circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

Annuaire des appareils

SCEPman propose deux options pour valider les certificats des appareils (par ex. pour les requêtes OCSP). Les deux annuaires stockent des objets appareil avec des ID différents qui sont vérifiés pour existence par SCEPman :

  • ID d'appareil Microsoft Entra ID (Azure AD)

  • Intune (ID d'appareil Intune)

Ces ID sont visibles dans Intune pour chaque appareil sous l'onglet « Matériel » :

Pour reconnaître l'appareil derrière un certificat émis, SCEPman exige le ID dans le nom du sujet:

  • Microsoft Entra ID (Azure AD) : CN={{AAD_Device_ID}}

  • Intune : CN={{DeviceId}}

Lors de la configuration de SCEPman et des profils de certificats dans Intune, il est important de décider quel inventaire doit être utilisé.

hashtag
Entra ID (AAD) vs. Intune

Les deux annuaires ont leurs avantages et inconvénients. En général, nous recommandons Intune comme inventaire depuis SCEPman 2.0 :

  • L'ID d'appareil Entra peut changer pendant l'enrôlement (observé sur iOS/iPadOS/macOS) : L'ID d'appareil Entra est défini sur l'ID d'appareil Intune jusqu'à ce que l'appareil soit finalement enregistré dans AAD. Intune délivre déjà le certificat avant que l'appareil n'obtienne son ID final. En conséquence, SCEPman ne peut pas trouver l'appareil dans AAD après ce changement d'ID.

  • Intune est souvent mieux maintenu qu'Entra ID (AAD) : En théorie, les objets appareil AAD et Intune sont indépendants l'un de l'autre. Supprimer un appareil dans Intune ne supprime pas l'objet AAD correspondant. De plus, les appareils Autopilot ne peuvent être supprimés que dans Intune et non dans Microsoft Entra ID (Azure AD). Ainsi, les certificats resteraient encore valides.

hashtag
Configuration de SCEPman

SCEPman doit savoir quel(s) annuaire(s) doit(ent) être utilisé(s) pour la validation. Par conséquent, nous proposons l'option de configurationAppConfig:IntuneValidation:DeviceDirectory. Veuillez ajuster cette valeur selon vos besoins.

circle-exclamation

Notez que cela nécessite la version 2.0 ou plus récente. SCEPman 1.x ne prend en charge que Microsoft Entra ID (Azure AD) comme annuaire.

hashtag
Profils de certificats

Veuillez également adapter le nom du sujet selon vos besoins comme indiqué sous Microsoft Intune.

Veuillez noter que CN={{DeviceId}} n'est actuellement pas pris en charge pour Android Enterprise Fully Managed, Dedicated et Corporate-Owned Work Profile comme indiqué dans documentation Microsoftarrow-up-right. Si ces types d'appareils sont utilisés, pensez à vérifier les deux annuaires ou uniquement Microsoft Entra ID (Azure AD).

Pour migration de Microsoft Entra ID (Azure AD) vers l'ID Intune ou vice versa, certificats doivent être réémis sur tous les clients. Pendant ce changement, veuillez configurer SCEPman via AppConfig:IntuneValidation:DeviceDirectory pour vérifier les deux annuaires (ainsi, que les deux ID soient valides). Après la migration, vous pouvez passer à Intune ou AAD comme annuaire unique.

Mis à jour

Ce contenu vous a-t-il été utile ?