# macOS
L’article suivant décrit comment déployer des certificats d’appareil et/ou d’utilisateur pour des appareils macOS. Le déploiement du certificat racine SCEPman est obligatoire. Ensuite, vous pouvez choisir de déployer uniquement des certificats d’appareil, d’utilisateur, ou même les deux types de certificats.
{% hint style="warning" %}
Veuillez noter que macOS inscrit un ou plusieurs certificats d’authentification client distincts pour chaque profil de configuration d’appareil dans lequel un profil SCEP est référencé, en plus du profil de certificat SCEP proprement dit. Voir la note [ici](https://learn.microsoft.com/en-us/intune/intune-service/protect/certificates-profile-scep#assign-the-certificate-profile)
{% endhint %}
## Certificat racine
La base du déploiement des certificats SCEP est de faire confiance au certificat racine de SCEPman. Par conséquent, vous devez télécharger le certificat racine de l’AC et le déployer comme un **certificat de confiance** profil via Microsoft Intune :
* [ ] Téléchargez le certificat de l’AC depuis le portail SCEPman :
* [ ] Créez un profil pour macOS avec le type **certificat de confiance** dans Microsoft Intune :
* [ ] Téléversez votre **fichier .cer**.
* [ ] que vous avez téléchargé précédemment. Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir Tous les utilisateurs et/ou Tous les appareils ou un groupe dédié pour l’affectation.
{% hint style="info" %}
Notez que vous devez utiliser le **même groupe pour affecter** le **certificat de confiance** et **profil SCEP**. Sinon, le déploiement Intune pourrait échouer.
{% endhint %}
## Certificats d’appareil
* [ ] Ouvrez le portail SCEPman et copiez l’URL sous **Intune MDM**:
* [ ] Créez un profil pour macOS avec le type **certificat SCEP** dans Microsoft Intune :
* [ ] Configurez le profil comme décrit :
Type de certificat : Appareil
Dans cette section, nous configurons un certificat d’appareil.
Format du nom de sujet : CN={{DeviceName}} ou CN={{DeviceId}} ou CN={{AAD_Device_ID}}
**Recommandé :** Utilisez `{{DeviceName}}`pour le RDN CN afin d’avoir un nom de certificat significatif sur l’appareil ou lors d’une recherche du certificat.
**Optionnel :** Si configuré sur `CN={{DeviceId}}` ou `CN={{AAD_Device_ID}}`, SCEPman utilise le champ CN du nom de sujet pour identifier l’appareil et comme base pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux identifiants différents :
* `{{DeviceId}}`: Cet identifiant est généré et utilisé par Intune.\
\
(nécessite que [#appconfig-intunevalidation-devicedirectory](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/intune-validation#appconfig-intunevalidation-devicedirectory "mention") soit défini sur **Intune** ou **AADAndIntune**)
* `{{AAD_Device_ID}}`: Cet identifiant est généré et utilisé par Microsoft Entra ID (Azure AD).
Si ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` n’est utilisé pour le champ CN (par ex. `CN={{DeviceName}})`, SCEPman identifiera l’appareil à partir de l’ID d’appareil Intune (`Valeur (URI) :` `IntuneDeviceId://{{DeviceId}}`) fourni dans le nom alternatif du sujet (SAN).
**Important :** Le choix du champ CN affecte le [comportement de révocation automatique](https://docs.scepman.com/fr/manage-certificates#automatic-revocation) des certificats émis pour vos appareils gérés par Intune.
Vous pouvez ajouter d’autres RDN si nécessaire (par ex. : `CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}`). Les variables prises en charge sont सूचीes dans les [docs Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile).
Nom alternatif du sujet : URI Valeur :IntuneDeviceId://{{DeviceId}}
Le champ URI est [recommandé par Microsoft](https://techcommunity.microsoft.com/t5/intune-customer-success/new-microsoft-intune-service-for-network-access-control/ba-p/2544696) pour que les solutions NAC identifient les appareils à partir de leur ID d’appareil Intune.
Le **champ URI est obligatoire** si ni `CN={{DeviceId}}` ni `CN={{AAD_Device_ID}}` n’est utilisé dans le **champ Format du nom de sujet** .
D’autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.
