Split-Tenancy
Édition SCEPman Enterprise uniquement
Vue d’ensemble
SCEPman peut être configuré pour fonctionner depuis un locataire Azure distinct du locataire Azure/Intune pour lequel il émet des certificats aux utilisateurs et/ou aux appareils. Cette configuration, connue sous le nom de split-tenancy, est particulièrement utile pour les MSP qui souhaitent mutualiser les coûts de l’infrastructure Azure entre leurs clients tout en conservant un backend dédié et une CA unique pour chacun de ces clients.
Le split-tenancy s’accompagne d’un inconvénient majeur: Identités managées ne peut plus être utilisé. Cela signifie que l’authentification auprès de l’API Graph (Azure AD et Intune) est gérée à l’aide d’une inscription d’application et d’un secret client, qui doivent être gérés (par le MSP) lorsqu’ils expirent.
Dans ce qui suit, nous appelons le locataire d’hébergement locataire d’accueil, et le locataire client locataire cible. Les ressources SCEPman existeront dans le locataire d’accueil, et les appareils gérés dans le locataire cible comme dans le graphique ci-dessous :
Étapes de configuration
Dans la locataire d’accueil, effectuez un déploiement standard de SCEPman/Certificate Master comme décrit dans notre Guide de démarrage.
Dans SCEPman (locataire d’accueil)
Accédez à SCEPman App service puis à « Settings » --> « Environment variables ». Repérez les paramètres suivants et supprimez -les :
AppConfig:AuthConfig:ManagedIdentityEnabledForWebsiteHostname
AppConfig:AuthConfig:ManagedIdentityEnabledOnUnixTime
AppConfig:AuthConfig:ManagedIdentityPermissionLevel
Renommez les paramètres suivants (ne modifiez pas leurs valeurs):
AppConfig:AuthConfig:ApplicationId
AppConfig:AuthConfig:HomeApplicationId
AppConfig:AuthConfig:TenantId
AppConfig:AuthConfig:HomeTenantId
Créez une App registration dans le locataire cible comme décrit ici : Azure App Registration. Cela App registration permettra à SCEPman d’accéder aux annuaires Azure AD et Intune dans le locataire cible.
Le secret client généré dans le cadre de cette App registration a une date d’expiration et doit être renouvelé avant son expiration. Veuillez définir un rappel pour le renouvellement.
Créer les nouvelles variables d’environnement suivantes si vous ne l’avez pas déjà fait lors de la création de l’inscription d’application :
AppConfig:AuthConfig:ApplicationId
GUID du App registration qui a été créé auparavant (locataire cible).
AppConfig:AuthConfig:TenantId
ID de locataire du locataire cible.
AppConfig:AuthConfig:ApplicationKey
Valeur de Secret client qui a été créé dans le cadre de la App registration dans le locataire cible.
Appliquez les modifications.
Redémarrez le SCEPman App service.
Certificate Master
Accédez à Certificate Master App service puis à « Settings » > « Environment variables ».
Vous avez maintenant deux options :
Si vous souhaitez que les utilisateurs de votre locataire d’accueil se connectent à Certificate Master et émettent des certificats, y compris les utilisateurs invités dans votre locataire d’accueil, par ex. depuis votre locataire cible.
Dans ce cas, renommez les paramètres suivants (ne modifiez pas leurs valeurs):
AppConfig:AuthConfig:TenantId
AppConfig:AuthConfig:HomeTenantId
AppConfig:AuthConfig:ApplicationId
AppConfig:AuthConfig:HomeApplicationId
b. Vous souhaitez que les utilisateurs de votre locataire cible se connectent à Certificate Master et émettent des certificats, y compris les utilisateurs invités dans votre locataire cible, par ex. depuis votre locataire d’accueil.
