Configurer Okta en tant que CA avec défi SCEP délégué pour les appareils Windows avec MEM

La configuration d'une autorité de certification (CA) vous permet d'émettre des certificats clients à vos appareils Windows ciblés. Cette rubrique décrit comment générer une URL SCEP dans Okta et créer un profil SCEP (Simple Certificate Enrollment Protocol) avec Microsoft Endpoint Manager (MEM).

Conditions nécessaires

  • Certificats déployés pour la signature numérique, mais pas à d'autres fins (par exemple, le chiffrement)

  • Okta Admin Console

  • Microsoft Endpoint Manager

    Microsoft Endpoint Manager est une plateforme de solutions qui unifie plusieurs services. Elle comprend Microsoft Intune pour la gestion des appareils dans le cloud, Configuration Manager pour la gestion des appareils sur site, la cogestion, Desktop Analytics, Windows Autopilot, Azure Active Directory et le centre d'administration Endpoint Manager. Vous pouvez utiliser cette procédure si vous utilisez l'un de ces services. Par exemple, vous pouvez utiliser cette procédure si vous utilisez Microsoft Intune.

  • Microsoft Azure

En tant que CA, Okta ne prend pas en charge les requêtes de renouvellement. Au lieu de cela, redistribuez le profil avant l'expiration du certificat pour remplacer le certificat expiré. Configurez toutes les politiques SCEP MDM pour autoriser la redistribution des profils.

Démarrer cette procédure

Tâche 1 : enregistrer les informations d'identification de l'app AAD pour Okta dans Microsoft Azure

  1. Dans Microsoft Azure, cliquez sur Enregistrements d'applications.

  2. Cliquez sur + Nouvel enregistrement.

  3. Sur la page Enregistrer une application, saisissez les éléments suivants :

    1. Nom : saisissez un nom significatif pour l'application.

    2. Types de compte pris en charge : sélectionnez le type de compte pris en charge approprié. Cette procédure a été testée en sélectionnant l'option Comptes dans ce répertoire organisationnel uniquement [<Nom_de_votre_locataire> – Locataire unique]).

    3. URI de redirection (facultatif) : laissez vide ou sélectionnez Web, puis saisissez un URI de redirection.

    4. Cliquez sur Enregistrer.

  4. Sur la page de l'app sous Essentials, copiez et notez l'ID de l'app (client).

    Cette valeur est requise pour Okta Admin Console à la Tâche 2.

    L'image indique où trouver l'ID client pour votre application.

  5. Ajoutez un secret client :

    1. Dans le volet de gauche, cliquez sur Certificats et clés secrètes.

    2. Sous Clés secrètes client, cliquez sur + Nouvelle clé secrète client.

    3. Dans la section Ajouter un secret client, saisissez les informations suivantes :

      • Description : (facultatif) saisissez une description pour la clé secrète client.

      • Expire le : sélectionnez un délai d'expiration.

    4. Cliquez sur Ajouter.

      La clé secrète apparaît sous Clés secrètes client.

    5. Dans la section Clés secrètes client, copiez et notez la valeur.

      L'image indique où trouver la valeur de la clé secrète client.

  6. Définissez les permissions Intune scep_challenge_provider :

    1. Dans le volet de gauche, cliquez Permissions d'API.

    2. Cliquez sur + Add a permission (+ Ajouter une permissions).

    3. Dans la section Demander des permissions d'API, faites défiler vers le bas, puis cliquez sur Intune.

    4. Sous Quel type de permissions votre application requiert-elle ?, cliquez sur Application permissions (Permissions de l'appli).

    5. Dans le champ de recherche Sélectionner des permissions, saisissez scep, puis cochez scep_challenge_provider.

      L'image représente les paramètres Demander des permissions d'API.

    6. Cliquez sur Ajouter des permissions.

    7. Dans la section Permissions configurées, cliquez sur PAccorder le consentement de l'administrateur pour [Nom_de_votre_locataire].

      L'image indique l'emplacement du bouton Accorder le consentement de l'administrateur.

    8. Cliquez sur Oui dans le message qui s'affiche.

  7. Définissez les permissions Microsoft Graph Application.Read.All :

    1. Cliquez sur + Ajouter une permission.

    2. Dans la section Demander des permissions API, cliquez sur Microsoft Graph.

    3. Sous Quel type de permissions votre application requiert-elle ?, cliquez sur Permissions de l'application.

    4. Dans le champ de recherche Sélectionner des permissions, saisissez application, développez Application, puis cochez la case Application.Read.All.

