Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

# Configurez votre système MDM pour Connector for SCEP
<a name="using-connector-for-scep-with-mdm"></a>

Le protocole SCEP (Simple Certificate Enrollment Protocol) est un protocole standard utilisé pour l'inscription et le renouvellement des certificats. Connector for SCEP est un serveur SCEP basé sur la norme [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) qui émet automatiquement des certificats AWS Autorité de certification privée à vos clients SCEP. Lorsque vous créez un connecteur, Connector for SCEP fournit un point de terminaison HTTPS auquel les clients SCEP peuvent demander des certificats. Les clients s'authentifient à l'aide d'un mot de passe de défi inclus dans leur demande de signature de certificat (CSR) adressée au service. Vous pouvez utiliser Connector for SCEP avec les systèmes de gestion des appareils mobiles (MDM) courants, notamment Microsoft Intune, Omnissa Workspace ONE et Jamf Pro, pour inscrire des appareils mobiles. Il est conçu pour fonctionner avec n'importe quel client ou point de terminaison compatible avec le SCEP.

Connector for SCEP propose deux types de connecteurs : à usage général et Connector for SCEP pour Microsoft Intune. Les sections suivantes décrivent leur fonctionnement et comment configurer votre système MDM pour les utiliser.

## Connecteur à usage général
<a name="connector-for-scep-how-it-works-general-purpose"></a>

Un connecteur à usage général est conçu pour fonctionner avec les terminaux d'appareils mobiles compatibles avec le SCEP, à l'exception de Microsoft Intune, qui dispose d'un connecteur dédié. Avec des connecteurs à usage général, tels que Jamf Pro ou Omnissa Workspace ONE, vous gérez les mots de passe du défi SCEP. Le schéma suivant utilise un système de gestion des appareils mobiles (MDM) à titre d'exemple, mais les mêmes fonctionnalités s'appliquent aux autres systèmes ou appareils compatibles avec le SCEP.

![\[Décrit le fonctionnement d'un connecteur à usage général Connector for SCEP.\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/images/GenPurpose.jpg)


1. Le système MDM (ou tout autre appareil ou système) envoie un profil SCEP au client mobile. Un profil SCEP contient des paramètres de configuration qui définissent le profil de certificat, tels que la période de validité du certificat, le mot de passe de contestation et d'autres informations relatives à l'émission de certificats.

1. Le client mobile demande un certificat et envoie également une demande de signature de certificat (CSR) qui inclut un mot de passe de défi.

1. Le connecteur pour SCEP valide le mot de passe du défi. S'il est valide, le service demande un certificat AWS CA privée au nom du client mobile.

1. AWS CA privée émet le certificat et l'envoie à Connector for SCEP.

1. Le connecteur pour SCEP envoie le certificat émis au client mobile.

## AWS CA privée Connecteur pour SCEP pour Microsoft Intune
<a name="connector-for-scep-how-it-works-intune"></a>

AWS CA privée Le connecteur pour SCEP pour Microsoft Intune est conçu pour être utilisé avec Microsoft Intune. Avec le type de connecteur Connector for SCEP pour Microsoft Intune, vous utiliserez Microsoft Intune pour gérer vos mots de passe de défi SCEP. Pour plus d'informations sur l'utilisation de Connector for SCEP avec Microsoft Intune, consultez. [Configuration de Microsoft Intune pour Connector pour SCEPConfiguration de Microsoft Intune](connector-for-scep-intune.md)

Pour utiliser Connector for SCEP avec Microsoft Intune, vous devez activer des fonctionnalités spécifiques à l'aide de l'API Microsoft Intune et posséder une licence Microsoft Intune valide. Vous devriez également consulter les [politiques de protection des applications Microsoft Intune®](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy).

![\[Fonctionnement d'un connecteur pour SCEP pour Microsoft Intune\]](http://docs.aws.amazon.com/fr_fr/privateca/latest/userguide/images/Intune.jpg)


1. Microsoft Intune envoie un profil SCEP au client mobile. Le profil contient un mot de passe de défi crypté que le client mobile place dans le CSR.

1. Le client mobile demande un certificat et envoie le CSR à Connector for SCEP.

1. Connector for SCEP envoie le CSR à Microsoft Intune pour autorisation.

1. Microsoft Intune déchiffre le mot de passe du défi dans le CSR. S'il est valide, Microsoft Intune envoie l'approbation à Connector pour que SCEP émette le certificat au client mobile.

