Windows 11 Insider : corriger « SCEP Certificate enrollment initialization failed » (Intune, SCEP, NDES)

À chaque démarrage de Windows 11 Insider, l’Observateur d’événements affiche « SCEP Certificate enrollment initialization failed ». Voici les causes probables et deux voies de remédiation : corriger localement sur un poste unique ou déployer une vraie chaîne SCEP avec Intune.

Vue d’ensemble : pourquoi ce message apparaît‑il ?

Le message « SCEP Certificate enrollment initialization failed » signale que Windows n’a pas réussi à initialiser l’inscription d’un certificat via SCEP (Simple Certificate Enrollment Protocol). Dans la majorité des cas, cela se produit quand :

• le poste pense être géré (MDM/Intune, GPO MDM, Workplace Join) mais ne trouve pas le point d’inscription SCEP attendu ;
• un certificat requis (racine/intermédiaire ou certificat client déjà déployé) a expiré, a été supprimé ou n’est plus approuvé ;
• des traces d’une ancienne inscription MDM subsistent (clé de Registre, tâches planifiées, certificats), empêchant une réinscription propre ;
• sur une build Insider/Dev, une chaîne de test ou un profil d’essai arrive à expiration : le client tente quand même l’inscription et échoue tant que la chaîne n’est pas renouvelée.

Ce n’est pas une alerte de sécurité critique en soi, mais elle peut empêcher l’authentification par certificat (Wi‑Fi EAP‑TLS, VPN, proxy, etc.) si votre environnement l’exige.

Rappels rapides : SCEP, Intune et rôles

Objectif	Étapes essentielles	Points d’attention
Comprendre SCEP + Intune	SCEP automatise la délivrance de certificats (souvent « Authentification du client »). Intune (MDM) orchestre la distribution des profils et la rotation des certificats. Le client Windows contacte un endpoint SCEP (NDES) pour obtenir le certificat.	Ne pas confondre service MDM (Intune) et service PKI (CA/NDES). Ils sont complémentaires, pas interchangeables.
Mettre en place une CA SCEP dans Azure/Intune	Vérifier les prérequis : abonnement, licences Intune, rôle Administrateur Intune ou Administrateur général. Préparer la PKI : CA racine/intermédiaire, serveur NDES, publication CRL/AIA. Installer/configurer le connecteur de certificats pour Intune sur le serveur NDES. Dans Intune : créer un profil SCEP (URL NDES, challenge, EKU, taille/algorithme de clé, durée de validité). Déployer au préalable les certificats racine/intermédiaire via un profil « certificat approuvé ». Attribuer le profil SCEP aux groupes d’appareils Pilote.	Pour un seul PC, cette architecture est souvent surdimensionnée. Un retour en build stable ou un nettoyage de l’inscription MDM suffit souvent.
Résoudre les limitations de droits	Utiliser un compte doté des rôles Intune adéquats pour créer/assigner les profils. Vérifier les autorisations RBAC « Device configuration ».	Sans droits, la publication ou l’assignation des profils échoue (ex. erreurs d’inscription MDM).
Où lire les journaux	Observateur d’événements : Applications and Services Logs > Microsoft > Windows > DeviceManagement‑Enterprise‑Diagnostics‑Provider (Admins/Operational). Journal CAPI2 pour la validation de chaîne.	Notez l’horodatage du démarrage ; corrélez avec une tentative de synchronisation MDM ou d’auto‑inscription.

Diagnostic express : 3 questions pour situer le problème

1. Le poste est‑il réellement géré ? Ouvrez Paramètres ▸ Comptes ▸ Accès professionnel ou scolaire. S’il y a un compte d’organisation connecté, cliquez sur Infos et tentez Synchroniser.
2. L’appareil est‑il joint à Azure AD ? Exécutez : dsregcmd /status Vérifiez AzureAdJoined et WorkplaceJoined.
3. Des certificats SCEP/Intune existent‑ils ? Lancez certmgr.msc (Utilisateur) et mmc.exe (ajoutez le composant « Certificats » pour l’ordinateur local). Contrôlez Personnel ▸ Certificats : présence de certificats « Client Authentication », émetteur Intune ou votre CA, et dates d’expiration.