    5. Cliquez sur Ajouter des permissions.

    6. Dans la section Permissions configurées, cliquez sur PAccorder le consentement de l'administrateur pour [Nom_de_votre_locataire].

    7. Cliquez sur Oui dans le message qui s'affiche.

Tâche 2 : configurer l'attestation de gestion et générer une URL SCEP dans Okta

  1. Dans l'Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Cliquez sur l'onglet Gestion du point de terminaison.

  3. Cliquez sur Ajouter une plateforme.

  4. Sélectionnez Bureau (Windows et macOS uniquement).

  5. Cliquez sur Suivant.

  6. Configurez ce qui suit :

    1. Autorité de certification : sélectionnez Utiliser Okta en tant qu'autorité de certification.

    2. Type de challenge de stimulation de l'URL SCEP : sélectionnez URL SCEP dynamique, puis Microsoft Intune (SCEP délégué).

    3. Saisissez les valeurs que vous avez copiées de Microsoft Azure dans les champs suivants :

      • Identifiant client AAD : saisissez la valeur que vous avez copiée lors de la Tâche 1.

      • Tenant AAD : saisissez le nom de votre locataire AAD suivi de .onMicrosoft.com.

      • Secret AAD : saisissez la valeur secrète que vous avez copiée lors de la Tâche 1.

    Par exemple :

    L'image montre un exemple d'attestation de gestion.

  7. Cliquez sur Générer.

  8. Copiez et enregistrez l'URL SCEP d'Okta. Elle sera collée dans Microsoft Endpoint Manager à la Tâche 5.

Tâche 3 : télécharger le certificat x509 depuis Okta

  1. Dans l'Admin Console, accédez à SécuritéIntégrations d'appareils.

  2. Cliquez sur l'onglet Autorité de certification.

  3. Dans la colonne Actions pour l'autorité de certification Okta, cliquez sur l'icône Télécharger le certificat x509.

  4. Renommez le fichier téléchargé afin qu'il comporte une extension .cer.

    Ce certificat (fichier CER) sera chargé dans Microsoft Endpoint Manager (MEM) à la Tâche 4.

Tâche 4 : créer un profil de certificat de confiance dans MEM

  1. Dans le centre d'administration de Microsoft Endpoint Manager (MEM), accédez à Appareils.

  2. Cliquez sur Configuration profiles (Profils de configuration).

  3. Cliquez sur + Create profile (Créer un profil).

  4. Dans Créer un profil, procédez comme suit :

    1. Plateforme : sélectionnez Windows 10 et versions ultérieures.

    2. Type de profil : sélectionnez Modèles.

    3. Dans la section Nom du modèle, cliquez sur Certificat de confiance.

      Page de l'interface où créer un profil de Microsoft Endpoint Configuration Manager.

    4. Cliquez sur Créer.

  5. Dans l'onglet Notions de base de la page Certificat de confiance, effectuez les opérations suivantes :

    1. Nom : saisissez un nom pour le certificat.

      Page de l'interface pour les certificats de confiance dans Microsoft Endpoint Configuration Manager.

    2. Description : facultatif. saisissez une description pour le certificat.

    3. Cliquez sur Next (Suivant).

  6. Dans l'onglet Paramètres de configuration de la page Certificat de confiance, procédez comme suit :

    1. Fichier de certificat : sélectionnez le certificat x509 (fichier CER) que vous avez téléchargé depuis Okta à la Tâche 1.

    2. Magasin de destination : sélectionnez Magasin de certificats de l'ordinateur – Intermédiaire.

    3. Cliquez sur Suivant.

  7. Dans l'onglet Affectations de la page Certificat de confiance, procédez comme suit :

    1. Groupes inclus : affectez le profil de certificat de confiance à un ou plusieurs groupes d'utilisateurs. Les groupes d'utilisateurs doivent être les mêmes que ceux auquels vous affecterez le profil SCEP à la Tâche 5.

      Assurez-vous que les groupes d'utilisateurs spécifiés dans les deux profils sont les mêmes.

    2. Cliquez sur Suivant.

  8. Dans l'onglet Applicability Rules (Règles d'applicabilité) de la page Trusted certificate (Certificat de confiance), procédez comme suit :

    1. Configurez toutes les règles requises.

    2. Cliquez sur Next (Suivant).

  9. Dans l'onglet Réviser + créer de la page Certificat de confiance, révisez la configuration, puis cliquez sur Créer.

Tâche 5 : créer un profil SCEP dans MEM

  1. Dans le centre d'administration Microsoft Endpoint Manager, accédez à Appareils.

  2. Cliquez sur Profils de configuration.

  3. Cliquez sur + Créer un profil.

  4. Dans Créer un profil, saisissez les éléments suivants :

    1. Plateforme : sélectionnez Windows 10 et versions ultérieures.

    2. Type de profil : sélectionnez Modèles.

    3. Sous la liste Nom du modèle, cliquez sur Certificat SCEP.

      L'image montre la page Créer un profil de Microsoft Endpoint Configuration Manager.

