SCEP délégué pour macOS avec Microsoft Intune

Assurez-vous que vous avez accès aux éléments suivants :

Certificats déployés pour la signature numérique, mais pas à d'autres fins (par exemple, le chiffrement)
Okta Admin Console
Centre administrateur Microsoft Intune

Commencer cette tâche

Enregistrer les identifiants de l'application Azure Active Directory pour Okta .
Générer une URL SCEP dans Okta
Télécharger le certificat x509 depuis Okta
Créer un profil de certificat de confiance dans Microsoft Intune
Créer un profil SCEP dans Microsoft Intune
Vérifiez l'installation du certificat sur vos appareils macOS

Dans Microsoft Azure, cliquez sur Enregistrements d'applications.
Cliquez sur + Nouvel enreigstrement.
Sur la page Enregistrer une application, saisissez les éléments suivants :
1. Nom : saisissez un nom significatif pour l'application.
2. Types de compte pris en charge : sélectionnez le type de compte pris en charge approprié.
  
  La procédure suivante utilise l'option Comptes dans ce répertoire d'organisation uniquement [<Nom_de_votre_Tenant> – Tenant unique].
3. URI de redirection (facultatif) : laissez ce champ vide ou sélectionnez Web, puis saisissez un URI de redirection.
4. Cliquez sur Enregistrement.
Sur la page de l'application sous Essentials, copiez l'ID (client) de l'application.

Cette valeur est requise pour l'Okta Admin Console à la tâche suivante.
Ajoutez un secret client :
1. Dans le volet de gauche, cliquez sur Certificats et clés secrètes.
2. Sous Clés secrètes client, cliquez sur + Nouvelle clé secrète client.
3. Dans la section Ajouter un secret client, saisissez les informations suivantes :
  - Description : (facultatif) saisissez une description pour la clé secrète client.
  - Expire le : sélectionnez un délai d'expiration.
4. Cliquez sur Ajouter.
  
  La clé secrète apparaît sous Clés secrètes client.
5. Dans l'onglet Clés secrètes client, copiez la Valeur.
Définissez les permissions Intune scep_challenge_provider :
1. Dans le volet de gauche, cliquez Permissions d'API.
2. Cliquez sur + Add a permission (+ Ajouter une permissions).
3. Dans la section Demander des autorisations d'API, faites défiler vers le bas et cliquez sur Intune.
4. Sous Quel type de permissions votre application requiert-elle ?, cliquez sur Application permissions (Permissions de l'appli).
5. Dans le champ de recherche Sélectionner les autorisations, saisissez scep. Cochez la case scep_challenge_provider.
6. Cliquez sur Ajouter des permissions.
7. Dans la section Autorisations configurées, cliquez sur Accorder le consentement de l'administrateur pour [Nom_de_votre_Tenant].
8. Cliquez sur Oui dans le message qui s'affiche.
Définissez les permissions Microsoft Graph :
1. Cliquez sur + Add a permission (+ Ajouter une permissions).
2. Dans la section Demander des permissions API, cliquez sur Microsoft Graph.
3. Sous Quel type de permissions votre application requiert-elle ?, cliquez sur Permissions de l'application.
4. Dans le champ de recherche Sélectionner les autorisations, saisissez application. Développez la liste Applications et sélectionnez Application.Read.All.
5. Cliquez sur Ajouter des permissions.
6. Dans la section Autorisations configurées, cliquez sur Accorder le consentement de l'administrateur pour [Nom_de_votre_Tenant].
7. Cliquez sur Oui dans le message qui s'affiche.

Générer une URL SCEP dans Okta

Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.
Sélectionnez l'onglet Accès à l'appareil .
Cliquez sur Ajouter une configuration SCEP.
Sélectionnez l'option suivante :

Type de challenge de stimulation de l'URL SCEP : sélectionnez URL SCEP dynamique, puis Microsoft Intune (SCEP délégué).
Saisissez les valeurs de l'ID client AAD, du Tenant AADet de la clé secrète AAD que vous avez copiées lors de l'étape précédente.
Cliquez sur Générer.
Copiez et enregistrez l'URL SCEP.

Cette URL est nécessaire lorsque vous créez un profil SCEP au format Microsoft Intune .

Télécharger le certificat x509 depuis Okta

Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.
Cliquez sur l'onglet Autorité de certification.
Dans la colonne Actions pour l'AC Okta, cliquez sur l'icône Télécharger le certificat x509.
Renommez le fichier téléchargé afin qu'il comporte une extension .cer.

Vous avez besoin du fichier de certificat (CER) lorsque vous créez un profil de certificat de confiance dans Microsoft Intune.