Scénarios fréquents & correctifs rapides

Scénario	Symptômes	Action prioritaire
Build Insider/Dev avec traces MDM anciennes	Message SCEP à chaque démarrage, aucun profil Intune actif	Nettoyer l’inscription MDM (voir procédure « Un seul poste ») puis redémarrer
Certificat client expiré	Certificat « Authentification du client » expiré dans le magasin Personnel	Déclencher une réinscription/synchronisation MDM ; sinon supprimer le certificat expiré puis resynchroniser
Chaîne de confiance incomplète	Échec de validation CAPI2, évènements « Untrusted Root »	Déployer/installer le(s) certificat(s) racine/intermédiaire nécessaires avant le profil SCEP
GPO « MDM auto‑enrollment » résiduelle	Tentatives MDM alors que la machine n’est plus AAD‑join	Désactiver la GPO, supprimer l’inscription, dsregcmd /leave, redémarrer
NDES indisponible ou challenge invalide	Échecs récurrents, délais d’attente, erreurs HTTP côté NDES	Vérifier NDES/Connecteur, challenge, modèle de certificat et droits RA (voie « CA SCEP »)

Procédure détaillée — Voie « un seul poste » (sans déployer de CA)

Cette voie est idéale si vous ne gérez qu’un poste et que vous suspectez un reliquat d’inscription ou un certificat expiré.

1) Nettoyer l’inscription MDM et resynchroniser

1. Déconnecter/Reconnecter l’organisation
   Paramètres ▸ Comptes ▸ Accès professionnel ou scolaire : sélectionnez le compte d’organisation → Déconnecter. Redémarrez. Reconnectez‑vous si nécessaire → Infos → Synchroniser.
2. Forcer une sortie Azure AD si l’appareil est orphelin
   dsregcmd /leave Redémarrez, puis rejoignez à nouveau l’organisation si c’est attendu.
3. Relancer les tâches MDM Intune (si présentes) :
   schtasks /run /tn "\Microsoft\Windows\EnterpriseMgmt\<GUID>\PushLaunch" schtasks /run /tn "\Microsoft\Windows\EnterpriseMgmt\<GUID>\Schedule #3 created by enrollment client" Remplacez <GUID> par le dossier exact sous Task Scheduler ▸ Microsoft ▸ Windows ▸ EnterpriseMgmt.

2) Purger des certificats SCEP expirés (si l’environnement ne les utilise plus)

Attention : n’effacez que ce que vous comprenez. Faites un point de restauration ou une sauvegarde.

1. Ouvrir certmgr.msc (magasin utilisateur) et mmc.exe → composant enfichable « Certificats (ordinateur local) ».
2. Dans Personnel ▸ Certificats, repérez les certificats d’authentification du client émis par « Microsoft Intune … » ou votre ancienne CA. S’ils sont expirés et que l’appareil n’est plus géré : supprimez‑les.
3. Dans Autorités de certification racines de confiance et Intermédiaires, supprimez uniquement les certificats manifestement orphelins/expirés liés à l’ancien MDM.
4. Déclenchez une nouvelle tentative d’inscription si l’appareil est encore géré.

3) Valider la correction

1. Observateur d’événements ▸ DeviceManagement‑Enterprise‑Diagnostics‑Provider : vérifiez qu’aucun nouvel échec SCEP n’apparaît au démarrage.
2. Contrôlez le magasin de certificats : un nouveau certificat Client Authentication valide peut apparaître s’il y a une gestion MDM active.
3. Si vous n’utilisez aucun service MDM : après nettoyage, l’événement SCEP ne devrait plus réapparaître.

Procédure détaillée — Voie « déployer sa propre CA SCEP + Intune »

Adaptez cette voie si vous avez besoin de certificats clients (Wi‑Fi EAP‑TLS, VPN, proxy TLS mTLS, etc.) et que vous contrôlez l’environnement.

Architecture cible (résumé)

• PKI : CA racine (hors ligne) + CA émettrice (en ligne).
• NDES (Network Device Enrollment Service) : rôle passerelle SCEP.
• Connecteur de certificats Intune installé sur le serveur NDES.
• Intune : profils « Certificat approuvé » (racine/intermédiaire) + profil SCEP (« Windows 10 et version ultérieure »).

