# Android
L’article suivant décrit comment déployer un certificat d’appareil ou d’utilisateur pour Android. Le déploiement de certificats Android est similaire aux déploiements de certificats sous Windows 10, macOS et iOS.
{% hint style="info" %}
Android propose deux ensembles de solutions distincts : l’un est le [profil professionnel](https://developers.google.com/android/work/requirements/work-profile) (appelé *Profil professionnel sur appareil personnel)* et l’autre est l’ [appareil entièrement géré](https://developers.google.com/android/work/requirements/fully-managed-device) (également appelé *Appareil entièrement géré, dédié et profil professionnel sur appareil appartenant à l’entreprise*). Dans les deux scénarios, les paramètres des profils de configuration de certificats restent identiques.
{% endhint %}
{% hint style="info" %}
La gestion par administrateur d’appareil Android a été publiée dans Android 2.2 comme un moyen de gérer les appareils Android. Puis, à partir d’Android 5, le cadre de gestion plus moderne d’Android Enterprise a été publié (pour les appareils pouvant se connecter de manière fiable aux services Google Mobile Services). **Google encourage la migration depuis la gestion par administrateur d’appareil en réduisant la prise en charge de celle-ci dans les nouvelles versions d’Android**. Pour plus d’informations, veuillez consulter [MS. Intune diminution de la prise en charge de l’administrateur d’appareil Android](https://techcommunity.microsoft.com/t5/intune-customer-success/decreasing-support-for-android-device-administrator/ba-p/1441935)
{% endhint %}
## Certificat racine
La base du déploiement des certificats SCEP (appareil ou utilisateur) consiste à faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine de l’AC et le déployer en tant que **profil de certificat approuvé** via Microsoft Intune :
* [ ] Télécharger le certificat de l’AC depuis le portail SCEPman
* [ ] Créer un profil pour Android Enterprise avec le type **profil de certificat approuvé** dans Microsoft Intune (en fonction de votre option d’inscription pour les appareils Android)
* [ ] Téléchargez votre **fichier .cer**.
* [ ] Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir Tous les utilisateurs et/ou Tous les appareils ou un groupe dédié pour l’affectation.
{% hint style="info" %}
Notez que vous devez utiliser le **même groupe pour attribuer** le **profil de certificat approuvé** et **profil SCEP**. Sinon, le déploiement Intune peut échouer.
{% endhint %}
## Certificats d’appareil
* [ ] Ouvrez le portail SCEPman et copiez l’URL sous **Intune MDM**
* [ ] Créer un profil pour Android Enterprise avec le type **certificat SCEP** dans Microsoft Intune (là encore, en fonction de votre option d’inscription pour les appareils Android)
* [ ] Configurez le profil comme décrit
Type de certificat : Appareil
Dans cette section, nous configurons un certificat d’appareil.
Format du nom du sujet : CN={{DeviceId}} ou CN={{AAD_Device_ID}}
SCEPman utilise le champ CN du sujet pour identifier l’appareil et comme base pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :
* {{DeviceId}} : cet identifiant est généré et utilisé par Intune **(recommandé).** (Nécessite [#AppConfig:IntuneValidation:DeviceDirectory](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory) d’être défini sur **Intune** ou **AADAndIntune**
* {{AAD\_Device\_ID}} : cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD).
Vous pouvez ajouter d’autres RDN si nécessaire (par ex. : `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Les variables prises en charge sont répertoriées dans la [documentation Microsoft](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nom alternatif du sujet : URI Valeur :IntuneDeviceId://{{DeviceId}}
```
IntuneDeviceId://{{DeviceId}}
```
Le champ URI est [recommandé par Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) pour les solutions NAC afin d’identifier les appareils à partir de leur identifiant d’appareil Intune :
D’autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.
Période de validité du certificat : 1 an
La durée restante avant l’expiration du certificat. La valeur par défaut est fixée à un an.
SCEPman limite la validité du certificat au maximum configuré dans le paramètre [***AppConfig:ValidityPeriodDays***](https://docs.scepman.com/fr/configuration-scepman/application-settings/certificates#appconfig-validityperioddays), mais utilise sinon la validité configurée dans la demande.
Utilisation de la clé : Signature numérique et chiffrement de clé
Veuillez activer les deux actions cryptographiques.
Taille de la clé (bits) : 4096
SCEPman prend en charge 4096 bits.
Certificat racine : Profil de l’étape précédente
Veuillez sélectionner le profil Intune à partir de \[[#root-certificate](#root-certificate "mention")]\(android.md#root-certificate).
Si vous utilisez une [AC intermédiaire](https://docs.scepman.com/fr/deploiement-scepman/intermediate-certificate), vous devez toujours sélectionner le profil de certificat approuvé pour l’AC racine, pas pour l’AC intermédiaire !
Utilisation étendue de la clé : Authentification du client, 1.3.6.1.5.5.7.3.2
Veuillez choisir **Authentification du client (1.3.6.1.5.5.7.3.2)** sous **Valeurs prédéfinies**. Les autres champs seront remplis automatiquement.
Seuil de renouvellement (%) : 20
Cette valeur définit quand l’appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante d’un certificat existant). Veuillez lire la note sous **Période de validité du certificat** et sélectionner une valeur appropriée qui permet à l’appareil de renouveler le certificat sur une longue période. Une valeur de 20 % permettrait à un appareil disposant d’un certificat valide 1 an de commencer le renouvellement 73 jours avant l’expiration.
URL du serveur SCEP : ouvrez le portail SCEPman et copiez l’URL de #Intune MDM
**Exemple**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
### **Exemple**
## Certificats utilisateur
Veuillez suivre les instructions de [#Certificats d’appareil](#device-certificates) et prenez en compte les différences suivantes :
Type de certificat : Utilisateur
Dans cette section, nous configurons un certificat utilisateur.
Format du nom du sujet : CN={{UserName}},E={{EmailAddress}}
Vous pouvez définir des RDN selon vos besoins. Les variables prises en charge sont répertoriées dans la [documentation Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Nous recommandons d’inclure le nom d’utilisateur (par ex. : janedoe) et l’adresse e-mail (par ex. : ) comme paramètres de base.
Nom alternatif du sujet : (UPN)Valeur : {{UserPrincipalName}}
Vous **doit** ajoutez le nom principal de l’utilisateur comme nom alternatif du sujet. **Ajoutez « {{UserPrincipalName}} » comme nom alternatif du sujet de type nom principal de l’utilisateur (UPN).** Cela garantit que SCEPman peut lier les certificats aux objets utilisateur dans AAD.
D’autres valeurs SAN comme une adresse e-mail peuvent être ajoutées si nécessaire.
{% hint style="info" %}
Il est nécessaire d’avoir un **nom alternatif du sujet** dans le **Certificat SCEP, type utilisateur**. Sans SAN, vous n’avez pas accès au Wi‑Fi de votre entreprise.
{% endhint %}
### **Exemple**
## Vérification du certificat
Pour garantir le déploiement correct des certificats sur votre appareil Android, deux options existent :
* Dans les versions Android plus récentes (par ex. 14), vous pouvez vérifier les certificats (utilisateur et certificats approuvés) depuis les **paramètres** > **sécurité et confidentialité**
* Via des applications tierces comme [X509 Certificate Viewer Tool](https://play.google.com/store/apps/details?id=com.rdupletlabs.certificateviewer)
