Autoriser les mappages forts basés sur un nom pour les certificats
Pris en charge sur : Au minimum Windows Server 2019, Windows 10 version 2004
Registre
Software\Microsoft\Windows\CurrentVersion\Policies\System\KDC\Parameters Nom de valeur : UseStrongNameMatches
Activé : UseStrongNameMatches = 1
Désactivé : UseStrongNameMatches = 0
Options
StrongNameMatchesList multiText Description
Ce paramètre de stratégie permet l’utilisation d’identifiants alternatifs basés sur le nom pour mapper fortement les certificats émis aux comptes d’utilisateurs Active Directory et spécifie quels certificats sont mappés à quels comptes. Sans ce paramètre activé, les certificats doivent répondre aux critères de « mappage fort » spécifiés dans aka.ms/StrongCertMapKB, qui interdisent généralement les identifiants basés sur le nom. Chaque mappage spécifié dans cette politique doit inclure un OID de politique ainsi qu'un IssuerSubject et/ou un suffixe UPN en utilisant la syntaxe spécifiée ci-dessous. Si un mappage valide pour un certificat donné est introuvable dans cette stratégie, Active Directory tentera de trouver une correspondance à l'aide des critères de mappage forts existants spécifiés dans KB5014754. Les mappages de certificats qui ne sont pas conformes aux critères de « mappage de nom fort » (cette politique) ou aux critères de « mappage fort » existants seront considérés comme invalides pour l'authentification. Le format général de la politique et quelques exemples sont répertoriés ci-dessous. Cette politique s'applique uniquement aux comptes d'utilisateurs Active Directory. Syntaxe générale ============== <thumbprint>; <list of oids>; <name-match methods> Exemples ============== IssuerThumbprint1; oid1, oid2, oid3; UpnSuffix=domain.com IssuerThumbprint2; oid1; UpnSuffix=domain.com, UpnSuffix=other.domain.com, IssuerSubject IssuerThumbprint3; oid1, oid2; IssuerSubject La stratégie doit contenir exactement une empreinte de certificat par règle, chaque règle étant représentée sous forme de tuple. Les empreintes digitales doivent être uniques et ne peuvent pas être répétées dans plusieurs règles. Les sections de chaque tuple séparées par des points-virgules doivent être dans l'ordre indiqué, tandis que les champs séparés par des virgules peuvent être dans n'importe quel ordre. Les règles elles-mêmes sont séparées par des nouvelles lignes.