circle-info
Cet article a été traduit automatiquement. La traduction peut contenir des imprécisions.
Passer à la version originale en anglais.chevron-right
search

PKI Cloud Microsoft

Ce document décrit les étapes de configuration nécessaires pour mettre en œuvre une authentification WiFi basée sur des certificats en utilisant la PKI Cloud Microsoft avec Intune.

circle-info

On suppose que le PKI Cloud Microsoft héberge à la fois la CA racine et la CA émettrice. Pour les scénarios impliquant des CA apportées par le client (BYOCAs), veuillez consulter les ressources en ligne de Microsoft ou le web.

hashtag
Étape 1 : Déployer un PKI Cloud Microsoft

hashtag
Créer une CA racine dans le centre d’administration Intune

Avant de pouvoir délivrer des certificats aux appareils gérés, vous devez créer une CA racine dans votre locataire pour servir d’ancre de confiance. Pour créer une CA racine dans le centre d’administration Intune, veuillez suivre ce arrow-up-rightle guide Microsoft.

circle-info

Veuillez noter le point de distribution CRL car vous en aurez besoin plus tard dans Étape 2.

hashtag
Créer une CA émettrice dans le centre d’administration Intune

Une CA émettrice est requise pour émettre des certificats pour les appareils gérés par Intune. Cloud PKI fournit automatiquement un service SCEP qui agit en tant qu’autorité d’enregistrement des certificats. Il demande des certificats à la CA émettrice au nom des appareils gérés par Intune en utilisant un profil SCEP. Pour créer une CA émettrice, veuillez suivre ce arrow-up-rightle guide Microsoft.

circle-info

Veuillez noter le point de distribution CRL car vous en aurez besoin plus tard dans Étape 2.

CA racine et CA émettrices

hashtag
Étape 2 : Établir la confiance entre RADIUSaaS et le PKI Cloud Microsoft

Configurez RADIUSaaS pour qu’il fasse confiance aux certificats d’authentification client émis par le PKI Cloud Microsoft. Puisque le PKI cloud nécessite une structure de CA en niveaux, vous devez télécharger à la fois la CA racine et la CA émettrice (c.-à-d. la chaîne complète de confiance). Pour ce faire, veuillez suivre les étapes ci‑dessous :

  1. Naviguez vers Certificats approuvés.

  2. Télécharger le PKI Cloud Contoso certificat AC racine en sélectionnant Authentification du client dans le processus de téléchargement.

  3. Comme méthode de vérification, sélectionnez CRL ainsi que DER encodage.

  4. Utilisez l’URL du point de distribution CRL copiée de la CA racine dans le Points de distribution CRL champ d’entrée URL.

  5. Téléchargez le PKI Cloud Contoso CA émettrice en sélectionnant Authentification du client dans le processus de téléchargement.

  6. À nouveau, sélectionnez CRL comme méthode de vérification ainsi que DER encodage.

  7. Utilisez l’URL du point de distribution CRL copiée de la CA émettrice dans le Points de distribution CRL champ d’entrée URL.

hashtag
Étape 3 : Configurer le certificat du serveur RADIUS

Pour établir la confiance serveur entre vos appareils terminaux et RADIUSaaS, suivez ces instructions.

hashtag
Étape 4 : Configurez votre équipement réseau

Pour configurer votre équipement réseau (points d’accès WiFi, commutateurs ou passerelles VPN), suivez ces étapes.

Après avoir réussi les étapes 2 à 4, la Certificats approuvés page de votre instance RADIUSaaS ressemblera à celle ci‑dessous. Veuillez noter que dans notre exemple nous avons utilisé un point d'accès MikroTik point d’accès.

Aperçu des certificats approuvés requis pour le PKI Cloud Microsoft.

hashtag
Étape 5 : Configurer les profils Intune

Pour configurer l’authentification WiFi basée sur certificat, nous devons créer plusieurs profils et les déployer via Intune. Ces profils sont :

Type de profil
Objectif

Certificat approuvé

Déployer le certificat de la CA racine.

Certificat approuvé

Déployer le certificat de la CA émettrice.

Certificat approuvé

Déployer le certificat de la CA racine qui a émis le certificat du serveur RADIUS.

Certificat SCEP

Enregistrer le certificat d’authentification client.

Wi-Fi

Déployer les paramètres de l'adaptateur réseau sans fil.

Profils Intune pertinents

hashtag
Profils de certificats approuvés

hashtag
Microsoft Cloud PKI

Déployer les certificats de la CA racine et de la CA émettrice créés dans Étape 1 via un Certificat approuvé profil vers vos appareils en naviguant vers le centre d’administration Intune puis vers Accueil > Appareils > Windows > Profils de configuration > Créer > Nouvelle stratégie avec les paramètres suivants :

  • Plateforme = Windows 10 et versions ultérieures

  • Type de profil = Modèle

  • Nom du modèle = Certificat approuvé.

Téléversez le fichier de certificat pertinent (*.cer) dans le profil correspondant :

  • Certificat de la CA racine créé ici

  • Certificat de la CA émettrice créé ici

circle-info

Notez que vous devez utiliser le même groupe pour l’affectation des profils Certificat approuvé et SCEP. Sinon, le déploiement Intune peut échouer.

Cela doit être répété pour chaque plateforme d’appareil qui doit utiliser le service (par ex. Windows, macOS, ...)

hashtag
Confiance du serveur RADIUS

Ensuite, déployez le certificat de la CA racine qui a émis votre certificat de serveur RADIUS comme décrit ici :

Confiance serveurchevron-right

hashtag
Profil de certificat SCEP

Pour créer un Certificat SCEP profil dans le centre d’administration Intune, commencez par copier l’URI SCEP depuis Accueil > Administration du locataire > PKI Cloud > CA émettrice Contoso > Propriétés > URI SCEP.

Ensuite, allez à Accueil > Appareils > Windows > Profils de configuration > Créer > Nouvelle stratégie avec les paramètres suivants :

  • Plateforme = Windows 10 et versions ultérieures

  • Type de profil = Modèle

  • Nom du modèle = certificat SCEP

Ensuite, configurez le modèle selon la capture d’écran ci‑dessous en veillant à avoir joint le Certificat racine Contoso créé précédemment à l’étape 1 et le URI SCEP dont vous avez fait une copie ci‑dessus.

Configuration du certificat d’appareil SCEP

Cela doit être répété pour chaque plateforme d’appareil qui doit utiliser le service (par ex. Windows, macOS, ...)

hashtag
Profil Wi‑Fi

Déployez les paramètres de l’adaptateur WiFi sur vos appareils en suivant cet article :

Profil WiFichevron-right

Mis à jour

Ce contenu vous a-t-il été utile ?