SCEP délégué pour Windows avec Microsoft Intune

La configuration d'une Autorité de certification (AC) vous permet d'émettre des certificats clients à vos appareils ciblés via votre logiciel Gestion des appareils mobiles (MDM). Ces certificats accordent l'accès à des points de terminaison d'API spécifiques qu'Okta Verify utilise pour établir l'identité de l'appareil.

Objectif

Certificat Okta Device Access

Plateforme

Windows

MDM

Microsoft Intune

URL SCEP

Délégué

Avant de commencer

Assurez-vous que vous avez accès aux éléments suivants :

  • Certificats déployés pour la signature numérique, mais pas à d'autres fins (par exemple, le chiffrement)

  • Okta Admin Console

  • Microsoft Intune

  • Microsoft Azure

Commencer cette tâche

  1. Enregistrer les identifiants de l'application Azure Active Directory pour Okta .

  2. Générer une URL SCEP dans Okta

  3. Télécharger le certificat x509 depuis Okta

  4. Créer un profil de certificat de confiance dans Microsoft Intune

  5. Créer un profil SCEP dans Microsoft Intune

  6. Vérifiez l'installation du certificat sur vos appareils Windows

Enregistrer les identifiants de l'application Azure Active Directory pour Okta.

  1. Dans Microsoft Azure, cliquez sur Enregistrements d'applications.

  2. Cliquez sur + Nouvel enreigstrement.

  3. Sur la page Enregistrer une application, saisissez les éléments suivants :

    1. Nom : saisissez un nom significatif pour l'application.

    2. Types de compte pris en charge : sélectionnez le type de compte pris en charge approprié.

      La procédure suivante utilise l'option Comptes dans ce répertoire d'organisation uniquement [<Nom_de_votre_Tenant> – Tenant unique].

    3. URI de redirection (facultatif) : laissez ce champ vide ou sélectionnez Web, puis saisissez un URI de redirection.

    4. Cliquez sur Enregistrement.

  4. Sur la page de l'application sous Essentials, copiez l'ID (client) de l'application.

    The image indicates where to find the Application (client) ID.

    Cette valeur est requise pour l'Okta Admin Console à la tâche suivante.

  5. Ajoutez un secret client :

    1. Dans le volet de gauche, cliquez sur Certificats et clés secrètes.

    2. Sous Clés secrètes client, cliquez sur + Nouvelle clé secrète client.

    3. Dans la section Ajouter un secret client, saisissez les informations suivantes :

      • Description : (facultatif) saisissez une description pour la clé secrète client.

      • Expire le : sélectionnez un délai d'expiration.

    4. Cliquez sur Ajouter.

      La clé secrète apparaît sous Clés secrètes client.

    5. Dans l'onglet Clés secrètes client, copiez la Valeur.

      The image indicates where to find the client secret value.

  6. Définissez les permissions Intune scep_challenge_provider :

    1. Dans le volet de gauche, cliquez Permissions d'API.

    2. Cliquez sur + Add a permission (+ Ajouter une permissions).

    3. Dans la section Demander des autorisations d'API, faites défiler vers le bas et cliquez sur Intune.

    4. Sous Quel type de permissions votre application requiert-elle ?, cliquez sur Application permissions (Permissions de l'appli).

    5. Dans le champ de recherche Sélectionner les autorisations, saisissez scep. Cochez la case scep_challenge_provider.

      The image shows the Request API permissions settings.

    6. Cliquez sur Ajouter des permissions.

    7. Dans la section Autorisations configurées, cliquez sur Accorder le consentement de l'administrateur pour [Nom_de_votre_Tenant].

      The image indicates the location of the Grant admin consent button.

    8. Cliquez sur Oui dans le message qui s'affiche.

  7. Définissez les permissions Microsoft Graph :

    1. Cliquez sur + Add a permission (+ Ajouter une permissions).

    2. Dans la section Demander des permissions API, cliquez sur Microsoft Graph.

    3. Sous Quel type de permissions votre application requiert-elle ?, cliquez sur Permissions de l'application.

    4. Dans le champ de recherche Sélectionner les autorisations, saisissez application. Développez la liste Applications et sélectionnez Application.Read.All.

