System Center 2012 Configuration Manager SP1 et plus récemment System Center 2012 R2 Configuration Manager permettent de gérer les périphériques mobiles (MDM) et notamment ceux équipés du système de Microsoft : Windows Phone 8. La gestion de ces périphériques (en dehors des prérequis généraux) requiert :
- Un compte développeur sur la plateforme Windows Dev Center afin d’obtenir un Publisher ID
- Un certificat de signature de code proposé par Symantec. Le certificat permet notamment d’obtenir un ticket pour signer les différentes applications développées par l’entreprise. Ces étapes sont notamment nécessaires pour signer le portail d’entreprise qui sera déployé lors de l’enregistrement du périphérique.
Afin de signer vos applications, vous devez générer un Application Enrollment Token (AET) sur le Windows Dev Center en utilisant le certificat (PFX) obtenu.
Ce certificat, tout comme le portail d’entreprise (signé) sont renseignés dans la console d’administration System Center Configuration Manager au niveau de l’abonnement Windows Intune.
System Center Configuration Manager génère automatiquement l’AET déployé sur les périphériques mobiles à partir du certificat (PFX).
Le certificat de signature de code est valable pendant une durée d’un an et doit être renouvelé manuellement par l’administrateur.
Comment fonctionne la validation du certificat ?
Lorsque l’utilisateur enregistre son téléphone, l’Application Enrollment Token (AET) est installé pour sécuriser un espace de données sur le téléphone. Une fois par jour, le téléphone communique l’identifiant de l’éditeur (Publisher ID) obtenu de l’AET à un service Microsoft pour confirmer que celui-ci est valide. Cette opération est répétée dans les cas suivants :
- Lors de l’enregistrement initial par l’utilisateur
- Avant une tentative d’installation d‘une application publiée et signée par l’entreprise
- Avant une tentative de démarrage du portail d’entreprise installé sur le téléphone
- Lorsque le téléphone contact le service de Microsoft pour vérifier la valider de l’AET.
Si la validation échoue, les tâches associées ne peuvent être effectuées.
Que se passe-t-il si le certificat a expiré ?
Au cas déjà cités plus haut, s’ajoute le lancement des applications installées et signées par l’entreprise n’aboutit pas.
Dois-je réenregistrer les périphériques après que le certificat ait expiré ?
Non, les périphériques vérifie la validité de l’AET automatiquement et un nouvel AET est déployé lorsque le certificat est mis à jour dans la console d’administration ConfigMgr. Ceci est valable même si le certificat a atteint la date d’expiration.
Dois-je redéployer les applications signées avec un certificat expiré ?
Non, comme expliqué plus haut, la vérification de validité se fait via un service Microsoft.