Avec la mise à jour Windows du 10 mai 2022 (KB5014754), des changements ont été apportés au comportement du Kerberos Key Distribution (KDC) d'Active Directory dans Windows Server 2008 et les versions ultérieures afin d'atténuer les vulnérabilités d'élévation de privilèges associées à l'usurpation de certificat. Pour répondre aux problèmes de sécurité liés à l'usurpation de certificat, Windows a introduit des modifications au KDC qui exigent que les certificats pour un utilisateur ou un objet informatique soient fortement mappés à Active Directory. Ces modifications garantissent un processus de validation plus robuste lors de l'authentification basée sur un certificat.
L’équipe Intune a publié un article pour expliquer l'impact de ces modifications sur les certificats délivrés par Intune. Ce mois-ci, Microsoft a commencé à déployer une solution permettant de délivrer de manière transparente des certificats SCEP et PKCS dans Intune avec un mappage solide.
Concernant les profils SCEP, et les certificats manuels et hors ligne, qu'Intune utilise pour délivrer des certificats aux appareils, un nouveau mappage a été introduit. Il s'agit d'un URI basé sur une balise Subject Alternative Name (SAN) avec le format suivant.
URL=tag:microsoft.com,2022-09-14:sid:<value>
Lorsqu'un utilisateur ou un appareil présente un certificat pour l'authentification dans Active Directory, le KDC vérifie si les mappings requis sont présents pour vérifier si le certificat est fortement mappé et délivré à l'utilisateur ou à l'appareil spécifique.
La mappage fort est actuellement prise en charge pour :
- Windows 10
- Windows 11
- iOS
- macOS
Microsoft travaille pour rendre ceci supporté pour Android.
Concernant les profils PKCS, Microsoft travaille sur une implémentation et devrait communiquer prochainement à ce sujet.
Plus d’informations sur : Support tip: Implementing strong mapping in Microsoft Intune certificates - Microsoft Community Hub