# Guide étendu

{% hint style="warning" %}
Édition SCEPman Enterprise uniquement
{% endhint %}

Cela vous guidera à travers toutes les étapes pour déployer SCEPman dans un environnement de niveau entreprise avec des exigences avancées, par exemple des conventions de nommage, de la redondance ou de l’auto-scaling.

## Déploiement Azure

Commençons par les prérequis et un aperçu des ressources.\
Gardez à l'esprit que vous devez planifier une conception utile des ressources Azure.

### Prérequis

#### Obligatoire

* [ ] Convention de nommage des ressources Azure.
* [ ] Abonnement Azure (au moins des droits de contributeur sur cet abonnement).
* [ ] Droits de propriétaire Azure (au moins au niveau du groupe de ressources).
* [ ] Microsoft Entra ID (Azure AD) « administrateur général » (consentement pour accéder à l’API Graph).
* [ ] Assurez-vous de définir vos stratégies Azure [conformément aux exigences de SCEPman](/fr/autre/security-faq.md#azure-cis) (par ex. ne pas imposer TLS).
* [ ] CNAME du domaine public (*scepman.yourdomain.com*), uniquement si la géoredondance est utilisée.
* [ ] Certificat SSL (ou utilisez [App Service Managed Certificate](https://docs.microsoft.com/en-us/azure/app-service/configure-ssl-certificate#create-a-free-certificate-preview)), uniquement si la géoredondance est utilisée.
* [ ] clé de licence SCEPman Enterprise Edition.

#### Facultatif

* [ ] CNAME du domaine public (*scepman.yourdomain.com*), uniquement si un domaine personnalisé est utilisé.
* [ ] Certificat SSL (wildcard) (ou utilisez [App Service Managed Certificate](https://docs.microsoft.com/en-us/azure/app-service/configure-ssl-certificate#create-a-free-certificate-preview)), uniquement si un domaine personnalisé est utilisé.

### Aperçu des ressources Azure

Les ressources suivantes sont recommandées pour un environnement de production.

De plus, si vous utilisez des points de terminaison privés, vous avez [sept ressources Azure supplémentaires.](/fr/configuration-azure/private-endpoints.md#azure-resources-used-for-private-endpoints)

## Étapes de configuration

{% stepper %}
{% step %}

### Déployer les services de base SCEPman

{% hint style="warning" %}
Il s'agit d'une **étape** obligatoire.
{% endhint %}

Faites votre choix quant au fait de déployer avec un **Windows** ou **Linux** App Service Plan. Les deux méthodes de déploiement vous permettront de choisir votre système d’exploitation.

Pour commencer le déploiement, vous devez suivre nos instructions de configuration en utilisant un **modèle ARM**

{% content-ref url="/pages/86f1f511b9da26254c6f72e17ea430e7b357268a" %}
[Déploiement d’entreprise](/fr/deploiement-scepman/deployment-options/enterprise-deployment.md)
{% endcontent-ref %}

ou, à défaut, notre **script Terraform** :

{% content-ref url="/pages/8a17f6dcaf81d71cb59add73b61d51725ba00a6f" %}
[Déploiement Terraform](/fr/deploiement-scepman/deployment-options/terraform-deployment.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Effectuer les étapes post-déploiement (attributions d'autorisations)

{% hint style="warning" %}
Il s'agit d'une **étape** obligatoire.
{% endhint %}

Pour relier correctement tous les composants de SCEPman, plusieurs autorisations doivent être attribuées. Veuillez suivre ces étapes pour établir les connexions pertinentes :

{% content-ref url="/pages/10d65cc96c9ba2c592c761fb79f2d9636a6b7314" %}
[Identités managées](/fr/deploiement-scepman/permissions/post-installation-config.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Ajouter les autorisations du Certificate Master

{% hint style="success" %}
Il s'agit d'une **étape** étape pour les clients de l'édition **Enterprise** **Edition** . **Les utilisateurs de l'édition Community** peuvent ignorer cette étape.
{% endhint %}

Le Certificate Master est une fonctionnalité de l' **Enterprise Edition** qui permet aux administrateurs de générer et de révoquer manuellement des certificats. Veuillez suivre ces étapes pour donner accès au Certificate Master.

