Configurer Okta en tant que CA avec un défi SCEP délégué pour les appareils macOS avec MEM

Configurez une autorité de certification (CA) pour émettre des certificats clients à vos appareils macOS ciblés. Cette procédure décrit comment créer un profil SCEP (Simple Certificate Enrollment Protocol) dans Microsoft Endpoint Manager (MEM) et générer une URL SCEP dans Okta.

Conditions nécessaires

  • Certificats déployés pour la signature numérique, mais pas à d'autres fins (par exemple, le chiffrement)

  • Microsoft Endpoint Manager

    Microsoft Endpoint Manager est une plateforme de solutions qui unifie plusieurs services. Elle comprend Microsoft Intune pour la gestion des appareils dans le cloud, Configuration Manager pour la gestion des appareils sur site, la cogestion, Desktop Analytics, Windows Autopilot, Azure Active Directory et le centre d'administration Endpoint Manager. Vous pouvez utiliser cette procédure si vous utilisez l'un de ces services. Par exemple, vous pouvez utiliser cette procédure si vous utilisez Microsoft Intune.

  • Microsoft Azure

En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer le certificat expiré. Configurez toutes les politiques SCEP MDM pour autoriser la redistribution des profils.

Démarrer cette procédure

Tâche 1 : enregistrer les informations d'identification de l'app AAD pour Okta dans Microsoft Azure

  1. Dans Microsoft Azure, cliquez sur Enregistrements d'applications.

  2. Cliquez sur + Nouvel enregistrement.

  3. Sur la page Enregistrer une application, saisissez les éléments suivants :

    1. Nom : saisissez un nom significatif pour l'application.

    2. Types de compte pris en charge : sélectionnez le type de compte pris en charge approprié. Cette procédure a été testée en sélectionnant l'option Comptes dans ce répertoire organisationnel uniquement [<Nom_de_votre_locataire> – Locataire unique]).

    3. URI de redirection (facultatif) : laissez vide ou sélectionnez Web, puis saisissez un URI de redirection.

    4. Cliquez sur Enregistrer.

  4. Sur la page de l'app sous Essentials, copiez et notez l'ID de l'app (client).

    Vous collerez cette valeur dans Okta Admin Console à la tâche 2.

    L'image indique où trouver l'ID de l'application (client).

  5. Ajoutez un secret client :

    1. Dans le volet de gauche, cliquez sur Certificats et clés secrètes.

    2. Sous Clés secrètes client, cliquez sur + Nouvelle clé secrète client.

    3. Dans la section Ajouter un secret client, saisissez les informations suivantes :

      • Description : (facultatif) saisissez une description pour la clé secrète client.

      • Expire le : sélectionnez un délai d'expiration.

    4. Cliquez sur Ajouter.

      La clé secrète apparaît sous Clés secrètes client.

    5. Dans la section Clés secrètes client, copiez et notez la valeur.

      L'image indique où trouver la valeur de la clé secrète client.

  6. Définissez les permissions Intune scep_challenge_provider :

    1. Dans le volet de gauche, cliquez Permissions d'API.

    2. Cliquez sur + Add a permission (+ Ajouter une permissions).

    3. Dans la section Demander des permissions d'API, faites défiler vers le bas, puis cliquez sur Intune.

    4. Sous Quel type de permissions votre application requiert-elle ?, cliquez sur Application permissions (Permissions de l'appli).

    5. Dans le champ de recherche Sélectionner des permissions, saisissez scep, puis cochez scep_challenge_provider.

      L'image représente les paramètres Demander des permissions d'API.

    6. Cliquez sur Ajouter des permissions.

    7. Dans la section Permissions configurées, cliquez sur PAccorder le consentement de l'administrateur pour [Nom_de_votre_locataire].

      L'image indique l'emplacement du bouton Accorder le consentement de l'administrateur.

    8. Cliquez sur Oui dans le message qui s'affiche.

  7. Définissez les permissions Microsoft Graph Application.Read.All :

    1. Cliquez sur + Ajouter une permission.

    2. Dans la section Demander des permissions API, cliquez sur Microsoft Graph.

    3. Sous Quel type de permissions votre application requiert-elle ?, cliquez sur Permissions de l'application.

    4. Dans le champ de recherche Sélectionner des permissions, saisissez application, développez Application, puis cochez la case Application.Read.All.

