Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Validation d'Intune

Ces paramètres ne doivent être appliqués qu’au SCEPman App Service, et non au Certificate Master. Veuillez vous référer à SCEPman Settings.

AppConfig:IntuneValidation:ComplianceCheck

Linux : AppConfig__IntuneValidation__ComplianceCheck

Paramètre expérimental

Édition SCEPman Enterprise uniquement

Avant la version 1.9, en raison du retard dans l’évaluation de l’état de conformité pendant l’inscription, cette fonctionnalité interrompt l’inscription Windows Autopilot. Après le déploiement du certificat, la vérification OCSP immédiatement suivante renverra « non valide » pendant l’inscription et le processus Autopilot ne réussira pas.

À partir de la version 1.9, les clients reçoivent un « Ephemeral Bootstrap Certificate » pendant la phase d’inscription, qui est ensuite remplacé par un certificat client standard dès que le client devient conforme.

À partir de la version 2.5, vous pouvez également configurer une période de grâce pendant laquelle l’appareil est toujours considéré comme conforme avec le paramètre ComplianceGracePeriodMinutes.

Valeur : Toujours ou Jamais (par défaut)

Description : Lorsque SCEPman reçoit une requête OCSP, SCEPman peut éventuellement vérifier l’état de conformité de l’appareil. Lorsque défini sur Toujours SCEPman interrogera l’état de conformité de l’appareil et le résultat OCSP ne peut être GOOD que si l’appareil est également marqué comme conforme dans Azure AD.

Le fait de définir ceci sur Jamais désactivera la vérification de conformité.

AppConfig:IntuneValidation:ComplianceGracePeriodMinutes

Linux : AppConfig__IntuneValidation__ComplianceGracePeriodMinutes

Édition SCEPman Enterprise uniquement

Applicable à la version 2.5 et supérieure

Valeur : Entier (par défaut : 0)

Description : Immédiatement après l’inscription, les appareils ne sont souvent pas encore conformes dans Intune. Ce paramètre définit une période de grâce en minutes pendant laquelle l’appareil est considéré comme conforme, même s’il ne l’est pas encore. Si l’appareil n’est pas conforme après la période de grâce, le certificat est révoqué. Cela évite le problème d’un appareil Windows qui s’inscrit juste et doit terminer avec succès le profil SCEP afin de finaliser l’inscription Windows Autopilot, mais ne deviendra conforme dans Intune que plus tard.

Le paramètre vérifiera la propriété Intune EnrolledDateTime et commencera le décompte à partir de ce moment.

C’est une alternative à l’utilisation de Ephemeral Bootstrap Certificates. Si vous configurez une valeur supérieure à 0, SCEPman n’émettra jamais de Ephemeral Bootstrap Certificates.

Ce paramètre n’est effectif que si ComplianceCheck est défini sur Toujours.

AppConfig:IntuneValidation:DeviceDirectory

Linux : AppConfig__IntuneValidation__DeviceDirectory

Valeur : Chaîne

Options disponibles :

  • AAD (par défaut pour SCEPman 2.0)

  • Intune

  • AADAndIntune

  • AADAndIntuneOpportunistic (par défaut pour SCEPman 2.1 ou plus récent)

  • AADAndIntuneAndEndpointlist (disponible dans SCEPman 2.2 et versions ultérieures)

Si vous souhaitez modifier ce paramètre dans un déploiement existant installé avec une version précédente de SCEPman, veuillez exécuter à nouveau le script de configuration PowerShell afin de vous assurer que SCEPman dispose des autorisations les plus récentes pour accéder aux répertoires d’appareils correspondants.

Description : Détermine où rechercher les appareils lors des requêtes OCSP pour les certificats d’appareil. Le répertoire correspondant est interrogé pour trouver un appareil correspondant à l’ID d’appareil inscrit dans le champ CN du sujet du certificat. Le certificat n’est valide que si l’appareil existe. Pour AAD, il doit également être activé (Intune ne prend pas en charge la désactivation des appareils). Si le ComplianceCheck est activé, l’appareil doit également être conforme. Si rien n’est configuré et pour SCEPman 1.9 et versions antérieures, AAD est utilisé.

Par conséquent, vous devez configurer le profil de configuration Intune pour les appareils en conséquence. {{AAD_Device_ID}} est l’ID d’appareil Entra/AAD, tandis que {{DeviceID}} est l’ID d’appareil Intune.

