Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

iOS/iPadOS

Déployez des certificats sur des appareils iOS et iPadOS via SCEP dans Intune à l'aide de SCEPman.

L’article suivant décrit comment déployer des certificats d’appareil et/ou d’utilisateur pour les appareils iOS et iPadOS. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir de déployer uniquement les certificats d’appareil, d’utilisateur, ou même les deux types de certificats.

Veuillez noter qu’iOS et iPadOS inscrivent un ou plusieurs certificat(s) distinct(s) d’authentification client pour chaque profil de configuration d’appareil dans lequel un profil SCEP est référencé, en plus du profil de certificat SCEP lui-même. Voir ici

Certificat racine

La base du déploiement des certificats SCEP consiste à faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine CA et le déployer comme un certificat approuvé profil via Microsoft Intune :

Notez que vous devez utiliser le même groupe pour l’affectation du certificat approuvé et profil SCEP. Sinon, le déploiement Intune pourrait échouer.

Certificats d’appareil

Type de certificat : Appareil

Dans cette section, nous configurons un certificat d’appareil.

Format du nom du sujet : CN={{DeviceId}} ou CN={{AAD_Device_ID}}

SCEPman utilise le champ CN du sujet pour identifier l’appareil et comme base pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :

  • {{DeviceId}} : cet identifiant est généré et utilisé par Intune (Recommandé) (nécessite AppConfig:IntuneValidation:DeviceDirectory d’être défini sur Intune ou AADAndIntune)

  • {{AAD_Device_ID}} : cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD). (Remarque : lors de l’utilisation de l’inscription automatisée des appareils via Apple Business Manager, cet identifiant peut changer pendant la configuration de l’appareil. Si c’est le cas, SCEPman pourrait ne plus être en mesure d’identifier l’appareil par la suite. Le certificat deviendrait alors invalide.)

Vous pouvez ajouter d’autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont सूची listées dans les docs Microsoft.

Nom alternatif du sujet : URI Valeur :IntuneDeviceId://{{DeviceId}}

Le champ URI est recommandé par Microsoft pour que les solutions NAC identifient les appareils en fonction de leur ID d’appareil Intune.

D’autres valeurs SAN, comme DNS, peuvent être ajoutées si nécessaire.

Période de validité du certificat : 1 an

Important : Les appareils iOS/iPadOS ignorent la configuration de la période de validité via Intune. Veuillez vous assurer de configurer AppConfig:ValidityPeriodDays sur une valeur fixe. Nous recommandons 2 ans, vous devez donc définir cette variable dans la configuration SCEPman à 730 jours. Mais vous pouvez laisser le paramètre de période de validité du certificat à 1 an, car Intune l’ignore de toute façon. Important : Notez également que les certificats sur iOS/iPadOS ne sont renouvelés par Intune que lorsque l’appareil est déverrouillé, en ligne, en synchronisation et dans la plage du seuil de renouvellement. Si les certificats sont expirés (par ex. : appareil hors ligne et/ou verrouillé pendant une longue période), ils ne seront plus renouvelés. Par conséquent, nous recommandons de choisir une valeur plus élevée ici.

Utilisation de la clé : Signature numérique et chiffrement de clé

Veuillez activer ces deux actions cryptographiques.

Taille de la clé (bits) : 2048

SCEPman prend en charge 2048 bits.

Certificat racine : Profil de l’étape précédente

Veuillez sélectionner le profil Intune de iOS/iPadOS.

Utilisation étendue de la clé : Authentification client, 1.3.6.1.5.5.7.3.2

Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

Important : Les appareils iOS/iPadOS ne prennent en charge aucune utilisation étendue de clé (EKU) autre que Authentification client . Cela signifie que toute autre EKU configurée dans ce profil sera ignorée.

Seuil de renouvellement (%) : 50

Cette valeur définit à quel moment l’appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante du certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionner une valeur appropriée permettant à l’appareil de renouveler le certificat sur une longue période. Une valeur de 50 % permettrait à l’appareil disposant d’un certificat valide pendant 1 an de commencer le renouvellement 182 jours avant l’expiration.

URL du serveur SCEP : Ouvrez le portail SCEPman et copiez l’URL de Intune MDM

Exemple

Avec les paramètres indiqués, nous satisfaisons les exigences d’Apple en matière de certificats.

Exemple

Certificats utilisateur

Veuillez suivre les instructions de iOS/iPadOS et tenir compte des différences suivantes :

Type de certificat : Utilisateur

Dans cette section, nous configurons un certificat utilisateur.

Format du nom du sujet : CN={{UserName}},E={{EmailAddress}}

Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans les docs Microsoft. Nous recommandons d’inclure le nom d’utilisateur (par ex. : janedoe) et l’adresse e-mail (par ex. : janedoe@contoso.com) comme paramètre de base.

Nom alternatif du sujet : UPN Valeur : {{UserPrincipalName}}

SCEPman utilise l’UPN dans le SAN pour identifier l’utilisateur et comme base pour la génération du numéro de série du certificat (par ex. : janedoe@contoso.com). D’autres valeurs SAN, comme l’adresse e-mail, peuvent être ajoutées si nécessaire.

Avec les paramètres indiqués, nous satisfaisons les exigences d’Apple en matière de certificats

Exemple

Mis à jour

Ce contenu vous a-t-il été utile ?