    5. Cliquez sur Ajouter des permissions.

    6. Dans la section Permissions configurées, cliquez sur PAccorder le consentement de l'administrateur pour [Nom_de_votre_locataire].

    7. Cliquez sur Oui dans le message qui s'affiche.

Tâche 2 : configurer l'attestation de gestion et générer une URL SCEP dans Okta

  1. Dans Okta Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Cliquez sur l'onglet Gestion du point de terminaison.

  3. Cliquez sur Ajouter une plateforme.

  4. Sélectionnez Bureau (Windows et macOS uniquement).

  5. Cliquez sur Suivant.

  6. Effectuez les configurations suivantes :

    1. Autorité de certification : sélectionnez Utiliser Okta en tant qu'autorité de certification.

    2. Type de challenge de stimulation de l'URL SCEP : sélectionnez URL SCEP dynamique, puis Microsoft Intune (SCEP délégué).

    3. Saisissez les valeurs que vous avez copiées de Microsoft Azure dans les champs suivants :

      • Identifiant client AAD : saisissez la valeur que vous avez copiée lors de la Tâche 1.

      • Tenant AAD : saisissez le nom de votre locataire AAD suivi de .onMicrosoft.com.

      • Secret AAD : saisissez la valeur secrète que vous avez copiée lors de la Tâche 1.

      Par exemple :

      La capture d'écran fournit un exemple de l'attestation de gestion.

  7. Cliquez sur Générer.

  8. Copiez et enregistrez l'URL SCEP d'Okta. Vous collerez l'URL dans Microsoft Endpoint Manager à la Tâche 5.

Tâche 3 : télécharger le certificat x509 depuis Okta

  1. Dans l'Admin Console Okta, accédez à SécuritéIntégrations d'appareils.
  2. Cliquez sur l'onglet Autorité de certification.
  3. Dans la colonne Actions pour l'autorité de certification Okta, cliquez sur l'icône Télécharger le certificat x509.
  4. Renommez le fichier téléchargé afin qu'il comporte une extension .cer.

    Vous chargerez le certificat (fichier CER) dans Microsoft Endpoint Manager à la Tâche 4.

Tâche 4 : créer un profil de certificat de confiance dans MEM

  1. Dans le centre d'administration Microsoft Endpoint Manager, accédez à Appareils.
  2. Cliquez sur Profils de configuration.
  3. Cliquez sur + Create profile (Créer un profil).
  4. Dans Créer un profil, procédez comme suit :
    1. Platform (Plateforme) : sélectionnez macOS.
    2. Profile type (Type de profil) : sélectionnez Templates (Modèles).
    3. Dans la section Template name (Nom du modèle), cliquez sur Trusted certificate (Certificat de confiance).

      L'image montre l'écran Créer un profil de Microsoft Endpoint Configuration Manager.

    4. Cliquez sur Créer.
  5. Dans l'onglet Notions de base de la page Certificat de confiance, effectuez les opérations suivantes :
    1. Nom : saisissez un nom pour le certificat.

      L'image montre l'écran du certificat de confiance.

    2. Description : (facultatif) saisissez une description pour le certificat.
    3. Cliquez sur Next (Suivant).
  6. Dans l'onglet Paramètres de configuration de la page Certificat de confiance, procédez comme suit :
    1. Fichier de certificat : sélectionnez le certificat x509 (fichier CER) que vous avez téléchargé depuis Okta à la Tâche 3.
    2. Magasin de destination : sélectionnez Magasin de certificats de l'ordinateur – Intermédiaire.
    3. Cliquez sur Suivant.
  7. Dans l'onglet Affectations de la page Certificat de confiance, procédez comme suit :
    1. Groupes inclus : affectez le profil de certificat de confiance à un ou plusieurs groupes d'utilisateurs. Les groupes d'utilisateurs doivent être les mêmes que ceux auquels vous affecterez le profil SCEP à la Tâche 5.