1. Connector for SCEP demande un certificat AWS CA privée au nom du client mobile.

1. AWS CA privée émet le certificat et l'envoie à Connector for SCEP.

1. Le connecteur pour SCEP envoie le certificat émis au client mobile.

**Topics**
+ [Connecteur à usage général](#connector-for-scep-how-it-works-general-purpose)
+ [AWS CA privée Connecteur pour SCEP pour Microsoft Intune](#connector-for-scep-how-it-works-intune)
+ [Configurer Jamf Pro pour Connector pour SCEP](connector-for-scep-general-purpose.md)
+ [Configuration de Microsoft Intune pour Connector pour SCEP](connector-for-scep-intune.md)
+ [Configurer Omnissa Workspace ONE pour Connector for SCEP](connector-for-scep-omnissa.md)

# Configurer Jamf Pro pour Connector pour SCEP
<a name="connector-for-scep-general-purpose"></a>

Vous pouvez l'utiliser AWS CA privée en tant qu'autorité de certification (CA) externe avec le système de gestion des appareils mobiles (MDM) Jamf Pro. Ce guide fournit des instructions sur la façon de configurer Jamf Pro après avoir créé un connecteur à usage général.

## Configurer Jamf Pro pour Connector pour SCEP
<a name="connector-for-scep-jamf-pro"></a>

Ce guide fournit des instructions sur la façon de configurer Jamf Pro pour une utilisation avec Connector for SCEP. Après avoir correctement configuré Jamf Pro et Connector pour SCEP, vous pourrez délivrer des AWS CA privée certificats à vos appareils administrés.

### Exigences relatives à Jamf Pro
<a name="connector-for-scep-jamf-pro-requirements"></a>

Votre implémentation de Jamf Pro doit répondre aux exigences suivantes.
+ Vous devez activer le paramètre **Activer l'authentification basée sur les certificats** dans Jamf Pro. Vous trouverez des informations détaillées sur ce paramètre sur la page des [paramètres de sécurité de](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html) Jamf Pro dans la documentation de Jamf Pro.

### Étape 1 : (Facultatif - recommandé) Obtenez l'empreinte digitale de votre autorité de certification privée
<a name="connector-for-scep-jamf-pro-ca-fingerprint"></a>

Une empreinte digitale est un identifiant unique de votre autorité de certification privée qui peut être utilisé pour vérifier l'identité de votre autorité de certification lors de l'établissement d'un lien de confiance avec d'autres systèmes ou applications. L'intégration d'une empreinte d'autorité de certification (CA) permet aux appareils administrés d'authentifier l'autorité de certification à laquelle ils se connectent et de demander des certificats uniquement à l'autorité de certification prévue. Nous recommandons d'utiliser une empreinte digitale CA avec Jamf Pro.

**Pour générer une empreinte digitale pour votre autorité de certification privée**

1. Obtenez le certificat CA privé depuis l'une des AWS CA privée consoles ou en utilisant le [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html). Enregistrez-le sous forme de `ca.pem` fichier.

1. Installez les utilitaires de ligne de [commande OpenSSL](https://wiki.openssl.org/index.php/Command_Line_Utilities).

1. Dans OpenSSL, exécutez la commande suivante pour générer l'empreinte digitale :

   ```
   openssl x509 -in ca.pem -sha256 -fingerprint
   ```

### Étape 2 : Configuration AWS CA privée en tant que CA externe dans Jamf Pro
<a name="connector-for-scep-jamf-pro-configure-pca"></a>

Après avoir créé un connecteur pour le SCEP, vous devez le définir AWS CA privée en tant qu'autorité de certification externe (CA) dans Jamf Pro. Vous pouvez AWS CA privée le définir en tant qu'autorité de certification externe globale. Vous pouvez également utiliser un profil de configuration Jamf Pro AWS CA privée pour émettre différents certificats en fonction de différents cas d'utilisation, tels que l'émission de certificats pour un sous-ensemble d'appareils de votre organisation. Les conseils relatifs à la mise en œuvre des profils de configuration Jamf Pro dépassent le cadre de ce document.

**Pour configurer AWS CA privée en tant qu'autorité de certification externe (CA) dans Jamf Pro**

1. Dans la console Jamf Pro, accédez à la page des **paramètres des certificats PKI** en accédant à **Paramètres** > **Global** > Certificats **PKI**.

1. Sélectionnez l'onglet **Modèle de certificat de gestion**.

1. Sélectionnez **External CA**.

1. Tâche de sélection **Modifier**.

1. (Facultatif) Sélectionnez **Activer Jamf Pro en tant que proxy SCEP pour les profils de configuration**. Vous pouvez utiliser les profils de configuration Jamf Pro pour émettre différents certificats adaptés à des cas d'utilisation spécifiques. Pour obtenir des conseils sur l'utilisation des profils de configuration dans Jamf Pro, consultez la section [Activation de Jamf Pro en tant que proxy SCEP pour les profils de configuration](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2) dans la documentation de Jamf Pro.

1. Sélectionnez **Utiliser une autorité de certification externe compatible SCEP pour l'inscription d'ordinateurs et d'appareils mobiles**.

1. (Facultatif) Sélectionnez **Utiliser Jamf Pro comme proxy SCEP pour l'inscription d'ordinateurs et d'appareils mobiles**. Si vous rencontrez des échecs lors de l'installation du profil, consultez[Résoudre les problèmes d'installation des profils](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot).

