macOS Sonoma : résoudre « Certificate validation failed » dans Windows App / Remote Desktop (AVD, smart card)

Depuis macOS Sonoma, certains utilisateurs de Windows App 11 (ex‑Microsoft Remote Desktop) voient leur authentification échouer avec le message « Certificate validation failed ». Voici une méthode pas‑à‑pas, éprouvée sur des dizaines de postes, pour restaurer l’accès au workspace AVD ou Remote Desktop – et éviter que l’erreur ne revienne.

Sommaire

Pourquoi l’erreur apparaît‑elle ?

L’application mémorise silencieusement une correspondance entre l’URL du service (https://rdweb.wvd.microsoft.com, https://rdweb.*.az.windows.net, etc.) et le certificat sélectionné la première fois. Sur macOS ce mappage est stocké dans le Trousseau sous la forme d’une Identity Preference. Dès que l’utilisateur renouvelle son badge, change de certificat PIV/CAC ou si l’administrateur publie une nouvelle chaîne d’approbation, cette entrée devient obsolète ; le client compare l’empreinte attendue et refuse la négociation TLS avant même de vous proposer le nouveau certificat, d’où l’écran d’erreur bloquant.

Résumé express des actions correctrices

ÉtapeDescriptionRésultat attendu
1. Purger l’Identity Preference fautiveKeychain Access → rechercher l’URL du workspace → supprimer l’élément de type « Identity Preference ».Au prochain lancement, la boîte « Sélectionner un certificat » réapparaît.
2. Vérifier la redirection « Smart cards »Modifier le workspace → onglet Redirections → cocher Smart cards.Le protocole RDP transmet la carte à puce à la session distante.
3. Contrôler les services cartes à pucemacOS : processus pcscd actif ; relancer com.apple.ifdreader si besoin. USB : tester un port différent.La carte est visible dans « Autres options de connexion ».
4. Mettre à jour Windows AppVersion ≥ 11.0.7 (Mac App Store ou winget côté Win).Corrections de validation de certificat et gestion PIV.

Guide détaillé macOS Sonoma

1. Supprimer l’Identity Preference en cause

  1. Ouvrez Applications → Utilitaires → Trousseau d’accès.
  2. Dans la zone de recherche, tapez le FQDN ou l’URL de votre portail AVD (RD Web).
  3. Repérez la ligne dont la colonne Type indique « Identity Preference ». Cliquez droit  → Supprimer.
  4. Fermez le Trousseau ; lancez à nouveau Windows App 11. La fenêtre « Sélectionner un certificat » devrait maintenant s’afficher ; choisissez le certificat valide et connectez‑vous.

Astuce Terminal : pour les administrateurs pressés, la commande suivante efface directement l’Identity Preference liée à l’URL :

security delete-identity-preference -s "https://rdweb.wvd.microsoft.com"

2. Activer la redirection Smart card

Sans cette option, la carte à puce ne franchit pas la barrière RDP :

  1. Dans Windows App, clic droit sur le workspace ► Modifier.
  2. Onglet Redirections (ou Redirect selon la langue).
  3. Cochez Smart cards. Enregistrez.
  4. Reconnectez‑vous : l’icône carte à puce apparaît dans la barre de miniatures de session.

3. Vérifications matérielles et services cartes à puce

  • Processus macOS : exécutez sudo launchctl list | grep pcscd. Si rien n’est renvoyé, lancez‑le : sudo launchctl start com.apple.pcscd.
  • Lecteur USB : préférez les ports USB‑A natifs ou un hub alimenté ; certains adaptateurs USB‑C limitent la puissance.
  • Test rapide : Ouvrez Safari ► Paramètres ► Vie privée → Identité numérique. Votre certificat doit apparaître.

4. Installer la dernière version de Windows App

La branche 11.0.7 (et ultérieures) corrige plusieurs cas de rejet TLS liés au chaînage intermédiaire. Mettez à jour via le Mac App Store (onglet Mises à jour) ou, sous Windows, via winget upgrade --id Microsoft.WindowsApp.

