# Microsoft Cloud PKI
{% hint style="info" %}
Il est supposé que Microsoft Cloud PKI héberge à la fois l’AC racine et l’AC d’émission. Pour les scénarios impliquant des BYOCAs, veuillez vous référer aux ressources en ligne de Microsoft ou au Web.
{% endhint %}
{% stepper %}
{% step %}
### Déployer un Microsoft Cloud PKI
#### Créer une AC racine dans le centre d’administration Intune
Avant de pouvoir délivrer des certificats aux appareils gérés, vous devez créer une AC racine dans votre tenant pour servir d’ancre de confiance. Pour créer une AC racine dans le centre d’administration Intune, veuillez suivre [ceci ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca)guide Microsoft.
{% hint style="info" %}
Veuillez noter le point de distribution CRL, car vous en aurez besoin plus tard à l’ [Étape 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}
#### Créer une AC d’émission dans le centre d’administration Intune
Une AC d’émission est nécessaire pour délivrer des certificats aux appareils gérés par Intune. Cloud PKI fournit automatiquement un service SCEP qui agit comme autorité d’enregistrement des certificats. Il demande des certificats à l’AC d’émission au nom des appareils gérés par Intune à l’aide d’un profil SCEP. Pour créer une AC d’émission, veuillez suivre [ceci ](https://learn.microsoft.com/en-gb/mem/intune/protect/microsoft-cloud-pki-configure-ca#step-2-create-issuing-ca-in-admin-center)guide Microsoft.
{% hint style="info" %}
Veuillez noter le point de distribution CRL, car vous en aurez besoin plus tard à l’ [Étape 2](#step-1-create-root-ca-in-admin-center-2).
{% endhint %}
AC racines et AC d’émission
{% endstep %}
{% step %}
### Établir la confiance entre RADIUSaaS et Microsoft Cloud PKI
Configurez RADIUSaaS pour faire confiance aux certificats d’authentification client émis par Microsoft Cloud PKI. Comme le PKI cloud nécessite une structure d’AC hiérarchisée, vous devez téléverser à la fois l’AC racine et l’AC d’émission (c’est-à-dire la chaîne de confiance complète). Pour ce faire, veuillez suivre les étapes ci-dessous :
1. Accédez à [page Certificats de confiance](https://docs.radiusaas.com/fr/portail-dadministration/settings/trusted-roots).
2. [Téléverser](https://docs.radiusaas.com/fr/portail-dadministration/settings/trusted-roots#add) le Contoso Cloud PKI **AC racine,** en sélectionnant **Authentification client** dans le processus de téléversement.
3. Comme méthode de vérification, sélectionnez **CRL** ainsi que **DER** encodage.
4. Utilisez l’URL du point de distribution CRL de l’AC racine copiée dans le champ de saisie URL des **Points de distribution CRL** .\
5. Téléversez le Contoso Cloud PKI **AC d’émission,** en sélectionnant **Authentification client** dans le processus de téléversement.
6. À nouveau, sélectionnez **CRL** comme méthode de vérification ainsi que **DER** encodage.
7. Utilisez l’URL du point de distribution CRL de l’AC d’émission copiée dans le **Points de distribution CRL** .\
{% endstep %}
{% step %}
### Configurer le certificat du serveur RADIUS
Pour établir la confiance du serveur entre vos appareils terminaux et RADIUSaaS, suivez [ces instructions](https://docs.radiusaas.com/fr/configuration/generic-guide#step-3-radius-server-certificate-configuration).
{% endstep %}
{% step %}
### Configurer votre équipement réseau
Pour configurer votre équipement réseau (points d’accès Wi-Fi, commutateurs ou passerelles VPN), suivez [ces étapes](https://docs.radiusaas.com/fr/configuration/generic-guide#step-4-network-equipment-configuration).
Après l’exécution réussie des étapes 2 à 4, la **page Certificats de confiance** de votre instance RADIUSaaS ressemblera à celle ci-dessous. Veuillez noter que dans notre exemple, nous avons utilisé un point d’accès [MikroTik](https://docs.radiusaas.com/fr/configuration/access-point-setup/radsec-available/mikrotik) point d’accès.
Aperçu des certificats approuvés requis pour Microsoft Cloud PKI.