Dans ce cas, procédez comme suit :
Ouvrez une session PowerShell ou Azure Cloud Shell dans votre locataire cible et exécutez les commandes suivantes :
Remplacez <url> avec l’URL de votre Certificate Master
Le Le cmdlet renverra un ID d’application et un ID de locataire (celui du locataire cible). Saisissez ces deux valeurs comme
AppConfig:AuthConfig:HomeApplicationIdetAppConfig:AuthConfig:HomeTenantIddans les paramètres de votre Certificate Master.
Maintenant créez les nouveaux paramètres d’application suivants, en remplaçant éventuellement les paramètres existants, avec les mêmes valeurs que dans SCEPman :
AppConfig:AuthConfig:ApplicationId
GUID du App registration qui a été créé auparavant.
AppConfig:AuthConfig:TenantId
ID de locataire du locataire cible.
AppConfig:AuthConfig:ApplicationKey
Valeur de Secret client qui a été créé dans le cadre de la App registration avant. Vous pouvez créer un nouveau secret client distinct pour Certificate Master si vous le souhaitez.
Enregistrez les modifications
Redémarrez le SCEPman Certificate Master App service.
Accordez les droits de demander des certificats via le Certificate Master web app, voir ici
À titre de vue d’ensemble, voici les comptes utilisés par Certificate Master et leur usage :
Managed Identity
Autoriser les CSR soumis à SCEPman
Accès au Storage Account
S/O
Inscription d’application avec l’ID d’application de ApplicationId
Certificate Master accède à Microsoft Graph dans ce contexte pour voir quels certificats ont été inscrits via Intune
Si ApplicationKey n’est pas présent, Managed Identity est utilisé à la place.
Inscription d’application avec l’ID d’application de HomeApplicationId
Les utilisateurs s’authentifient vers cette application. Elle doit se trouver dans le locataire où résident les utilisateurs accédant à Certificate Master (mais les utilisateurs invités d’autres locataires peuvent également être autorisés)
Si HomeApplicationId n’est pas présent, ApplicationId est utilisé à la place.
La configuration Split-Tenancy est maintenant terminée, vous pouvez maintenant configurer vos profils SCEP en fonction de votre MDM, voir ici
Considérations lorsqu’il existe plusieurs locataires cibles
Si vous souhaitez avoir plusieurs instances SCEPman pour émettre des certificats à différents locataires cibles, vous devrez prendre des mesures de configuration supplémentaires pour isoler ces instances les unes des autres.
Un concept possible pourrait inclure un groupe de ressources de gestion qui contient un seul App Service Plan fournissant la ressource de calcul pour tous vos App Services SCEPman. Les points suivants doivent être pris en considération lors de la mise en œuvre pour plusieurs locataires :
Chaque instance devrait avoir son propre groupe de ressources afin de les distinguer
Vous devriez créer des App Registrations pour chaque instance afin d’isoler les autorisations
L’App Service Plan devrait être créé dans un groupe de ressources de gestion indépendant, car il sert plusieurs instances
Dans ce diagramme, un locataire de gestion et ses deux instances SCEPman fournissent des certificats aux locataires de Contoso et Tailwind :
Unexpected error with integration mermaid: Integration is not installed on this space
Ajouter une nouvelle instance SCEPman à un App Service Plan existant
Lors du déploiement d’une nouvelle instance SCEPman à l’aide de la méthode de déploiement entreprise vous avez la possibilité de saisir l’ID de ressource d’un App Service Plan existant auquel cette instance doit être ajoutée.
Cet ID de ressource se trouve dans les propriétés du plan de service d’application existant :
Créer des App registrations spécifiques au client
Pour isoler les autorisations des applications, vous devrez ajuster la commande post-déploiement afin de spécifier des App Registrations personnalisées :
Cette commande aboutira à une instance SCEPman entièrement configurée et isolée des instances précédentes. Vous pouvez maintenant poursuivre la configuration du split tenancy pour cette instance.
La section ci-dessus concernant Certificate Master peut maintenant être appliquée en option si vous souhaitez que ce service soit accessible depuis le locataire client.
Mis à jour
Ce contenu vous a-t-il été utile ?