1. Copiez et collez l'**URL SCEP** du connecteur pour le connecteur depuis les détails du connecteur vers le champ **URL** de Jamf Pro. Pour afficher les détails d'un connecteur, choisissez-le dans la liste [Connecteurs pour le SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Vous pouvez également obtenir l'URL en appelant [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)et en copiant la `Endpoint` valeur de la réponse.

1. (Facultatif) Entrez le nom de l'instance dans le champ **Nom**. Par exemple, vous pouvez lui donner un nom **AWS CA privée**.

1. Sélectionnez **Static** pour le type de défi.

1. Copiez un mot de passe de défi depuis votre connecteur et collez-le dans le champ **Challenge**. Un connecteur peut avoir plusieurs mots de passe de défi. Pour consulter les mots de passe de défi de votre connecteur, accédez à la page de détails de votre connecteur dans la AWS console et sélectionnez le bouton **Afficher le mot de passe**. Vous pouvez également obtenir le ou les mots de passe de défi d'un connecteur en appelant [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html)et en copiant une `Password` valeur à partir de la réponse. Pour plus d'informations sur l'utilisation des mots de passe de défi, consultez[Considérations et limites du Connector for SCEPConsidérations et restrictions](c4scep-considerations-limitations.md).

1. Collez le mot de passe du défi dans le champ **Vérifier le défi**.

1. Choisissez une **taille de clé**. Nous recommandons une taille de clé de 2048 ou plus.

1. (Facultatif) Sélectionnez **Utiliser comme signature numérique**. Sélectionnez cette option à des fins d'authentification pour accorder aux appareils un accès sécurisé à des ressources telles que le Wi-Fi et le VPN.

1. (Facultatif) Sélectionnez **Utiliser pour le chiffrement par clé**.

1. (Facultatif, recommandé) Entrez une chaîne hexadécimale dans le champ **Empreinte digitale**. Nous vous recommandons d'ajouter une empreinte d'autorité de certification pour permettre aux appareils administrés de vérifier l'autorité de certification et de ne demander des certificats qu'à l'autorité de certification. Pour obtenir des instructions sur la façon de générer une empreinte digitale pour votre autorité de certification privée, consultez[Étape 1 : (Facultatif - recommandé) Obtenez l'empreinte digitale de votre autorité de certification privée](#connector-for-scep-jamf-pro-ca-fingerprint).

1. Cliquez sur **Enregistrer**.

### Étape 3 : configurer un certificat de signature de profil de configuration
<a name="connector-for-scep-jamf-pro-signing-cert"></a>

Pour utiliser Jamf Pro avec Connector for SCEP, vous devez fournir les certificats de signature et de CA pour l'autorité de certification privée associée à votre connecteur. Vous pouvez le faire en téléchargeant un keystore de certificats de signature de profil sur Jamf Pro contenant les deux certificats.

Voici les étapes pour créer un keystore de certificats et le télécharger dans Jamf Pro :
+ Générez une demande de signature de certificat (CSR) à l'aide de vos processus internes.
+ Faites signer le CSR par l'autorité de certification privée associée à votre connecteur.
+ Créez une banque de clés de certificats de signature de profil contenant à la fois la signature de profil et les certificats CA.
+ Téléchargez le keystore des certificats sur Jamf Pro.

En suivant ces étapes, vous pouvez vous assurer que vos appareils peuvent valider et authentifier le profil de configuration signé par votre autorité de certification privée, permettant ainsi l'utilisation de Connector for SCEP avec Jamf Pro.

1. L'exemple suivant utilise OpenSSL AWS Certificate Manager et, mais vous pouvez générer une demande de signature de certificat en utilisant votre méthode préférée.

------
#### [ AWS Certificate Manager console ]

**Pour créer un certificat de signature de profil à l'aide de la console ACM**

   1. Utilisez ACM pour [demander un certificat PKI privé](). Incluez les éléments suivants :
      + **Type** : utilisez le même type d'autorité de certification privée qui sert d'autorité de certification SCEP pour votre système MDM.
      + Dans la section **Détails de l'autorité de certification**, sélectionnez le menu **Autorité de certification** et choisissez l'autorité de certification privée qui sert d'autorité de certification pour Jamf Pro.
      + **Nom de domaine** : indiquez un nom de domaine à intégrer dans le certificat. Vous pouvez utiliser un nom de domaine complet (FQDN), tel que`www.example.com`, ou un nom de domaine brut ou apex tel que `example.com` (qui exclut`www.`).

   1. Utilisez ACM pour [exporter le certificat privé](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html) que vous avez créé à l'étape précédente. Choisissez **Exporter un fichier** pour le certificat, la chaîne de certificats et la clé cryptée. Gardez le **mot de passe à portée de main**, car vous en aurez besoin à l'étape suivante.

