# Autres solutions MDM
Vous pouvez utiliser SCEPman pour émettre des certificats via des systèmes MDM autres qu’Intune. Vous devez configurer un mot de passe de défi statique (voir [RFC 8894, section 7.3](https://www.rfc-editor.org/rfc/rfc8894.html#name-challengepassword-shared-se) pour la spécification formelle) dans SCEPman et dans le système MDM. La quasi-totalité des systèmes MDM prennent en charge ce mode d’authentification SCEP.
Notez toutefois que cela n’offre pas le même niveau de sécurité que le mode d’authentification utilisé avec Intune. Le mot de passe de défi authentifie les requêtes provenant du système MDM, de sorte que SCEPman sait qu’elles proviennent d’une source de confiance. Mais si des attaquants volent le mot de passe de défi, ils peuvent authentifier n’importe quelle demande de certificat et faire en sorte que SCEPman leur délivre le certificat de leur choix.
Il est donc crucial de garder le mot de passe de défi en sécurité. Cela peut être réalisé lorsque le système MDM agit comme client SCEP et remet le paquet final comprenant le certificat et la clé privée aux appareils des utilisateurs finaux. De cette façon, le mot de passe de défi n’est utilisé qu’entre SCEPman et le système MDM, mais pas sur les appareils des utilisateurs finaux.
## Configuration de SCEPman
Il existe deux points de terminaison SCEP parmi lesquels choisir lors de la configuration de SCEPman pour des systèmes MDM autres qu’Intune et Jamf Pro :
* Static-AAD
* Static
Le point de terminaison Static-AAD est recommandé pour les systèmes MDM avec intégration Entra ID, tels que Kandji et Google Workspace. *Utilisateur* les certificats distribués à partir du point de terminaison Static-AAD bénéficieront de [Révocation automatique](https://docs.scepman.com/fr/manage-certificates#automatic-revocation) lorsque l’utilisateur concerné a été désactivé dans Entra ID.
Le point de terminaison Static est recommandé pour tous les autres systèmes MDM.
{% tabs %}
{% tab title="Static-AAD" %}
Ajoutez les paramètres suivants à votre **SCEPman App Service** > Variables d’environnement > Ajouter.
Une fois les paramètres ajoutés, enregistrez-les et redémarrez votre **SCEPman App Service**.
| Paramètre | Description | Valeur |
| :-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :--------------------------------------------------: |
| [AppConfig:StaticAADValidation:Enabled](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/staticaad-validation#appconfig-staticaadvalidation-enabled) | Activer la validation Static-AAD | ***true*** pour activer, ***false*** pour désactiver |
| [AppConfig:StaticAADValidation:RequestPassword](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/staticaad-validation#appconfig-staticaadvalidation-requestpassword) | Les demandes de signature de certificat envoyées à SCEPman pour signature sont authentifiées à l’aide de ce mot de passe statique sécurisé
Recommandation: Stockez ce secret dans Azure KeyVault.
| *générez un mot de passe de 32 caractères* |
| AppConfig:StaticAADValidation:ValidityPeriodDays
(facultatif)
| Nombre de jours pendant lesquels les certificats émis via le point de terminaison Static-AAD sont valides | 365 |
| AppConfig:StaticAADValidation:EnableCertificateStorage
(facultatif)
| Stocker les certificats demandés dans le Storage Account, afin de les afficher dans SCEPman Certificate Master | ***true*** pour activer, ***false** pour désactiver* |
| {% endtab %} | | |
{% tab title="Static" %}
Ajoutez les paramètres suivants à votre **SCEPman App Service** > Variables d’environnement > Ajouter.
Une fois les paramètres ajoutés, enregistrez-les et redémarrez votre **SCEPman App Service**.
| Paramètre | Description | Valeur |
| :-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------: | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | :--------------------------------------------------: |
| [AppConfig:StaticValidation:Enabled](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-enabled) | Activer la validation tierce | ***true*** pour activer, ***false*** pour désactiver |
| [AppConfig:StaticValidation:RequestPassword](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-requestpassword) | Les demandes de signature de certificat envoyées à SCEPman pour signature sont authentifiées à l’aide de ce mot de passe statique sécurisé
Recommandation: Stockez ce secret dans Azure KeyVault.
| *générez un mot de passe de 32 caractères* |
| [AppConfig:StaticValidation:ValidityPeriodDays](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-validityperioddays) (facultatif) | Nombre de jours pendant lesquels les certificats émis via le point de terminaison Static sont valides | 365 |
| [AppConfig:StaticValidation:EnableCertificateStorage](https://docs.scepman.com/fr/configuration-scepman/application-settings/scep-endpoints/static-validation#appconfig-staticvalidation-enablecertificatestorage) (facultatif) | Stocker les certificats demandés dans le Storage Account, afin de les afficher dans SCEPman Certificate Master | ***true*** pour activer, ***false** pour désactiver* |
| {% endtab %} | | |
| {% endtabs %} | | |
## Configuration MDM
Les étapes précises dépendent du système MDM que vous utilisez. Vous devez ajouter comme URL SCEP quelque part et vous devez ajouter le mot de passe de défi à la configuration SCEP de votre système MDM. Pour des raisons de sécurité, veuillez faire de votre système MDM un proxy SCEP.
Notez qu’il existe deux variantes d’implémentation de proxy SCEP, dont une seule est sûre dans cette configuration :
1. Votre système MDM peut agir comme client SCEP, générer la paire de clés secrètes et remettre le paquet complet composé du certificat et de la clé privée aux appareils des utilisateurs finaux. C’est sûr, car le mot de passe de défi n’est utilisé qu’entre le système MDM et SCEPman.
2. Votre système MDM relaie les messages SCEP entre l’appareil de l’utilisateur final et SCEPman. L’appareil de l’utilisateur final génère la paire de clés secrète et *ajoute le mot de passe de défi* à la demande de certificat. C’est moins sûr, car un attaquant ayant le contrôle d’un seul appareil utilisateur final peut voler le mot de passe de défi et demander toutes sortes de certificats à SCEPman. En outre, le système MDM ne peut pas contrôler si le client a correctement demandé un certificat ou si la demande de certificat est incorrecte, ce qui peut permettre un vol d’identité ou d’autres menaces.