> For the complete documentation index, see [llms.txt](https://docs.scepman.com/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://docs.scepman.com/fr/gestion-des-certificats/microsoft-intune/macos.md).
# macOS
L’article suivant décrit comment déployer des certificats d’appareil et/ou d’utilisateur pour des appareils macOS. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir de déployer uniquement des certificats d’appareil, d’utilisateur ou les deux types.
{% hint style="warning" %}
Veuillez noter que macOS inscrit un ou plusieurs certificats d’authentification client distincts pour chaque profil de configuration de l’appareil dans lequel un profil SCEP est référencé, en plus du profil de certificat SCEP lui-même. Consultez la note [ici](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Certificat racine
La base du déploiement des certificats SCEP consiste à faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine de l’AC et le déployer comme un **certificat approuvé** profil via Microsoft Intune :
* [ ] Téléchargez le certificat de l’AC depuis votre portail SCEPman :
* [ ] Créez un profil pour macOS avec le type **certificat approuvé** dans Microsoft Intune :
* [ ] Téléversez votre **fichier .cer**.
* [ ] Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir Tous les utilisateurs et/ou Tous les appareils ou un groupe dédié pour l’attribution.
{% hint style="info" %}
Remarque : vous devez utiliser le **même groupe pour l’attribution de** le **certificat approuvé** et **profil SCEP**. Sinon, le déploiement Intune peut échouer.
{% endhint %}
## Certificats d’appareil
* [ ] Ouvrez le portail SCEPman et copiez l’URL sous **Intune MDM**:
* [ ] Créez un profil pour macOS avec le type **certificat SCEP** dans Microsoft Intune :
* [ ] Configurez le profil comme décrit :
Type de certificat : Appareil
Dans cette section, nous configurons un certificat d’appareil.
Format du nom du sujet : CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}
**Recommandé :** Utilisez `{{DeviceName}}`pour le RDN CN afin d’avoir un nom pertinent du certificat sur l’appareil ou lors de la recherche du certificat.
**Facultatif :** Si configuré sur `CN={{DeviceId}}` ou `CN={{AAD_Device_ID}}`, SCEPman utilise le champ CN du nom du sujet pour identifier l’appareil et comme base de génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :
* `{{DeviceId}}`: Cet identifiant est généré et utilisé par Intune.\n\n(requiert [Validation Intune](/fr/configuration-scepman/application-settings/scep-endpoints/intune-validation.md#appconfig-intunevalidation-devicedirectory) d’être défini sur **Intune** ou **AADAndIntune**)
* `{{AAD_Device_ID}}`: Cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD).
Si ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` n’est utilisé pour le champ CN (par exemple `CN={{DeviceName}})`, SCEPman identifiera l’appareil à partir de l’ID d’appareil Intune (`(URI)Valeur :` `IntuneDeviceId://{{DeviceId}}`) fourni dans le nom alternatif du sujet (SAN).
**Important :** Le choix du champ CN affecte le [comportement automatique de révocation](/fr/gestion-des-certificats/manage-certificates.md#automatic-revocation) des certificats émis pour vos appareils gérés par Intune.
Vous pouvez ajouter d’autres RDN si nécessaire (par exemple : `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Les variables prises en charge sont listées dans le [documentation Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nom alternatif du sujet : URI Valeur :IntuneDeviceId://{{DeviceId}}
Le champ URI est [recommandé par Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) pour que les solutions NAC identifient les appareils à partir de leur ID d’appareil Intune.
```
IntuneDeviceId://{{DeviceId}}
```
Le **champ URI est obligatoire** si ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` n’est utilisé dans le **format du nom du sujet** champ.
D’autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.
Période de validité du certificat : 1 an
**Important :** Les appareils macOS ignorent la configuration de la période de validité via Intune. Veuillez vous assurer de configurer [Certificats](/fr/configuration-scepman/application-settings/certificates.md#appconfig-validityperioddays) sur une valeur fixe. Vous pouvez laisser le paramètre de période de validité du certificat à 1 an, car il sera de toute façon ignoré.\
\ **Important :** Notez également que **les certificats sur macOS ne sont renouvelés** par Intune que lorsque l’appareil est **déverrouillé, en ligne, synchronisé et dans la plage du seuil de renouvellement**. Si les certificats ont expiré (par exemple : l’appareil était hors ligne et/ou verrouillé pendant longtemps), ils ne seront plus renouvelés. Par conséquent, nous vous recommandons de choisir une valeur plus élevée ici.
