Tenancy partagé (split-tenancy)
Uniquement SCEPman Enterprise Edition
Aperçu
SCEPman peut être configuré pour fonctionner depuis un locataire Azure distinct du locataire Azure/Intune pour lequel il délivre des certificats aux utilisateurs et/ou aux appareils. Cette configuration, connue sous le nom de locataires séparés (split-tenancy), est particulièrement utile pour les MSP qui souhaitent consolider les coûts d'infrastructure Azure entre leurs clients tout en maintenant un backend dédié et une CA unique pour chacun de ces clients.
Le split-tenancy comporte un inconvénient majeur: Identités gérées ne peut plus être utilisé. Cela signifie que l'authentification envers l'API Graph (Azure AD et Intune) est gérée à l'aide d'un enregistrement d'application et d'un secret client, qui doit être géré (par le MSP) lorsqu'il expire.
Dans ce qui suit, nous appelons le locataire hébergeur locataire d'origine, tandis que le locataire client est appelé locataire cible. Les ressources SCEPman existeront dans le locataire d'origine, et les appareils gérés dans le locataire cible comme dans le graphique ci-dessous :
Étapes de configuration
Dans la section locataire d'origine, effectuez un déploiement standard de SCEPman/Certificate Master comme décrit dans notre Guide de démarrage.
Dans SCEPman (locataire d'origine)
Accédez au service App Service puis à « Paramètres » --> « Variables d'environnement ». Repérez les paramètres suivants et supprimez les :
AppConfig:AuthConfig:ManagedIdentityEnabledForWebsiteHostname
AppConfig:AuthConfig:ManagedIdentityEnabledOnUnixTime
AppConfig:AuthConfig:ManagedIdentityPermissionLevel
Renommez les paramètres suivants (ne modifiez pas leurs valeurs):
AppConfig:AuthConfig:ApplicationId
AppConfig:AuthConfig:HomeApplicationId
AppConfig:AuthConfig:TenantId
AppConfig:AuthConfig:HomeTenantId
Créez un enregistrement d'application dans le locataire cible comme décrit ici : Enregistrement d'application Azure. Cela enregistrement d'application permettra à SCEPman d'accéder aux répertoires Azure AD et Intune dans le locataire cible.
Le secret client généré dans le cadre de cet enregistrement d'application a une date d'expiration et doit être renouvelé avant son expiration. Veuillez définir un rappel pour le renouvellement.
Créer les nouvelles variables d'environnement suivantes si vous ne l'avez pas déjà fait lors de la création de l'enregistrement d'application :
AppConfig:AuthConfig:ApplicationId
GUID du enregistrement d'application qui a été créé auparavant (locataire cible).
AppConfig:AuthConfig:TenantId
ID du locataire du locataire cible.
AppConfig:AuthConfig:ApplicationKey
Value du Secret client qui a été créé dans le cadre de enregistrement d'application dans le locataire cible.
Appliquez les modifications.
Redémarrez le SCEPman App Service.
Certificate Master
Accédez au Certificate Master App Service puis à « Paramètres » > « Variables d'environnement ».
Vous avez maintenant deux options :
Si vous souhaitez que des utilisateurs de votre locataire d'origine se connectent au Certificate Master et émettent des certificats, ce qui inclut les utilisateurs invités dans votre locataire d'origine, p. ex. depuis votre locataire cible.
Si tel est le cas, renommez les paramètres suivants (ne modifiez pas leurs valeurs):
AppConfig:AuthConfig:TenantId
AppConfig:AuthConfig:HomeTenantId
AppConfig:AuthConfig:ApplicationId
AppConfig:AuthConfig:HomeApplicationId
b. Vous souhaitez que des utilisateurs de votre locataire cible se connectent au Certificate Master et émettent des certificats, ce qui inclut les utilisateurs invités dans votre locataire cible, p. ex. depuis votre locataire d'origine.