    5. Cliquez sur Ajouter des permissions.

    6. Dans la section Autorisations configurées, cliquez sur Accorder le consentement de l'administrateur pour [Nom_de_votre_Tenant].

    7. Cliquez sur Oui dans le message qui s'affiche.

Générer une URL SCEP dans Okta

  1. Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.

  2. Dans l'onglet Accès à l'appareil, cliquez sur Ajouter une configuration SCEP.

  3. Sur la page de configuration Add SCEP (Ajouter SCEP), sélectionnez l'option suivante :

    Type de défi d''URL SCEP : sélectionnez URL SCEP dynamique, puis Microsoft Intune (SCEP délégué).

  4. Cliquez sur Générer.

  5. Copiez et enregistrez l' URL SCEP dans un emplacement sécurisé.

  6. Cliquez sur Enregistrer.

Télécharger le certificat x509 depuis Okta

  1. Dans l'Admin Console, accédez à Sécurité > Intégrations d'appareils.

  2. Cliquez sur l'onglet Autorité de certification.

  3. Dans la colonne Actions pour l'AC Okta, cliquez sur l'icône Télécharger le certificat x509.

  4. Renommez le fichier téléchargé afin qu'il comporte une extension .cer.

    Vous avez besoin du fichier de certificat (CER) lorsque vous créez un profil de certificat de confiance dans Microsoft Intune.

Créer un profil de certificat de confiance dans Microsoft Intune

  1. Dans le centre d'administration Microsoft Intune, accédez à Appareils.

  2. Cliquez sur Profils de configuration.

  3. Cliquez sur + Créer un profil.

  4. Sur la page Créer un profil  :

    1. Plateforme : sélectionnez Windows 10 et versions ultérieures.

    2. Type de profil : sélectionnez Modèles.

    3. Dans la section Template name (Nom du modèle), cliquez sur Trusted certificate (Certificat de confiance).

      The interface page for creating a profile in the Microsoft Endpoint Configuration Manager.

    4. Cliquez sur Créer.

  5. Dans l'onglet Notions de base de la page Certificat SCEP, renseignez les champs suivants :

    1. Nom : saisissez un nom pour le certificat.

    2. Description : (facultatif) saisissez une description pour le certificat.

      The image shows the trusted certificate screen in the Microsoft Intune configuration manager.

    3. Cliquez sur Suivant.

  6. Dans l'onglet Paramètres de configuration de la page Certificat de confiance, sélectionnez les éléments suivants :

    1. Fichier de certificat : sélectionnez le fichier de certificat x509 (fichier CER) que vous avez téléchargé depuis Okta.

    2. Magasin de destination : sélectionnez Magasin de certificats de l'ordinateur – Intermédiaire.

    3. Cliquez sur Suivant.

  7. Dans l'onglet Affectations de la page Certificat de confiance, sélectionnez les éléments suivants :

    1. Groupes inclus : affectez le profil de certificat de confiance à un ou plusieurs groupes d'utilisateurs. Les groupes d'utilisateurs doivent être les mêmes que ceux auxquels vous affecterez le profil SCEP.

    2. Cliquez sur Suivant.

  8. Dans l'onglet Règles d'applicabilité de la page Certificat de confiance :

    1. Configurez toutes les règles requises.

    2. Cliquez sur Suivant.

  9. Dans l'onglet Réviser + créer de la page Certificat de confiance, révisez la configuration et cliquez sur Créer.

Créer un profil SCEP dans Microsoft Intune

  1. Dans le centre d'administration Microsoft Intune, accédez à Appareils.

  2. Cliquez sur Profils de configuration.

  3. Cliquez sur + Créer un profil.

  4. Dans la page Créer un profil, sélectionnez les éléments suivants :

    1. Plateforme : sélectionnez Windows 10 et versions ultérieures.

    2. Type de profil : sélectionnez Modèles.

    3. Nom du modèle : sélectionnez Certificat SCEP.

      The image shows the Create a profile screen.

