Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Configurer Microsoft Intune pour Connector pour SCEP
Vous pouvez l'utiliser AWS Private CA en tant qu'autorité de certification (CA) externe avec le système de gestion des appareils mobiles Microsoft Intune (MDM). Ce guide fournit des instructions sur la façon de configurer Microsoft Intune après avoir créé un connecteur SCEP pour Microsoft Intune.
Prérequis
Avant de créer un connecteur SCEP pour Microsoft Intune, vous devez remplir les conditions préalables suivantes.
Créez un identifiant Entra.
Créez un tenant Microsoft Intune.
Créez un enregistrement d'application dans votre identifiant Microsoft Entra. Voir Mettre à jour les autorisations demandées par une application dans l'identifiant Microsoft Entra
dans la documentation Microsoft Entra pour savoir comment gérer les autorisations au niveau de l'application pour l'enregistrement de votre application. L'enregistrement de l'application doit disposer des autorisations suivantes : Sous Intune, définissez scep_challenge_provider.
Pour Microsoft Graph, définissez Application.Read.All et User.Read.
Vous devez accorder l'application dans le cadre de votre accord d'administrateur pour l'enregistrement de l'application. Pour plus d'informations, consultez la section Accorder le consentement d'un administrateur à l'échelle du locataire pour une application
dans la documentation Microsoft Entra. Astuce
Lorsque vous créez l'enregistrement de l'application, prenez note de l'ID de l'application (client) et de l'ID du répertoire (locataire) ou du domaine principal. Lorsque vous créez votre connecteur SCEP pour Microsoft Intune, vous devez entrer ces valeurs. Pour plus d'informations sur la façon d'obtenir ces valeurs, voir Création d'une application Microsoft Entra et d'un principal de service pouvant accéder aux ressources
dans la documentation Microsoft Entra.
Étape 1 : accorder AWS Private CA l'autorisation d'utiliser votre application Microsoft Entra ID
Après avoir créé un connecteur SCEP pour Microsoft Intune, vous devez créer un identifiant fédéré dans le cadre de l'enregistrement des applications Microsoft afin que le connecteur pour SCEP puisse communiquer avec Microsoft Intune.
Pour configurer AWS Private CA en tant qu'autorité de certification externe dans Microsoft Intune
Dans la console Microsoft Entra ID, accédez aux enregistrements des applications.
Choisissez l'application que vous avez créée pour être utilisée avec Connector forSCEP. L'ID d'application (client) de l'application sur laquelle vous cliquez doit correspondre à celui que vous avez spécifié lors de la création du connecteur.
Sélectionnez Certificats et secrets dans le menu déroulant Géré.
Sélectionnez l'onglet Federated credentials.
Sélectionnez Ajouter un identifiant.
Dans le menu déroulant du scénario d'identification fédérée, sélectionnez Autre émetteur.
Copiez et collez la valeur de l'émetteur OpenID depuis les détails de votre Connector for for SCEP Microsoft Intune dans le champ Émetteur. Pour afficher les détails d'un connecteur, choisissez-le dans la SCEP liste Connecteurs pour
de la AWS console. Vous pouvez également obtenir le URL en appelant, GetConnectorpuis en copiant la Issuervaleur de la réponse.Copiez et collez la valeur OpenID Audience depuis les détails de votre Connector for for SCEP Microsoft Intune dans le champ Audience. Pour afficher les détails d'un connecteur, choisissez-le dans la SCEP liste Connecteurs pour
de la AWS console. Vous pouvez également obtenir le URL en appelant, GetConnectorpuis en copiant la Subjectvaleur de la réponse.(Facultatif) Entrez le nom de l'instance dans le champ Nom. Par exemple, vous pouvez lui donner un nom AWS Private CA.
(Facultatif) Entrez une description dans le champ Description.
Sélectionnez Modifier (facultatif) dans le champ Audience. Copiez et collez la valeur du sujet OpenID depuis votre connecteur dans le champ Objet. Vous pouvez consulter la valeur de l'émetteur OpenID sur la page de détails du connecteur de la console. AWS Vous pouvez également obtenir le URL en appelant, GetConnectorpuis en copiant la
Audiencevaleur de la réponse.Sélectionnez Ajouter.
Étape 2 : configurer un profil de configuration Microsoft Intune
Une fois que vous avez donné AWS Private CA l'autorisation d'appeler Microsoft Intune, vous devez utiliser Microsoft Intune pour créer un profil de configuration Microsoft Intune qui indique aux appareils de contacter Connector pour SCEP l'émission de certificats.
Créez un profil de configuration de certificat fiable. Vous devez télécharger le certificat CA racine de la chaîne que vous utilisez avec Connector SCEP dans Microsoft Intune pour établir la confiance. Pour plus d'informations sur la création d'un profil de configuration de certificat fiable, consultez la section Profils de certificats racine fiables pour Microsoft Intune
dans la documentation Microsoft Intune. Créez un profil de configuration de SCEP certificat qui oriente vos appareils vers le connecteur lorsqu'ils ont besoin d'un nouveau certificat. Le type de profil du profil de configuration doit être SCEPCertificat. Pour le certificat racine du profil de configuration, assurez-vous d'utiliser le certificat sécurisé que vous avez créé à l'étape précédente.
Pour SCEPServer URLs, copiez et collez le Public SCEP URL à partir des détails de votre connecteur dans le URLs champ SCEPServer. Pour afficher les détails d'un connecteur, choisissez-le dans la SCEP liste Connecteurs pour
. Vous pouvez également obtenir le URL en appelant ListConnectors, puis en copiant la Endpointvaleur de la réponse. Pour obtenir des conseils sur la création de profils de configuration dans Microsoft Intune, voir Création et attribution de profils de SCEP certificat dans Microsoft Intunedans la documentation Microsoft Intune. Note
Pour les appareils autres que Mac OS et iOS, si vous ne définissez pas de période de validité dans le profil de configuration, Connector for SCEP émet un certificat d'une validité d'un an. Si vous ne définissez pas de valeur Extended Key Usage (EKU) dans le profil de configuration, Connector for SCEP émet un certificat avec le EKU set with
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2). Pour les appareils macOS ou iOS, Microsoft Intune ne respecteExtendedKeyUsagepasValidityles paramètres de vos profils de configuration. Pour ces appareils, Connector for SCEP émet un certificat d'une durée de validité d'un an pour ces appareils par le biais de l'authentification du client.
Étape 3 : vérifier la connexion au connecteur pour SCEP
Après avoir créé un profil de configuration Microsoft Intune qui pointe vers le Connector for SCEP Endpoint, vérifiez qu'un appareil inscrit peut demander un certificat. Pour confirmer, assurez-vous qu'il n'y a aucun échec d'attribution de politique. Pour confirmer, sur le portail Intune, accédez à Appareils > Gérer les appareils > Configuration et vérifiez que rien n'est répertorié dans la section Défaillances d'attribution des politiques de configuration. Si tel est le cas, confirmez votre configuration à l'aide des informations issues des procédures précédentes. Si votre configuration est correcte et que des défaillances persistent, consultez Collecter les données disponibles depuis un appareil mobile
Pour plus d'informations sur l'inscription d'appareils, voir Qu'est-ce que l'inscription d'appareils ?
