Android
Déployer des certificats sur des appareils Android via SCEP en utilisant Intune et SCEPman.
L'article suivant décrit comment déployer un certificat d'appareil ou d'utilisateur pour Android. Le déploiement de certificats Android est similaire aux déploiements de certificats Windows 10, macOS et iOS.
Android propose deux ensembles de solutions distincts : l'un est le profil professionnel (connu sous le nom de Profil professionnel sur appareil personnel) et l'autre est le appareil entièrement géré (connu également sous le nom de Entièrement géré, Dédié et Profil professionnel détenu par l'entreprise). Dans les deux scénarios, les paramètres des profils de configuration de certificats restent cohérents.
La gestion via l'administrateur d'appareil Android a été publiée dans Android 2.2 comme moyen de gérer les appareils Android. Puis, à partir d'Android 5, le cadre de gestion plus moderne Android Enterprise a été publié (pour les appareils pouvant se connecter de manière fiable aux Google Mobile Services). Google encourage la transition depuis la gestion par administrateur d'appareil en réduisant son support de gestion dans les nouvelles versions d'Android. Pour plus d'informations, veuillez consulter MS. Intune Réduction du support pour l'administration des appareils Android
Certificat racine
La base du déploiement des certificats SCEP (appareil ou utilisateur) est de faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine de l'AC et le déployer en tant que certificat de confiance profil via Microsoft Intune :
Notez que vous devez utiliser le même groupe pour l'attribution du certificat de confiance et profil SCEP. Sinon, le déploiement Intune pourrait échouer.
Certificats d'appareil
Format du nom du sujet : CN={{DeviceId}} ou CN={{AAD_Device_ID}}
SCEPman utilise le champ CN du sujet pour identifier l'appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :
{{DeviceId}} : Cet identifiant est généré et utilisé par Intune (Recommandé). (Nécessite SCEPman 2.0 ou supérieur et #AppConfig:IntuneValidation:DeviceDirectory être réglé sur Intune ou AADAndIntune
{{AAD_Device_ID}} : Cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD).
Vous pouvez ajouter d'autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont listées dans la documentation Microsoft.
Nom alternatif du sujet : URI Valeur :IntuneDeviceId://{{DeviceId}}
Le champ URI est recommandé par Microsoft pour que les solutions NAC identifient les appareils en fonction de leur ID d'appareil Intune :
D'autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.
Période de validité du certificat : 1 an
La durée restante avant l'expiration du certificat. La valeur par défaut est fixée à un an.
SCEPman plafonne la validité du certificat à la valeur maximale configurée dans le paramètre AppConfig:ValidityPeriodDays, mais utilise sinon la validité configurée dans la requête.
Utilisation de la clé : Signature numérique et chiffrement de la clé
Veuillez activer les deux actions cryptographiques.
Certificat racine : Profil de l'étape précédente
Veuillez sélectionner le profil Intune depuis [Android](android.md#root-certificate).
Si vous utilisez un AC intermédiaire, vous devez toujours sélectionner le profil de certificat de confiance pour l'AC racine, pas l'AC intermédiaire !
Utilisation étendue de la clé : Authentification client, 1.3.6.1.5.5.7.3.2
Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.
Seuil de renouvellement (%) : 20
Cette valeur définit quand l'appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante d'un certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionner une valeur adaptée qui permette à l'appareil de renouveler le certificat sur une longue période. Une valeur de 20 % permettrait à un appareil disposant d'un certificat valide d'un an de commencer le renouvellement 73 jours avant l'expiration.
URLs du serveur SCEP : Ouvrez le portail SCEPman et copiez l'URL de #Intune MDM
Exemple
Exemple
Certificats utilisateur
Veuillez suivre les instructions de #Certificats d'appareil et tenir compte des différences suivantes :
Format du nom du sujet : CN={{UserName}},E={{EmailAddress}}
Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans la documentation Microsoft. Nous recommandons d'inclure le nom d'utilisateur (par ex. : janedoe) et l'adresse e-mail (par ex. : [email protected]) comme paramétrage de base.
Nom alternatif du sujet : (UPN)Valeur : {{UserPrincipalName}}
Vous doit ajoutez le nom principal de l'utilisateur comme nom alternatif du sujet. Ajoutez '{{UserPrincipalName}}' comme nom alternatif du sujet de type User principal name (UPN). Cela garantit que SCEPman peut lier les certificats aux objets utilisateur dans AAD.
D'autres valeurs SAN comme une adresse e-mail peuvent être ajoutées si nécessaire.
Il est nécessaire d'avoir un Nom alternatif du sujet dans le Certificat SCEP, Type Utilisateur. Sans SAN, vous n'avez pas accès au Wi-Fi de votre entreprise.
Exemple
Vérification du certificat
Pour assurer le déploiement correct des certificats sur votre appareil Android, il existe deux options :
Dans les versions plus récentes d'Android (par ex. 14), vous pouvez vérifier les certificats (utilisateur et certificats de confiance) depuis les paramètres > sécurité et confidentialité
Via des applications tierces comme Outil de visualisation de certificats X509
Mis à jour
Ce contenu vous a-t-il été utile ?