# Points de terminaison privés
Lors de l’installation de SCEPman 2.8 ou d’une version plus récente, le compte de stockage et Key Vault seront connectés à un VNET via des points de terminaison privés. L’accès aux données de ces deux ressources Azure n’est possible que via ce VNET, sauf si vous définissez des exceptions.
Ce VNET se trouve dans le même groupe de ressources que les autres composants SCEPman. Les applications SCEPman et SCEPman Certificate Master sont connectées au VNET et, au niveau réseau, ont accès au compte de stockage et à Key Vault.
Après l’installation, aucune exception n’est configurée, donc aucune autre entité ne peut accéder aux certificats et aux clés de Key Vault ni au stockage Table du compte de stockage. Si nécessaire, par exemple lors de [la génération d’une AC subordonnée](https://docs.scepman.com/fr/deploiement-scepman/intermediate-certificate) ou lors de[ l’interrogation du compte de stockage](https://docs.scepman.com/fr/autre/faqs/general#how-can-i-programmatically-query-the-storage-account-table), vous devez ajouter des exceptions dans l’onglet Networking de la ressource Azure concernée.
L’accès à l’interface de gestion de Key Vault et du compte de stockage n’est pas प्रभावितé, c’est-à-dire que vous n’avez pas besoin d’ajouter vos machines d’administration à la liste d’exceptions pour effectuer des actions telles que la modification du SKU de votre compte de stockage ou l’inspection des journaux d’accès de votre Key Vault.
Les applications SCEPman et SCEPman Certificate Master n’ont pas de points de terminaison privés, même si vous installez SCEPman 2.8 ou une version plus récente. Elles restent accessibles depuis Internet sans restrictions réseau. Nous recommandons de ne pas restreindre l’accès à SCEPman au niveau réseau, car SCEPman fait généralement partie de l’infrastructure utilisée pour établir des connexions réseau et doit donc être disponible même si vous n’êtes pas encore connecté.
Si nécessaire, l’Accès conditionnel peut être utilisé pour limiter l’accès à SCEPman Certificate Master avec diverses restrictions, y compris des conditions réseau. SCEPman n’utilise généralement pas l’Accès conditionnel, car les deux points de terminaison SCEP et OCSP n’utilisent pas l’authentification Entra. Cependant, vous pouvez utiliser l’Accès conditionnel pour restreindre l’accès à [l’API REST de SCEPman](https://docs.scepman.com/fr/gestion-des-certificats/api-certificates).
## Ressources Azure utilisées pour les points de terminaison privés
## Ajout de points de terminaison privés à des installations SCEPman existantes
Si vous avez installé SCEPman 2.7 ou une version antérieure, votre Key Vault et votre compte de stockage n’auront pas automatiquement de points de terminaison privés, même si vous mettez à jour vers SCEPman 2.8 ou une version plus récente. Vous devez les ajouter manuellement après une décision réfléchie. Veuillez suivre ce guide pour le faire :
{% stepper %}
{% step %}
### Créer un réseau virtuel
* Dans le groupe de ressources SCEPman, créez un nouveau réseau virtuel en utilisant les paramètres par défaut ou selon les besoins de votre organisation. Cela devrait inclure un **sous-réseau par défaut**.
* Créer un sous-réseau supplémentaire dans le nouveau **réseau virtuel** avec les paramètres par défaut et définir **"Délégation de sous-réseau"** comme **Microsoft.Web/serverFarms**
{% endstep %}
{% step %}
### Créer un point de terminaison privé KeyVault
1. Accédez au groupe de ressources de SCEPman > **KeyVault** > Paramètres > Réseau > Connexions de point de terminaison privé, puis créez un point de terminaison privé
2. Sélectionnez le type de ressource : **Microsoft.KeyVault/vaults**
3. Sélectionnez votre **KeyVault** par ressource et **coffre** pour la sous-ressource cible
4. Choisissez le réseau virtuel et le sous-réseau par défaut (pas le sous-réseau créé à l’étape 1)
5. Activer **Intégrer à la zone DNS privée** pour créer et connecter automatiquement la zone DNS privée
{% endstep %}
{% step %}
### Créer un point de terminaison privé pour le compte de stockage
1. Accédez au groupe de ressources de SCEPman > **Storage Account** > Sécurité + mise en réseau > Réseau > Points de terminaison privés, puis créez un point de terminaison privé
2. Par ressource, définissez la sous-ressource cible sur **table**
3. Choisissez votre réseau virtuel et le sous-réseau par défaut
4. Activer **Intégrer à la zone DNS privée** pour créer et connecter automatiquement la zone DNS privée
{% endstep %}
{% step %}
### Intégrer l’application SCEPman
1. Accédez à **application SCEPman** > Réseau > Ajouter une intégration de réseau virtuel à l’ **configuration du trafic sortant** en cliquant sur « Non configuré »
2. Sélectionnez le réseau virtuel et le sous-réseau créé à la première étape.
3. Décochez l’option « Trafic Internet sortant » et appliquez
{% endstep %}
{% step %}
### Intégrer l’application Certificate Master
* En ajoutant l’intégration de réseau virtuel au deuxième service d’application, vous pouvez sélectionner la connexion précédente dans la liste ; vous n’avez pas à créer une nouvelle connexion.
* Si cette option est activée, décochez l’option « Trafic Internet sortant » et appliquez
{% endstep %}
{% step %}
### Vérifier l’approbation du point de terminaison privé
Vérifiez que les points de terminaison privés KeyVault et du compte de stockage sont tous deux à l’état Approuvé
{% endstep %}
{% step %}
### Tests et résultats
Une fois confirmé, vous pouvez désactiver l’accès public pour Key Vault et le compte de stockage.
Si la connexion est correcte, la page d’accueil de SCEPman devrait afficher toutes ses connexions comme « Connecté »\
Testez que votre implémentation des points de terminaison privés fonctionne en déployant des certificats à l’aide de votre MDM ou [Certificate Master.](https://docs.scepman.com/fr/gestion-des-certificats/certificate-master)
{% endstep %}
{% endstepper %}
