macOS

Dans cette section, nous configurons un certificat d'appareil.

Recommandé : Utilisez {{DeviceName}}pour le RDN CN afin d'avoir un nom significatif du certificat sur l'appareil ou lors de la recherche du certificat.

Optionnel : Si configuré sur CN={{DeviceId}} ou CN={{AAD_Device_ID}}, SCEPman utilise le champ CN du nom du sujet pour identifier l'appareil et comme graine pour la génération du numéro de série du certificat. Microsoft Entra ID (Azure AD) et Intune proposent deux ID différents :

• {{DeviceId}} : Cet ID est généré et utilisé par Intune. (requiert SCEPman 2.0 ou supérieur et AppConfig:IntuneValidation:DeviceDirectory être réglé sur Intune ou AADAndIntune)

• {{AAD_Device_ID}} : Cet ID est généré et utilisé par Microsoft Entra ID (Azure AD).

Dans le cas où ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n'est utilisé pour le champ CN (par ex. CN={{DeviceName}}), SCEPman identifiera l'appareil en se basant sur l'ID d'appareil Intune ((URI) Valeur : IntuneDeviceId://{{DeviceId}}) fourni dans le nom alternatif du sujet (SAN).

Important : Le choix du champ CN affecte le comportement automatique de révocation des certificats émis à vos appareils gérés par Intune.

Vous pouvez ajouter d'autres RDN si nécessaire (par ex. : CN={{DeviceId}}, O=Contoso, CN={{WiFiMacAddress}}). Les variables prises en charge sont listées dans la documentation Microsoft.

Le champ URI est recommandé par Microsoft pour que les solutions NAC identifient les appareils en fonction de leur ID d'appareil Intune.

Le champ URI est obligatoire dans le cas où ni CN={{DeviceId}} ni CN={{AAD_Device_ID}} n'est utilisé dans le champ Format du nom du sujet .

D'autres valeurs SAN comme DNS peuvent être ajoutées si nécessaire.

Important : les appareils macOS ignorent la configuration de la période de validité via Intune. Veuillez vous assurer de configurer AppConfig:ValidityPeriodDays sur une valeur fixe. Vous pouvez laisser le paramètre de période de validité du certificat à 1 an car il sera de toute façon ignoré. Important : Notez également que les certificats sur macOS ne sont renouvelés que par Intune lorsque l'appareil est déverrouillé, en ligne, en synchronisation et dans le périmètre du seuil de renouvellement. Si les certificats sont expirés (par exemple : l'appareil était hors ligne et/ou verrouillé pendant une longue période), ils ne seront plus renouvelés. Par conséquent, nous recommandons de choisir ici une valeur plus élevée.

Veuillez activer les deux actions cryptographiques.

SCEPman prend en charge 2048 bits.

Veuillez sélectionner le profil Intune depuis #Certificats racine

Veuillez choisir Authentification client (1.3.6.1.5.5.7.3.2) sous Valeurs prédéfinies. Les autres champs seront remplis automatiquement.

Important : Les appareils macOS ne prennent pas en charge d'autres usages étendus de clés (EKU) que Authentification client . Cela signifie que tout autre EKU configuré dans ce profil sera ignoré.

Cette valeur définit quand l'appareil est autorisé à renouveler son certificat (en fonction de la durée de vie restante du certificat existant). Veuillez lire la note sous Période de validité du certificat et sélectionnez une valeur appropriée qui permette à l'appareil de renouveler le certificat sur une longue période. Une valeur de 50 % permettrait à l'appareil disposant d'un certificat valide 1 an de commencer le renouvellement 182 jours avant l'expiration.

Exemple

Dans cette section nous configurons un certificat utilisateur.

Vous pouvez définir des RDN en fonction de vos besoins. Les variables prises en charge sont listées dans la documentation Microsoft. Nous recommandons d'inclure le nom d'utilisateur (par ex. : janedoe) et l'adresse e-mail (par ex. : [email protected]) comme paramétrage de base.

SCEPman utilise l'UPN dans le SAN pour identifier l'utilisateur et comme graine pour la génération du numéro de série du certificat (par ex. : [email protected]). D'autres valeurs SAN comme l'adresse e-mail peuvent être ajoutées si nécessaire.