Configurez Microsoft™ Intune comme gestionnaire de vos appareils.
Avant de commencer
- Vous devez disposer des droits d'administration pour effectuer cette tâche.
- Connectez-vous à la IBM® Verify console d'administration en tant qu'administrateur.
Remarque : chaque locataire nécessitant une authentification par l' mTLS doit disposer
- Un nom d'hôte fictif a été configuré. Voir la section « Obtenir un nom d'hôte personnalisé ».
- Les certificats CA racine et intermédiaires du locataire téléchargés vers l'infrastructure périphérique (Akamai) pour le nom d'hôte personnalisé.
Les appareils s'authentifient directement auprès du nom d'hôte personnalisé du locataire à l'aide de leurs certificats clients. Les points de terminaison suivants sont utilisés.
- Authentification : https://{vanity-hostname}/v1.0/mdm/mtls
- Activités du SCEP : https://{vanity-hostname}/v1.0/mdm/scep
A propos de cette tâche
- Systèmes d'exploitation pris en charge
- Windows 8.1 et versions ultérieures
- MacOS 10.13 et versions ultérieures
- Modèle de confiance
- Verify fait office d'autorité de certification (CA) SCEP et délivre des certificats clients aux appareils enregistrés. Le certificat racine, le certificat intermédiaire et les profils de certificats SCEP que vous configurez permettent ce processus d'émission de certificats.
Dans le cadre de l'authentification par TLS mutuelle ( mTLS ), lorsqu'un appareil tente de s'authentifier, il présente son certificat client à Verify. Le certificat est validé par l'autorité de certification Verify CA afin d'établir une relation de confiance cryptographique et de vérifier l'identité de l'appareil.
Une fois le certificat validé, Verify utilise les autorisations configurées pour interroger l'API Microsoft Graph afin de récupérer auprès d'Intune des informations en temps réel sur l'état de sécurité et la conformité des appareils. Ces informations essentielles en matière de conformité comprennent :
Tous ces attributs peuvent être utilisés dans le cadre des décisions relatives aux politiques d'accès. Voir «
Gestion des politiques d'accès ».
Remarque : si un appareil est compromis, supprimez-le de IBM Verify; cela déclenchera immédiatement la procédure de révocation du certificat. Tous les certificats associés à l'appareil sont immédiatement révoqués. L'appareil ne peut plus s'authentifier, même s'il dispose toujours du fichier de certificat.
- Configuration requise pour le serveur SCEP
Aucune infrastructure SCEP externe n'est requise. La fonctionnalité de serveur SCEP est intégrée au service mdm-broker et prend en charge toutes les opérations SCEP standard :
- GetCACaps - Fournit des fonctionnalités CA
- GetCACert - Renvoie la chaîne de certificats CA
- PKIOperation - Traite les demandes d'inscription et de renouvellement de certificats
IBM Verify fournit un serveur SCEP intégré et une autorité de certification (CA). Les appareils gérés transmettent des demandes de signature de certificat (CSR) aux terminaux Verify SCEP via le protocole SCEP standard (PKIOperation). Verify fait office à la fois de serveur SCEP et d'autorité de certification (CA) de signature; il traite ces demandes et délivre des certificats clients signés conformément au profil SCEP configuré.
L'ensemble du cycle de vie des certificats SCEP — y compris leur génération, leur signature, leur stockage et leur renouvellement — est géré en interne par Verify.
Remarque : Si vous utilisez Safari MacOS, vous pourriez rencontrer un problème où vous n’êtes pas invité à saisir les certificats clients émis par le gestionnaire de périphériques Intune. Pour résoudre ce problème, vous devez configurer la préférence d'identité de la chaîne de certificats MacOS.
- Sur votre Mac, ouvrez l'application « Accès au trousseau ».
- Ajoutez une préférence d'identité pour le certificat client.
- Définissez l'emplacement de préférence d'identité sur URL d'authentification du titulaire + (espace) + (com.apple.Safari). Par exemple, https://{tenant_vanity_hostname}/usc.
La préférence d'identité se trouve désormais dans », et la demande de certificat fonctionne correctement.
Procédure
- Sélectionnez ».
- Sélectionnez « Ajouter un gestionnaire de périphériques ».
- Sélectionnez le type de gestionnaire de périphériques que vous souhaitez configurer.
- Cliquez sur Suivant.
- Sur la page « Paramètres généraux », saisissez les informations suivantes.