{% content-ref url="/pages/915e7a19db256e87ca71bac063e2c03449462cd0" %}
[RBAC du Maître des certificats](/fr/configuration-de-scepman/rbac.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Créer un certificat racine

{% hint style="warning" %}
Il s'agit d'une **étape** obligatoire.
{% endhint %}

Une fois le déploiement et l'attribution des autorisations terminés, vous devez créer le certificat racine pour SCEPman :

{% content-ref url="/pages/1862b966bcf8be8581f2ffef7d900a02dbb8ea66" %}
[CA racine](/fr/deploiement-scepman/first-run-root-cert.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Configurer un domaine personnalisé et un certificat SSL

{% hint style="success" %}
Il s'agit d'une **recommandé** étape. Cependant, **ignorez** cette étape si vous mettez en œuvre la géoredondance.
{% endhint %}

Pour rendre votre SCEPman disponible sous votre domaine spécifique, vous devez créer un **domaine personnalisé** dans le **App Service.**

{% content-ref url="/pages/f31c495f6240f0291e0e5220178c329553030d6b" %}
[Domaine personnalisé](/fr/configuration-azure/custom-domain.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Mises à jour manuelles

{% hint style="info" %}
Il s'agit d'une **optionnelle** obligatoire.
{% endhint %}

Par défaut, SCEPman adopte une approche [evergreen](/fr/configuration-azure/update-strategy.md#evergreen-approach) pour les mises à jour. Si vous avez besoin d'un contrôle total sur vos mises à jour SCEPman, veuillez configurer un slot de déploiement comme décrit dans le guide suivant à la section **Configuration du slot de déploiement**.

{% content-ref url="/pages/bc63b88c38160b1aea0d1f1ea09fcc624ed72eeb" %}
[Stratégie de mise à jour](/fr/configuration-azure/update-strategy.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Déployer Application Insights

{% hint style="success" %}
C'est **recommandé** obligatoire.
{% endhint %}

Application Insights peut être utilisé pour obtenir un aperçu des performances de l'App Service et pour obtenir des informations plus approfondies sur le traitement des requêtes de SCEPman. Nous recommandons de toujours configurer Application Insights afin de surveiller, maintenir et optimiser l'App Service.

{% content-ref url="/pages/6196ef7cefd878752845318454021b77a055d9cc" %}
[Application Insights](/fr/configuration-azure/application-insights.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Configurer la vérification de l'état

{% hint style="success" %}
C'est **recommandé** obligatoire.
{% endhint %}

Les vérifications d’intégrité peuvent être configurées pour avertir les administrateurs si l’App Service SCEPman ne répond pas.

{% content-ref url="/pages/e0833b07a4a0f41cb7759257802c4d8bea5c6ce3" %}
[Vérification d’intégrité](/fr/configuration-azure/health-check.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Veillez à ce que SCEPman dispose de ressources suffisantes

{% hint style="warning" %}
Il s'agit d'une **étape** obligatoire.
{% endhint %}

Une fois que vous déplacez SCEPman vers un environnement de production, vous devez vous assurer que SCEPman dispose d'une puissance de calcul suffisante. Par conséquent, veuillez consulter notre guide de dimensionnement Azure et mettre à niveau le niveau de votre plan App Service si nécessaire. Vous pouvez reporter cela jusqu'après votre phase de PoC ou d'essai.

{% content-ref url="/pages/eaa1d1697d6a250546392d24e19d6d89743439e4" %}
[Dimensionnement de l’App Service](/fr/configuration-azure/azure-sizing.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Configurer l’auto-scaling

{% hint style="info" %}
Il s'agit d'une **optionnelle** obligatoire.
{% endhint %}

La solution SCEPman comporte deux tâches et exigences de performance différentes.\
La première tâche est le processus de délivrance des certificats : après la configuration de la solution SCEPman, nous devons déployer des certificats sur tous les appareils (certificats utilisateur et/ou appareil), mais il s’agit d’une tâche ponctuelle et, après le déploiement initial, cela ne se produit que lorsqu’un nouvel appareil est inscrit ou que les certificats doivent être renouvelés. Dans ces situations, SCEPman fera face à un pic de requêtes SCEP.

La deuxième tâche est la validation des certificats : après avoir déployé des certificats sur les appareils, ces certificats doivent être validés chaque fois que nous les utilisons. Pour chaque authentification basée sur un certificat, les clients, les passerelles ou le système RADIUS (selon ce que vous utilisez) enverront une requête OCSP à l’App Service SCEPman. Cela entraînera une charge de requêtes permanente sur l’App Service.

Pour obtenir des performances optimisées et maîtriser les coûts, nous recommandons de configurer la fonctionnalité d’auto-scaling de l’App Service. Avec cette fonctionnalité, votre application peut augmenter et réduire son échelle en fonction de métriques.

{% content-ref url="/pages/9ef7557cd530615c4ca71645ee496c69dc3426fd" %}
[Mise à l’échelle automatique](/fr/configuration-azure/azure-sizing/autoscaling.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Configurer la géoredondance

{% hint style="info" %}
Il s'agit d'une **optionnelle** obligatoire.
{% endhint %}

La configuration d’une instance géoredondante pour SCEPman peut améliorer la disponibilité du service et sa résilience en répartissant les charges de travail sur plusieurs régions Azure. 