Période de validité du certificat : 1 ans
**Important :** Les appareils macOS ignorent la configuration de la période de validité via Intune. Veuillez vous assurer de configurer [#appconfig-validityperioddays](https://docs.scepman.com/fr/configuration-scepman/application-settings/certificates#appconfig-validityperioddays "mention") sur une valeur fixe. Vous pouvez laisser le paramètre de période de validité du certificat sur 1 an, car il sera de toute façon ignoré.\
\ **Important :** Notez également que **les certificats sur macOS ne sont renouvelés** par Intune que lorsque l’appareil est **déverrouillé, en ligne, en synchronisation et dans le périmètre du seuil de renouvellement**. Si les certificats ont expiré (par ex. : l’appareil est resté hors ligne et/ou verrouillé pendant longtemps), ils ne seront plus renouvelés. Nous recommandons donc de choisir ici une valeur plus élevée.
Utilisation de la clé : Signature numérique et chiffrement de clét
Veuillez activer ces deux actions cryptographiques.
Taille de la clé (bits) : 2048
SCEPman prend en charge 2048 bits.
Certificat racine : Profil de l’étape précédente
Veuillez sélectionner le profil Intune depuis [#Certificats racines](#root-certificate)
Utilisation étendue de la clé : Authentification client, 1.3.6.1.5.5.7.3.2
Veuillez choisir **Authentification client (1.3.6.1.5.5.7.3.2)** sous **Valeurs prédéfinies**. Les autres champs seront remplis automatiquement.
**Important :** Les appareils macOS ne prennent pas en charge d’autres utilisations étendues de clé (EKU) que `Authentification client` . Cela signifie que toute autre EKU configurée dans ce profil sera ignorée.
Seuil de renouvellement (%) : 50
Cette valeur définit à quel moment l’appareil est autorisé à renouveler son certificat (sur la base de la durée de vie restante du certificat existant). Veuillez lire la note sous **Période de validité du certificat** et sélectionner une valeur appropriée qui permet à l’appareil de renouveler le certificat sur une longue période. Une valeur de 50 % permettrait à l’appareil disposant d’un certificat valide pendant 1 an de commencer le renouvellement 182 jours avant l’expiration.
URL du serveur SCEP : Ouvrez le portail SCEPman et copiez l’URL de Intune MDM
**Exemple**
```
https://scepman.contoso.com/certsrv/mscep/mscep.dll
```
{% hint style="info" %}
Avec les paramètres indiqués, nous répondons aux [exigences de certificat d’Apple](https://support.apple.com/en-us/HT210176).
{% endhint %}
### Exemple
* [ ] Vous pouvez maintenant déployer ce profil sur vos appareils. Veuillez choisir les mêmes groupes pour l’affectation que pour le profil de certificat de confiance.
## Certificats d’utilisateur
La section suivante vous montrera comment vous pouvez déployer des certificats utilisateur via un profil de certificat Intune sur des appareils macOS X 10.12 (ou version ultérieure).
{% hint style="warning" %}
Veuillez noter : les certificats provisionnés via le protocole SCEP — quel que soit le type (utilisateur ou appareil) — sont toujours placés dans le trousseau système (magasin système) de l’appareil.
Dans le cas où une application tierce nécessite l’accès à un tel certificat (par ex. un client VPN tiers), le curseur pour **Autoriser toutes les applications à accéder à la clé privée** dans le trousseau doit être réglé sur **activé**.
{% endhint %}
Veuillez suivre les instructions de [#Certificats d’appareil](#device-certificates) et tenir compte des différences suivantes :
Type de certificat : Utilisateur
Dans cette section, nous configurons un certificat utilisateur.
Format du nom de sujet : CN={{UserName}},E={{EmailAddress}}
Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans les [docs Microsoft](https://docs.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep#create-a-scep-certificate-profile). Nous recommandons d’inclure le nom d’utilisateur (par ex. : janedoe) et l’adresse e-mail (par ex. : ) comme configuration de base.
Nom alternatif du sujet : UPN Valeur :{{UserPrincipalName}}
SCEPman utilise l’UPN dans le SAN pour identifier l’utilisateur et comme base pour la génération du numéro de série du certificat (par ex. : ).\
\
D’autres valeurs SAN comme l’adresse e-mail peuvent être ajoutées si nécessaire.
{% hint style="info" %}
Avec les paramètres indiqués, nous répondons aux [exigences de certificat d’Apple](https://support.apple.com/en-us/HT210176)
{% endhint %}
### Exemple
