Android

Déployer des certificats sur des appareils Android via SCEP en utilisant Intune et SCEPman.

L'article suivant décrit comment déployer un certificat d'appareil ou d'utilisateur pour Android. Le déploiement de certificats Android est similaire aux déploiements de certificats Windows 10, macOS et iOS.

Android propose deux ensembles de solutions distincts : l'un est le profil professionnel (connu sous le nom de Profil professionnel sur appareil personnel) et l'autre est le appareil entièrement géré (connu également sous le nom de Entièrement géré, Dédié et Profil professionnel détenu par l'entreprise). Dans les deux scénarios, les paramètres des profils de configuration de certificats restent cohérents.

La gestion via l'administrateur d'appareil Android a été publiée dans Android 2.2 comme moyen de gérer les appareils Android. Puis, à partir d'Android 5, le cadre de gestion plus moderne Android Enterprise a été publié (pour les appareils pouvant se connecter de manière fiable aux Google Mobile Services). Google encourage la transition depuis la gestion par administrateur d'appareil en réduisant son support de gestion dans les nouvelles versions d'Android. Pour plus d'informations, veuillez consulter MS. Intune Réduction du support pour l'administration des appareils Android

Certificat racine

La base du déploiement des certificats SCEP (appareil ou utilisateur) est de faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine de l'AC et le déployer en tant que certificat de confiance profil via Microsoft Intune :

Télécharger le certificat de l'AC depuis le portail SCEPman

Créer un profil pour Android Enterprise avec le type certificat de confiance dans Microsoft Intune (en fonction de votre option d'enrôlement pour les appareils Android)

Téléversez votre fichier .cer précédemment téléchargé.
Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir Tous les utilisateurs et/ou Tous les appareils ou un groupe dédié pour l'affectation.

Notez que vous devez utiliser le même groupe pour l'attribution du certificat de confiance et profil SCEP. Sinon, le déploiement Intune pourrait échouer.

Certificats d'appareil

Ouvrez le portail SCEPman et copiez l'URL sous Intune MDM

Créer un profil pour Android Enterprise de type Certificat SCEP dans Microsoft Intune (encore une fois, en fonction de votre option d'enrôlement pour les appareils Android)

Configurer le profil comme décrit

Type de certificat : Appareil

Dans cette section, nous configurons un certificat d'appareil.

Format du nom du sujet : CN={{DeviceId}} ou CN={{AAD_Device_ID}}

SCEPman utilise le champ CN du sujet pour identifier l'appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :

{{DeviceId}} : Cet identifiant est généré et utilisé par Intune (Recommandé). (Nécessite SCEPman 2.0 ou supérieur et #AppConfig:IntuneValidation:DeviceDirectory être réglé sur Intune ou AADAndIntune
{{AAD_Device_ID}} : Cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD).

Vous pouvez ajouter d'autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont listées dans la documentation Microsoft.

Nom alternatif du sujet : URI Valeur :IntuneDeviceId://{{DeviceId}}

IntuneDeviceId://{{DeviceId}}

Le champ URI est recommandé par Microsoft pour que les solutions NAC identifient les appareils en fonction de leur ID d'appareil Intune :

D'autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.

Période de validité du certificat : 1 an

La durée restante avant l'expiration du certificat. La valeur par défaut est fixée à un an.

SCEPman plafonne la validité du certificat à la valeur maximale configurée dans le paramètre AppConfig:ValidityPeriodDays, mais utilise sinon la validité configurée dans la requête.

Utilisation de la clé : Signature numérique et chiffrement de la clé

Veuillez activer les deux actions cryptographiques.

Taille de la clé (bits) : 4096

SCEPman prend en charge 4096 bits.

Certificat racine : Profil de l'étape précédente

Veuillez sélectionner le profil Intune depuis [Android](android.md#root-certificate).

Si vous utilisez un AC intermédiaire, vous devez toujours sélectionner le profil de certificat de confiance pour l'AC racine, pas l'AC intermédiaire !

Utilisation étendue de la clé : Authentification client, 1.3.6.1.5.5.7.3.2

Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

Seuil de renouvellement (%) : 20

Cette valeur définit quand l'appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante d'un certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionner une valeur adaptée qui permette à l'appareil de renouveler le certificat sur une longue période. Une valeur de 20 % permettrait à un appareil disposant d'un certificat valide d'un an de commencer le renouvellement 73 jours avant l'expiration.

URLs du serveur SCEP : Ouvrez le portail SCEPman et copiez l'URL de #Intune MDM

Exemple

https://scepman.contoso.com/certsrv/mscep/mscep.dll

Exemple

Certificats utilisateur

Veuillez suivre les instructions de #Certificats d'appareil et tenir compte des différences suivantes :

Type de certificat : Utilisateur

Dans cette section nous configurons un certificat utilisateur.

Format du nom du sujet : CN={{UserName}},E={{EmailAddress}}

Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans la documentation Microsoft. Nous recommandons d'inclure le nom d'utilisateur (par ex. : janedoe) et l'adresse e-mail (par ex. : [email protected]) comme paramétrage de base.

Nom alternatif du sujet : (UPN)Valeur : {{UserPrincipalName}}

Vous doit ajoutez le nom principal de l'utilisateur comme nom alternatif du sujet. Ajoutez '{{UserPrincipalName}}' comme nom alternatif du sujet de type User principal name (UPN). Cela garantit que SCEPman peut lier les certificats aux objets utilisateur dans AAD.

D'autres valeurs SAN comme une adresse e-mail peuvent être ajoutées si nécessaire.

Il est nécessaire d'avoir un Nom alternatif du sujet dans le Certificat SCEP, Type Utilisateur. Sans SAN, vous n'avez pas accès au Wi-Fi de votre entreprise.

Exemple

Vérification du certificat

Pour assurer le déploiement correct des certificats sur votre appareil Android, il existe deux options :

Dans les versions plus récentes d'Android (par ex. 14), vous pouvez vérifier les certificats (utilisateur et certificats de confiance) depuis les paramètres > sécurité et confidentialité
Via des applications tierces comme Outil de visualisation de certificats X509

Mis à jour il y a 6 mois

Ce contenu vous a-t-il été utile ?

Bonne nuit

hashtagCertificat racine

hashtagCertificats d'appareil

hashtagExemple

hashtagCertificats utilisateur

hashtagExemple

hashtagVérification du certificat

Certificat racine

Certificats d'appareil

Exemple

Certificats utilisateur

Exemple

Vérification du certificat