Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configurer Omnissa Workspace ONE pour Connector for SCEP
<a name="connector-for-scep-omnissa"></a>

Vous pouvez l'utiliser AWS CA privée en tant qu'autorité de certification externe avec le système Omnissa Workspace ONE UEM (Unified Endpoint Management). Ce guide fournit des instructions sur la façon de configurer Omnissa Workspace ONE après avoir créé un connecteur SCEP dans. AWS

## Conditions préalables
<a name="prerequisites"></a>

Avant de créer un connecteur SCEP pour Omnissa Workspace ONE, vous devez remplir les conditions préalables suivantes :
+ Créez une autorité de certification privée dans la AWS console. Pour de plus amples informations, veuillez consulter [Créez une autorité de certification privée dans AWS CA privée](create-CA.md).
+ Créez un connecteur SCEP à usage général. Pour plus d'informations, consultez la section [Création d'un connecteur](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ Disposer d'un compte administrateur de l'environnement Omnissa Workspace ONE actif avec un identifiant de groupe organisationnel.
+ Si vous inscrivez un appareil Apple, configurez le service de notification push (APN) Apple pour le MDM. Pour plus d'informations, consultez la section [Certificats APNs](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) dans la documentation d'Omnissa.

## Étape 1 : définir une autorité de certification et un modèle dans Omnissa Workspace ONE
<a name="step-1-define-certificate-authority-and-template"></a>

Après avoir créé un connecteur CA et SCEP privé dans la AWS console, définissez l'autorité de certification et le modèle dans Omnissa Workspace ONE.

**Ajouter AWS CA privée en tant qu'autorité de certification**

1. Dans le menu **Système**, choisissez **Enterprise Integration**, puis **Certificate Authorities**.

1. Choisissez **\+ AJOUTER** et fournissez les informations suivantes :
   + **Nom** : AWS-Private-CA.
   + **Description** : AWS CA privée pour l'émission de certificats d'appareils.
   + **Type d'autorité** : sélectionnez le **SCEP générique**.
   + **URL SCEP** : entrez l'URL SCEP depuis. AWS CA privée
   + **Type de défi** : sélectionnez **STATIC**.
   + **Défi statique** : entrez le mot de passe du défi statique SCEP depuis le connecteur pour la configuration SCEP dans la AWS console.
   + Entrez les valeurs **Retry Timeout** et **Max Retries.**

1. Enregistrez la configuration.

**Création d'un modèle de certificat**

1. Dans le menu **Système**, choisissez **Enterprise Integration**, **Certificate Authorities**, puis **Templates**.

1. Choisissez **Ajouter des modèles** et fournissez les informations suivantes :
   + **Nom du modèle** : Device-Cert-Template.
   + **Autorité de certification** : choisissez **AWS- Private-CA**.
   + **Nom du sujet** : Il s'agit d'un champ personnalisable. Vous pouvez choisir des valeurs variables dans une liste d'attributs. Par exemple, CN= {DeviceReportedName}, O= {DevicePlatform}, OU= {1} CustomAttribute
   + **Longueur de la clé privée** : 2048 bits.
   + **Type de clé privée** : sélectionnez **Signature** et **chiffrement** selon les besoins
   + **Renouvellement automatique** : Enabled/Disabled (en fonction de vos besoins).

1. Enregistrez le modèle.

## Étape 2 : configurer un profil Omnissa Workspace ONE UEM
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

Créez un profil dans Omnissa Workspace ONE UEM qui dirige les appareils vers Connector pour que SCEP émette un certificat.

**Création d'un profil d'appareil SCEP pour la distribution de certificats**

1. Dans le menu **Ressources**, choisissez **Profils et lignes de base**, puis **Profils**.

1. Choisissez **Ajouter** puis **Ajouter un profil**

1. Sélectionnez la plate-forme de l'appareil (**Android**, **iOS**, **macOS**, **Windows**).

1. Définissez le **type de gestion** et **le contexte** comme il convient.

1. Définissez le **nom** : Device-Cert-Profile.

1. Faites défiler la page jusqu'à **SCEP Payload**.

1. Sélectionnez **SCEP**, puis choisissez **\+Ajouter**.

1. Utilisez la configuration suivante :
   + **ÉTAPE** :
     + Pour **Source d'informations d'identification**, sélectionnez **Autorité de certification définie** (par défaut).
     + Pour **Autorité de certification**, sélectionnez **AWS- Private-CA**
     + Pour le **modèle de certificat**, sélectionnez le modèle **Device-Cert-Template**défini à l'étape 1.

1. Choisissez **Next** et dans la section **Affectation**, sélectionnez le bon groupe intelligent dans la liste (groupe d'attribution pour l'appareil).

1. Sélectionnez le **type d'affectation** **Auto** pour activer le renouvellement automatique.

1. Enregistrez et publiez le profil.

**Note**  
Pour plus d'informations, consultez la [section SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html) dans la documentation d'Omnissa.

## Étape 3 : Inscrire des appareils dans Omnissa Workspace ONE
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**Création ou vérification d'un groupe intelligent**

1. Dans **Groupes et paramètres**, choisissez **Groupes**, puis **Groupes d'affectation**.

1. Créez ou modifiez le groupe POC-Devices intelligent :
   + **Nom** : POC-Devices.
   + **Type d'appareil** : sélectionnez **Tout** ou une plateforme spécifique (Android ou iOS, par exemple).
   + **Critères** : utilisation **UserGroup**, **plate-forme et système d'exploitation**, **OEM et modèle** pour spécifier les critères permettant de regrouper les équipements cibles.
   + **Propriété** : sélectionnez **N'importe** lequel pour les appareils personnels ou professionnels.

