Serveurs SCEP

Outils > MDM (Gestion des périphériques modernes) > Configurations MDM > Paramètres communs > SCEP

La connexion à un serveur SCEP vous permet de provisionner des certificats de manière dynamique. Chaque fois qu'un périphérique est ajouté, votre serveur SCEP lui distribue automatiquement un certificat. En fait, cela protège votre réseau et vos périphériques d'entreprise contre l'inscription et l'accès de périphériques aléatoires (non SCEP).

Pour utiliser cette fonction, vous devez avoir installé et entièrement configuré les services suivants :

Active Directory.

Services de certificat, notamment Microsoft Network Device Enrollment Service (NDES). Il est fortement recommandé d'installer ce serveur sous Windows Server 2012 R2 ou supérieur.

Le serveur NDES doit être configuré pour autoriser plus de 5 mots de passe par heure. Il est recommandé d'autoriser 20 mots de passe par heure via les paramètres de registre.

Serveur de stratégies réseau (RADIUS).

Infrastructure sans fil EAP.

Dans la console LDMS, configurez l'annuaire de manière à vous connecter à Active Directory ; l'authentification utilisateur relais ne suffit pas.

Lorsque vous êtes connecté à un serveur SCEP, Endpoint Manager communique via le CSA. Le serveur SCEP doit alors envoyer toutes ses demandes de certificat à une autorité de certification (CA), qui publie ensuite le certificat sur un point d'accès. Le certificat est ensuite distribué à chaque périphérique séparément.

La boîte de dialogue Configuration SCEP contient les champs suivants :

URL du serveur SCEP : Nom d'hôte ou adresse IP du serveur NDES. HTTP et HTTPS sont tous deux pris en charge, mais il est recommandé de choisir HTTPS. Indiquez seulement HTTPS suivi du nom d'hôte ou de l'adresse IP ; n'incluez pas le chemin entier. Seul Microsoft NDES est pris en charge, si bien que seul le début de l'URL est nécessaire.

Nom d'utilisateur : Nom d'utilisateur créé lors de l'installation de NDES.

Mot de passe : Mot de passe de l'utilisateur NDES.

Domaine : Domaine de l'utilisateur NDES.

Pour garantir une connexion correcte à votre serveur SCEP, cliquez sur Vérifier. Si l'opération réussit, cliquez sur Appliquer.

Le bouton Vérifier est conçu pour soumettre un nombre limité d'ID de challenge par heure pour vérifier les connexions, alors utilisez-le avec modération. Pour réinitialiser le compteur de mots de passe, redémarrez IIS sur le serveur NDES.

Création de profils de périphérique Apple prenant en charge SCEP

Vous pouvez déployer des charges de traitement SCEP sur des périphériques Apple. La charge de traitement SCEP comporte plusieurs composants que vous devez configurer afin qu'ils fonctionnent correctement.

  1. Configurez SCEP comme indiqué ci-dessus, dans Outils > MDM (Gestion des périphériques modernes) > Configurations MDM > Paramètres communs > SCEP.
  2. Dans Outils > Configuration > Paramètres d'agent, ouvrez le profil de configuration Apple à modifier.
  3. Dans l'éditeur de profil de configuration, cliquez sur la charge de traitement Certificats, puis cliquez sur le bouton Configurer si les options de configuration ne sont pas affichées.
  4. Importez le certificat racine de CA du serveur SCEP.
  5. Dans l'éditeur de profil de configuration, cliquez sur la charge de traitement SCEP, puis cliquez sur le bouton Configurer si les options de configuration ne sont pas affichées.
  6. Dans le premier champ URL, vous pouvez voir si le système accepte la variable de base de données ${SCEPURL}$. Cette variable est remplacée par l'URL entrée à l'étape 1 lors du déploiement. Entrez cette variable comme URL.
  7. Dans le champ Nom, spécifiez le nom du certificat racine de CA.
  8. Dans la liste Type de nom alternatif de sujet, sélectionnez Nom RFC 822.
  9. Sous Valeur de nom alternatif de sujet, entrez ${EMAIL}$ pour récupérer l'adresse e-mail de l'utilisateur qui a inscrit le périphérique ou spécifiez manuellement cette adresse.
  10. Sous Nom de principal NT, entrez ${UPN}$ pour récupérer le nom UPN de l'utilisateur qui a inscrit le périphérique ou saisissez manuellement ce nom UPN.
  11. Sélectionnez Dynamique sous Type de challenge.
  12. Dans le champ URL du serveur de challenge SCEP, entrez ${SCEPCHLGURL}$ pour récupérer dans la base de données la valeur correspondant au serveur. Il s'agit de l'URL de serveur SCEP configurée à l'étape 1.
  13. Dans le champ Nom d'utilisateur du serveur de challenge SCEP, entrez ${SCEPCHLGUSRNM}$ pour récupérer dans la base de données la valeur correspondant à l'utilisateur. Il s'agit du nom d'un utilisateur autorisé à accéder au serveur SCEP, tel que configuré à l'étape 1.
  14. Dans le champ Mot de passe du serveur de challenge SCEP, entrez ${SCEPCHLGPSWD}$ pour récupérer dans la base de données le mot de passe de l'utilisateur. Il s'agit du mot de passe correspondant au nom d'utilisateur autorisé à accéder au serveur SCEP, tel que configuré à l'étape 1.
  15. Sélectionnez 2048 dans la liste Taille de clé.
  16. Sélectionnez Signature numérique et cryptage dans la liste Utilisation.
  17. Dans l'éditeur de profil de configuration, cliquez sur la charge de traitement Réseau (Wi-Fi).
  18. Dans la zone d'options Type de sécurité, sélectionnez l'option de sécurité d'entreprise de votre choix.
  19. Sélectionnez le protocole d'authentification TLS.
  20. Pour l'option Certificat d'identité, sélectionnez le certificat racine de CA ajouté à l'étape 4.
  21. Cliquez sur l'onglet Faire confiance et sélectionnez le certificat racine de CA.
  22. Cliquez sur OK et enregistrez vos changements.
  23. Déployez le profil.

Si vous rattachez plusieurs certificats X.509 dans la page de charge de traitement Certificats, l'utilisateur est immédiatement invité à sélectionner un certificat dans la liste des certificats la première fois qu'il se connecte au Wi-Fi. Si les utilisateurs sélectionnent le mauvais certificat, la connexion échoue. Sur les périphériques Apple, il n'est pas toujours évident de connaître le certificat que l'utilisateur doit sélectionner, si bien que vous devrez peut-être guider vos utilisateurs.