   1. Dans un terminal, exécutez la commande suivante dans un dossier contenant les fichiers exportés pour écrire le bundle PKCS \$112 dans le `output.p12` fichier codé par le mot de passe que vous avez créé à l'étape précédente.

      ```
      openssl pkcs12 -export \
        -in "Exported Certificate.txt" \
        -certfile "Certificate Chain.txt" \
        -inkey "Exported Certificate Private Key.txt" \
        -name example \
        -out output.p12 \
        -passin pass:your-passphrase \
        -passout pass:your-passphrase
      ```

------
#### [ AWS Certificate Manager CLI ]

**Pour créer un certificat de signature de profil à l'aide de la CLI ACM**
   + La commande suivante montre comment créer un certificat dans ACM, puis exporter les fichiers sous forme de bundle PKCS \$112.

     ```
     PCA=<Enter your Private CA ARN>
     
     CERTIFICATE=$(aws acm request-certificate \
         --certificate-authority-arn $PCA \
         --domain-name <any valid domain name, such as test.name> \
         | jq -r '.CertificateArn')
     
     while [[ $(aws acm describe-certificate \
       --certificate-arn $CERTIFICATE \
       | jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
       
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.Certificate' > Certificate.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
     aws acm export-certificate \
       --certificate-arn $CERTIFICATE \
       --passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
       
     openssl pkcs12 -export \
       -in "Certificate.pem" \
       -certfile "CertificateChain.pem" \
       -inkey "PrivateKey.pem" \
       -name example \
       -out output.p12 \
       -passin pass:passphrase \
       -passout pass:passphrase
     ```

------
#### [ OpenSSL CLI ]

**Pour créer un certificat de signature de profil à l'aide de l'interface de ligne de commande OpenSSL**

   1. À l'aide d'OpenSSL, générez une clé privée en exécutant la commande suivante.

      ```
      openssl genrsa -out local.key 2048
      ```

   1. Générez une demande de signature de certificat (CSR) :

      ```
      openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
      ```

   1. À l'aide du AWS CLI, émettez le certificat de signature en utilisant le CSR que vous avez généré à l'étape précédente. Exécutez la commande suivante et notez l'ARN du certificat dans la réponse.

      ```
      aws acm-pca issue-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
      ```

   1. Obtenez le certificat de signature en exécutant la commande suivante. Spécifiez l'ARN du certificat de l'étape précédente.

      ```
      aws acm-pca get-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> --certificate-arn <ARN OF NEW CERTIFICATE> | jq -r '.Certificate' >local.crt
      ```

   1. Obtenez le certificat CA en exécutant la commande suivante.

      ```
      aws acm-pca get-certificate-authority-certificate --certificate-authority-arn <SAME CA AS USED ABOVE, SO IT’S TRUSTED> | jq -r '.Certificate' > ca.crt
      ```

   1. À l'aide d'OpenSSL, générez le keystore du certificat de signature au format p12. Utilisez les fichiers CRT que vous avez générés aux étapes 4 et 5.

      ```
      openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
      ```

   1. Lorsque vous y êtes invité, entrez un mot de passe d'exportation. Ce mot de passe est le mot de passe que vous devez fournir à Jamf Pro pour le keystore.

------

1. Dans Jamf Pro, accédez au **modèle de certificat de gestion** et accédez au volet **CA externe**.

1. Au bas du volet **CA externe**, sélectionnez **Modifier la signature et les certificats CA**.

1. Suivez les instructions affichées à l'écran pour télécharger la signature et les certificats de l'autorité de certification pour l'autorité de certification externe.

### Étape 4 : (Facultatif) Installer le certificat lors de l'inscription initiée par l'utilisateur
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment"></a>

Pour établir la confiance entre vos appareils clients et votre autorité de certification privée, vous devez vous assurer que vos appareils font confiance aux certificats émis par Jamf Pro. Vous pouvez utiliser les [paramètres d'inscription initiés par l'utilisateur](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.) de Jamf Pro pour installer automatiquement votre AWS CA privée certificat CA sur les appareils clients lorsqu'ils demandent un certificat pendant le processus d'inscription.

### Résoudre les problèmes d'installation des profils
<a name="connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot"></a>

Si l'installation de votre profil échoue après avoir activé **Utiliser Jamf Pro comme proxy SCEP pour l'inscription d'ordinateurs et d'appareils mobiles**, consultez les journaux de votre appareil et essayez ce qui suit.


| Message d'erreur du journal de l'appareil | Atténuation | 
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:15001>` | Si ce message d'erreur s'affiche alors que vous tentez de vous inscrire, recommencez l'inscription. Plusieurs essais peuvent être nécessaires avant que l'inscription ne réussisse. | 
| `Profile installation failed. Unable to obtain certificate from SCEP server at "<your-jamf-endpoint>.jamfcloud.com". <MDM-SCEP:14006>` | Votre mot de passe de défi est peut-être mal configuré. Vérifiez que le mot de passe de défi dans Jamf Pro correspond au mot de passe de défi de votre connecteur. | 

# Configuration de Microsoft Intune pour Connector pour SCEP
<a name="connector-for-scep-intune"></a>

Vous pouvez l'utiliser AWS CA privée en tant qu'autorité de certification (CA) externe avec le système de gestion des appareils mobiles (MDM) Microsoft Intune. Ce guide explique comment configurer Microsoft Intune après avoir créé un connecteur pour SCEP pour Microsoft Intune.

