Guide étendu

Déployer les services de base SCEPman

Faites votre choix quant au fait de déployer avec un Windows ou Linux App Service Plan. Les deux méthodes de déploiement vous permettront de choisir votre système d’exploitation.

Pour commencer le déploiement, vous devez suivre nos instructions de configuration en utilisant un modèle ARM

ou, à défaut, notre script Terraform :

Effectuer les étapes post-déploiement (attributions d'autorisations)

Pour relier correctement tous les composants de SCEPman, plusieurs autorisations doivent être attribuées. Veuillez suivre ces étapes pour établir les connexions pertinentes :

Ajouter les autorisations du Certificate Master

Le Certificate Master est une fonctionnalité de l' Enterprise Edition qui permet aux administrateurs de générer et de révoquer manuellement des certificats. Veuillez suivre ces étapes pour donner accès au Certificate Master.

Créer un certificat racine

Une fois le déploiement et l'attribution des autorisations terminés, vous devez créer le certificat racine pour SCEPman :

Configurer un domaine personnalisé et un certificat SSL

Pour rendre votre SCEPman disponible sous votre domaine spécifique, vous devez créer un domaine personnalisé dans le App Service.

Mises à jour manuelles

Par défaut, SCEPman adopte une approche evergreen pour les mises à jour. Si vous avez besoin d'un contrôle total sur vos mises à jour SCEPman, veuillez configurer un slot de déploiement comme décrit dans le guide suivant à la section Configuration du slot de déploiement.

Déployer Application Insights

Application Insights peut être utilisé pour obtenir un aperçu des performances de l'App Service et pour obtenir des informations plus approfondies sur le traitement des requêtes de SCEPman. Nous recommandons de toujours configurer Application Insights afin de surveiller, maintenir et optimiser l'App Service.

Configurer la vérification de l'état

Les vérifications d’intégrité peuvent être configurées pour avertir les administrateurs si l’App Service SCEPman ne répond pas.

Veillez à ce que SCEPman dispose de ressources suffisantes

Une fois que vous déplacez SCEPman vers un environnement de production, vous devez vous assurer que SCEPman dispose d'une puissance de calcul suffisante. Par conséquent, veuillez consulter notre guide de dimensionnement Azure et mettre à niveau le niveau de votre plan App Service si nécessaire. Vous pouvez reporter cela jusqu'après votre phase de PoC ou d'essai.

Configurer l’auto-scaling

La solution SCEPman comporte deux tâches et exigences de performance différentes. La première tâche est le processus de délivrance des certificats : après la configuration de la solution SCEPman, nous devons déployer des certificats sur tous les appareils (certificats utilisateur et/ou appareil), mais il s’agit d’une tâche ponctuelle et, après le déploiement initial, cela ne se produit que lorsqu’un nouvel appareil est inscrit ou que les certificats doivent être renouvelés. Dans ces situations, SCEPman fera face à un pic de requêtes SCEP.

La deuxième tâche est la validation des certificats : après avoir déployé des certificats sur les appareils, ces certificats doivent être validés chaque fois que nous les utilisons. Pour chaque authentification basée sur un certificat, les clients, les passerelles ou le système RADIUS (selon ce que vous utilisez) enverront une requête OCSP à l’App Service SCEPman. Cela entraînera une charge de requêtes permanente sur l’App Service.

Pour obtenir des performances optimisées et maîtriser les coûts, nous recommandons de configurer la fonctionnalité d’auto-scaling de l’App Service. Avec cette fonctionnalité, votre application peut augmenter et réduire son échelle en fonction de métriques.

Configurer la géoredondance

La configuration d’une instance géoredondante pour SCEPman peut améliorer la disponibilité du service et sa résilience en répartissant les charges de travail sur plusieurs régions Azure.

Cependant, il est important de noter que cette configuration peut entraîner des coûts Azure plus élevés en raison des ressources supplémentaires et de la réplication des données impliquées. Microsoft fournit un SLA de 99,95 % pour Azure App Services, ce qui est suffisant dans la plupart des cas.

Configurer vos profils de déploiement MDM

Une fois les étapes ci-dessus terminées, nous avons une implémentation SCEPman fonctionnelle et pouvons maintenant déployer des certificats sur les appareils.

Veuillez utiliser un (ou plusieurs) des articles suivants pour déployer des certificats avec votre solution MDM préférée :

Émettre manuellement des certificats ou signer des CSR à l'aide du Certificate Master

Veuillez suivre le lien ci-dessous pour apprendre à émettre des certificats serveur TLS basés sur une liste de FQDN ou à signer n’importe quel CSR à l’aide du composant Certificate Master.

Émettre des certificats à l’aide de l’API REST d’inscription

SCEPman propose une API REST pour inscrire des certificats. Il s’agit d’une alternative aux points de terminaison SCEP qui nécessitent l’authentification de type SCEP, tandis que l’API REST utilise Microsoft Identities pour l’authentification. Le protocole est également beaucoup plus simple que SCEP.

Créer des verrous sur les ressources Azure de SCEPman

Par défaut, SCEPman n’applique aucun verrou aux ressources Azure. Si vous utilisez des verrous de ressource et souhaitez les configurer, la liste suivante indique quels types de verrou peuvent être appliqués à chaque ressource SCEPman.

• Key Vault : La suppression réversible et la protection contre la purge offrent déjà une protection contre les suppressions accidentelles. SCEPman ne modifie pas la ressource après la création de la clé de l’AC, donc un ReadOnlyLock est techniquement possible.

• Storage Account : Seul un DeleteLock est possible, car SCEPman doit écrire les informations du certificat dans la table. Si un Storage Account est supprimé accidentellement, vous perdez les informations sur les certificats déjà émis.

• App Services : Un ReadOnlyLock est théoriquement possible, mais il doit être supprimé chaque fois que vous modifiez la configuration de SCEPman. Un App Service supprimé peut facilement être réinstallé, mais il n’aura que la configuration par défaut, donc toutes les modifications manuelles devront être reconfigurées manuellement. Une combinaison de DeleteLock et ReadOnlyLock permet d’atténuer ce risque.

• Log Analytics Workspace : Un DeleteLock est techniquement possible, mais vous ne perdriez que les journaux collectés pendant la période de rétention, ce qui n’a pas d’impact sur la disponibilité du service SCEPman.

• Autres ressources Azure : Celles-ci ne stockent pas de données et peuvent être recréées sans perte d’information. Un DeleteLock et ReadOnlyLock peut être utile pour certaines d’entre elles. Certaines ne peuvent pas être supprimées du tout car elles dépendent de l’un des services principaux mentionnés ci-dessus.