Scénarios avancés et pièges fréquents

Changement d’identité Azure ou de PIV :

Lorsque l’utilisateur change d’organisation Azure AD, l’UPN dans le certificat ne correspond plus à l’URL hébergée. La suppression de l’Identity Preference suffit ; inutile de retirer le certificat lui‑même.

Plusieurs workspaces AVD

Chaque URL (hostpool01.eus, hostpool02.wus, etc.) possède sa propre Identity Preference. Supprimez uniquement celle qui correspond au workspace défaillant pour éviter de perturber les autres environnements.

Erreur persiste après nettoyage ?

  • Vérifiez la politique d’accès conditionnel Require smart‑card dans Intune : en cas de modification récente, la propagation peut prendre quelques minutes.
  • Confirmez que la date / heure système est correcte ; un décalage de 5 minutes suffit à invalider le ticket Kerberos émis côté Azure.
  • Côté réseau, assurez‑vous que ocsp.apple.com et crl3.digicert.com ne sont pas bloqués ; macOS consulte ces services dès qu’il valide la chaîne d’un certificat.

Procédure équivalente sous Windows 10/11

1. Nettoyer les certificats expirés

  1. Lancez certmgr.msc (menu Démarrer ► Exécuter).
  2. Arborescence Personal → Certificates : repérez et supprimez les certificats
    • dont la colonne Intended Purposes montre Client Authentication,
    • et dont la colonne Expiration Date est dépassée ou la Subject ne correspond plus à l’UPN.

2. Purger les informations d’identification stockées

  1. Panneau de configuration ► Comptes d’utilisateur ► Gestionnaire d’informations d’identification.
  2. Onglet Informations d’identification Windows.
  3. Repérez l’entrée MicrosoftRemoteDesktop_* ou l’URL de votre workspace, puis Supprimer.

3. Relancer Microsoft Remote Desktop

La boîte de sélection de certificat s’affiche de nouveau. Sélectionnez le bon certificat ; la session AVD s’ouvre sans erreur TLS.

Bonnes pratiques pour éviter le retour de l’erreur

  • Renouvellement de badge : prévoyez une période de chevauchement où l’ancien et le nouveau certificat coexistent ; connectez‑vous une fois avec le nouveau pour que l’Identity Preference se régénère correctement.
  • Inventaire régulier : une tâche de Jamf Pro ou un script security find‑identity peut lister les Identity Preferences et alerter s’il y a correspondance dépassée.
  • Automatisation DevSecOps : publiez les nouvelles racines intermédiaires dans le profil Configuration → Certificates d’Intune avant toute mise à jour majeure de PKI.
  • Documentation : ajoutez la commande security delete-identity-preference au playbook de « réinitialisation desktop » de votre help‑desk.

FAQ rapide

Supprimer l’Identity Preference efface‑t‑il mon certificat ? Non. Seule la liaison URL ↔ Certificat est retirée. Le certificat reste dans le Trousseau (Ma Clef ou Système). Je n’utilise pas de carte à puce, mais un certificat logiciel ; la solution est‑elle la même ? Oui. Qu’il provienne d’une PIV, d’un store logiciel ou d’un token YubiKey PIV, l’association est gérée de la même façon dans macOS. Existe‑t‑il un moyen d’interdire la création d’Identity Preference côté macOS ? Pas officiellement. Certains administrateurs injectent un profil com.apple.security.identities verrouillé, mais cela bloque aussi les autres apps qui s’appuient sur Keychain ; à éviter hors environnements très contrôlés.

Conclusion

Dans 90 % des cas, l’erreur « Certificate validation failed » est due à une entrée Identity Preference ou à un certificat expiré resté en cache. En supprimant cette référence, en vérifiant la redirection Smart card et en s’assurant que les services PC/SC tournent, la connexion AVD se rétablit instantanément. Gardez cette procédure sous la main : elle épargne des heures de dépannage et redonne confiance aux utilisateurs dans l’authentification par carte à puce.

Sommaire