iOS/iPadOS

Dans cette section, nous configurons un certificat d'appareil.

SCEPman utilise le champ CN du sujet pour identifier l'appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune offrent deux identifiants différents :

• {{DeviceId}} : Cet identifiant est généré et utilisé par Intune (Recommandé) (requiert SCEPman 2.0 ou supérieur et AppConfig:IntuneValidation:DeviceDirectory être réglé sur Intune ou AADAndIntune)

• {{AAD_Device_ID}} : Cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD). (Remarque : lors de l'utilisation de l'inscription automatisée des appareils via Apple Business Manager, cet identifiant peut changer pendant la configuration de l'appareil. Le cas échéant, SCEPman pourrait ne plus être capable d'identifier l'appareil par la suite. Le certificat deviendrait alors invalide.)

Vous pouvez ajouter d'autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont listées dans la documentation Microsoft.

Le champ URI est recommandé par Microsoft pour les solutions NAC afin d'identifier les appareils en fonction de leur ID d'appareil Intune.

D'autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.

Important : Les appareils iOS/iPadOS ignorent la configuration de la période de validité via Intune. Veuillez vous assurer de configurer AppConfig:ValidityPeriodDays sur une valeur fixe. Nous recommandons 2 ans, vous devez donc définir cette variable dans la configuration de SCEPman à 730 jours. Mais vous pouvez laisser le paramètre de période de validité du certificat à 1 an car Intune l'ignore de toute façon. Important : Notez également que les certificats sur iOS/iPadOS ne sont renouvelés par Intune que lorsque l'appareil est déverrouillé, en ligne, en synchronisation et dans le périmètre du seuil de renouvellement. Si les certificats ont expiré (par ex. : l'appareil était hors ligne et/ou verrouillé pendant longtemps), ils ne seront plus renouvelés. Par conséquent, nous recommandons de choisir ici une valeur plus élevée.

Veuillez activer les deux actions cryptographiques.

SCEPman prend en charge 2048 bits.

Veuillez sélectionner le profil Intune depuis iOS/iPadOS.

Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

Important : Les appareils iOS/iPadOS ne prennent pas en charge d'extensions d'utilisation de clé (EKU) autres que Authentification du client . Cela signifie que toutes les autres EKU configurées dans ce profil seront ignorées.

Cette valeur définit quand l'appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante du certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionner une valeur appropriée qui permet à l'appareil de renouveler le certificat sur une longue période. Une valeur de 50 % permettrait à l'appareil avec un certificat valide 1 an de commencer le renouvellement 182 jours avant l'expiration.

Exemple

Dans cette section nous configurons un certificat utilisateur.

Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans la documentation Microsoft. Nous recommandons d'inclure le nom d'utilisateur (par ex. : janedoe) et l'adresse e-mail (par ex. : [email protected]) comme paramétrage de base.

SCEPman utilise le UPN dans le SAN pour identifier l'utilisateur et comme graine pour la génération du numéro de série du certificat (par ex. : [email protected]). D'autres valeurs SAN comme l'adresse e-mail peuvent être ajoutées si nécessaire.