- Saisissez le nom du gestionnaire de périphériques dans le champ prévu à cet effet.
- Sélectionnez le fournisseur d'identité dans le menu.
- Sélectionnez le type de fiducie dans le menu. Pour sélectionner la confiance d'un appareil, les utilisateurs doivent se connecter à l'aide du mécanisme d'authentification à un facteur qu'ils ont configuré. La confiance dans l'appareil fournit des attributs de gestion des appareils à une session d'authentification existante.
Remarque : la fonctionnalité « Séparation entre l'authentification des appareils et celle des utilisateurs » CI-114829 peut être activée sur demande. Pour demander cette fonctionnalité, veuillez contacter votre représentant commercial IBM ou votre interlocuteur IBM et lui faire part de votre souhait de l'activer. Créez un ticket d'assistance si vous en avez l'autorisation. IBM Verify Les abonnements d'essai ne permettent pas de créer des tickets d'assistance.
- Indiquez si vous souhaitez activer l'application des accès JIT pour les comptes utilisateur.
Remarque : la création de comptes utilisateurs « juste à temps » (JIT) ne s'applique que lorsque l'on opte pour la confiance des utilisateurs et des appareils.
- Sélectionnez la durée de validité du certificat client. Un gestionnaire de périphériques peut être configuré pour délivrer des certificats d'une durée de 90, 180 ou 365 jours, ou de 3 ans. Par défaut, la période sélectionnée est de 3 ans. Les organisations peuvent choisir la durée de validité qui correspond à leurs politiques de sécurité et à leurs exigences de conformité. Des durées de validité plus courtes réduisent la période d'exposition en cas de compromission d'un certificat, tandis que des durées plus longues réduisent la fréquence des opérations de renouvellement.
- Spécifiez le nombre maximal de certificats de chaque périphérique. Le renouvellement des certificats est géré automatiquement par l'appareil lorsque la durée de validité restante d'un certificat passe en dessous du seuil de renouvellement défini dans le profil SCEP. L'appareil lance automatiquement une demande de renouvellement. Le processus de renouvellement est transparent pour l'utilisateur final et ne nécessite aucune intervention manuelle. Une fois le renouvellement effectué, l'ancien certificat est automatiquement révoqué.
Verify assure une révocation complète des certificats dans divers scénarios.
- Renouvellement de certificat
- Suppression d'un appareil dans Verify
- Suppression d'un utilisateur dans Verify
- Expiration du certificat
- Spécifiez le nombre de minutes pendant lesquelles les informations sur l'utilisateur et le périphérique sont conservées.
- Cliquez sur Suivant.
- Sur la page des identifiants API, saisissez les informations API de votre application à l'adresse Azure Active Directory.
- Si vous disposez déjà de l'application, sélectionnez Formulaire uniquement.
- Spécifiez l'ID d'application, le secret et le nom du titulaire.
- Sélectionnez
Unique user identifier un élément dans une liste d'attributs prédéfinis, ou sélectionnez « Règle personnalisée » pour définir les correspondances d'attributs. Si vous choisissez d'utiliser une règle personnalisée, vous pouvez ajouter des attributs personnalisés et une règle. Saisissez la règle permettant de calculer la valeur de l'attribut. Par exemple :requestContext.email[0].split('@')[0]
Remarque : la sélection de règles personnalisées ne s'applique pas à la confiance des appareils. Vous pouvez toutefois saisir l'attribut correspondant dans le champ prévu à cet effet.
- Sélectionnez Test credentials pour vérifier vos données d'identification.
- Cliquez sur Suivant.
- Si vous créez une application, sélectionnez Afficher avec les étapes et suivez les instructions.
- Dans le portail Azure, rendez-vous à l'adresse , puis sélectionnez « Nouvel enregistrement ».
- Sur la page Inscrire une application, indiquez les détails suivants.
- Nom
- Entrez un nom d'application pertinent, par exemple « IBM Verify ».
- Types de compte pris en charge
- Sélectionnez Comptes dans un répertoire de l'organisation.
- URI de redirection
Remarque : le champ « URI de redirection » peut être laissé vide lors de la configuration de l'enregistrement de l'application.
- Sélectionnez Register.
- Dans la page de présentation de l'application, copiez la valeur Application (client) ID, puis collez-la dans la zone Entrez l'ID d'application.
- Dans la page de navigation de l'application, sous « Gérer », sélectionnez « Certificats et secrets », puis « Nouveau secret client ».