## Conditions préalables
<a name="connector-for-scep-intune-prerequisites"></a>

Avant de créer un connecteur pour SCEP pour Microsoft Intune, vous devez remplir les conditions préalables suivantes.
+ Créez un identifiant Entra.
+ Créez un tenant Microsoft Intune.
+ Créez un enregistrement d'application dans votre identifiant Microsoft Entra. Voir [Mettre à jour les autorisations demandées par une application dans l'identifiant Microsoft Entra](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) dans la documentation Microsoft Entra pour savoir comment gérer les autorisations au niveau de l'application pour l'enregistrement de votre application. L'enregistrement de l'application doit disposer des autorisations suivantes :
  + Sous **Intune**, définissez **scep\$1challenge\$1provider**.
  + **Pour **Microsoft Graph**, définissez **Application.Read.All et User.Read.****
+ Vous devez accorder l'application dans le cadre de votre accord d'administrateur pour l'enregistrement de l'application. Pour plus d'informations, consultez la section [Accorder le consentement d'un administrateur à l'échelle du locataire pour une application](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal) dans la documentation Microsoft Entra.
**Astuce**  
Lorsque vous créez l'enregistrement de l'application, prenez note de l'ID de l'**application (client) et de l'ID** du **répertoire (locataire) ou du domaine principal**. Lorsque vous créez votre connecteur pour SCEP pour Microsoft Intune, vous devez entrer ces valeurs. Pour plus d'informations sur la façon d'obtenir ces valeurs, voir [Création d'une application Microsoft Entra et d'un principal de service pouvant accéder aux ressources](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) dans la documentation Microsoft Entra.

## Étape 1 : accorder AWS CA privée l'autorisation d'utiliser votre application Microsoft Entra ID
<a name="connector-for-scep-intune-configure-pca"></a>

Après avoir créé un connecteur pour SCEP pour Microsoft Intune, vous devez créer un identifiant fédéré dans le cadre de l'enregistrement des applications Microsoft afin que le connecteur pour SCEP puisse communiquer avec Microsoft Intune.

**Pour configurer AWS CA privée en tant qu'autorité de certification externe dans Microsoft Intune**

1. Dans la console Microsoft Entra ID, accédez aux **enregistrements des applications**.

1. Choisissez l'application que vous avez créée pour l'utiliser avec Connector for SCEP. L'ID d'application (client) de l'application sur laquelle vous cliquez doit correspondre à celui que vous avez spécifié lors de la création du connecteur.

1. Sélectionnez **Certificats et secrets** dans le menu déroulant **Géré**.

1. Sélectionnez l'onglet **Federated credentials**.

1. Sélectionnez **Ajouter un identifiant.**

1. Dans le menu déroulant du **scénario d'identification fédérée**, sélectionnez **Autre** émetteur.

1. **Copiez et collez la valeur de l'**émetteur OpenID contenue** dans les détails de votre Connector for SCEP for Microsoft Intune dans le champ Émetteur.** Pour afficher les détails d'un connecteur, choisissez-le dans la liste [Connecteurs pour le SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) de la AWS console. Vous pouvez également obtenir l'URL en appelant [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)puis en copiant la `Issuer` valeur de la réponse.

1. Dans **Type**, sélectionnez **Identifiant de sujet explicite**.

1. Copiez et collez la valeur du **sujet OpenID** depuis votre connecteur dans le champ **Valeur**. Vous pouvez consulter la valeur de l'émetteur OpenID sur la page de détails du connecteur de la console. AWS Vous pouvez également obtenir l'URL en appelant [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)puis en copiant la `Audience` valeur de la réponse.

1. (Facultatif) Entrez le nom de l'instance dans le champ **Nom**. Par exemple, vous pouvez lui donner un nom **AWS CA privée**.

1. (Facultatif) Entrez une description dans le champ **Description**.

1. **Copiez et collez la valeur **OpenID Audience** depuis les détails de votre Connector for SCEP pour Microsoft Intune dans le champ Audience.** Pour afficher les détails d'un connecteur, choisissez-le dans la liste [Connecteurs pour le SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) de la AWS console. Vous pouvez également obtenir l'URL en appelant [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)puis en copiant la `Subject` valeur de la réponse.