{% endstep %}
{% step %}
### Configurer les profils Intune
Pour mettre en place l’authentification Wi-Fi basée sur les certificats, nous devons créer un certain nombre de profils et les déployer via Intune. Ces profils sont :
| Type de profil | Objectif |
| ----------------------- | --------------------------------------------------------------------------------- |
| Certificat de confiance | Déployer le certificat de l’AC racine. |
| Certificat de confiance | Déployer le certificat de l’AC d’émission. |
| Certificat de confiance | Déployer le certificat de l’AC racine qui a émis le certificat du serveur RADIUS. |
| Certificat SCEP | Inscrire le certificat d’authentification client. |
| Wi-Fi | Déployer les paramètres de l’adaptateur sans fil. |
Profils Intune pertinents
#### Profils de certificats approuvés
**Microsoft Cloud PKI**
Déployez les certificats de l’AC racine et de l’AC d’émission créés à l’ [Étape 1](#step-1.-deploy-a-microsoft-cloud-pki) via un **Certificat de confiance** profil vers vos appareils en accédant au **centre d’administration Intune** puis à **Accueil** > **Appareils** > **Windows** > **Profils de configuration > Créer** > **Nouvelle stratégie** avec les paramètres suivants :
* Plateforme = Windows 10 et versions ultérieures
* Type de profil = Modèle
* Nom du modèle = Certificat approuvé.
Téléversez le fichier de certificat pertinent (\*.cer) dans le profil correspondant :
* Certificat d’AC racine créé [ici](#step-1-create-root-ca-in-admin-center)
* Certificat d’AC d’émission créé [ici](#step-1-create-root-ca-in-admin-center-1)
{% hint style="info" %}
Notez que vous devez utiliser le même groupe pour l’attribution des profils Certificat approuvé et SCEP. Sinon, le déploiement Intune pourrait échouer.
{% endhint %}
Cela doit être répété pour chaque plateforme d’appareil qui utilisera le service (par ex. Windows, macOS, ... )
**Confiance du serveur RADIUS**
Ensuite, poussez le certificat de l’AC racine qui a émis votre certificat de serveur RADIUS, comme décrit ici :
{% content-ref url="../../../deploiement-de-profil/microsoft-intune/trusted-root" %}
[trusted-root](https://docs.radiusaas.com/fr/deploiement-de-profil/microsoft-intune/trusted-root)
{% endcontent-ref %}
#### Profil de certificat SCEP
Pour créer un **Certificat SCEP** profil dans le centre d’administration Intune, commencez par copier l’URI SCEP depuis **Accueil** > **administrateur de tenant** > **Cloud PKI** > **Contoso Issuing CA** > **Propriétés** > **URI SCEP.**
Ensuite, allez à **Accueil** > **Appareils** > **Windows** > **Profils de configuration > Créer** > **Nouvelle stratégie** avec les paramètres suivants :
* Plateforme = Windows 10 et versions ultérieures
* Type de profil = Modèle
* Nom du modèle = Certificat SCEP
Ensuite, configurez le modèle selon la capture d’écran ci-dessous en vous assurant d’avoir joint le **Certificat racine Contoso** créé précédemment à l’étape 1 et l’ **URI SCEP** dont vous avez copié une version ci-dessus.
Configuration du certificat d’appareil SCEP
Cela doit être répété pour chaque plateforme d’appareil qui utilisera le service (par ex. Windows, macOS, ... )
#### Profil Wi-Fi
Déployez les paramètres de l’adaptateur Wi-Fi sur vos appareils en suivant cet article :
{% content-ref url="../../../deploiement-de-profil/microsoft-intune/wifi-profile" %}
[wifi-profile](https://docs.radiusaas.com/fr/deploiement-de-profil/microsoft-intune/wifi-profile)
{% endcontent-ref %}
{% endstep %}
{% step %}
### Autorisations et contacts techniques
{% endstep %}
{% step %}
### Règles
{% hint style="info" %}
Il s’agit d’une **étape** facultative.
{% endhint %}
Si vous souhaitez configurer des règles supplémentaires, par exemple pour attribuer des identifiants VLAN ou limiter les demandes d’authentification à certaines AC de confiance ou à certains points d’accès Wi-Fi, veuillez consulter le moteur de règles RADIUSaaS.
{% content-ref url="../../../portail-dadministration/settings/rules" %}
[rules](https://docs.radiusaas.com/fr/portail-dadministration/settings/rules)
{% endcontent-ref %}
{% endstep %}
{% endstepper %}
