PKI Cloud Microsoft
Ce document décrit les étapes de configuration nécessaires pour mettre en œuvre l'authentification WiFi basée sur des certificats en utilisant la PKI Cloud Microsoft avec Intune.
Étape 1 : Déployer un PKI Cloud Microsoft
Créer une CA racine dans le centre d’administration Intune
Avant de pouvoir délivrer des certificats aux appareils gérés, vous devez créer une CA racine dans votre locataire pour servir d’ancre de confiance. Pour créer une CA racine dans le centre d’administration Intune, veuillez suivre ce le guide Microsoft.
Créer une CA émettrice dans le centre d’administration Intune
Une CA émettrice est requise pour émettre des certificats pour les appareils gérés par Intune. Cloud PKI fournit automatiquement un service SCEP qui agit en tant qu’autorité d’enregistrement des certificats. Il demande des certificats à la CA émettrice au nom des appareils gérés par Intune en utilisant un profil SCEP. Pour créer une CA émettrice, veuillez suivre ce le guide Microsoft.
Étape 2 : Établir la confiance entre RADIUSaaS et le PKI Cloud Microsoft
Configurez RADIUSaaS pour qu’il fasse confiance aux certificats d’authentification client émis par le PKI Cloud Microsoft. Puisque le PKI cloud nécessite une structure de CA en niveaux, vous devez télécharger à la fois la CA racine et la CA émettrice (c.-à-d. la chaîne complète de confiance). Pour ce faire, veuillez suivre les étapes ci‑dessous :
Naviguez vers Certificats approuvés.
Télécharger le PKI Cloud Contoso certificat AC racine en sélectionnant Authentification du client dans le processus de téléchargement.
Comme méthode de vérification, sélectionnez CRL ainsi que DER encodage.
Utilisez l’URL du point de distribution CRL copiée de la CA racine dans le Points de distribution CRL champ d’entrée URL.
Téléchargez le PKI Cloud Contoso CA émettrice en sélectionnant Authentification du client dans le processus de téléchargement.
À nouveau, sélectionnez CRL comme méthode de vérification ainsi que DER encodage.
Utilisez l’URL du point de distribution CRL copiée de la CA émettrice dans le Points de distribution CRL champ d’entrée URL.
Étape 3 : Configurer le certificat du serveur RADIUS
Pour établir la confiance serveur entre vos appareils terminaux et RADIUSaaS, suivez ces instructions.
Étape 4 : Configurez votre équipement réseau
Pour configurer votre équipement réseau (points d’accès WiFi, commutateurs ou passerelles VPN), suivez ces étapes.
Après avoir réussi les étapes 2 à 4, la Certificats approuvés page de votre instance RADIUSaaS ressemblera à celle ci‑dessous. Veuillez noter que dans notre exemple nous avons utilisé un point d'accès MikroTik point d’accès.
Étape 5 : Configurer les profils Intune
Pour configurer l’authentification WiFi basée sur certificat, nous devons créer plusieurs profils et les déployer via Intune. Ces profils sont :
Certificat approuvé
Déployer le certificat de la CA racine.
Certificat approuvé
Déployer le certificat de la CA émettrice.
Certificat approuvé
Déployer le certificat de la CA racine qui a émis le certificat du serveur RADIUS.
Certificat SCEP
Enregistrer le certificat d’authentification client.
Wi-Fi
Déployer les paramètres de l'adaptateur réseau sans fil.
Profils de certificats approuvés
Microsoft Cloud PKI
Déployer les certificats de la CA racine et de la CA émettrice créés dans Étape 1 via un Certificat approuvé profil vers vos appareils en naviguant vers le centre d’administration Intune puis vers Accueil > Appareils > Windows > Profils de configuration > Créer > Nouvelle stratégie avec les paramètres suivants :
Plateforme = Windows 10 et versions ultérieures
Type de profil = Modèle
Nom du modèle = Certificat approuvé.
Téléversez le fichier de certificat pertinent (*.cer) dans le profil correspondant :
Cela doit être répété pour chaque plateforme d’appareil qui doit utiliser le service (par ex. Windows, macOS, ...)
Confiance du serveur RADIUS
Ensuite, déployez le certificat de la CA racine qui a émis votre certificat de serveur RADIUS comme décrit ici :
Confiance du serveurProfil de certificat SCEP
Pour créer un Certificat SCEP profil dans le centre d’administration Intune, commencez par copier l’URI SCEP depuis Accueil > Administration du locataire > PKI Cloud > CA émettrice Contoso > Propriétés > URI SCEP.
Ensuite, allez à Accueil > Appareils > Windows > Profils de configuration > Créer > Nouvelle stratégie avec les paramètres suivants :
Plateforme = Windows 10 et versions ultérieures
Type de profil = Modèle
Nom du modèle = certificat SCEP
Ensuite, configurez le modèle selon la capture d’écran ci‑dessous en veillant à avoir joint le Certificat racine Contoso créé précédemment à l’étape 1 et le URI SCEP dont vous avez fait une copie ci‑dessus.
Cela doit être répété pour chaque plateforme d’appareil qui doit utiliser le service (par ex. Windows, macOS, ...)
Profil Wi‑Fi
Déployez les paramètres de l’adaptateur WiFi sur vos appareils en suivant cet article :
Profil WiFiMis à jour
Ce contenu vous a-t-il été utile ?