# Validation Intune {% hint style="info" %} Ces paramètres ne doivent être appliqués qu’au SCEPman App Service, et non au Certificate Master. Veuillez vous référer à [SCEPman Settings](https://docs.scepman.com/fr/configuration-scepman/application-settings). {% endhint %} ## AppConfig:IntuneValidation:ComplianceCheck *Linux : AppConfig\_\_IntuneValidation\_\_ComplianceCheck* {% hint style="warning" %} **Paramètre expérimental** Édition SCEPman Enterprise uniquement Avant la version 1.9, en raison du retard dans l’évaluation de l’état de conformité pendant l’inscription, cette fonctionnalité interrompt l’inscription Windows Autopilot. Après le déploiement du certificat, la vérification OCSP immédiatement suivante renverra « **non valide** » pendant l’inscription et le processus Autopilot ne réussira pas. À partir de la version 1.9, les clients reçoivent un « Ephemeral Bootstrap Certificate » pendant la phase d’inscription, qui est ensuite remplacé par un certificat client standard dès que le client devient conforme. À partir de la version 2.5, vous pouvez également configurer une période de grâce pendant laquelle l’appareil est toujours considéré comme conforme avec le paramètre ComplianceGracePeriodMinutes. {% endhint %} **Valeur :** *Toujours* ou *Jamais* (par défaut) **Description :** Lorsque SCEPman reçoit une requête OCSP, SCEPman peut éventuellement vérifier l’état de conformité de l’appareil. Lorsque défini sur **Toujours** SCEPman interrogera l’état de conformité de l’appareil et le résultat OCSP ne peut être GOOD que si l’appareil est également marqué comme conforme dans Azure AD. Le fait de définir ceci sur **Jamais** désactivera la vérification de conformité. ## AppConfig:IntuneValidation:ComplianceGracePeriodMinutes *Linux : AppConfig\_\_IntuneValidation\_\_ComplianceGracePeriodMinutes* {% hint style="warning" %} Édition SCEPman Enterprise uniquement Applicable à la version 2.5 et supérieure {% endhint %} **Valeur :** *Entier* (par défaut : 0) **Description :** Immédiatement après l’inscription, les appareils ne sont souvent pas encore conformes dans Intune. Ce paramètre définit une période de grâce en minutes pendant laquelle l’appareil est considéré comme conforme, même s’il ne l’est pas encore. Si l’appareil n’est pas conforme après la période de grâce, le certificat est révoqué. Cela évite le problème d’un appareil Windows qui s’inscrit juste et doit terminer avec succès le profil SCEP afin de finaliser l’inscription Windows Autopilot, mais ne deviendra conforme dans Intune que plus tard. Le paramètre vérifiera la propriété Intune EnrolledDateTime et commencera le décompte à partir de ce moment. C’est une alternative à l’utilisation de Ephemeral Bootstrap Certificates. Si vous configurez une valeur supérieure à 0, SCEPman n’émettra jamais de Ephemeral Bootstrap Certificates. Ce paramètre n’est effectif que si [ComplianceCheck](#appconfig-intunevalidation-compliancecheck) est défini sur *Toujours*. ## AppConfig:IntuneValidation:DeviceDirectory *Linux : AppConfig\_\_IntuneValidation\_\_DeviceDirectory* **Valeur :** Chaîne Options disponibles : * `AAD`\ (par défaut pour SCEPman 2.0) * `Intune` * `AADAndIntune` * `AADAndIntuneOpportunistic`\ (par défaut pour SCEPman 2.1 ou plus récent) * `AADAndIntuneAndEndpointlist`\ (disponible dans SCEPman 2.2 et versions ultérieures) {% hint style="warning" %} Si vous souhaitez modifier ce paramètre dans un déploiement existant installé avec une version précédente de SCEPman, veuillez exécuter à nouveau le [script de configuration PowerShell](https://docs.scepman.com/fr/deploiement-scepman/permissions/post-installation-config#acquire-and-run-the-scepman-installation-powershell-module) afin de vous assurer que SCEPman dispose des autorisations les plus récentes