Cependant, il est important de noter que cette configuration peut entraîner des coûts Azure plus élevés en raison des ressources supplémentaires et de la réplication des données impliquées. Microsoft fournit un SLA de 99,95 % pour Azure App Services, ce qui est suffisant dans la plupart des cas.

{% content-ref url="/pages/98ba18cff1e4235a0acf59548f1b633a7b78b1e3" %}
[Géo-redondance](/fr/configuration-azure/geo-redundancy.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Configurer vos profils de déploiement MDM

{% hint style="success" %}
Il s'agit d'une **recommandé** obligatoire.
{% endhint %}

Une fois les étapes ci-dessus terminées, nous avons une implémentation SCEPman fonctionnelle et pouvons maintenant déployer des certificats sur les appareils.

Veuillez utiliser un (ou plusieurs) des articles suivants pour déployer des certificats avec votre solution MDM préférée :

{% content-ref url="/pages/3155b13449f4bc0c564e924ff7ad44b1d952d22f" %}
[Microsoft Intune](/fr/gestion-des-certificats/microsoft-intune.md)
{% endcontent-ref %}

{% content-ref url="/pages/879b8e592424ee154fab66446a36e1596558ad8b" %}
[Jamf Pro](/fr/gestion-des-certificats/jamf.md)
{% endcontent-ref %}

{% content-ref url="/pages/1eae8810c9928e0c4ee640e3b4d0bd32af8316b1" %}
[Autres solutions MDM](/fr/gestion-des-certificats/static-certificates.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Émettre manuellement des certificats ou signer des CSR à l'aide du Certificate Master <a href="#manually-issue-certificates-or-sign-csrs-using-the-certificate-master" id="manually-issue-certificates-or-sign-csrs-using-the-certificate-master"></a>

{% hint style="info" %}
Il s'agit d'une **optionnelle** obligatoire.
{% endhint %}

Veuillez suivre le lien ci-dessous pour apprendre à émettre des certificats serveur TLS basés sur une liste de FQDN ou à signer n’importe quel CSR à l’aide du composant Certificate Master.

{% content-ref url="/pages/e4620725f03a9d6f34577c3aa44abbdf9a17bf0a" %}
[Maître des certificats](/fr/gestion-des-certificats/certificate-master.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Émettre des certificats à l’aide de l’API REST d’inscription

{% hint style="info" %}
Il s'agit d'une **optionnelle** obligatoire.
{% endhint %}

SCEPman propose une API REST pour inscrire des certificats. Il s’agit d’une alternative aux points de terminaison SCEP qui nécessitent l’authentification de type SCEP, tandis que l’API REST utilise Microsoft Identities pour l’authentification. Le protocole est également beaucoup plus simple que SCEP.

{% content-ref url="/pages/46e3a930d37411caaa3ebb5013d2832fa609c34b" %}
[API REST d’inscription](/fr/gestion-des-certificats/api-certificates.md)
{% endcontent-ref %}

{% endstep %}

{% step %}

### Créer des verrous sur les ressources Azure de SCEPman

{% hint style="info" %}
Il s'agit d'une **optionnelle** obligatoire.
{% endhint %}

Par défaut, SCEPman n’applique aucun verrou aux ressources Azure. Si vous utilisez des verrous de ressource et souhaitez les configurer, la liste suivante indique quels types de verrou peuvent être appliqués à chaque ressource SCEPman.

* **Key Vault :** La suppression réversible et la protection contre la purge offrent déjà une protection contre les suppressions accidentelles. SCEPman ne modifie pas la ressource après la création de la clé de l’AC, donc un **ReadOnlyLock** est techniquement possible.
* **Storage Account :** Seul un **DeleteLock** est possible, car SCEPman doit écrire les informations du certificat dans la table. Si un Storage Account est supprimé accidentellement, vous perdez les informations sur les certificats déjà émis.
* **App Services :** Un **ReadOnlyLock** est théoriquement possible, mais il doit être supprimé chaque fois que vous modifiez la configuration de SCEPman. Un App Service supprimé peut facilement être réinstallé, mais il n’aura que la configuration par défaut, donc toutes les modifications manuelles devront être reconfigurées manuellement. Une combinaison de **DeleteLock** et **ReadOnlyLock** permet d’atténuer ce risque.
* **Log Analytics Workspace :** Un **DeleteLock** est techniquement possible, mais vous ne perdriez que les journaux collectés pendant la période de rétention, ce qui n’a pas d’impact sur la disponibilité du service SCEPman.
* **Autres ressources Azure :** Celles-ci ne stockent pas de données et peuvent être recréées sans perte d’information. Un **DeleteLock** et **ReadOnlyLock** peut être utile pour certaines d’entre elles. Certaines ne peuvent pas être supprimées du tout car elles dépendent de l’un des services principaux mentionnés ci-dessus.

{% endstep %}
{% endstepper %}


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/fr/deploiement-scepman/deployment-guides/enterprise-guide-1.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.