> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/fr/gestion-des-certificats/active-directory/strategie-de-groupe.md).

# Stratégie de groupe

Cette inscription de certificat repose sur les [XCEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-xcep) et [WSTEP](https://learn.microsoft.com/en-us/openspecs/windows_protocols/ms-wstep/) protocoles que toutes les versions récentes de Windows prennent en charge nativement. Dans les environnements Active Directory, les paramètres nécessaires peuvent être appliqués via des stratégies de groupe (GPO) afin de permettre aux ordinateurs joints à AD d’inscrire des certificats auprès de SCEPman.

Dans ce scénario, trois paramètres de stratégie de groupe sont nécessaires pour un déploiement automatisé des certificats.

{% stepper %}
{% step %}

### Enregistrement du serveur CEP

Le serveur CEP (Certificate Enrollment Policy) (faisant partie de SCEPman) fournira à un client authentifié une stratégie contenant tous les modèles de certificat configurés dans SCEPman pour l’inscription dans Active Directory. Le serveur CEP doit être ajouté sur les clients dans le registre. Windows inclut des modèles de GPO pour configurer les paramètres nécessaires dans l’interface graphique.

#### Configuration de la stratégie

Pour les modèles de certificat `Appareil` et `DC`, vous devez aller dans la *Configuration de l’ordinateur* ruche. Pour `Utilisateur`, naviguez dans la *Configuration utilisateur* ruche. Si vous utilisez des modèles de certificat des deux types, vous devrez configurer les deux. Dans ce cas, vous utiliserez généralement deux GPO, l’une appliquée aux utilisateurs avec la Configuration utilisateur et l’autre appliquée aux ordinateurs avec la Configuration de l’ordinateur.

<pre data-title="Emplacement du paramètre dans l’Éditeur de gestion des stratégies de groupe (gpmc.msc)"><code>Configuration de l’ordinateur / Configuration utilisateur
└-Stratégies
  └-Paramètres Windows
    └-Paramètres de sécurité
      └-Stratégies de clés publiques
<strong>        └-Client des services de certificats - Serveur de stratégie d'inscription de certificats
</strong></code></pre>

Dans le paramètre, ajoutez un nouveau serveur CEP dans la liste et saisissez l’URI du serveur de stratégie dans le champ correspondant. Vous pouvez copier cette URI depuis la page d’accueil de SCEPman. Elle suit le schéma suivant `https://scepman.contoso.com/step/policy`. Après avoir saisi et validé le serveur CEP, vous pouvez terminer le paramètre en l’ajoutant et en confirmant la boîte de dialogue.

{% hint style="warning" %}
Au cours du processus de configuration, le client effectue déjà un appel de validation vers le serveur CEP. Par conséquent, le contexte du compte utilisé pour la configuration doit avoir l’autorisation d’accéder au point de terminaison CEP de SCEPman, c’est-à-dire de s’authentifier avec Kerberos, ainsi qu’un accès réseau sortant au port 443 de SCEPman.
{% endhint %}

<figure><img src="/files/79f89a25fbcba92d62040f2c4cf436eed466cafc" alt=""><figcaption></figcaption></figure>

{% hint style="warning" %}
Veuillez consulter la [Problèmes connus](/fr/gestion-des-certificats/active-directory/configuration-generale.md#known-issues) section au cas où vous recevriez une erreur lors de la validation du serveur CEP.
{% endhint %}

<figure><img src="/files/9ea33298b4f5c9986d2f525ee78390925d358507" alt=""><figcaption></figcaption></figure>

{% hint style="info" %}
Si vous utilisez le serveur CEP de SCEPman en parallèle avec votre ADCS existant, vous devez choisir un serveur par défaut et vous assurer de conserver la stratégie d’inscription existante.
{% endhint %}
{% endstep %}

{% step %}

### Activer l’inscription automatique

Avec le serveur CEP enregistré, vos utilisateurs/ordinateurs peuvent demander des certificats à SCEPman. En général, vous souhaitez qu’ils le fassent automatiquement, sans interaction de l’utilisateur, et pour cela, vous devez activer l’inscription automatique. Notez qu’elle peut déjà être activée si vous utilisiez déjà l’inscription automatique avec Microsoft Active Directory Certificate Services (AD CS).

<pre data-title="Emplacement du paramètre dans l’Éditeur de gestion des stratégies de groupe (gpmc.msc)"><code>Configuration de l’ordinateur / Configuration utilisateur
└-Stratégies
  └-Paramètres Windows
    └-Paramètres de sécurité
      └-Stratégies de clés publiques
<strong>        └-Client des services de certificats - Inscription automatique
</strong></code></pre>

Veillez à cocher `Mettre à jour les certificats qui utilisent des modèles de certificat` pour activer l’inscription automatique.

<figure><img src="/files/05909e3e48f30d8562c78bf2517d0adc873bd6b0" alt=""><figcaption></figcaption></figure>
{% endstep %}

{% step %}

### Installer l’AC racine de confiance

Une fois le serveur de stratégie d’inscription et les paramètres d’inscription automatique en place, il vous suffit de vous assurer que vos appareils ou utilisateurs cibles font confiance au certificat d’AC de SCEPman. Pour cela, vous devrez importer le certificat d’AC dans le paramètre GPO correspondant.

<pre data-title="Emplacement du paramètre dans l’Éditeur de gestion des stratégies de groupe (gpmc.msc)"><code>Configuration de l’ordinateur / Configuration utilisateur
└-Stratégies
  └-Paramètres Windows
    └-Paramètres de sécurité
      └-Stratégies de clés publiques
        └-Autorités de certification racines de confiance
<strong>          └- Importer (menu contextuel)
</strong></code></pre>

<figure><img src="/files/8326143e05362dc05256b4aacc7a71224e564546" alt=""><figcaption></figcaption></figure>

Téléchargez le certificat d’AC de SCEPman depuis sa page d’accueil et veillez à l’importer dans cette boîte de dialogue.
{% endstep %}
{% endstepper %}


---

# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.

## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter, and the optional `goal` query parameter:

```
GET https://docs.scepman.com/fr/gestion-des-certificats/active-directory/strategie-de-groupe.md?ask=<question>&goal=<endgoal>
```

`ask` is the immediate question: it should be specific, self-contained, and written in natural language.
`goal` is optional and describes the broader end goal you are ultimately trying to accomplish on behalf of the user. GitBook uses it to tailor the answer towards what is most useful for that goal.

The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.