pour accéder aux répertoires d’appareils correspondants. {% endhint %} **Description :** Détermine où rechercher les appareils lors des requêtes OCSP pour les certificats d’appareil. Le répertoire correspondant est interrogé pour trouver un appareil correspondant à l’ID d’appareil inscrit dans le champ CN du sujet du certificat. Le certificat n’est valide que si l’appareil existe. Pour **`AAD`**, il doit également être activé (Intune ne prend pas en charge la désactivation des appareils). Si le ComplianceCheck est activé, l’appareil doit également être conforme. Si rien n’est configuré et pour SCEPman 1.9 et versions antérieures, `AAD` est utilisé. Par conséquent, vous devez configurer le profil de configuration Intune pour les appareils en conséquence. `{{AAD_Device_ID}}` est l’ID d’appareil Entra/AAD, tandis que `{{DeviceID}}` est l’ID d’appareil Intune. Pour **`AADAndIntune`**, les deux répertoires sont interrogés en parallèle. Dans ce cas, il suffit que l’appareil existe dans l’un des deux répertoires. Ce paramètre permet de migrer d’un paramètre à l’autre lorsqu’il existe encore des certificats valides pour les deux types de répertoires. Il prend également en charge les cas où vous configurez les plateformes différemment. Il peut aussi être utilisé comme solution de contournement pour les appareils iOS ou Android qui reçoivent un ID Intune au lieu d’un object ID Entra ID, car ils ne sont pas encore entièrement joints à Entra au moment de l’inscription du certificat. Si vous avez effectué une mise à niveau de SCEPman 1.x vers SCEPman 2.x et que vous utilisez toujours [une application enregistrée pour les autorisations SCEPman](https://docs.scepman.com/fr/deploiement-scepman/permissions/azure-app-registration), SCEPman ne dispose pas des autorisations nécessaires pour interroger Intune à propos des appareils. Ainsi, vous êtes limité à l’option `AAD` L’option **`AADAndIntuneOpportunistic`** vérifie si les autorisations pour interroger Intune ont été accordées à SCEPman. Si elles sont présentes, cela fonctionne comme `AADAndIntune`. Si elles ne sont pas présentes, cela se comporte comme `AAD`. La valeur **`AADAndIntuneAndEndpointlist`** fonctionne exactement comme `AADAndIntune`, mais interroge en plus [la liste des certificats émis d’Intune](https://endpoint.microsoft.com/#view/Microsoft_Intune_DeviceSettings/DevicesMonitorMenu/~/certificateReport). Si Intune [a déclenché la révocation d’un certificat](https://learn.microsoft.com/en-us/mem/intune/protect/remove-certificates#scep-certificates), cela rendra le certificat révoqué dans SCEPman. {% embed url="" %} SCEPman 2.0 : validation des certificats {% endembed %} ## AppConfig:IntuneValidation:RevokeCertificatesOnWipe *Linux : AppConfig\_\_IntuneValidation\_\_RevokeCertificatesOnWipe* {% hint style="info" %} Applicable à la version 2.1 et supérieure. {% endhint %} **Valeur :** *true* (par défaut) ou *false* **Description :** Ce paramètre étend la validation des appareils lors de l’utilisation de l’ID d’appareil Intune. Il ne fonctionne pas avec l’utilisation de l’ID d’appareil Entra/AAD. S’il est activé, SCEPman évalue la propriété Management State d’un appareil Intune lorsque son certificat d’appareil est validé. Si l’état indique l’une des valeurs suivantes, le certificat est révoqué : * RetirePending * RetireFailed * WipePending * WipeFailed * Unhealthy * DeletePending * RetireIssued * WipeIssued En particulier, cela signifie que lorsqu’un administrateur déclenche un Wipe ou un Retire pour un appareil, le certificat sera révoqué immédiatement. Même si l’appareil est éteint ou hors ligne et que l’action ne peut donc pas être exécutée sur l’appareil, le certificat n’est plus valide. ## AppConfig:IntuneValidation:UntoleratedUserRisks *Linux : AppConfig\_\_IntuneValidation\_\_UntoleratedUserRisks* {% hint style="warning" %} **Paramètre expérimental** - Applicable à la version 2.2 et supérieure. Nécessite une autorisation *IdentityRiskyUser.Read.All* attribuée par le module SCEPman PS version 1.7 et supérieure. Édition SCEPman Enterprise uniquement {% endhint %} **Valeur :** Liste séparée par des virgules des niveaux de risque utilisateur, par exemple *Faible*, *Moyen*, *Élevé*. **Description :** Ce paramètre n’a d’effet que si vous définissez [UserRiskCheck](#appconfig-intunevalidation-userriskcheck) vers *Toujours*. Les certificats des utilisateurs dont le niveau de risque figure dans cette liste seront considérés comme invalides. Exemple : vous définissez `Medium,High` pour ce paramètre. Un utilisateur a le niveau de risque *Faible*. Le certificat de l’utilisateur est valide et peut être utilisé pour se connecter au VPN de l’entreprise. Ensuite, un événement de risque augmente le niveau de risque utilisateur à *Moyen*. L’utilisateur essaie de se connecter au VPN, mais n’y parvient pas, car la passerelle VPN vérifie en temps réel la validité du certificat et SCEPman répond qu’il est révoqué. ## AppConfig:IntuneValidation:UserRiskCheck *Linux : AppConfig\_\_IntuneValidation\_\_UserRiskCheck* {% hint style="warning" %} **Paramètre expérimental** - Applicable à la version 2.2 et supérieure. Nécessite une autorisation *IdentityRiskyUser.Read.All* attribuée par le module SCEPman PS version 1.7 et supérieure. Édition SCEPman Enterprise uniquement {% endhint %} **Valeur :** *Toujours* ou *Jamais* (par défaut) **Description :** Lorsque SCEPman reçoit une requête OCSP pour un certificat émis à un utilisateur Intune, SCEPman peut éventuellement vérifier le [du niveau de risque utilisateur](https://docs.microsoft.com/en-us/azure/active-directory/identity-protection/concept-identity-protection-risks#user-linked-detections). Lorsque défini sur **Toujours** SCEPman interrogera l’état de risque de l’utilisateur et le résultat OCSP ne peut être GOOD que si le risque de l’utilisateur ne figure pas dans la liste des [UntoleratedUserRisks](#appconfig-intunevalidation-untolerateduserrisks). Le fait de définir ceci sur **Jamais** désactivera la vérification du risque utilisateur. ## AppConfig:IntuneValidation:WaitForSuccessNotificationResponse *Linux : AppConfig\_\_IntuneValidation\_\_WaitForSuccessNotificationResponse* **Valeur :** *true* (par défaut) ou *false* **Description :** Après qu’un certificat a été émis avec succès, SCEPman envoie une notification concernant le certificat à Intune. Microsoft recommande d’attendre la réponse dans sa spécification. Cependant, certaines instances montrent de longs délais entraînant parfois des expirations de délai. Par conséquent **Vrai** est la valeur par défaut. Le fait de définir ceci sur **Faux** fait en sorte que SCEPman renvoie le certificat émis avant qu’Intune ne réponde à la notification. Cela va à l’encontre de la spécification, mais améliore les performances et évite les expirations de délai dans les cas où ce problème se produit. ## AppConfig:IntuneValidation:ValidityPeriodDays *Linux : AppConfig\_\_IntuneValidation\_\_ValidityPeriodDays* **Valeur :** Positif *Entier* **Description :** Ce paramètre réduit encore la valeur globale de ValidityPeriodDays pour le point de terminaison Intune. ## AppConfig:IntuneValidation:EnableCertificateStorage *Linux : AppConfig\_\_IntuneValidation\_\_EnableCertificateStorage* {% hint style="info" %} Applicable à la version 2.7 et supérieure Édition SCEPman Enterprise uniquement {% endhint %} **Valeur :** *true* ou *false* (par défaut) **Description :** Lors de la demande de certificats via le point de terminaison Intune, SCEPman stocke les certificats demandés dans le Storage Account