🆕 SCEPman SaaS
SCEPman SaaS est un déploiement SCEPman entièrement géré, hébergé et maintenu entièrement par nous. Il est disponible dans le cadre du RADIUSaaS & SCEPman SaaS Bundle, qui combine les deux services en un seul abonnement. Cela élimine la nécessité de configurer et de gérer votre propre instance SCEPman, tout en offrant une authentification transparente basée sur des certificats pour votre environnement RADIUS. Le guide suivant vous accompagne à travers les étapes de configuration initiale pour mettre votre SCEPman SaaS instance en service avec RADIUSaaS
Configuration SCEPman SaaS
Si vous utilisez déjà un déploiement SCEPman Enterprise existant dans votre tenant avec RADIUSaaS, assurez-vous de consulter notre guide de migration : Migrer depuis SCEPman Enterprise
Inscrire SCEPman SaaS
Avec une SCEPman SaaS licence activée, vous verrez que la section du menu dans Paramètres > SCEPman contient des options pour inscrire et configurer votre CA SCEPman.
En haut, vous avez la possibilité de choisir le Nom commun ainsi que le Organisation nom de votre CA.
Le nom commun et l’organisation formeront le sujet du certificat de la CA lors de l’inscription.
En cliquant sur Inscrire, la configuration démarrera et l’état sera affiché ci-dessus. Après quelques minutes, le déploiement devrait être terminé et vous verrez que le menu principal de RADIUSaaS contient désormais une section pour SCEPman.
Le État page affiche l’état actuel de la CA et de ses intégrations, ainsi que les URL des points de terminaison dont vous avez besoin pour demander des certificats.
Sous Gérer les certificats vous pouvez parcourir les certificats émis, vérifier leur validité et également les révoquer si nécessaire.
Sous Demander des certificats, vous pouvez demander différents types de certificats pour une inscription et une installation manuelles ou signer des CSR.
Jetez un œil à la documentation dédiée Certificate Master pour plus d’informations sur les différents types de certificats que vous pouvez demander ici.
Le Tâches section affiche l’état actuel de Certificate Master et des liens vers les sections autorisées par votre rôle.
SCEPman est maintenant déployé et prêt à émettre des certificats !
Connecter SCEPman à votre tenant Azure
Vous n’aurez besoin de connecter SCEPman à votre tenant Azure que si vous prévoyez de déployer des certificats via Intune ou le point de terminaison StaticAAD.
Dans la plupart des scénarios, vous voudrez que SCEPman puisse émettre des certificats à l’aide des profils Intune SCEP et révoquer automatiquement les certificats si un appareil a été réinitialisé, par exemple.
Pour que cela fonctionne comme prévu, SCEPman a besoin de rôles spécifiques dans votre tenant. Cela peut se faire soit en consentant à notre application d’entreprise multitenant, soit en fournissant vous-même une inscription d’application disposant des autorisations requises.
Confirmer le tenant
Nous recommandons l’approche Consentement administrateur / application d’entreprise multitenant pour vous connecter à votre tenant Azure, car elle ne nécessite pas de secret client qui doit être surveillé pour son expiration.
La première étape du Consentement administrateur flux consiste à saisir l’ID de votre tenant et à le confirmer.
En cliquant sur Confirmer le tenant vous serez redirigé vers la page de consentement de Microsoft pour vous authentifier et approuver cette application initialement :
L’acceptation de ce consentement ajoutera l’application d’entreprise SCEPman SaaS à votre tenant, mais n’ajoutera pas encore les autorisations requises.
Consentement administrateur
Après avoir confirmé le tenant, en cliquant sur Consentement administrateur vous serez à nouveau redirigé vers la page de consentement de Microsoft et il vous sera demandé de confirmer si l’application doit recevoir les autorisations listées. Pour plus d’informations sur les autorisations requises, veuillez consulter nos Questions et réponses sur la sécurité et la confidentialité.
SCEPman est maintenant capable de se connecter à votre tenant Azure et de récupérer des informations pour la liaison de certificats !