1. Sélectionnez **Ajouter**.

## Étape 2 : configurer un profil de configuration Microsoft Intune
<a name="connector-for-scep-intune-config-profile"></a>

Une fois que vous AWS CA privée avez autorisé à appeler Microsoft Intune, vous devez utiliser Microsoft Intune pour créer un profil de configuration Microsoft Intune qui indique aux appareils de contacter Connector for SCEP pour l'émission de certificats.

1. Créez un profil de configuration de certificat fiable. Vous devez télécharger le certificat CA racine de la chaîne que vous utilisez avec Connector for SCEP dans Microsoft Intune pour établir la confiance. Pour plus d'informations sur la création d'un profil de configuration de certificat fiable, consultez la section [Profils de certificats racine fiables pour Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) dans la documentation Microsoft Intune.

1. Créez un profil de configuration de certificat SCEP qui oriente vos appareils vers le connecteur lorsqu'ils ont besoin d'un nouveau certificat. Le **type de profil du profil** de configuration doit être un **certificat SCEP**. Pour le certificat racine du profil de configuration, assurez-vous d'utiliser le certificat sécurisé que vous avez créé à l'étape précédente.

   Pour le **serveur SCEP URLs**, copiez et collez l'**URL SCEP contenue** dans les détails de votre connecteur dans le champ Serveur **SCEP**. URLs Pour afficher les détails d'un connecteur, choisissez-le dans la liste [Connecteurs pour le SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Vous pouvez également obtenir l'URL en appelant [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html), puis en copiant la `Endpoint` valeur de la réponse. Pour obtenir des conseils sur la création de profils de configuration dans Microsoft Intune, voir [Création et attribution de profils de certificat SCEP dans Microsoft Intune dans la documentation](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep) Microsoft Intune.
**Note**  
Pour les appareils autres que Mac OS et iOS, si vous ne définissez pas de période de validité dans le profil de configuration, Connector for SCEP émet un certificat d'une validité d'un an. Si vous ne définissez pas de valeur EKU (Extended Key Usage) dans le profil de configuration, Connector for SCEP émet un certificat avec l'EKU défini avec. `Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)` Pour les appareils macOS ou iOS, Microsoft Intune ne respecte `ExtendedKeyUsage` pas `Validity` les paramètres de vos profils de configuration. Pour ces appareils, Connector for SCEP délivre un certificat d'une durée de validité d'un an à ces appareils par le biais de l'authentification du client.

## Étape 3 : vérifier la connexion au connecteur pour SCEP
<a name="connector-for-scep-verify"></a>

Après avoir créé un profil de configuration Microsoft Intune qui pointe vers le point de terminaison Connector for SCEP, vérifiez qu'un appareil inscrit peut demander un certificat. Pour confirmer, assurez-vous qu'il n'y a aucun échec d'attribution de politique. Pour confirmer, sur le portail Intune, accédez à **Appareils > **Gérer les appareils**** > **Configuration** et vérifiez que rien n'est répertorié dans la section **Défaillances d'attribution des politiques de configuration**. Si tel est le cas, confirmez votre configuration à l'aide des informations issues des procédures précédentes. Si votre configuration est correcte et que des défaillances persistent, consultez [Collecter les données disponibles depuis un appareil mobile](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device).

Pour plus d'informations sur l'inscription d'appareils, voir [Qu'est-ce que l'inscription d'appareils ?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done) dans la documentation Microsoft Intune.

# Configurer Omnissa Workspace ONE pour Connector for SCEP
<a name="connector-for-scep-omnissa"></a>

Vous pouvez l'utiliser AWS CA privée en tant qu'autorité de certification externe avec le système Omnissa Workspace ONE UEM (Unified Endpoint Management). Ce guide fournit des instructions sur la façon de configurer Omnissa Workspace ONE après avoir créé un connecteur SCEP dans. AWS

## Conditions préalables
<a name="prerequisites"></a>

Avant de créer un connecteur SCEP pour Omnissa Workspace ONE, vous devez remplir les conditions préalables suivantes :
+ Créez une autorité de certification privée dans la AWS console. Pour de plus amples informations, veuillez consulter [Créez une autorité de certification privée dans AWS CA privée](create-CA.md).
+ Créez un connecteur SCEP à usage général. Pour plus d'informations, consultez la section [Création d'un connecteur](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console).
+ Disposer d'un compte administrateur de l'environnement Omnissa Workspace ONE actif avec un identifiant de groupe organisationnel.
+ Si vous inscrivez un appareil Apple, configurez le service de notification push Apple (APNs) pour le MDM. Pour plus d'informations, consultez la section [APNs Certificats](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html) dans la documentation d'Omnissa.

## Étape 1 : définir une autorité de certification et un modèle dans Omnissa Workspace ONE
<a name="step-1-define-certificate-authority-and-template"></a>

Après avoir créé un connecteur CA et SCEP privé dans la AWS console, définissez l'autorité de certification et le modèle dans Omnissa Workspace ONE.

