Validation Intune

AppConfig:IntuneValidation:ComplianceCheck

Linux: AppConfig__IntuneValidation__ComplianceCheck

Valeur : Toujours ou Jamais (par défaut)

Description : Lorsque SCEPman reçoit une requête OCSP, SCEPman peut optionnellement vérifier l'état de conformité de l'appareil. Lorsqu'il est réglé sur Toujours SCEPman interrogera l'état de conformité de l'appareil et le résultat OCSP ne peut être GOOD que si l'appareil est également marqué comme conforme dans Azure AD.

Le fait de régler ceci sur Jamais désactivera la vérification de conformité.

AppConfig:IntuneValidation:ComplianceGracePeriodMinutes

Linux: AppConfig__IntuneValidation__ComplianceGracePeriodMinutes

Valeur : Entier (par défaut : 0)

Description : Juste après l'enrôlement, les appareils ne sont souvent pas encore conformes dans Intune. Ce paramètre définit une période de grâce en minutes pendant laquelle l'appareil est considéré comme conforme, même s'il ne l'est pas encore. Si l'appareil n'est pas conforme après la période de grâce, le certificat est révoqué. Cela évite le problème d'un appareil Windows qui est en cours d'enrôlement et doit terminer avec succès le profil SCEP pour achever l'enrôlement Windows Autopilot, mais qui ne deviendra conforme dans Intune que plus tard.

Le paramètre vérifiera la propriété EnrolledDateTime d'Intune et commencera à compter à partir de ce point.

C'est une alternative à l'utilisation de certificats d'amorçage éphémères. Si vous configurez une valeur supérieure à 0, SCEPman n'émettra jamais de certificats d'amorçage éphémères.

Ce paramètre n'est effectif que si ComplianceCheck est réglé sur Toujours.

AppConfig:IntuneValidation:DeviceDirectory

Linux: AppConfig__IntuneValidation__DeviceDirectory

Valeur : Chaîne

Options disponibles :

• AAD (par défaut pour SCEPman 2.0)

• Intune

• AADAndIntune

• AADAndIntuneOpportunistic (par défaut pour SCEPman 2.1 ou plus récent)

• AADAndIntuneAndEndpointlist (disponible dans SCEPman 2.2 et versions ultérieures)

Description : Détermine où rechercher les appareils lors des requêtes OCSP pour les certificats d'appareil. Le répertoire correspondant est interrogé pour un appareil correspondant à l'ID d'appareil écrit dans le champ CN du sujet du certificat. Le certificat n'est valide que si l'appareil existe. Pour AAD, il doit également être activé (Intune ne prend pas en charge la désactivation des appareils). Si la vérification de conformité est activée, l'appareil doit également être conforme. Si rien n'est configuré et pour SCEPman 1.9 et antérieur, AAD est utilisé.

Par conséquent, vous devez configurer le profil de configuration Intune pour les appareils en conséquence. {{AAD_Device_ID}} est l'ID d'appareil Entra/AAD, tandis que {{DeviceID}} est l'ID d'appareil Intune.

Pour AADAndIntune, les deux répertoires sont interrogés en parallèle. Dans ce cas, il suffit que l'appareil existe dans l'un des deux répertoires. Ce paramètre permet de migrer d'un réglage à l'autre lorsqu'il existe encore des certificats valides pour les deux types de répertoires. Il prend également en charge les cas où vous configurez différemment les plateformes. Il peut aussi être utilisé comme solution de contournement pour les appareils iOS ou Android qui reçoivent un ID Intune au lieu d'un ID d'objet Entra, car ils ne sont pas entièrement joints à Entra au moment de l'enrôlement du certificat.

Si vous avez mis à niveau de SCEPman 1.x vers SCEPman 2.x et que vous utilisez toujours une App Registration pour les autorisations SCEPman, SCEPman n'a pas les autorisations pour interroger Intune pour les appareils. Ainsi, vous êtes limité à l'option AAD . L'option AADAndIntuneOpportunistic vérifie si les autorisations pour interroger Intune ont été accordées à SCEPman. Si elles sont présentes, cela fonctionne comme AADAndIntune. Si elles ne sont pas présentes, cela se comporte comme AAD.

La valeur AADAndIntuneAndEndpointlist fonctionne comme AADAndIntune, mais interroge en plus la liste des certificats émis d'Intune. Si Intune a déclenché la révocation d'un certificat, cela rendra le certificat révoqué dans SCEPman.

AppConfig:IntuneValidation:RevokeCertificatesOnWipe

Linux: AppConfig__IntuneValidation__RevokeCertificatesOnWipe

Valeur : true (par défaut) ou false

Description : Ce paramètre étend la validation des appareils lors de l'utilisation de l'ID d'appareil Intune. Il ne fonctionne pas lors de l'utilisation de l'ID d'appareil Entra/AAD. S'il est activé, SCEPman évalue la propriété Management State d'un appareil Intune lorsque son certificat d'appareil est validé. Si l'état indique l'une des valeurs suivantes, le certificat est révoqué :

• RetirePending

• RetireFailed

• WipePending

• WipeFailed

• Unhealthy

• DeletePending

• RetireIssued

• WipeIssued

En particulier, cela signifie que lorsqu'un administrateur déclenche un effacement (Wipe) ou une suppression (Retire) pour un appareil, le certificat sera révoqué immédiatement. Même si l'appareil est éteint ou hors ligne et que l'action ne peut donc pas être effectuée sur l'appareil, le certificat n'est plus valide.