      Assurez-vous que les groupes d'utilisateurs spécifiés dans les deux profils sont les mêmes.

    2. Cliquez sur Suivant.
  8. Dans l'onglet Applicability Rules (Règles d'applicabilité) de la page Trusted certificate (Certificat de confiance), procédez comme suit :
    1. Configurez toutes les règles requises.
    2. Cliquez sur Next (Suivant).
  9. Dans l'onglet Réviser + créer de la page Certificat de confiance, révisez la configuration, puis cliquez sur Créer.

Tâche 5 : créer un profil SCEP dans MEM.

  1. Dans Microsoft Endpoint Manager, accédez à Appareils.
  2. Cliquez sur Profils de configuration.
  3. Cliquez sur + Créer un profil.
  4. Dans Créer un profil, saisissez les éléments suivants :
    1. Plateforme : sélectionnez macOS.
    2. Type de profil : sélectionnez Modèles.
    3. Sous Nom du modèle, cliquez sur Certificat SCEP.

      L'image montre l'écran Créer un profil.

    4. Cliquez sur Créer.
  5. Dans l'onglet Notions de base de la page Certificat SCEP, procédez comme suit :
    1. Nom : saisissez un nom pour le certificat.
    2. Description : (facultatif) saisissez une description pour le certificat.

      L'image montre l'écran du certificat SCEP.

    3. Cliquez sur Suivant.

  6. Dans l'onglet Paramètres de configuration de la page Certificat SCEP, procédez comme suit :

    1. Type de certificat : sélectionnez Utilisateur.

    2. Format de nom d'objet : saisissez un nom d'objet. Par exemple, CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}}.

      Okta n'a pas d'exigences de format spécifiques pour ce champ. Vous pouvez utiliser ce champ pour indiquer l'objectif du certificat en tant que signal de gestion des appareils pour Okta ou utiliser des variables de profil fournies par MEM. Pour obtenir une liste des variables prises en charge, consultez Utiliser des profils de certificat SCEP avec Microsoft Intune.

    3. Période de validité du certificat : sélectionnez Années dans la liste, puis saisissez 1 dans le champ suivant.

    4. Utilisation de la clé : sélectionnez Signature numérique.

    5. Taille de la clé [bits] : sélectionnez 2048.

    6. Cliquez sur + Certificat racine.

    7. Sur la page Certificat racine, sélectionnez le certificat de confiance que vous avez créé plus tôt dans la tâche 4.

    8. Cliquez sur OK.

    9. Sous Utilisation de la clé étendue, définissez les valeurs prédéfinies sur Authentification client.

    10. URL de serveur SCEP : saisissez l'URL SCEP générée à la tâche 2.

    11. Autoriser toutes les apps à accéder à la clé privée : sélectionnez Activer.

      Écran du certificat SCEP de Microsoft Endpoint Configuration Manager.

    12. Cliquez sur Suivant.

  7. Dans l'onglet Affectations de la page Certificat SCEP, procédez comme suit :
    1. Affectez le certificat aux mêmes groupes d'utilisateurs auxquels vous avez affecté le profil de certificat de confiance à la tâche 4.

      Assurez-vous que les groupes d'utilisateurs spécifiés dans les deux profils sont les mêmes.

    2. Cliquez sur Suivant.
  8. Dans l'onglet Réviser + créer de la page Certificat SCEP, révisez la configuration, puis cliquez sur Créer.

Tâche 6 : vérifier que le certificat a été installé sur vos appareils macOS

  1. Sur un appareil macOS géré par MEM, ouvrez TrousseauConnexion.
  2. Vérifiez qu'un certificat client et la clé privée associée existent.
  3. Assurez-vous que la clé privée est accessible à toutes les apps :
    1. Double-cliquez sur la clé privée.
    2. Cliquez sur l'onglet Contrôle d'accès.
    3. Sélectionnez Autoriser toutes les applications à accéder à cet élément.

      L'image montre l'onglet Contrôle d'accès.

    4. Cliquez sur Enregistrer les modifications.

Étapes suivantes

Ajouter une règle de politique d'authentification à l'app pour bureau