Usage de la clé : Signature numérique et chiffrement de clé
Veuillez activer les deux actions cryptographiques.
Taille de clé (bits) : 2048
SCEPman prend en charge 2048 bits.
Certificat racine : Profil de l’étape précédente
Veuillez sélectionner le profil Intune dans [#Certificats racines](#root-certificate)
Utilisation étendue de la clé : Authentification du client, 1.3.6.1.5.5.7.3.2
Veuillez choisir **Authentification du client (1.3.6.1.5.5.7.3.2)** sous **Valeurs prédéfinies**. Les autres champs seront remplis automatiquement.
**Important :** Les appareils macOS ne prennent en charge aucune utilisation étendue de clé (EKU) autre que `Authentification du client` . Cela signifie que toutes les autres EKU configurées dans ce profil seront ignorées.
Seuil de renouvellement (%) : 50
Cette valeur définit à partir de quand l’appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante du certificat existant). Veuillez lire la note sous **Période de validité du certificat** et sélectionnez une valeur appropriée qui permet à l’appareil de renouveler le certificat sur une longue période. Une valeur de 50 % permettrait à l’appareil disposant d’un certificat valide d’1 an de commencer le renouvellement 182 jours avant l’expiration.
URL du serveur SCEP : Ouvrez le portail SCEPman et copiez l’URL de Intune MDM
**Exemple**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Avec les paramètres indiqués, nous satisfaisons [les exigences de certificat d’Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Exemple
* [ ] Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir le ou les mêmes groupes pour l’attribution que pour le profil de certificat approuvé.
## Certificats utilisateur
La section suivante vous montrera comment déployer des certificats utilisateur via un profil de certificat Intune sur des appareils macOS X 10.12 (ou version ultérieure).
{% hint style="warning" %}
Veuillez noter : les certificats provisionnés via le protocole SCEP — quel que soit le type (utilisateur ou appareil) — sont toujours placés dans le trousseau système (magasin système) de l’appareil.
Dans le cas où une application tierce nécessite l’accès à un tel certificat (par exemple, un client VPN tiers), le curseur pour **Autoriser toutes les apps à accéder à la clé privée** dans le trousseau doit être réglé sur **activé**.
{% endhint %}
Veuillez suivre les instructions de [#Certificats d’appareil](#device-certificates) et tenez compte des différences suivantes :
Type de certificat : Utilisateur
Dans cette section, nous configurons un certificat utilisateur.
Format du nom du sujet : CN={{UserName}},E={{EmailAddress}}
Vous pouvez définir des RDN selon vos besoins. Les variables prises en charge sont listées dans le [documentation Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Nous recommandons d’inclure le nom d’utilisateur (par exemple : janedoe) et l’adresse e-mail (par exemple : ) comme configuration de base.
Nom alternatif du sujet : UPN Valeur :{{UserPrincipalName}}
SCEPman utilise le UPN dans le SAN pour identifier l’utilisateur et comme base pour la génération du numéro de série du certificat (par exemple : ).\n\nD’autres valeurs SAN comme l’adresse e-mail peuvent être ajoutées si nécessaire.
{% hint style="info" %}
Avec les paramètres indiqués, nous satisfaisons [les exigences de certificat d’Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Exemple
---
# Agent Instructions
This documentation is published with GitBook. GitBook is the documentation platform designed so that both humans and AI agents can read, navigate, and reason over technical content effectively. Learn more at gitbook.com.
## Querying This Documentation
If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question.
Perform an HTTP GET request on the current page URL with the `ask` query parameter:
```
GET https://docs.scepman.com/fr/gestion-des-certificats/microsoft-intune/macos.md?ask=
```
The question should be specific, self-contained, and written in natural language.
The response will contain a direct answer to the question and relevant excerpts and sources from the documentation.
Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.