Pour AADAndIntune, les deux répertoires sont interrogés en parallèle. Dans ce cas, il suffit que l’appareil existe dans l’un des deux répertoires. Ce paramètre permet de migrer d’un paramètre à l’autre lorsqu’il existe encore des certificats valides pour les deux types de répertoires. Il prend également en charge les cas où vous configurez les plateformes différemment. Il peut aussi être utilisé comme solution de contournement pour les appareils iOS ou Android qui reçoivent un ID Intune au lieu d’un object ID Entra ID, car ils ne sont pas encore entièrement joints à Entra au moment de l’inscription du certificat.

Si vous avez effectué une mise à niveau de SCEPman 1.x vers SCEPman 2.x et que vous utilisez toujours une application enregistrée pour les autorisations SCEPman, SCEPman ne dispose pas des autorisations nécessaires pour interroger Intune à propos des appareils. Ainsi, vous êtes limité à l’option AAD L’option AADAndIntuneOpportunistic vérifie si les autorisations pour interroger Intune ont été accordées à SCEPman. Si elles sont présentes, cela fonctionne comme AADAndIntune. Si elles ne sont pas présentes, cela se comporte comme AAD.

La valeur AADAndIntuneAndEndpointlist fonctionne exactement comme AADAndIntune, mais interroge en plus la liste des certificats émis d’Intune. Si Intune a déclenché la révocation d’un certificat, cela rendra le certificat révoqué dans SCEPman.

SCEPman 2.0 : validation des certificats

AppConfig:IntuneValidation:RevokeCertificatesOnWipe

Linux : AppConfig__IntuneValidation__RevokeCertificatesOnWipe

Applicable à la version 2.1 et supérieure.

Valeur : true (par défaut) ou false

Description : Ce paramètre étend la validation des appareils lors de l’utilisation de l’ID d’appareil Intune. Il ne fonctionne pas avec l’utilisation de l’ID d’appareil Entra/AAD. S’il est activé, SCEPman évalue la propriété Management State d’un appareil Intune lorsque son certificat d’appareil est validé. Si l’état indique l’une des valeurs suivantes, le certificat est révoqué :

  • RetirePending

  • RetireFailed

  • WipePending

  • WipeFailed

  • Unhealthy

  • DeletePending

  • RetireIssued

  • WipeIssued

En particulier, cela signifie que lorsqu’un administrateur déclenche un Wipe ou un Retire pour un appareil, le certificat sera révoqué immédiatement. Même si l’appareil est éteint ou hors ligne et que l’action ne peut donc pas être exécutée sur l’appareil, le certificat n’est plus valide.

AppConfig:IntuneValidation:UntoleratedUserRisks

Linux : AppConfig__IntuneValidation__UntoleratedUserRisks

Paramètre expérimental - Applicable à la version 2.2 et supérieure. Nécessite une autorisation IdentityRiskyUser.Read.All attribuée par le module SCEPman PS version 1.7 et supérieure.

Édition SCEPman Enterprise uniquement

Valeur : Liste séparée par des virgules des niveaux de risque utilisateur, par exemple Faible, Moyen, Élevé.

Description : Ce paramètre n’a d’effet que si vous définissez UserRiskCheck vers Toujours. Les certificats des utilisateurs dont le niveau de risque figure dans cette liste seront considérés comme invalides.

Exemple : vous définissez Medium,High pour ce paramètre. Un utilisateur a le niveau de risque Faible. Le certificat de l’utilisateur est valide et peut être utilisé pour se connecter au VPN de l’entreprise. Ensuite, un événement de risque augmente le niveau de risque utilisateur à Moyen. L’utilisateur essaie de se connecter au VPN, mais n’y parvient pas, car la passerelle VPN vérifie en temps réel la validité du certificat et SCEPman répond qu’il est révoqué.

AppConfig:IntuneValidation:UserRiskCheck

Linux : AppConfig__IntuneValidation__UserRiskCheck

Paramètre expérimental - Applicable à la version 2.2 et supérieure. Nécessite une autorisation IdentityRiskyUser.Read.All attribuée par le module SCEPman PS version 1.7 et supérieure.

Édition SCEPman Enterprise uniquement

Valeur : Toujours ou Jamais (par défaut)

Description : Lorsque SCEPman reçoit une requête OCSP pour un certificat émis à un utilisateur Intune, SCEPman peut éventuellement vérifier le du niveau de risque utilisateur. Lorsque défini sur Toujours SCEPman interrogera l’état de risque de l’utilisateur et le résultat OCSP ne peut être GOOD que si le risque de l’utilisateur ne figure pas dans la liste des UntoleratedUserRisks.

Le fait de définir ceci sur Jamais désactivera la vérification du risque utilisateur.