Si tel est le cas, effectuez les opérations suivantes :
Ouvrez un PowerShell ou Azure Cloud Shell dans votre locataire cible et exécutez les commandes suivantes :
Remplacez <url> avec l'URL de votre Certificate Master
Le CMDlet produira un ID d'application et un ID de locataire (celui du locataire cible). Saisissez ces deux valeurs en tant que
AppConfig:AuthConfig:HomeApplicationIdetAppConfig:AuthConfig:HomeTenantIddans les paramètres de votre Certificate Master.
Maintenant créez les paramètres d'application suivants, en remplaçant éventuellement les existants, avec les mêmes valeurs que dans SCEPman :
AppConfig:AuthConfig:ApplicationId
GUID du enregistrement d'application qui a été créé auparavant.
AppConfig:AuthConfig:TenantId
ID du locataire du locataire cible.
AppConfig:AuthConfig:ApplicationKey
Value du Secret client qui a été créé dans le cadre de enregistrement d'application auparavant. Vous pouvez créer un nouveau secret client distinct pour Certificate Master si vous le souhaitez.
Enregistrez les modifications
Redémarrez le SCEPman Certificate Master App Service.
Accordez les droits pour demander des certificats via le Certificate Master web app, voir ici
En résumé, voici les comptes utilisés par Certificate Master et à quoi ils servent :
Identité gérée
Autoriser les CSR soumis à SCEPman
Accès au compte de stockage
N/A
Enregistrement d'application avec l'ID d'application de ApplicationId
Certificate Master accède à Microsoft Graph dans ce contexte pour voir quels certificats ont été enregistrés via Intune
Si ApplicationKey n'est pas présent, l'identité gérée est utilisée à la place.
Enregistrement d'application avec l'ID d'application de HomeApplicationId
Les utilisateurs s'authentifient vers à cette application. Elle doit se trouver dans le locataire où résident les utilisateurs accédant au Certificate Master (mais des utilisateurs invités d'autres locataires peuvent également être autorisés)
Si HomeApplicationId n'est pas présent, ApplicationId est utilisé à la place.
Maintenant que la configuration de Split-Tenancy est terminée, vous pouvez configurer vos profils SCEP en fonction de votre MDM, voir ici
Considérations lors de la gestion de plusieurs locataires cibles
Si vous souhaitez avoir plusieurs instances SCEPman pour délivrer des certificats à différents locataires cibles, vous devrez effectuer des étapes de configuration supplémentaires pour isoler ces instances les unes des autres.
Un concept possible pourrait inclure un groupe de ressources de gestion qui contient un seul Plan App Service qui fournira la ressource de calcul pour tous vos App Services SCEPman. Les points suivants doivent être pris en compte lorsque vous faites cela pour plusieurs locataires :
Chaque instance devrait avoir son propre groupe de ressources pour les distinguer
Vous devriez créer des enregistrements d'application pour chaque instance afin d'isoler les autorisations
Le Plan App Service devrait être créé dans un groupe de ressources de gestion indépendant car il dessert plusieurs instances
Dans ce diagramme, un locataire de gestion et ses deux instances SCEPman fournissent des certificats aux locataires de Contoso et Tailwind :
Unexpected error with integration mermaid: Integration is not installed on this space
Ajouter une nouvelle instance SCEPman à un Plan App Service existant
Lors du déploiement d'une nouvelle instance SCEPman en utilisant la méthode de déploiement entreprise il vous est proposé la possibilité de saisir l'ID de ressource d'un Plan App Service existant auquel cette instance doit être ajoutée.
Cet ID de ressource se trouve dans les propriétés du plan de service d'application existant :
Créer des enregistrements d'application spécifiques au client
Pour isoler les autorisations des applications, vous devrez ajuster la commande post-déploiement pour spécifier des enregistrements d'application personnalisés :
Cette commande aboutira à une instance SCEPman entièrement configurée et isolée des instances précédentes. Vous pouvez désormais procéder à la configuration du split-tenancy pour cette instance.
La section ci-dessus concernant le Certificate Master peut maintenant être appliquée en option si vous souhaitez que ce service soit accessible depuis le locataire du client.
Mis à jour
Ce contenu vous a-t-il été utile ?