AppConfig:IntuneValidation:UntoleratedUserRisks

Linux: AppConfig__IntuneValidation__UntoleratedUserRisks

Valeur : Liste séparée par des virgules des niveaux de risque utilisateur, par ex. Faible, Moyen, Élevé.

Description : Ce paramètre n'a d'effet que si vous définissez UserRiskCheck sur Toujours. Les certificats des utilisateurs dont les niveaux de risque figurent dans cette liste seront considérés comme invalides.

Exemple : Vous définissez Moyen,Élevé pour ce paramètre. Un utilisateur a le niveau de risque Faible. Le certificat de l'utilisateur est valide et le certificat peut être utilisé pour se connecter au VPN de l'entreprise. Ensuite, un événement de risque augmente le niveau de risque de l'utilisateur à Moyen. L'utilisateur tente de se connecter au VPN, mais n'y parvient pas, car la passerelle VPN vérifie la validité du certificat en temps réel et SCEPman répond qu'il est révoqué.

AppConfig:IntuneValidation:UserRiskCheck

Linux: AppConfig__IntuneValidation__UserRiskCheck

Valeur : Toujours ou Jamais (par défaut)

Description : Lorsque SCEPman reçoit une requête OCSP pour un certificat émis à un utilisateur Intune, SCEPman peut optionnellement vérifier le niveau de risque de l'utilisateur. Lorsqu'il est réglé sur Toujours SCEPman interrogera l'état de risque de l'utilisateur et le résultat OCSP ne peut être GOOD que si le risque de l'utilisateur ne figure pas dans la liste des UntoleratedUserRisks.

Le fait de régler ceci sur Jamais désactivera la vérification du risque utilisateur.

AppConfig:IntuneValidation:WaitForSuccessNotificationResponse

Linux: AppConfig__IntuneValidation__WaitForSuccessNotificationResponse

Valeur : true (par défaut) ou false

Description : Après qu'un certificat a été émis avec succès, SCEPman envoie une notification à Intune concernant le certificat. Microsoft recommande d'attendre la réponse dans sa spécification. Cependant, certaines instances montrent de longs délais entraînant parfois des dépassements de délai. Par conséquent True est le réglage par défaut.

Le fait de régler ceci sur False fait que SCEPman renvoie le certificat émis avant qu'Intune ne réponde à la notification. Cela va à l'encontre de la lettre de la spécification, mais augmente les performances et évite les dépassements de délai dans les instances où ce problème survient.

AppConfig:IntuneValidation:ValidityPeriodDays

Linux: AppConfig__IntuneValidation__ValidityPeriodDays

Valeur : Positif Entier

Description : Ce paramètre réduit davantage la ValidityPeriodDays globale pour le point de terminaison Intune.

AppConfig:IntuneValidation:EnableCertificateStorage

Linux: AppConfig__IntuneValidation__EnableCertificateStorage

Valeur : true ou false (par défaut)

Description : Lors de la demande de certificats via le point de terminaison Intune, SCEPman stocke ces certificats demandés dans le compte de stockage Azure si ceci est défini sur true. Cela fera apparaître les certificats émis dans le Certificate Master de SCEPman, où vous pouvez les afficher et les révoquer manuellement. De plus, les certificats sont révoqués automatiquement lorsque l'objet Entra ou Intune associé passe à un état invalide tel que spécifié par les autres paramètres (comme être désactivé ou supprimé). S'il est réglé sur false, SCEPman ne stockera pas les certificats émis et les certificats seront visibles uniquement dans les journaux ou dans la vue Intune classique sur Certificate Master ou le portail Intune. Si ceci n'est pas défini, le comportement dépend du paramètre global AppConfig:EnableCertificateStorage.

AppConfig:IntuneValidation:AllowRenewals

Valeur : true ou false (par défaut)

Description : Ceci permet d'utiliser l'opération RenewalReq sur ce point de terminaison SCEP. Cela fonctionne uniquement pour les types de certificats ajoutés à AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes.

Cette opération peut être utilisée avec le module PowerShell SCEPmanClient .

AppConfig:IntuneValidation:AllowRequestedSidExtension

Valeur : true ou false (par défaut)

Description : S'il y a une extension SID (OID 1.3.6.1.4.1.311.25.2) dans la requête de certificat, elle sera copiée dans le certificat émis si ce paramètre est vrai. Si il est faux, elle sera filtrée. Le SID est important pour un mappage fort des certificats dans les scénarios d'authentification AD sur site. Cependant, Intune apparemment ne vérifie pas l'authenticité du SID demandé dans l'extension, donc autoriser les extensions SID demandées peut constituer une vulnérabilité de sécurité.

Les extensions SID ajoutées via AppConfig:AddSidExtension ne sont pas affectées par ce paramètre. De plus, les SID ajoutés en tant que SAN URI contenant un SID ne sont également pas affectés si la version de SCEPman est 2.11.1460 ou plus récente — les versions plus anciennes de SCEPman copient le SAN URI SID uniquement si ceci true, mais elles ont true comme valeur par défaut.

AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes

Valeur : Liste séparée par des virgules des types de certificats provenant de cette liste :

• DomainController

• Static

• IntuneUser

• IntuneDevice

• JamfUser

• JamfUserWithDevice

• JamfUserWithComputer

• JamfDevice

• JamfComputer

Description : Vous pouvez utiliser le point de terminaison SCEP pour les renouvellements des certificats des types spécifiés dans ce paramètre. Si vous ne spécifiez aucune valeur, il n'y a par défaut aucun type.

Par exemple, si vous vouliez renouveler des certificats émis manuellement via Certificate Master, vous spécifieriez Static. Si vous voulez également renouveler des certificats de contrôleur de domaine, vous spécifieriez DomainController,Static.