**Ajouter AWS CA privée en tant qu'autorité de certification**

1. Dans le menu **Système**, choisissez **Enterprise Integration**, puis **Certificate Authorities**.

1. Choisissez **\$1 AJOUTER** et fournissez les informations suivantes :
   + **Nom** : AWS-Private-CA.
   + **Description** : AWS CA privée pour l'émission de certificats d'appareils.
   + **Type d'autorité** : sélectionnez le **SCEP générique**.
   + **URL SCEP** : entrez l'URL SCEP depuis. AWS CA privée
   + **Type de défi** : sélectionnez **STATIC**.
   + **Défi statique** : entrez le mot de passe du défi statique SCEP depuis le connecteur pour la configuration SCEP dans la AWS console.
   + Entrez les valeurs **Retry Timeout** et **Max Retries.**

1. Enregistrez la configuration.

**Création d'un modèle de certificat**

1. Dans le menu **Système**, choisissez **Enterprise Integration**, **Certificate Authorities**, puis **Templates**.

1. Choisissez **Ajouter des modèles** et fournissez les informations suivantes :
   + **Nom du modèle** : Device-Cert-Template.
   + **Autorité de certification** : choisissez **AWS-Private-CA**.
   + **Nom du sujet** : Il s'agit d'un champ personnalisable. Vous pouvez choisir des valeurs variables dans une liste d'attributs. Par exemple, CN= \$1DeviceReportedName\$1, O= \$1DevicePlatform\$1, OU= \$11\$1 CustomAttribute
   + **Longueur de la clé privée** : 2048 bits.
   + **Type de clé privée** : sélectionnez **Signature** et **chiffrement** selon les besoins
   + **Renouvellement automatique** : Enabled/Disabled (en fonction de vos besoins).

1. Enregistrez le modèle.

## Étape 2 : configurer un profil Omnissa Workspace ONE UEM
<a name="step-2-set-up-workspace-one-uem-profile-configuration"></a>

Créez un profil dans Omnissa Workspace ONE UEM qui dirige les appareils vers Connector pour que SCEP émette un certificat.

**Création d'un profil d'appareil SCEP pour la distribution de certificats**

1. Dans le menu **Ressources**, choisissez **Profils et lignes de base**, puis **Profils**.

1. Choisissez **Ajouter** puis **Ajouter un profil**

1. Sélectionnez la plate-forme de l'appareil (**Android**, **iOS**, **macOS**, **Windows**).

1. Définissez le **type de gestion** et **le contexte** appropriés.

1. Définissez le **nom** : Device-Cert-Profile.

1. Faites défiler la page jusqu'à **SCEP Payload**.

1. Sélectionnez **SCEP**, puis choisissez **\$1Ajouter**.

1. Utilisez la configuration suivante :
   + **ÉTAPE** :
     + Pour **Source d'informations d'identification**, sélectionnez **Autorité de certification définie** (par défaut).
     + Pour **Autorité de certification**, sélectionnez **AWS-Private-CA**
     + Pour **Modèle de certificat**, sélectionnez le **Device-Cert-Template** défini à l'étape 1.

1. Choisissez **Next** et dans la section **Affectation**, sélectionnez le bon groupe intelligent dans la liste (groupe d'attribution pour l'appareil).

1. Sélectionnez le **type d'affectation** **Auto** pour activer le renouvellement automatique.

1. Enregistrez et publiez le profil.

**Note**  
Pour plus d'informations, consultez la [section SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html) dans la documentation d'Omnissa.

## Étape 3 : Inscrire des appareils dans Omnissa Workspace ONE
<a name="step-3-enroll-devices-in-workspace-one-uem"></a>

**Création ou vérification d'un groupe intelligent**

1. Dans **Groupes et paramètres**, choisissez **Groupes**, puis **Groupes d'affectation**.

1. Créez ou modifiez le groupe intelligent POC-Devices :
   + **Nom** : POC-Devices.
   + **Type d'appareil** : sélectionnez **Tout** ou une plateforme spécifique (Android ou iOS, par exemple).
   + **Critères** : utilisation **UserGroup**, **plate-forme et système d'exploitation**, **OEM et modèle** pour spécifier les critères permettant de regrouper les équipements cibles.
   + **Propriété** : sélectionnez **N'importe** lequel pour les appareils personnels ou professionnels.