    4. Cliquez sur Créer.

  5. Dans l'onglet Notions de base de la page Certificat SCEP, renseignez les champs suivants :

    1. Nom : saisissez un nom pour le certificat.

    2. Description : (facultatif) saisissez une description pour le certificat.

      The image shows the SCEP certificate screen.

    3. Cliquez sur Suivant.

  6. Dans l'onglet Paramètres de configuration de la page Certificat SCEP, renseignez les champs suivants :

    1. Type de certificat : sélectionnez un type de certificat en fonction de la façon dont vous prévoyez d'utiliser le profil.

      • Utilisateur : sélectionnez Utilisateur lorsque vous configurez Okta en tant qu'AC.

      • Appareil : utilisez Appareil lors de la configuration d'un certificat SCEP pour Accès à l'appareil.

    2. Format de nom d'objet : saisissez un nom d'objet pour le certificat. Par exemple, CN={{UserPrincipalName}},G={{GivenName}},SN={{SurName}}.

    3. Période de validité du certificat : définir sur 1  année.

    4. Fournisseur de stockage de clés (KSP) : sélectionnez inscrivez-vous au KSP du Trusted Platform Module (TPM) s'il est présent, sinon au KSP du logiciel.

    5. Utilisation de la clé : sélectionnez Signature numérique.

    6. Longueur de la clé) : sélectionnez 2048.

    7. Algorithme de hachage : sélectionnez SHA-2.

    8. Cliquez sur + Certificat racine.

    9. Sur la page Certificat racine, sélectionnez le certificat de confiance que vous avez créé à la tâche précédente.

    10. Cliquez sur OK.

    11. Sous Utilisation de la clé étendue, définissez les valeurs prédéfinies sur Authentification client.

    12. Seuil de renouvellement : définissez ce pourcentage sur 20. Cela signifie que MDM renouvellera le certificat sur l'appareil lorsque le certificat sera expiré à 80 %.

    13. URL de serveur SCEP : saisissez l'URL SCEP que vous avez générée dans Okta.

      Microsoft Endpoint Configuration Manager SCEP certificate screen.

    14. Cliquez sur Suivant.

  7. Dans l'onglet Affectations de la page du certificat SCEP, affectez le certificat aux mêmes groupes d'utilisateurs auxquels vous avez affecté le profil de certificat de confiance. Cliquez sur Suivant.

  8. Dans l'onglet Règles d'applicabilité de la page Certificat SCEP, configurez toutes les règles requises, puis cliquez sur Suivant.

  9. Dans l'onglet Réviser + créer de la page Certificat SCEP, révisez la configuration et cliquez sur Créer.

Vérifiez l'installation du certificat sur vos appareils Windows

Sur un ordinateur Windows, vérifiez que le certificat du client a été installé :

  1. Cliquez sur Démarrer, puis saisissez cert.

  2. Cliquez sur Gérer les certificats de l'utilisateur.

  3. Dans Certificats – Utilisateur actuel, cliquez sur Personnel > Certificats.

  4. Vérifiez que le certificat du client existe.

Vérifiez l'autorité de certification (CA) :

  1. Dans Certificats – Ordinateur local, sélectionnez Autorité de certification intermédiaire > Certificats.

  2. Dans la colonne Délivré à, trouvez Autorité intermédiaire de l'organisation.

  3. Assurez-vous que la colonne Délivré par spécifie Autorité racine de l'organisation pour Autorité intermédiaire de l'organisation.

Si vous ne trouvez pas le certificat, vérifiez dans le journal des événements Windows :

  1. Sur l'ordinateur Windows, cliquez sur Démarrer, saisissez Événement, puis cliquez sur Observateur d'événements.

  2. Recherchez dans Applications et journaux de service > Microsoft > Windows > DeviceManagement-Enterprise > Administrateur.

  3. Dans l'onglet Général, recherchez les éléments suivants :

    • SCEP : certificat installé avec succès.

    • SCEP : demande de certificat générée avec succès