# iOS/iPadOS

L’article suivant décrit comment déployer des certificats d’appareil et/ou d’utilisateur pour les appareils iOS et iPadOS. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir de déployer uniquement les certificats d’appareil, d’utilisateur, ou même les deux types de certificats.

{% hint style="warning" %}
Veuillez noter qu’iOS et iPadOS inscrivent un ou plusieurs certificat(s) distinct(s) d’authentification client pour chaque profil de configuration d’appareil dans lequel un profil SCEP est référencé, en plus du profil de certificat SCEP lui-même. Voir [ici](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}

## Certificat racine

La base du déploiement des certificats SCEP consiste à faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine CA et le déployer comme un **certificat approuvé** profil via Microsoft Intune :

* [ ] Téléchargez le certificat CA depuis le portail SCEPman :

![](/files/c16394531b47be4da3b682ec31090551482ea3a1)

* [ ] Créez un profil pour iOS/iPadOS avec le type **certificat approuvé** dans Microsoft Intune :

![](/files/0082859f5479fba534fabb90e4640ce28f922339)

* [ ] Téléversez votre **fichier .cer**.
* [ ] Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir Tous les utilisateurs et/ou Tous les appareils ou un groupe dédié pour l’affectation.

{% hint style="info" %}
Notez que vous devez utiliser le **même groupe pour l’affectation** du **certificat approuvé** et **profil SCEP**. Sinon, le déploiement Intune pourrait échouer.
{% endhint %}

## Certificats d’appareil

* [ ] Ouvrez le portail SCEPman et copiez l’URL sous **Intune MDM**:

![](/files/322782c5b261057a9ea6b7e095b8b2227771a9f8)

* [ ] Créez un profil pour iOS/iPadOS avec le type **certificat SCEP** dans Microsoft Intune :

![](/files/dee5cb26860f5120f567374eadfc3a70357995c5)

* [ ] Configurez le profil comme décrit :

<details>

<summary>Type de certificat : <code>Appareil</code></summary>

Dans cette section, nous configurons un certificat d’appareil.

</details>

<details>

<summary>Format du nom du sujet : <code>CN={{DeviceId}}</code> ou <code>CN={{AAD_Device_ID}}</code></summary>

SCEPman utilise le champ CN du sujet pour identifier l’appareil et comme base pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :

* {{DeviceId}} : cet identifiant est généré et utilisé par Intune **(Recommandé)**\
  \
  (nécessite [Validation Intune](/fr/configuration-de-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) d’être défini sur **Intune** ou **AADAndIntune**)
* {{AAD\_Device\_ID}} : cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD).\
  \
  (Remarque : lors de l’utilisation de l’inscription automatisée des appareils via Apple Business Manager, cet identifiant peut changer pendant la configuration de l’appareil. Si c’est le cas, SCEPman pourrait ne plus être en mesure d’identifier l’appareil par la suite. Le certificat deviendrait alors invalide.)

Vous pouvez ajouter d’autres RDN si nécessaire (par ex. : `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Les variables prises en charge sont सूची listées dans les [docs Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).

</details>

<details>

<summary>Nom alternatif du sujet : <code>URI</code> Valeur :<code>IntuneDeviceId://{{DeviceId}}</code></summary>

Le champ URI est [recommandé par Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) pour que les solutions NAC identifient les appareils en fonction de leur ID d’appareil Intune.

D’autres valeurs SAN, comme DNS, peuvent être ajoutées si nécessaire.

</details>

<details>

<summary>Période de validité du certificat : <code>1 an</code></summary>

<mark style="color:orange;">**Important :**</mark> <mark style="color:orange;">Les appareils iOS/iPadOS ignorent la configuration de la période de validité via Intune. Veuillez vous assurer de configurer</mark> [Certificats](/fr/configuration-de-scepman/application-settings/certificates.md#appconfig-validityperioddays) <mark style="color:orange;">sur une valeur fixe. Nous recommandons 2 ans, vous devez donc définir cette variable dans la configuration SCEPman à 730 jours. Mais vous pouvez laisser le paramètre de période de validité du certificat à 1 an, car Intune l’ignore de toute façon.</mark>\
\
**I**<mark style="color:orange;">**mportant :**</mark> <mark style="color:orange;">Notez également que</mark> <mark style="color:orange;">**les certificats sur iOS/iPadOS ne sont renouvelés**</mark> <mark style="color:orange;">par Intune que lorsque l’appareil est</mark> <mark style="color:orange;">**déverrouillé, en ligne, en synchronisation et dans la plage du seuil de renouvellement**</mark><mark style="color:orange;">. Si les certificats sont expirés (par ex. : appareil hors ligne et/ou verrouillé pendant une longue période), ils ne seront plus renouvelés. Par conséquent, nous recommandons de choisir une valeur plus élevée ici.</mark>

</details>

<details>

<summary>Utilisation de la clé : <code>Signature numérique</code> et <code>chiffrement de clé</code></summary>

Veuillez activer ces deux actions cryptographiques.