AppConfig:IntuneValidation:WaitForSuccessNotificationResponse

Linux : AppConfig__IntuneValidation__WaitForSuccessNotificationResponse

Valeur : true (par défaut) ou false

Description : Après qu’un certificat a été émis avec succès, SCEPman envoie une notification concernant le certificat à Intune. Microsoft recommande d’attendre la réponse dans sa spécification. Cependant, certaines instances montrent de longs délais entraînant parfois des expirations de délai. Par conséquent Vrai est la valeur par défaut.

Le fait de définir ceci sur Faux fait en sorte que SCEPman renvoie le certificat émis avant qu’Intune ne réponde à la notification. Cela va à l’encontre de la spécification, mais améliore les performances et évite les expirations de délai dans les cas où ce problème se produit.

AppConfig:IntuneValidation:ValidityPeriodDays

Linux : AppConfig__IntuneValidation__ValidityPeriodDays

Valeur : Positif Entier

Description : Ce paramètre réduit encore la valeur globale de ValidityPeriodDays pour le point de terminaison Intune.

AppConfig:IntuneValidation:EnableCertificateStorage

Linux : AppConfig__IntuneValidation__EnableCertificateStorage

Applicable à la version 2.7 et supérieure

Édition SCEPman Enterprise uniquement

Valeur : true ou false (par défaut)

Description : Lors de la demande de certificats via le point de terminaison Intune, SCEPman stocke les certificats demandés dans le Storage Account dans Azure si ceci est défini sur true. Cela fera apparaître les certificats émis dans SCEPman Certificate Master, où vous pourrez les consulter et les révoquer manuellement. De plus, les certificats sont révoqués automatiquement lorsque l’objet Entra ou Intune associé passe dans un état invalide, comme spécifié par les autres paramètres (par exemple s’il est désactivé ou supprimé). Si défini sur false, SCEPman ne stockera pas les certificats émis et ceux-ci ne seront visibles que dans les journaux ou dans l’affichage Intune classique dans Certificate Master ou le portail Intune. Si ceci n’est pas défini, le comportement dépend du paramètre global AppConfig:EnableCertificateStorage.

AppConfig:IntuneValidation:AllowRenewals

Valeur : true ou false (par défaut)

Description : Cela permet d’utiliser l’opération RenewalReq sur ce point de terminaison SCEP. Elle fonctionne uniquement pour les types de certificats ajoutés à AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes.

Cette opération peut être utilisée avec le SCEPmanClient module PowerShell.

Veuillez noter qu’Intune n’utilisera pas l’opération RenewalReq et ce paramètre n’est pas requis pour le fonctionnement habituel.

AppConfig:IntuneValidation:AllowRequestedSidExtension

Applicable à la version 2.11.1460 et supérieure. Les versions précédentes se comportent différemment de ce qui est décrit si ce paramètre est modifié, et nous recommandons de ne pas configurer ce paramètre pour ces anciennes versions.

Valeur : true ou false (par défaut)

Description : S’il existe une extension SID (OID 1.3.6.1.4.1.311.25.2) dans la requête de certificat, elle sera copiée dans le certificat émis si ce paramètre est vrai. S’il est faux, elle sera filtrée. Le SID est important pour un mappage fort des certificats dans les scénarios d’authentification AD locaux. Cependant, Intune apparemment ne vérifie pas l’authenticité du SID demandé dans l’extension, donc autoriser les extensions SID demandées peut présenter une vulnérabilité de sécurité.

Les extensions SID ajoutées via AppConfig:AddSidExtension ne sont pas affectées par ce paramètre. De plus, les SID ajoutés sous forme de SAN URI contenant un SID ne sont pas non plus affectés si la version de SCEPman est 2.11.1460 ou plus récente — les versions plus anciennes de SCEPman copient le SID de l’URI SAN uniquement si ce true, mais elles ont true comme valeur par défaut.

AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes

Valeur : Liste de types de certificats séparés par des virgules parmi cette liste :

  • DomainController

  • Static

  • IntuneUser

  • IntuneDevice

  • JamfUser

  • JamfUserWithDevice

  • JamfUserWithComputer

  • JamfDevice

  • JamfComputer

Description : Vous pouvez utiliser le point de terminaison SCEP pour le renouvellement des certificats des types spécifiés dans ce paramètre. Si vous ne spécifiez aucune valeur, la valeur par défaut est aucun type.

Par exemple, si vous souhaitiez renouveler des certificats émis manuellement via Certificate Master, vous spécifieriez Static. Si vous souhaitez également renouveler les certificats Domain Controller, vous spécifieriez DomainController,Static.

Veuillez noter qu’Intune n’utilisera pas l’opération RenewalReq et ce paramètre n’est pas requis pour le fonctionnement habituel.

Mis à jour

Ce contenu vous a-t-il été utile ?