1. Enregistrez et vérifiez que les équipements cibles apparaissent dans l'onglet **Aperçu**.

### Enrôlement manuel des appareils
<a name="manual-device-enrollment"></a>

Android  
+ Téléchargez l'application **Workspace ONE Intelligent Hub** depuis Google Play.
+ Ouvrez l'application et saisissez l'URL d'inscription ou scannez un code QR.
+ Connectez-vous et suivez les instructions pour vous inscrire en tant qu'appareil géré par MDM.

iOS/macOS  
+ Sur l'appareil, ouvrez **Safari** et accédez à l'URL d'inscription (https://<Workspace ONEUEMHostname >/enroll, par exemple).
+ Connectez-vous à l'aide des informations d'identification de l'utilisateur.
+ Téléchargez et installez l'application **Workspace ONE Intelligent Hub** depuis l'App Store.
+ **Suivez les instructions pour installer le profil MDM dans **Paramètres** > **Général** > **Gestion des VPN et des appareils** > **Profil** > Installer.**

Windows  
+ Téléchargez le **Workspace ONE Intelligent Hub** depuis le serveur Workspace ONE ou le Microsoft Store.
+ Inscrivez-vous via le Hub en utilisant l'URL d'inscription et les informations d'identification.

Attribuez les appareils inscrits au groupe intelligent POC-Devices dans **Appareils** > **Affichage en liste** > **Autres actions** > **Attribuer au groupe intelligent**.

Pour plus d'informations, consultez la section [Inscription automatisée des appareils](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html) dans la documentation d'Omnissa.

**Vérifier l'inscription**

1. **Dans la console Omnissa Workspace ONE UEM, accédez à **Appareils, puis à Affichage** en liste.**

1. Vérifiez que le statut des appareils que vous avez **inscrits est défini sur Inscrit**.

1. Vérifiez que les appareils font partie du groupe intelligent POC-Devices dans l'onglet **Groupes des** détails de l'**appareil**.

## Étape 4 : Émettre un certificat
<a name="step-4-certificate-issuance"></a>

**Déclencher l'émission d'un certificat**

1. Dans la **vue Liste des** **appareils**, sélectionnez l'appareil inscrit.

1. Cliquez sur le bouton **Requête** pour demander un enregistrement.

1. Ils Device-Cert-Profile doivent délivrer un certificat via. AWS CA privée

**Vérifier l'installation du certificat**

Android  
Choisissez **Paramètres**, **Sécurité**, **Informations d'identification fiables**, puis **Utilisateur** pour vérifier le certificat.

iOS  
Accédez à **Paramètres**, puis choisissez **Général**, **VPN et gestion des appareils**, puis **Profil de configuration**. Vérifiez que le certificat de AWS-Private-CA est présent.

macOS  
Ouvrez **Keychain Access** puis **System Keychain** et vérifiez le certificat.

Windows  
Ouvrez **certmgr.msc**, puis **Personal**, puis **Certificates** pour vérifier le certificat.

## Résolution des problèmes
<a name="troubleshooting"></a>

Erreurs SCEP (« 22013 - Le serveur SCEP a renvoyé une réponse non valide » par exemple)  
+ Vérifiez que l'URL SCEP et le mot de passe de défi statique dans Workspace ONE correspondent AWS CA privée.
+ <SCEP\$1URL>Testez la connectivité des terminaux SCEP : curl.
+ Vérifiez AWS CloudTrail les journaux pour AWS CA privée détecter les erreurs (`IssueCertificate`défaillances, par exemple).

APNs problèmes (iOS/macOS)  
+ Assurez-vous que le APNs certificat est valide et attribué au groupe organisationnel approprié.
+ Tester APNs la connectivité : telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195.

Défaillances d'installation du profil  
+ Vérifiez que les appareils appartiennent au groupe intelligent approprié (**appareils**, puis **affichage en liste**, puis **groupes**).
+ Forcer la synchronisation des profils : **Plus d'actions**, puis **Envoyer**, puis **Liste des profils**.

Journaux  
+ Android : utilisez les **journaux Logcat** ou Workspace ONE.
+ iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleConfigurateur).
+ Windows : **Observateur d'événements**, puis **journaux des applications et des services**, puis **Microsoft-Windows** -. DeviceManagement
+ Workspace ONE UEM : **Surveiller**, puis **Rapports et analyses**, puis **Événements**, puis **Événements liés aux appareils**.

Pour obtenir des informations détaillées sur le connecteur pour la surveillance SCEP AWS, voir [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html).

## Considérations sur la sécurité
<a name="security-considerations"></a>
+ Stockez le SCEP URLs et les secrets en toute sécurité. Pour plus d'informations, consultez le [AWS Secrets Manager service](https://docs.aws.amazon.com/secretsmanager/).
+ Limitez les critères des groupes intelligents aux appareils cibles uniquement.
+ Renouvelez régulièrement les certificats Apple Push Notifications (APNs) (valables 1 an).
+ Définissez de courtes périodes de validité des certificats pour les projets de preuve de concept afin de minimiser les risques.
+ Pour les appareils personnels, assurez-vous que le nettoyage supprime tous les profils et certificats.

Pour plus d'informations sur la configuration de l'intégration entre Omnissa Workspace ONE UEM et CA à l'aide d'un connecteur SCEP, consultez le [SCEP dans](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.) la documentation d'Omnissa Workspace ONE.