Créer un profil de certificat de confiance dans Microsoft Intune

Dans le centre d'administration Microsoft Intune, accédez à Appareils.
Cliquez sur Profils de configuration.
Cliquez sur + Créer un profil.
Sur la page Créer un profil :
1. Plateforme : sélectionnez macOS .
2. Profile type (Type de profil) : sélectionnez Templates (Modèles).
3. Dans la section Template name (Nom du modèle), cliquez sur Trusted certificate (Certificat de confiance).
4. Cliquez sur Créer.
Dans l'onglet Notions de base de la page Certificat SCEP, renseignez les champs suivants :
1. Nom : saisissez un nom pour le certificat.
2. Description : (facultatif) saisissez une description pour le certificat.
3. Cliquez sur Suivant.
Dans l'onglet Paramètres de configuration de la page Certificat de confiance, sélectionnez les éléments suivants :
1. Fichier de certificat : sélectionnez le fichier de certificat x509 (fichier CER) que vous avez téléchargé depuis Okta.
2. Magasin de destination : sélectionnez Magasin de certificats de l'ordinateur – Intermédiaire.
3. Cliquez sur Suivant.
Dans l'onglet Affectations de la page Certificat de confiance, sélectionnez les éléments suivants :
1. Groupes inclus : affectez le profil de certificat de confiance à un ou plusieurs groupes d'utilisateurs. Les groupes d'utilisateurs doivent être les mêmes que ceux auxquels vous affecterez le profil SCEP.
  
  Remarque :
  Assurez-vous que les groupes d'utilisateurs spécifiés dans les deux profils sont les mêmes.
2. Cliquez sur Suivant.
Dans l'onglet Règles d'applicabilité de la page Certificat de confiance, configurez toutes les règles requises et cliquez sur Suivant.
Dans l'onglet Réviser + créer de la page Certificat de confiance, révisez la configuration et cliquez sur Créer.

Créer un profil SCEP dans Microsoft Intune

Dans le centre d'administration Microsoft Intune, accédez à Appareils.
Cliquez sur Profils de configuration.
Cliquez sur + Créer un profil.
Sur la page Créer un profil :
1. Plateforme : sélectionnez macOS .
2. Type de profil : sélectionnez Modèles.
3. Sous Nom du modèle, cliquez sur Certificat SCEP.
4. Cliquez sur Créer.
Dans l'onglet Notions de base de la page Certificat SCEP, renseignez les champs suivants :
1. Nom : saisissez un nom pour le certificat.
2. Description : (facultatif) saisissez une description pour le certificat.
3. Cliquez sur Suivant.
Dans l'onglet Paramètres de configuration de la page Certificat SCEP, renseignez les champs suivants :
1. Canal de déploiement : sélectionnez la manière dont vous souhaitez déployer le profil. Ce paramètre détermine également le trousseau dans lequel les certificats liés sont stockés.
  - Canal utilisateur : sélectionnez ce canal lors de la configuration d'un certificat SCEP pour la gestion des points de terminaison.
  - Canal de l'appareil : sélectionnez ce canal lors de la configuration d'un certificat SCEP pour Accès à l'appareil.
2. Type de certificat : sélectionnez un type de certificat en fonction de la façon dont vous prévoyez d'utiliser le profil.
  - Utilisateur : sélectionnez Utilisateur lors de la configuration d'un certificat SCEP pour la gestion des points de terminaison.
  - Appareil : utilisez Appareil lors de la configuration d'un certificat SCEP pour Accès à l'appareil.
3. Format de nom d'objet : saisissez un nom d'objet pour le certificat. Par exemple, CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}}.
  
  Remarque :
  Okta n'a pas d'exigences de format spécifiques pour ce champ. Vous pouvez utiliser ce champ pour indiquer l'objectif du certificat en tant que signal de gestion des appareils pour Okta ou utiliser des variables de profil fournies par Microsoft Intune
  
  Pour obtenir une liste des variables prises en charge, consultez Utiliser des profils de certificat SCEP avec Microsoft Intune.
4. Période de validité du certificat : sélectionnez Années dans la liste, puis saisissez 1 dans le champ suivant.
5. Utilisation de la clé : sélectionnez Signature numérique.
6. Taille de la clé [bits] : sélectionnez 2048.
7. Cliquez sur + Certificat racine.
8. Sur la page Certificat racine, sélectionnez le certificat de confiance que vous avez créé à la tâche précédente.
9. Cliquez sur OK.
10. Sous Utilisation de la clé étendue, définissez les valeurs prédéfinies sur Authentification client.
11. URL de serveur SCEP : saisissez l'URL SCEP que vous avez générée dans Okta.
12. Autoriser toutes les apps à accéder à la clé privée : sélectionnez Activer.
13. Cliquez sur Suivant.
Dans l'onglet Affectations de la page du certificat SCEP, affectez le certificat aux mêmes groupes d'utilisateurs auxquels vous avez affecté le profil de certificat de confiance. Cliquez sur Suivant.

Remarque :
Assurez-vous que les groupes d'utilisateurs spécifiés dans les deux profils sont les mêmes.
Dans l'onglet Réviser + créer de la page Certificat SCEP, révisez la configuration et cliquez sur Créer.

Vérifiez l'installation du certificat sur vos appareils macOS

Sur un appareil macOS géré par Microsoft Intune, ouvrez l'une des entrées de trousseau suivantes :
- Pour vérifier un certificat de gestion des points de terminaison, ouvrez Trousseau > Connexion.
- Pour vérifier un certificat Accès à l'appareil, ouvrez Trousseau > Système.
Vérifiez qu'un certificat client et la clé privée associée existent.
Assurez-vous que la clé privée est accessible à toutes les apps :
1. Double-cliquez sur la clé privée.
2. Cliquez sur l'onglet Contrôle d'accès.
3. Sélectionnez Autoriser toutes les applications à accéder à cet élément.
4. Cliquez sur Enregistrer les modifications.

Objectif	Certificat Okta Device Access
Plateforme	macOS
MDM	Microsoft Intune
URL SCEP	Délégué