Guide étendu

Déployer les services de base SCEPman

Faites votre choix quant au déploiement avec un Windows ou Linux Plan App Service. Les deux méthodes de déploiement vous permettront de choisir votre système d'exploitation.

Pour commencer le déploiement, vous devez suivre nos instructions d'installation en utilisant un Modèle ARM

ou alternativement notre Terraform script :

Effectuer les étapes post-déploiement (assignations de permissions)

Pour lier correctement tous les composants de SCEPman, plusieurs permissions doivent être attribuées. Veuillez suivre ces étapes pour établir les connexions pertinentes :

Ajouter les permissions du Certificate Master

Le Certificate Master est une fonctionnalité de l'Édition Entreprise qui permet aux administrateurs de générer et révoquer des certificats manuellement. Veuillez suivre ces étapes pour fournir l'accès au Certificate Master.

Créer le certificat racine

Après le déploiement et l'attribution des permissions, vous devez créer le certificat racine pour SCEPman :

Configurer un domaine personnalisé et un certificat SSL

Pour rendre votre SCEPman disponible sous votre domaine spécifique, vous devez créer un Domaine personnalisé dans le App Service.

Mises à jour manuelles

Par défaut, SCEPman adopte une approche evergreen à l'égard des mises à jour. Si vous exigez un contrôle total sur les mises à jour de SCEPman, configurez un slot de déploiement comme décrit dans le guide suivant sous la section Configuration du slot de déploiement.

Déployer Application Insights

Application Insights peut être utilisé pour obtenir un aperçu des performances de l'App Service et pour avoir des analyses approfondies du traitement des requêtes de SCEPman. Nous recommandons de toujours configurer Application Insights pour surveiller, maintenir et optimiser l'App Service.

Configurer le contrôle d'intégrité

Les contrôles d'intégrité peuvent être configurés pour avertir les administrateurs si l'App Service SCEPman ne répond plus.

Assurez-vous que SCEPman dispose de ressources suffisantes

Une fois que vous placez SCEPman en production, vous devez vous assurer que SCEPman dispose d'une puissance de calcul suffisante. Par conséquent, veuillez consulter notre guide de dimensionnement Azure et mettre à niveau votre niveau de Plan App Service si nécessaire. Vous pouvez reporter cela jusqu'après votre phase de PoC ou d'essai.

Configurer la mise à l'échelle automatique

La solution SCEPman a deux tâches et exigences de performance différentes. Une tâche est le processus d'émission de certificats : après la configuration de la solution SCEPman, nous devons déployer des certificats à tous les appareils (certificats utilisateur et/ou appareil), mais il s'agit d'une tâche ponctuelle et après le déploiement initial cela n'arrive que lorsqu'un nouvel appareil est inscrit, ou que les certificats doivent être renouvelés. Dans ces situations, SCEPman fera face à un pic de requêtes SCEP.

La seconde tâche est la validation des certificats : après avoir déployé des certificats sur les appareils, ces certificats doivent être validés chaque fois qu'ils sont utilisés. Pour chaque authentification basée sur certificat, les clients, gateways ou le système RADIUS (selon ce que vous utilisez) enverront une requête OCSP vers l'App Service SCEPman. Cela provoquera une charge de requêtes permanente sur l'App Service.

Pour obtenir des performances optimisées et maîtriser les coûts, nous recommandons de configurer la fonctionnalité de mise à l'échelle automatique de l'App Service. Avec cette fonctionnalité, votre application peut se déployer horizontalement et se rétracter en fonction des métriques.

Configurer la géo-redondance

La configuration d'une instance géo-redondante pour SCEPman peut améliorer la disponibilité et la résilience du service en répartissant les charges de travail entre plusieurs régions Azure.

Cependant, il est important de noter que cette configuration peut entraîner une augmentation des coûts Azure en raison des ressources supplémentaires et de la réplication des données impliquées. Microsoft fournit un SLA de 99,95 % pour les App Services Azure, ce qui est adéquat dans la plupart des scénarios.

Configurer vos profils de déploiement MDM

Une fois les étapes ci-dessus terminées, nous disposons d'une implémentation SCEPman opérationnelle et pouvons maintenant déployer des certificats sur les appareils.

Veuillez utiliser un (ou plusieurs) des articles suivants pour déployer des certificats avec votre solution MDM préférée :

Émettre manuellement des certificats ou signer des CSR en utilisant le Certificate Master

Veuillez suivre le lien ci-dessous pour apprendre comment émettre des certificats TLS serveur basés sur une liste de FQDNs ou signer n'importe quel CSR à l'aide du composant Certificate Master.

Émettre des certificats en utilisant l'API REST d'enrôlement

SCEPman dispose d'une API REST pour l'enrôlement des certificats. C'est une alternative aux points de terminaison SCEP qui nécessitent le type d'authentification SCEP, tandis que l'API REST utilise les identités Microsoft pour l'authentification. Le protocole est également beaucoup plus simple que SCEP.

Créer des verrous sur les ressources Azure de SCEPman

Par défaut, SCEPman n'applique aucun verrou aux ressources Azure. Si vous utilisez des verrous de ressource et souhaitez les configurer, la liste suivante indique quels types de verrous peuvent être appliqués à chaque ressource SCEPman.

• Key Vault : La suppression douce (Soft Delete) et la protection contre la purge fournissent déjà une protection contre la suppression accidentelle. SCEPman ne modifie pas la ressource après la création de la clé CA, donc un ReadOnlyLock est techniquement possible.

• Compte de stockage : Seul un DeleteLock est possible, car SCEPman doit écrire des informations de certificat dans la table. Si un compte de stockage est supprimé accidentellement, vous perdez les informations sur les certificats déjà émis.

• App Services : Un ReadOnlyLock est théoriquement possible, mais il doit être retiré chaque fois que vous modifiez la configuration de SCEPman. Un App Service supprimé peut être réinstallé facilement, mais il n'aura que la configuration par défaut, donc toutes les modifications manuelles devront être reconfigurées manuellement. Une combinaison de DeleteLock et ReadOnlyLock aide à atténuer ce risque.

• Espace de travail Log Analytics : Un DeleteLock est techniquement possible, mais vous perdriez seulement les journaux collectés pendant la période de rétention, ce qui n'impacte pas la disponibilité du service SCEPman.

• Autres ressources Azure : Celles-ci ne stockent pas de données et peuvent être recréées sans perte d'informations. Un DeleteLock et ReadOnlyLock peut être utile pour certaines d'entre elles. Certaines ne peuvent pas du tout être supprimées car elles ont des dépendances sur l'un des services principaux mentionnés ci-dessus.