circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

PKI cloud Microsoft

Ce document décrit les étapes de configuration nécessaires pour mettre en œuvre l'authentification WiFi basée sur certificats en utilisant Microsoft Cloud PKI avec Intune.

circle-info

On suppose que le PKI cloud Microsoft héberge à la fois la CA racine et la CA émettrice. Pour les scénarios impliquant des CA apportées par le client (BYOCAs), veuillez vous référer aux ressources en ligne de Microsoft ou au web.

1

hashtag
Déployer un PKI cloud Microsoft

hashtag
Créer une CA racine dans le centre d’administration Intune

Avant de pouvoir délivrer des certificats aux appareils gérés, vous devez créer une CA racine dans votre locataire pour qu’elle agisse comme ancre de confiance. Pour créer une CA racine dans le centre d’administration Intune, veuillez suivre ceci arrow-up-rightguide Microsoft.

circle-info

Veuillez noter le point de distribution CRL car vous en aurez besoin plus tard dans Étape 2.

hashtag
Créer une CA émettrice dans le centre d’administration Intune

Une CA émettrice est nécessaire pour délivrer des certificats aux appareils gérés par Intune. Cloud PKI fournit automatiquement un service SCEP qui agit comme autorité d’enregistrement des certificats. Il demande des certificats à la CA émettrice au nom des appareils gérés par Intune en utilisant un profil SCEP. Pour créer une CA émettrice, veuillez suivre ceci arrow-up-rightguide Microsoft.

circle-info

Veuillez noter le point de distribution CRL car vous en aurez besoin plus tard dans Étape 2.

CA racine et CA émettrices
2

hashtag
Établir la confiance entre RADIUSaaS et le PKI cloud Microsoft

Configurez RADIUSaaS pour qu’il fasse confiance aux certificats d’authentification client délivrés par le PKI cloud Microsoft. Étant donné que le PKI cloud exige une structure de CA à plusieurs niveaux, vous devez télécharger à la fois la CA racine et la CA émettrice (c’est-à-dire la chaîne complète de confiance). Pour ce faire, veuillez suivre les étapes ci‑dessous :

  1. Accédez à page Certificats de confiance.

  2. Téléverser le PKI cloud Contoso CA racine en sélectionnant Authentification client dans le processus de téléversement.

  3. Comme méthode de vérification, sélectionnez CRL ainsi que DER encodage.

  4. Utilisez l’URL du point de distribution CRL copiée de la CA racine dans le champ Points de distribution CRL URL.

  5. Téléversez la CA émettrice du PKI cloud Contoso CA émettrice en sélectionnant Authentification client dans le processus de téléversement.

  6. Encore une fois, sélectionnez CRL comme méthode de vérification ainsi que DER encodage.

  7. Utilisez l’URL du point de distribution CRL copiée de la CA émettrice dans le Points de distribution CRL URL.

3

hashtag
Configurer le certificat du serveur RADIUS

Pour établir la confiance serveur entre vos appareils terminaux et RADIUSaaS, suivez ces instructions.

4

hashtag
Configurer votre équipement réseau

Pour configurer votre équipement réseau (points d’accès Wi‑Fi, commutateurs ou passerelles VPN), suivez ces étapes.

Après l'achèvement réussi des étapes 2 à 4, la page Certificats de confiance de votre instance RADIUSaaS ressemblera à celle ci‑dessous. Veuillez noter que dans notre exemple nous avons utilisé un point d'accès MikroTik point d’accès.

Présentation des certificats de confiance requis pour le PKI cloud Microsoft.
5

hashtag
Configurer les profils Intune

Pour configurer l’authentification Wi‑Fi basée sur des certificats, nous devons créer plusieurs profils et les déployer via Intune. Ces profils sont :

Type de profil
Objectif

Certificat de confiance

Déployer le certificat de la CA racine.

Certificat de confiance

Déployer le certificat de la CA émettrice.

Certificat de confiance

Déployer le certificat de la CA racine qui a émis le certificat du serveur RADIUS.

Certificat SCEP

Enregistrer le certificat d’authentification client.

Wi‑Fi

Déployer les paramètres de l'adaptateur réseau sans fil.

Profils Intune pertinents

hashtag
Profils de certificats de confiance

PKI cloud Microsoft

Déployez les certificats de la CA racine et de la CA émettrice créés dans Étape 1 via un Certificat de confiance profil vers vos appareils en naviguant vers le centre d’administration Intune puis vers Accueil > Appareils > Windows > Profils de configuration > Créer > Nouvelle stratégie avec les paramètres suivants :

  • Plateforme = Windows 10 et versions ultérieures

  • Type de profil = Modèle

  • Nom du modèle = Certificat de confiance.

Téléversez le fichier de certificat pertinent (*.cer) dans le profil respectif :

  • Certificat de la CA racine créé ici

  • Certificat de la CA émettrice créé ici

circle-info

Notez que vous devez utiliser le même groupe pour l’affectation du Certificat de confiance et des profils SCEP. Sinon, le déploiement Intune peut échouer.

Ceci doit être répété pour chaque plateforme d’appareil qui doit utiliser le service (par ex. Windows, macOS, ...)

Confiance serveur RADIUS

Ensuite, poussez le certificat de la CA racine qui a émis votre certificat de serveur RADIUS comme décrit ici :

Confiance serveurchevron-right

hashtag
Profil de certificat SCEP

Pour créer un Certificat SCEP profil dans le centre d’administration Intune, copiez d’abord l’URI SCEP depuis Accueil > Administrateur du locataire > PKI cloud > CA émettrice Contoso > Propriétés > URI SCEP.

Ensuite, allez à Accueil > Appareils > Windows > Profils de configuration > Créer > Nouvelle stratégie avec les paramètres suivants :

  • Plateforme = Windows 10 et versions ultérieures

  • Type de profil = Modèle

  • Nom du modèle = certificat SCEP

Ensuite, configurez le modèle conformément à la capture d’écran ci‑dessous en vous assurant d’avoir attaché le Certificat racine Contoso créé précédemment à l’étape 1 et le URI SCEP dont vous avez fait une copie ci‑dessus.

Configuration du certificat d’appareil SCEP

Ceci doit être répété pour chaque plateforme d’appareil qui doit utiliser le service (par ex. Windows, macOS, ...)

hashtag
Profil Wi‑Fi

Déployez les paramètres de l’adaptateur Wi‑Fi sur vos appareils en suivant cet article :

Profil WiFichevron-right
6

hashtag
Autorisations et contacts techniques

7

hashtag
Règles

circle-info

Ceci est une optionnelle étape.

Si vous souhaitez configurer des règles supplémentaires, par exemple pour attribuer des ID VLAN ou limiter les demandes d'authentification à certaines autorités de certification de confiance ou points d'accès Wi‑Fi, veuillez consulter le moteur de règles RADIUSaaS.

Règleschevron-right

Mis à jour

Ce contenu vous a-t-il été utile ?