Pré‑requis de sécurité

• CRL/AIA publiés et accessibles (HTTP). La validation échoue si une CRL est introuvable.
• Modèle de certificat Client Authentication : EKU 1.3.6.1.5.5.7.3.2, clés non exportables, renouvellement autorisé.
• Comptes de service NDES et RA correctement délégés (Request Certificates sur le modèle).

Étapes de mise en place (vue opérationnelle)

1. Préparer la PKI : créez/validez la CA émettrice, publiez CRL/AIA, créez le modèle « SCEP‑Client‑Auth », attribuez les permissions (en lecture aux services, Enroll via NDES/RA).
2. Installer NDES sur un serveur membre + Intune Certificate Connector. Connectez‑vous avec un compte Intune Admin et finalisez l’enrôlement du connecteur.
3. Intune :
   • Profil Certificat approuvé pour la racine/intermédiaire de votre PKI (assigné aux mêmes groupes que le SCEP).
   • Profil SCEP:
     • Subject : par appareil (ex. CN={{DeviceId}} ou CN={{AAD_Device_ID}}).
     • EKU : Authentification du client.
     • Taille de clé : 2048 (ou ECDSA si vos composants le supportent de bout en bout).
     • Durée de validité/renouvellement : ex. 12 mois/20 % (à adapter).
     • URL NDES, challenge/secret (ou challenge par certificat du connecteur).
4. Déploiement Pilote : assignez d’abord à un groupe restreint. Sur un poste pilote, forcez la synchro et observez les journaux.

Vérifications client

1. Le certificat racine/intermédiaire apparaît dans Autorités de certification approuvées.
2. Un certificat « Client Authentication » récent existe dans Ordinateur local ▸ Personnel ▸ Certificats (ou magasin utilisateur selon la cible du profil).
3. Les journaux MDM indiquent une demande SCEP suivie d’une délivrance réussie.

Dépannage avancé (client & serveur)

Client Windows

• Validation de chaîne : certutil -verify -urlfetch <chemin_du_certificat.cer> Rechercher les erreurs de type Untrusted Root ou accès CRL/AIA.
• Inventaire des certificats : certutil -store -user My certutil -store My
• Déclencher l’auto‑inscription (utile pour ADCS ; pour MDM, préférez la synchro) : certutil -pulse
• État d’inscription Azure AD / Workplace : dsregcmd /status
• Tâches MDM Intune : Get-ScheduledTask -TaskPath "\Microsoft\Windows\EnterpriseMgmt\" | ft TaskName, State, LastRunTime

Serveur NDES / Connecteur

• Journal NDES : C:\Windows\System32\LogFiles\NdesSvc\NdesSvc.log (si activé) pour suivre la demande jusqu’à la CA.
• Vérifier les certificats RA du compte de service NDES (valide, non expiré, usage signature).
• Contrôler la publication CRL/AIA (accès HTTP depuis le poste client).
• PKI Health : PKIView.msc pour la vue d’ensemble CRL/AIA.

Erreurs fréquentes & actions

Code/Message	Cause probable	Action
SCEP init failed / Timeout	NDES inaccessible, proxy, DNS	Tester la résolution/port, vérifier proxy système, connectivité au serveur NDES
Untrusted Root / chaîne incomplète	Racine/intermédiaire manquants	Déployer le profil « Certificat approuvé » avant le profil SCEP
Challenge invalide	Secret/challenge expiré, configuration connecteur	Régénérer le challenge, réenregistrer le connecteur
Demande rejetée par la CA	Modèle mal paramétré, droits RA	Autoriser Enroll/Autoenroll, EKU et Key Usage conformes, gabarit publié
0x80180014 / Conflit d’inscriptions	Ancienne inscription MDM qui persiste	Supprimer l’inscription résiduelle, dsregcmd /leave, redémarrer et réinscrire

Faut‑il vraiment une CA SCEP pour un seul PC ?