dans Azure si ceci est défini sur *true*. Cela fera apparaître les certificats émis dans SCEPman Certificate Master, où vous pourrez les consulter et les révoquer manuellement. De plus, les certificats sont révoqués automatiquement lorsque l’objet Entra ou Intune associé passe dans un état invalide, comme spécifié par les autres paramètres (par exemple s’il est désactivé ou supprimé). Si défini sur *false*, SCEPman ne stockera pas les certificats émis et ceux-ci ne seront visibles que dans les journaux ou dans l’affichage Intune classique dans Certificate Master ou le portail Intune. Si ceci n’est pas défini, le comportement dépend du paramètre global [AppConfig:EnableCertificateStorage](https://docs.scepman.com/fr/configuration-scepman/basics#appconfig-enablecertificatestorage). ## AppConfig:IntuneValidation:AllowRenewals **Valeur :** *true* ou *false* (par défaut) **Description :** Cela permet d’utiliser l’opération *RenewalReq* sur ce point de terminaison SCEP. Elle fonctionne uniquement pour les types de certificats ajoutés à *AppConfig:*IntuneValidation*:ReenrollmentAllowedCertificateTypes*. Cette opération peut être utilisée avec le [SCEPmanClient ](https://github.com/scepman/scepmanclient)module PowerShell. {% hint style="warning" %} Veuillez noter qu’Intune n’utilisera pas l’opération *RenewalReq* et ce paramètre n’est pas requis pour le fonctionnement habituel. {% endhint %} ## AppConfig:IntuneValidation:AllowRequestedSidExtension {% hint style="info" %} Applicable à la version 2.11.1460 et supérieure. Les versions précédentes se comportent différemment de ce qui est décrit si ce paramètre est modifié, et nous recommandons de ne pas configurer ce paramètre pour ces anciennes versions. {% endhint %} **Valeur :** *true* ou *false* (par défaut) **Description :** S’il existe une extension SID (OID 1.3.6.1.4.1.311.25.2) dans la requête de certificat, elle sera copiée dans le certificat émis si ce paramètre est vrai. S’il est faux, elle sera filtrée. Le SID est important pour un mappage fort des certificats dans les scénarios d’authentification AD locaux. Cependant, Intune apparemment [ne vérifie pas l’authenticité du SID demandé](https://docs.scepman.com/fr/autre/troubleshooting/sid-spoofing-vulnerability) dans l’extension, donc autoriser les extensions SID demandées peut présenter une vulnérabilité de sécurité. Les extensions SID ajoutées via [AppConfig:AddSidExtension](https://docs.scepman.com/fr/configuration-scepman/certificates#appconfig-addsidextension) ne sont pas affectées par ce paramètre. De plus, les SID ajoutés sous forme de SAN URI contenant un SID ne sont pas non plus affectés si la version de SCEPman est 2.11.1460 ou plus récente — les versions plus anciennes de SCEPman copient le SID de l’URI SAN uniquement si ce *true*, mais elles ont *true* comme valeur par défaut. ## AppConfig:IntuneValidation:ReenrollmentAllowedCertificateTypes **Valeur :** Liste de types de certificats séparés par des virgules parmi cette liste : * DomainController * Static * IntuneUser * IntuneDevice * JamfUser * JamfUserWithDevice * JamfUserWithComputer * JamfDevice * JamfComputer **Description :** Vous pouvez utiliser le point de terminaison SCEP pour le renouvellement des certificats des types spécifiés dans ce paramètre. Si vous ne spécifiez aucune valeur, la valeur par défaut est aucun type. Par exemple, si vous souhaitiez renouveler des certificats émis manuellement via Certificate Master, vous spécifieriez `Static`. Si vous souhaitez également renouveler les certificats Domain Controller, vous spécifieriez `DomainController,Static`. {% hint style="warning" %} Veuillez noter qu’Intune n’utilisera pas l’opération *RenewalReq* et ce paramètre n’est pas requis pour le fonctionnement habituel. {% endhint %}