés sur l'appareil (et non sur l'utilisateur). En ciblant de manière cohérente les groupes d'appareils pour les trois profils, l'architecte évite l'échec de déploiement Intune le plus courant. L'utilisation d'Azure AD App Proxy pour NDES garantit que les tablettes peuvent renouveler leurs certificats en toute sécurité sans VPN.

Un grand centre de conférences utilise Purple pour ses analyses [WiFi Analytics](/products/wifi-analytics) et son WiFi invité, mais doit sécuriser son réseau interne destiné au personnel. Les employés utilisent un mélange d'ordinateurs portables Windows appartenant à l'entreprise et d'appareils iOS personnels (BYOD). Comment gèrent-ils le déploiement Intune pour les appareils BYOD ?

Exiger que les utilisateurs BYOD enregistrent leurs appareils iOS via l'enregistrement des utilisateurs Intune (créant ainsi une partition de travail sécurisée).
Créer un profil de certificat SCEP basé sur l'utilisateur en utilisant CN={{UserPrincipalName}}.
Déployer les profils Root CA, SCEP et Wi-Fi sur un groupe d'utilisateurs Azure AD (par exemple, « Tout le personnel »).
Lorsque l'utilisateur enregistre son appareil personnel, Intune pousse les profils spécifiquement vers la partition de travail gérée.
L'appareil se connecte au SSID du personnel en utilisant l'identité de l'utilisateur, ce qui permet au serveur RADIUS d'appliquer un contrôle d'accès basé sur les rôles (attribution de VLAN) en fonction de son appartenance au groupe AD.

Commentaire de l'examinateur : Cette solution applique correctement l'enregistrement des utilisateurs pour une gestion BYOD respectueuse de la vie privée. En ciblant les groupes d'utilisateurs, les certificats suivent l'employé quel que soit l'appareil qu'il enregistre. L'intégration du contrôle d'accès basé sur les rôles via RADIUS démontre une conception réseau avancée.

Questions d'entraînement

Q1. Vous avez déployé les profils Root CA, SCEP et Wi-Fi sur vos appareils Windows 10. Les certificats s'installent correctement, mais le profil Wi-Fi ne s'applique pas et affiche "Erreur" dans la console Intune. Quelle est la cause la plus probable ?

Conseil : Vérifiez comment les profils sont attribués aux groupes Azure AD.

Voir la réponse type

La cause la plus probable est une incompatibilité dans le ciblage des groupes. Si le profil SCEP a été attribué à un groupe d'utilisateurs, mais que le profil Wi-Fi a été attribué à un groupe d'appareils, Intune ne peut pas résoudre la dépendance entre eux. Les trois profils (Root, SCEP, Wi-Fi) doivent être ciblés sur le même type de groupe exact.

Q2. Votre équipe de sécurité exige que les clés privées ne soient jamais transmises sur le réseau, même si elles sont chiffrées. Quelle méthode de déploiement de certificats devez-vous utiliser dans Intune, et quel serveur d'infrastructure supplémentaire est requis ?

Conseil : Pensez à l'endroit où la paire de clés est générée.

Voir la réponse type

Vous devez utiliser SCEP (Simple Certificate Enrollment Protocol). Comme SCEP demande à l'appareil final de générer la clé privée localement, celle-ci ne traverse jamais le réseau. Ce déploiement nécessite un serveur NDES (Network Device Enrollment Service) pour servir de pont vers l'autorité de certification.

Q3. Un employé à distance configure un nouvel ordinateur portable à domicile via Windows Autopilot. Les profils Intune se déploient correctement, mais l'appareil ne parvient pas à obtenir le certificat SCEP. Quelle configuration d'infrastructure est probablement manquante ?

Conseil : Comment l'appareil accède-t-il à la CA interne depuis Internet ?

Voir la réponse type

Le serveur NDES n'a probablement pas été publié sur Internet. Pour que les appareils distants puissent demander des certificats avant d'arriver au bureau de l'entreprise, l'URL NDES doit être accessible de l'extérieur, idéalement publiée de manière sécurisée via Azure AD Application Proxy.

Continuer la lecture de cette série

Intégration de CommScope Ruckus avec Purple WiFi : Guide d'installation et de configuration

Ce guide de référence technique fournit un manuel de configuration faisant autorité pour l'intégration des architectures CommScope Ruckus avec Purple WiFi. Il détaille les déploiements étape par étape pour les Captive Portals de WiFi invité, le WiFi personnel sécurisé via 802.1X et l'isolation réseau multi-locataire à l'aide de Ruckus Dynamic PSK.

Intégration des points d'accès Allied Telesis avec Purple WiFi

Ce guide fournit un manuel de configuration complet pour l'intégration des points d'accès Allied Telesis de la série TQ avec Purple WiFi. Il traite de la redirection vers le Captive Portal externe, de l'authentification RADIUS 802.1X et de l'orientation VLAN dynamique à l'aide de clés prépartagées privées (PPSK) pour des déploiements multi-locataires sécurisés.

Intégration des points d'accès Grandstream GWN avec Purple WiFi

Ce guide de référence technique officiel détaille comment intégrer les points d'accès Grandstream GWN avec le Guest WiFi de Purple et sa plateforme d'analyse. Il couvre la configuration du Captive Portal Grandstream, les paramètres RADIUS AAA, la configuration du walled garden, l'authentification sécurisée du personnel en 802.1X avec routage dynamique des VLAN, et la segmentation PPSK multi-tenant - offrant ainsi des instructions étape par étape directement exploitables pour les MSP et les équipes informatiques déployant du WiFi invités et personnel à grande échelle.