iOS/iPadOS
Déployer des certificats sur des appareils iOS et iPadOS via SCEP dans Intune en utilisant SCEPman.
L'article suivant décrit comment déployer des certificats d'appareil et/ou d'utilisateur pour les appareils iOS et iPadOS. Le déploiement du certificat racine SCEPman est obligatoire. Par la suite, vous pouvez choisir de déployer uniquement le certificat appareil, utilisateur ou même les deux types de certificats.
Veuillez noter que iOS et iPadOS inscrivent un ou plusieurs certificats d'authentification client séparés pour chaque profil de configuration d'appareil dans lequel un profil SCEP est référencé, en plus du profil de certificat SCEP proprement dit. Voir ici
Certificat racine
La base du déploiement des certificats SCEP est de faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine de l'AC et le déployer en tant que certificat de confiance profil via Microsoft Intune :
Notez que vous devez utiliser le même groupe pour l'affectation le certificat de confiance et profil SCEP. Sinon, le déploiement via Intune pourrait échouer.
Certificats d'appareil
Format du nom du sujet : CN={{DeviceId}} ou CN={{AAD_Device_ID}}
SCEPman utilise le champ CN du sujet pour identifier l'appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune offrent deux identifiants différents :
{{DeviceId}} : Cet identifiant est généré et utilisé par Intune (Recommandé) (requiert SCEPman 2.0 ou supérieur et AppConfig:IntuneValidation:DeviceDirectory être réglé sur Intune ou AADAndIntune)
{{AAD_Device_ID}} : Cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD). (Remarque : lors de l'utilisation de l'inscription automatisée des appareils via Apple Business Manager, cet identifiant peut changer pendant la configuration de l'appareil. Le cas échéant, SCEPman pourrait ne plus être capable d'identifier l'appareil par la suite. Le certificat deviendrait alors invalide.)
Vous pouvez ajouter d'autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont listées dans la documentation Microsoft.
Nom alternatif du sujet : URI Valeur :IntuneDeviceId://{{DeviceId}}
Le champ URI est recommandé par Microsoft pour les solutions NAC afin d'identifier les appareils en fonction de leur ID d'appareil Intune.
D'autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.
Période de validité du certificat : 1 an
Important : Les appareils iOS/iPadOS ignorent la configuration de la période de validité via Intune. Veuillez vous assurer de configurer AppConfig:ValidityPeriodDays sur une valeur fixe. Nous recommandons 2 ans, vous devez donc définir cette variable dans la configuration de SCEPman à 730 jours. Mais vous pouvez laisser le paramètre de période de validité du certificat à 1 an car Intune l'ignore de toute façon. Important : Notez également que les certificats sur iOS/iPadOS ne sont renouvelés par Intune que lorsque l'appareil est déverrouillé, en ligne, en synchronisation et dans le périmètre du seuil de renouvellement. Si les certificats ont expiré (par ex. : l'appareil était hors ligne et/ou verrouillé pendant longtemps), ils ne seront plus renouvelés. Par conséquent, nous recommandons de choisir ici une valeur plus élevée.
Utilisation de la clé : Signature numérique et chiffrement de clé
Veuillez activer les deux actions cryptographiques.
Certificat racine : Profil de l'étape précédente
Veuillez sélectionner le profil Intune depuis iOS/iPadOS.
Utilisation étendue de la clé : Authentification client, 1.3.6.1.5.5.7.3.2
Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.
Important : Les appareils iOS/iPadOS ne prennent pas en charge d'extensions d'utilisation de clé (EKU) autres que Authentification du client . Cela signifie que toutes les autres EKU configurées dans ce profil seront ignorées.
Seuil de renouvellement (%) : 50
Cette valeur définit quand l'appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante du certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionner une valeur appropriée qui permet à l'appareil de renouveler le certificat sur une longue période. Une valeur de 50 % permettrait à l'appareil avec un certificat valide 1 an de commencer le renouvellement 182 jours avant l'expiration.
URLs du serveur SCEP : Ouvrez le portail SCEPman et copiez l'URL de Intune MDM
Exemple
Avec nos paramètres indiqués, nous satisfaisons les exigences de certificat d'Apple.
Exemple
Certificats utilisateur
Veuillez suivre les instructions de iOS/iPadOS et tenir compte des différences suivantes :
Format du nom du sujet : CN={{UserName}},E={{EmailAddress}}
Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans la documentation Microsoft. Nous recommandons d'inclure le nom d'utilisateur (par ex. : janedoe) et l'adresse e-mail (par ex. : [email protected]) comme paramétrage de base.
Nom alternatif du sujet : UPN Valeur : {{UserPrincipalName}}
SCEPman utilise le UPN dans le SAN pour identifier l'utilisateur et comme graine pour la génération du numéro de série du certificat (par ex. : [email protected]). D'autres valeurs SAN comme l'adresse e-mail peuvent être ajoutées si nécessaire.
Avec nos paramètres indiqués, nous satisfaisons les exigences de certificat d'Apple
Exemple
Mis à jour
Ce contenu vous a-t-il été utile ?