Activer les points de terminaison de certificats
Dans la plupart des scénarios, les certificats seront déployés en s’appuyant sur les profils de certificat Intune SCEP pour déclencher les appareils à demander des certificats à SCEPman. Pour activer ce point de terminaison, naviguez vers Paramètres > SCEPman à nouveau et activez le paramètre Validation Intune et enregistrez la configuration :
Vérification de conformité
Comme avec SCEPman Enterprise, SCEPman peut évaluer la validité d’un certificat en vérifiant l’état de conformité d’un appareil associé. Veuillez consulter la documentation SCEPman sur ce paramètre pour plus d’informations.
Annuaire des appareils
La sélection du répertoire d’appareils dépend de la liaison spécifique que vous choisissez dans le profil SCEP :
{{DeviceId}}sera recherché dans Intune{{AAD_DeviceID}}sera recherché dans AAD (Entra ID){{UserPrincipalName}}(UPN) sera recherché dans AAD (Entra ID)
Veuillez consulter la documentation SCEPman pour plus de détails sur les répertoires d’appareils.
La validation Intune est maintenant activée et son point de terminaison de certificat est disponible !
Déployer des certificats
Avec la validation Intune activée, vous verrez que la page d’état de SCEPman affiche désormais une URL de point de terminaison pour l’Intune MDM :
Cette URL sera utilisée dans le profil de certificat Intune SCEP pour le URL du serveur SCEP.
Certificat racine
Assurez-vous de créer un profil Certificat approuvé dans Intune avant de continuer vers le profil Certificat SCEP et de déployer le certificat CA de SCEPman SaaS sur vos clients.
Documentation SCEPman : Certificat racine
Certificat SCEP
Le processus de création du profil de certificat SCEP est identique à celui de SCEPman Enterprise.
Documentation SCEPman : SCEP - Intune - Windows
Vos clients devraient maintenant recevoir des certificats émis par SCEPman !
Établir la confiance
Pour permettre aux appareils de s’authentifier à l’aide de certificats de votre SCEPman SaaS CA et permettre à vos points d’accès d’établir des connexions RadSec à votre instance RADIUSaaS, vous devrez faire confiance à son certificat de CA. Pour cela, téléchargez d’abord votre certificat de CA depuis le SCEPman > État .
Une fois le certificat de CA en place, allez dans Paramètres > page Certificats de confiance et ajoutez un nouveau certificat.
Téléversez votre fichier de certificat téléchargé et enregistrez :
RADIUSaaS acceptera désormais les connexions entrantes utilisant des certificats émis par SCEPman !
Activer la gestion du certificat de serveur RADIUSaaS
Après avoir inscrit SCEPman SaaS, vous remarquerez que la section SCEPman Connection sous Paramètres > Paramètres du serveur vous permet de pré-générer un certificat et de configurer une connexion.
Une connexion à votre instance SCEPman a déjà été établie à ce stade et RADIUSaaS peut demander des certificats de serveur. La bonne manière de procéder dépend désormais de savoir si vous utilisez déjà RADIUSaaS pour authentifier des clients à ce stade ou s’il s’agit d’une nouvelle configuration.
Pré-générer le certificat
RADIUSaaS demandera un certificat de serveur et l’ajoutera à la liste des certificats, mais ne l’activera pas et n’activera pas la gestion automatique.
Si vous avez actuellement des clients qui s’authentifient auprès de RADIUSaaS, cela vous permet de vérifier que votre profil Wifi contient les bons noms pour la validation du serveur ainsi que le bon certificat racine pour la validation du serveur.
Configurer la connexion
S’il s’agit d’une nouvelle configuration ou après avoir vérifié que vos clients utilisent les bonnes informations pour valider le certificat du serveur, vous pouvez activer la gestion automatique du certificat du serveur en cliquant sur Configurer la connexion.
RADIUSaaS demandera désormais un certificat de serveur à SCEPman, l’activera et le renouvellera à temps avant son expiration !
Autres points de terminaison de certificats
La configuration d’autres points de terminaison de certificats est similaire à la manière dont ils sont configurés avec SCEPman Enterprise. Assurez-vous de consulter la documentation pertinente :
Général
SCEPmanJamf
Validation statique
Validation Static-AAD
DC
Journaux
Vous pouvez trouver tous les journaux d’application que vous attendez dans SCEPman Enterprise dans la section Journaux . Ceux-ci incluent :
Messages d’état du service
Certificats émis
Réponses OCSP
Avertissements et erreurs pendant la validation et l’émission
Mis à jour
Ce contenu vous a-t-il été utile ?