Guide étendu

Déployer les services de base SCEPman

Choisissez si vous souhaitez effectuer le déploiement avec un Windows ou Linux plan App Service. Les deux méthodes de déploiement vous permettront de choisir votre système d’exploitation.

Pour commencer le déploiement, vous devez suivre nos instructions de configuration en utilisant un modèle ARM

ou alternativement notre script Terraform :

Effectuer les étapes post-déploiement (attribution des autorisations)

Pour relier correctement tous les composants de SCEPman, plusieurs autorisations doivent être attribuées. Veuillez suivre ces étapes pour établir les connexions pertinentes :

Ajouter les autorisations du Certificate Master

Le Certificate Master est une fonctionnalité de l’ édition Enterprise qui permet aux administrateurs de générer et de révoquer manuellement des certificats. Veuillez suivre ces étapes pour fournir l’accès au Certificate Master.

Créer le certificat racine

Une fois le déploiement et l’attribution des autorisations terminés, vous devez créer le certificat racine pour SCEPman :

Configurer un domaine personnalisé et un certificat SSL

Pour rendre votre SCEPman disponible sous votre domaine spécifique, vous devez créer un domaine personnalisé dans le App Service.

Mises à jour manuelles

Par défaut, SCEPman adopte une approche evergreen en matière de mises à jour. Si vous avez besoin d’un contrôle total sur vos mises à jour SCEPman, veuillez configurer un slot de déploiement comme décrit dans le guide suivant sous la section Configuration du slot de déploiement.

Déployer Application Insights

Application Insights peut être utilisé pour obtenir une vue d’ensemble des performances de l’App Service et pour obtenir des informations plus détaillées sur le traitement des requêtes de SCEPman. Nous recommandons de toujours configurer Application Insights afin de surveiller, maintenir et optimiser l’App Service.

Configurer la vérification d’intégrité

Les vérifications d’intégrité peuvent être configurées pour notifier les administrateurs dans le cas où l’App Service SCEPman ne répond pas.

Assurez-vous que SCEPman dispose de ressources suffisantes

Une fois SCEPman déplacé vers un environnement de production, vous devez vous assurer qu’il dispose d’une puissance de calcul suffisante. Veuillez donc consulter notre guide Azure Sizing et mettre à niveau le niveau de votre plan App Service si nécessaire. Vous pouvez reporter cela à après votre phase de PoC ou d’essai.

Configurer la mise à l’échelle automatique

La solution SCEPman comporte deux tâches différentes et des exigences de performance différentes. L’une des tâches est le processus d’émission de certificats : après la configuration de la solution SCEPman, nous devons déployer des certificats sur tous les appareils (certificats utilisateur et/ou appareil), mais il s’agit d’une tâche ponctuelle et, après le déploiement initial, cela ne se produit que lorsqu’un nouvel appareil est inscrit ou que les certificats doivent être renouvelés. Dans ces situations, SCEPman fera face à un pic de requêtes SCEP.

La deuxième tâche est la validation des certificats : après avoir déployé des certificats sur les appareils, ces certificats doivent être validés chaque fois que nous les utilisons. Pour chaque authentification basée sur un certificat, les clients, passerelles ou le système RADIUS (selon ce que vous utilisez) enverront une requête OCSP à l’App Service SCEPman. Cela entraînera une charge permanente de requêtes sur l’App Service.

Pour obtenir des performances optimisées tout en maîtrisant les coûts, nous recommandons de configurer la fonctionnalité de mise à l’échelle automatique de l’App Service. Avec cette fonctionnalité, votre application peut augmenter ou réduire le nombre d’instances en fonction de métriques.

Configurer la géo-redondance

La configuration d’une instance géo-redondante pour SCEPman peut améliorer la disponibilité et la résilience du service en répartissant les charges de travail sur plusieurs régions Azure.

Cependant, il est important de noter que cette configuration peut entraîner une augmentation des coûts Azure en raison des ressources supplémentaires et de la réplication de données impliquées. Microsoft fournit un SLA de 99,95 % pour les Azure App Services, ce qui est adéquat dans la plupart des scénarios.

Configurer vos profils de déploiement MDM

Une fois les étapes ci-dessus terminées, nous disposons d’une implémentation SCEPman opérationnelle et pouvons maintenant déployer des certificats sur les appareils.

Veuillez utiliser un (ou plusieurs) des articles suivants pour déployer des certificats avec votre solution MDM préférée :

Émettre manuellement des certificats ou signer des CSR à l’aide du Certificate Master

Veuillez suivre le lien ci-dessous pour apprendre à émettre des certificats serveur TLS basés sur une liste de FQDN ou à signer n’importe quelle CSR à l’aide du composant Certificate Master.

Émettre des certificats à l’aide de l’API REST d’inscription

SCEPman propose une API REST pour inscrire des certificats. Il s’agit d’une alternative aux points de terminaison SCEP qui nécessitent une authentification de type SCEP, tandis que l’API REST utilise Microsoft Identities pour l’authentification. Le protocole est également beaucoup plus simple que SCEP.

Créer des verrous sur les ressources Azure de SCEPman

Par défaut, SCEPman n’applique aucun verrou aux ressources Azure. Si vous utilisez des verrous de ressources et souhaitez les configurer, la liste suivante indique quels types de verrous peuvent être appliqués à chaque ressource SCEPman.

• Key Vault : La suppression réversible et la protection contre la purge offrent déjà une protection contre la suppression accidentelle. SCEPman ne modifie pas la ressource après la création de la clé d’AC, donc un ReadOnlyLock est techniquement possible.

• Compte de stockage : Seul un DeleteLock est possible, car SCEPman doit écrire les informations des certificats dans la table. Si un compte de stockage est supprimé accidentellement, vous perdez les informations sur les certificats déjà émis.

• App Services : Un ReadOnlyLock est théoriquement possible, mais il doit être supprimé chaque fois que vous modifiez la configuration de SCEPman. Un App Service supprimé peut facilement être réinstallé, mais il n’aura que la configuration par défaut ; toutes les modifications manuelles devront donc être reconfigurées manuellement. Une combinaison de DeleteLock et de ReadOnlyLock aide à atténuer ce risque.

• Espace de travail Log Analytics : Un DeleteLock est techniquement possible, mais vous ne perdriez que les journaux collectés pendant la période de rétention, ce qui n’affecte pas la disponibilité du service SCEPman.

• Autres ressources Azure : Celles-ci ne stockent pas de données et peuvent être recréées sans perte d’informations. Un DeleteLock et de ReadOnlyLock peut être utile pour certaines d’entre elles. Certaines ne peuvent pas être supprimées du tout parce qu’elles ont des dépendances vis-à-vis de l’un des services principaux mentionnés ci-dessus.