# Répertoires des appareils

SCEPman offre deux options pour valider les certificats des appareils (par ex. pour les requêtes OCSP). Les deux annuaires stockent des objets d’appareil avec des ID différents, dont l’existence est vérifiée par SCEPman :

* Microsoft Entra ID (Azure AD) Device ID
* Intune (Intune Device ID)

Ces ID sont visibles dans Intune pour chaque appareil sous l’onglet « Hardware » :

![](https://129332256-files.gitbook.io/~/files/v0/b/gitbook-x-prod.appspot.com/o/spaces%2F-LoGejQeUQcw7lqnQ3WX%2Fuploads%2Fgit-blob-d44ef355496196be88c70825db9d9249a4258254%2Fimage.png?alt=media)

Pour reconnaître l’appareil derrière un certificat émis, SCEPman nécessite le correspondant **ID dans le nom de sujet**:

* Microsoft Entra ID (Azure AD) : `CN={{AAD_Device_ID}}`
* Intune : `CN={{DeviceId}}`

Lors de la configuration de SCEPman et des profils de certificat dans Intune, il est important de **décider quel inventaire doit être utilisé**.

### Entra ID (AAD) vs. Intune

Les deux annuaires ont leurs avantages et leurs inconvénients. En général, nous **recommandons Intune** comme inventaire depuis SCEPman 2.0 :

* **L’ID de l’appareil Entra peut changer pendant l’inscription (observé sur iOS/iPadOS/macOS)**:\
  L’ID de l’appareil Entra est défini sur l’ID d’appareil Intune jusqu’à ce que l’appareil soit finalement enregistré dans AAD. Intune émet déjà le certificat avant que l’appareil obtienne son ID final. En conséquence, SCEPman ne peut pas العثور l’appareil dans AAD après ce changement d’ID.
* **Intune est souvent mieux maintenu que Entra ID (AAD)**:\
  En théorie, les objets d’appareil AAD et Intune sont indépendants les uns des autres. La suppression d’un appareil dans Intune ne supprime pas l’objet AAD correspondant. De plus, les appareils Autopilot ne peuvent être supprimés que dans Intune et non dans Microsoft Entra ID (Azure AD). Les certificats resteraient donc valides.

### Configuration de SCEPman

SCEPman doit savoir quel(s) annuaire(s) doivent être utilisés pour la validation. Par conséquent, nous proposons l’option de configuration[#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/fr/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention"). Veuillez adapter cette valeur selon vos besoins.

{% hint style="warning" %}
Notez que cela nécessite la version 2.0 ou plus récente. SCEPman 1.x ne prend en charge que Microsoft Entra ID (Azure AD) comme annuaire.
{% endhint %}

### Certificate Profiles

Veuillez également adapter le nom de sujet selon vos besoins, comme indiqué sous [microsoft-intune](https://docs.scepman.com/fr/gestion-des-certificats/microsoft-intune "mention").

Veuillez noter que `CN={{DeviceId}}` n’est actuellement pas pris en charge pour Android Enterprise Fully Managed, Dedicated et Corporate-Owned Work Profile comme indiqué dans [documentation Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Si ces types d’appareils sont utilisés, pensez à vérifier les deux annuaires ou uniquement Microsoft Entra ID (Azure AD).

Pour **la migration** de Microsoft Entra ID (Azure AD) vers Intune ID ou vice versa, **les certificats** doivent être **réémis sur tous les clients**. Pendant ce changement, veuillez configurer SCEPman via [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/fr/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") pour vérifier les deux annuaires (afin que les deux ID soient valides). Après la migration, vous pouvez basculer vers Intune ou AAD comme annuaire unique.