1. Enregistrez et vérifiez que les équipements cibles apparaissent dans l'onglet **Aperçu**.

### Enrôlement manuel des appareils
<a name="manual-device-enrollment"></a>

Android  
+ Téléchargez l'application **Workspace ONE Intelligent Hub** depuis Google Play.
+ Ouvrez l'application et saisissez l'URL d'inscription ou scannez un code QR.
+ Connectez-vous et suivez les instructions pour vous inscrire en tant MDM-managed qu'appareil.

iOS/macOS  
+ Sur l'appareil, ouvrez **Safari** et accédez à l'URL d'inscription (https ://<WorkspaceONEUEMHostname>/enroll, par exemple).
+ Connectez-vous à l'aide des informations d'identification de l'utilisateur.
+ Téléchargez et installez l'application **Workspace ONE Intelligent Hub** depuis l'App Store.
+ **Suivez les instructions pour installer le profil MDM dans **Paramètres** > **Général** > **Gestion des VPN et des appareils** > **Profil** > Installer.**

Windows  
+ Téléchargez le **Workspace ONE Intelligent Hub** depuis le serveur Workspace ONE ou le Microsoft Store.
+ Inscrivez-vous via le Hub en utilisant l'URL d'inscription et les informations d'identification.

Attribuez les appareils inscrits au groupe POC-Devices intelligent dans **Appareils** > **Affichage en liste** > **Autres actions** > **Attribuer au groupe intelligent**.

Pour plus d'informations, consultez la section [Inscription automatisée des appareils](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html) dans la documentation d'Omnissa.

**Vérifier l'inscription**

1. **Dans la console Omnissa Workspace ONE UEM, accédez à **Appareils, puis à Affichage** en liste.**

1. Vérifiez que le statut des appareils que vous avez **inscrits est défini sur Inscrit**.

1. Vérifiez que les appareils font partie du groupe POC-Devices intelligent dans l'onglet **Groupes** des **détails de l'appareil**.

## Étape 4 : Émettre un certificat
<a name="step-4-certificate-issuance"></a>

**Déclencher l'émission d'un certificat**

1. Dans la **vue Liste des** **appareils**, sélectionnez l'appareil inscrit.

1. Cliquez sur le bouton **Requête** pour demander un enregistrement.

1. Ils Device-Cert-Profile doivent délivrer un certificat via. AWS CA privée

**Vérifier l'installation du certificat**

Android  
Choisissez **Paramètres**, **Sécurité**, **Informations d'identification fiables**, puis **Utilisateur** pour vérifier le certificat.

iOS  
Accédez à **Paramètres**, puis choisissez **Général**, **VPN et gestion des appareils**, puis **Profil de configuration**. Vérifiez que le certificat de AWS-Private-CA est présent.

macOS  
Ouvrez **Keychain Access** puis **System Keychain** et vérifiez le certificat.

Windows  
Ouvrez **certmgr.msc**, puis **Personal**, puis **Certificates** pour vérifier le certificat.

## Résolution des problèmes
<a name="troubleshooting"></a>

Erreurs SCEP (« 22013 - Le serveur SCEP a renvoyé une réponse non valide » par exemple)  
+ Vérifiez que l'URL SCEP et le mot de passe de défi statique dans Workspace ONE correspondent AWS CA privée.
+ <SCEP\_URL>Testez la connectivité des terminaux SCEP : curl.
+ Vérifiez AWS CloudTrail les journaux pour AWS CA privée détecter les erreurs (`IssueCertificate`défaillances, par exemple).

Problèmes liés aux APN () iOS/macOS  
+ Assurez-vous que le certificat APNs est valide et qu'il est attribué au groupe organisationnel approprié.
+ Testez la connectivité APN : telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.

Défaillances d'installation du profil  
+ Vérifiez que les appareils appartiennent au groupe intelligent approprié (**appareils**, puis **affichage en liste**, puis **groupes**).
+ Forcer la synchronisation des profils : **Plus d'actions**, puis **Envoyer**, puis **Liste des profils**.

Journaux  
+ Android : utilisez les **journaux Logcat** ou Workspace ONE.
+ iOS/macOS: log show --predicate 'process == « mdmclient"' --dernière heure (via le configurateur). Xcode/Apple 
+ Windows : **Observateur d'événements**, puis **journaux des applications et des services**, puis **Microsoft-Windows-DeviceManagement**.
+ Workspace ONE UEM : **Surveiller**, puis **Rapports et analyses**, puis **Événements**, puis **Événements liés aux appareils**.

Pour obtenir des informations détaillées sur le connecteur pour la surveillance SCEP AWS, voir [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html).

## Considérations sur la sécurité
<a name="security-considerations"></a>
+ Stockez les URL et les secrets SCEP en toute sécurité. Pour plus d'informations, consultez le [AWS Secrets Manager service](https://docs.aws.amazon.com/secretsmanager/).
+ Limitez les critères des groupes intelligents aux appareils cibles uniquement.
+ Renouvelez régulièrement les certificats Apple Push Notifications (APN) (valables 1 an).
+ Définissez de courtes périodes de validité des certificats pour les projets de preuve de concept afin de minimiser les risques.
+ Pour les appareils personnels, assurez-vous que le nettoyage supprime tous les profils et certificats.

Pour plus d'informations sur la configuration de l'intégration entre Omnissa Workspace ONE UEM et CA à l'aide d'un connecteur SCEP, consultez le [SCEP dans](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.) la documentation d'Omnissa Workspace ONE.