    4. Cliquez sur Créer.

  5. Dans l'onglet Notions de base de la page Certificat SCEP, procédez comme suit :

    1. Nom : saisissez un nom pour le certificat.

    2. Description : (facultatif) saisissez une description pour le certificat.

      L'image montre la page du certificat SCEP dans Microsoft Endpoint Configuration Manager.

    3. Cliquez sur Suivant.

  6. Dans l'onglet Paramètres de configuration de la page Certificat SCEP, procédez comme suit :

    1. Type de certificat : sélectionnez Utilisateur.

    2. Format de nom d'objet : saisissez un nom d'objet. Par exemple, CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}}.

      Okta n'a pas d'exigences de format spécifiques pour ce champ. Vous pouvez utiliser ce champ pour indiquer l'objectif du certificat en tant que signal de gestion des appareils pour Okta ou utiliser des variables de profil fournies par MEM. Pour obtenir une liste des variables prises en charge, consultez Utiliser des profils de certificat SCEP avec Microsoft Intune.

    3. Fournisseur de stockage de clés (KSP) : sélectionnez inscrivez-vous au KSP du Trusted Platform Module (TPM) s'il est présent, sinon au KSP du logiciel.

    4. Utilisation de la clé : sélectionnez Signature numérique.

    5. Longueur de la clé) : sélectionnez 2048.

    6. Algorithme de hachage : sélectionnez SHA-2.

    7. Cliquez sur + Certificat racine.

    8. Sur la page Certificat racine, sélectionnez le certificat de confiance que vous avez créé à la tâche 4.

    9. Cliquez sur OK.

    10. Sous Utilisation de la clé étendue, définissez les valeurs prédéfinies sur Authentification client.

    11. URL de serveur SCEP : saisissez l'URL SCEP générée à la tâche 2.

      L'image montre la page du certificat SCEP dans Microsoft Endpoint Configuration Manager.

    12. Cliquez sur Suivant.

  7. Dans l'onglet Affectations de la page Certificat SCEP, procédez comme suit :

    1. Affectez le certificat aux mêmes groupes d'utilisateurs auxquels vous avez affecté le profil de certificat de confiance à la tâche 4.

      Assurez-vous que les groupes d'utilisateurs spécifiés dans les deux profils sont les mêmes.

    2. Cliquez sur Suivant.

  8. Dans l'onglet Règles d'applicabilité de la page Certificat SCEP, procédez comme suit :

    1. Configurez toutes les règles requises.

    2. Cliquez sur Suivant.

  9. Dans l'onglet Réviser + créer de la page Certificat SCEP, révisez la configuration, puis cliquez sur Créer.

Tâche 6 : vérifier l'installation du certificat sur un ordinateur Windows.

  1. Vérifiez l'installation du certificat du client :

    1. Sur l'ordinateur Windows, cliquez sur Démarrer , saisissez cert, puis cliquez sur Gérer les certificats utilisateur.

    2. Regardez dans Personnel Certificats.

  2. Vérifiez l'autorité de certification :

    1. Sur l'ordinateur Windows, cliquez sur Démarrer , saisissez cert, puis cliquez sur Gérer les certificats utilisateur.

    2. Regardez dans Autorité de Certification Intermédiaire Certificats.

    3. Dans Délivré à, trouvez et double-cliquez sur Autorité Intermédiaire de l'organisation.

    4. Trouvez Émetteur : autorité racine de l'organisation.

    Si vous ne trouvez pas le certificat, vérifiez les journaux comme décrit à l'étape 3.

  3. Vérifiez que le certificat SCEP a été installé avec succès :

    1. Sur l'ordinateur Windows, cliquez sur Démarrer, saisissez Événement, puis cliquez sur Observateur d'événements.

    2. Recherchez dans Applications and Service LogsMicrosoftWindowsDeviceManagement-EnterpriseAdmin.

    3. Dans l'onglet Général, recherchez les mentions suivantes :

      • SCEP : certificat installé avec succès.

      • SCEP : demande de certificat générée avec succès

Étapes suivantes

Ajouter une règle de politique d'authentification à l'app pour bureau