</details>

<details>

<summary>Taille de la clé (bits) : <code>2048</code></summary>

SCEPman prend en charge 2048 bits.

</details>

<details>

<summary>Certificat racine : <code>Profil de l’étape précédente</code></summary>

Veuillez sélectionner le profil Intune de [#root-certificate](#root-certificate "mention").

</details>

<details>

<summary>Utilisation étendue de la clé : <code>Authentification client, 1.3.6.1.5.5.7.3.2</code></summary>

Veuillez choisir **Authentification client (1.3.6.1.5.5.7.3.2)** sous **Valeurs prédéfinies**. Les autres champs seront remplis automatiquement.

<mark style="color:orange;">**Important :**</mark> <mark style="color:orange;">Les appareils iOS/iPadOS ne prennent en charge aucune utilisation étendue de clé (EKU) autre que</mark> <mark style="color:orange;">`Authentification client`</mark> <mark style="color:orange;">. Cela signifie que toute autre EKU configurée dans ce profil sera ignorée.</mark>

</details>

<details>

<summary>Seuil de renouvellement (%) : <code>50</code></summary>

Cette valeur définit à quel moment l’appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante du certificat existant). Veuillez lire la note sous **Période de validité du certificat** et sélectionner une valeur appropriée permettant à l’appareil de renouveler le certificat sur une longue période. Une valeur de 50 % permettrait à l’appareil disposant d’un certificat valide pendant 1 an de commencer le renouvellement 182 jours avant l’expiration.

</details>

<details>

<summary>URL du serveur SCEP : Ouvrez le portail SCEPman et copiez l’URL de <a href="#device-certificates"><strong>Intune MDM</strong></a></summary>

**Exemple**

```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```

</details>

{% hint style="info" %}
Avec les paramètres indiqués, nous satisfaisons [les exigences d’Apple en matière de certificats](https://support.apple.com/en-us/HT210176).
{% endhint %}

### Exemple

![](/files/a0dcae5c76b9d9f34ec09f6c452cfe24b4f025dd)

* [ ] Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir le ou les mêmes groupes pour l’affectation que pour le profil de certificat approuvé.

## Certificats utilisateur

Veuillez suivre les instructions de [#device-certificates](#device-certificates "mention") et tenir compte des différences suivantes :

<details>

<summary>Type de certificat : <code>Utilisateur</code></summary>

Dans cette section, nous configurons un certificat utilisateur.

</details>

<details>

<summary>Format du nom du sujet : <code>CN={{UserName}},E={{EmailAddress}}</code></summary>

Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans les [docs Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Nous recommandons d’inclure le nom d’utilisateur (par ex. : janedoe) et l’adresse e-mail (par ex. : <janedoe@contoso.com>) comme paramètre de base.

</details>

<details>

<summary>Nom alternatif du sujet : <code>UPN</code> Valeur : <code>{{UserPrincipalName}}</code></summary>

SCEPman utilise l’UPN dans le SAN pour identifier l’utilisateur et comme base pour la génération du numéro de série du certificat (par ex. : <janedoe@contoso.com>).\
\
D’autres valeurs SAN, comme l’adresse e-mail, peuvent être ajoutées si nécessaire.

</details>

{% hint style="info" %}
Avec les paramètres indiqués, nous satisfaisons [les exigences d’Apple en matière de certificats](https://support.apple.com/en-us/HT210176)
{% endhint %}

### Exemple

![](/files/e000dd3a077e4e0ec6821d0b6cbf6433e2303454)


---

# Agent Instructions: Querying This Documentation

If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.

Perform an HTTP GET request on the current page URL with the `ask` query parameter:

```
GET https://docs.scepman.com/fr/gestion-des-certificats/microsoft-intune/ios.md?ask=<question>
```

The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.

Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.