Contexte	Recommandation	Pourquoi
Un seul PC, pas de besoin mTLS	Non : rester en build stable, nettoyer l’inscription	Moins de complexité et de maintenance
Petit parc, Wi‑Fi EAP‑TLS prévu	Oui : CA interne + Intune SCEP	Automatisation et rotation des clés/certificats
Enterprise, VPN + Proxy + Wi‑Fi par certificats	Oui : PKI complète, NDES redondé	Intégrité, traçabilité, conformité

Bonnes pratiques de sécurité

• Conservez la CA racine hors ligne ; limitez la surface d’attaque de la CA émettrice.
• Restreignez l’accès NDES (IP allowlist, WAF, authentification forte du connecteur).
• Rendez les clés non exportables et appliquez des longueurs/algorithmes conformes à votre politique (RSA 2048+ ou ECDSA P‑256+).
• Surveillez les expirations (certificats RA, CRL, certificats clients) et mettez en place des alertes.

Check‑list post‑remédiation

• Plus aucun événement « SCEP Certificate enrollment initialization failed » au démarrage.
• Si MDM actif : certificat « Client Authentication » valide présent, usage conforme (EKU, dates).
• Wi‑Fi/VPN/proxy fonctionnent avec l’authentification par certificat si c’est attendu.
• Les tâches planifiées EnterpriseMgmt ne renvoient pas d’erreur.

FAQ

Je ne suis pas géré par Intune, pourquoi vois‑je l’erreur ?

Il reste probablement des traces d’une ancienne inscription (compte Workplace, clés de Registre, certificats). Le nettoyage et la sortie Azure AD (dsregcmd /leave) font généralement disparaître l’événement.

Puis‑je ignorer l’erreur sur une build Insider/Dev ?

Oui si vous n’avez pas de dépendance à des certificats clients. Sinon, repassez en canal stable ou déployez votre propre chaîne SCEP.

Quelle différence entre SCEP et PKCS (via connecteur) ?

PKCS (profil « certificat PKCS ») soumet la requête au nom du client côté connecteur et pousse ensuite le certificat ; SCEP laisse le client générer la clé et obtenir directement le certificat via NDES. SCEP est souvent privilégié pour l’échelle et la simplicité des renouvellements.

Dois‑je supprimer les clés de Registre de l’inscription MDM ?

Ce n’est qu’un dernier recours. Préférez la déconnexion via l’interface et dsregcmd. Une suppression incorrecte peut laisser l’appareil dans un état incohérent.

Annexes — commandes utiles

:: État d’appartenance Azure AD / Workplace
dsregcmd /status

\:: Liste des tâches MDM
schtasks /query /tn "\Microsoft\Windows\EnterpriseMgmt\*" /fo LIST /v

\:: Inventorier les certificats (utilisateur et ordinateur)
certutil -store -user My
certutil -store My

\:: Vérifier la chaîne et la récupération CRL/AIA
certutil -verify -urlfetch "C:\Temp\moncert.cer"

\:: Forcer (ADCS) l’auto‑inscription (pour MDM, utilisez plutôt la synchro)
certutil -pulse 

Conclusion

Sur Windows 11, l’erreur « SCEP Certificate enrollment initialization failed » révèle presque toujours un certificat manquant/expiré ou une configuration MDM résiduelle. Pour un seul poste, privilégiez le nettoyage (déconnexion/reconnexion d’organisation, purge des certificats orphelins, dsregcmd /leave, resynchronisation). Si votre usage requiert des certificats (Wi‑Fi, VPN, mTLS), déployez une chaîne SCEP maîtrisée (PKI, NDES, connecteur Intune, profils « certificat approuvé » puis SCEP). En suivant les étapes ci‑dessus, vous supprimerez l’alerte au démarrage et retrouverez une délivrance de certificats fiable et traçable.

---

Résumé actionnable

1. Vérifier la gestion : Paramètres ▸ Accès professionnel → Infos ▸ Synchroniser ; dsregcmd /status.
2. Nettoyer : déconnexion d’organisation, suppression des certificats clients expirés orphelins, dsregcmd /leave puis redémarrage.
3. Tester : observer l’Observateur d’événements au prochain démarrage.
4. Si besoin de certificats : mettre en place PKI + NDES + connecteur Intune, déployer « certificat approuvé », puis profil SCEP.

Astuce : si vous êtes sur le canal Insider/Dev pour de la veille technique, mais que la machine sert aussi à des connexions d’entreprise (Wi‑Fi/VPN par certificats), gardez un canal stable sur l’appareil de production et basculez l’Insider sur une VM ou un poste secondaire.