- Entrez une description, sélectionnez une option pour Expires, puis cliquez sur Ajouter.
- Collez le secret client dans la zone Entrez la valeur confidentielle de l'application.
- Dans le champ « Nom du tenant », saisissez le nom de votre tenant Microsoft Entra ID.
- Sélectionnez ou saisissez un attribut d'identifiant utilisateur unique.
- Dans la page de navigation de l'application, sous « Gérer », sélectionnez « Autorisations API », puis « Ajouter une autorisation ».
- Sélectionnez Intune, puis sélectionnez « Autorisations d'application ». Cochez la case scep_challenge-provider.
- Sélectionnez Add permissions.
- Dans le panneau de navigation de l'application, sous Manage, sélectionnez API permissions, puis sélectionnez Add a permission.
- Sélectionnez « Microsoft Graph », puis « Autorisations de l'application ».
- Cochez la case « DeviceManagementManagedDevices ». Read.All, User.Read.All et Application.Read.All.
- Sélectionnez Add permissions.
- Sélectionnez Grant admin consent for Microsoft, puis Oui.
- Sélectionnez Test credentials pour vérifier vos données d'identification.
Le bouton « Tester les identifiants » permet de vérifier que
- Les informations d'identification sont correctement formatées.
- L'identifiant client et la clé secrète client sont valides.
- Microsoft Entra ID est accessible.
- Un jeton d'accès à l' OAuth e peut être obtenu auprès de Microsoft.
Il ne teste pas :
- Autorisations API (par exemple, DeviceManagementManagedDevices.Read.All)
- Possibilité de lire les informations d' /dev s des utilisateurs à partir de Microsoft Graph
- Connexion réseau aux points de terminaison de l'API Microsoft Graph
- Exhaustivité de la configuration des locataires
- Tests réussis :
- OAuth Jeton d'accès obtenu avec succès par https://login.microsoftonline.com/{tenant}/oauth2/v2.0/token.
Remarque : le fait que la vérification des identifiants aboutisse ne garantit PAS que l'intégration fonctionne. Ce test ne vérifie que l'authentification, et non les autorisations API ni l'accès aux données. Une validation complète nécessite de tester l'enregistrement des appareils en conditions réelles.
- Échec du test :
- HTTP Le code de réponse 400 est renvoyé avec l'erreur suivante :Connection to MicrosoftIntune failed.
- Les causes courantes sont un identifiant client ou une clé secrète non valide, un nom de tenant incorrect, des problèmes de réseau ou des informations d'identification périmées.
- Traitement des incidents
- Réponse à la requête « HTTP » : en cas de réussite, renvoie les URL SCEP; en cas d'échec, renvoie un message d'erreur.
- Vérifier la configuration d' Azure : Vérifiez l'ID client, la clé secrète et le nom du tenant dans le portail Azure.
- Vérifier les autorisations API : assurez-vous que les autorisations Microsoft Graph requises ont été accordées avec l'accord de l'administrateur.
- Test de bout en bout : procédez à l'enregistrement réel d'un appareil pour vérifier que l'intégration est complète.
- Cliquez sur Suivant.
- Dans la page Propriétés de l'utilisateur (qui s'ouvre lorsque vous sélectionnez la confiance de l'utilisateur et du périphérique) ou Propriétés du périphérique (qui s'ouvre lorsque vous sélectionnez la confiance du périphérique), mappez les attributs du gestionnaire de périphériques aux IBM Verify attributs.
Remarque : les noms d'attributs ne sont pas sensibles à la casse et les attributs en double ne sont pas autorisés.
- Sélectionnez l'attribut du gestionnaire de périphériques.
Les attributs du gestionnaire de périphériques Intune pouvant être mappés sont ceux renvoyés par les points de terminaison de l'API Microsoft Graph :
- /deviceManagement/managedDevices
- /users/{userId}
- Les attributs utilisateur d'Intune sont décrits par Microsoft dans la section « Type de ressource utilisateur ». Sélectionnez « Propriétés » dans le menu « Dans cet article ».
- Les attributs des appareils Intune sont décrits par Microsoft à l'adresse managedDevice resouce-type. Sélectionnez « Propriétés » dans le menu « Dans cet article ».
Remarque : pour associer un attribut de périphérique à Verify, il doit être précédé de la chaîne «
mdmDevice:: ». Par exemple, si vous souhaitez associer l'attribut
complianceState « device » à « Verify », vous devrez l'écrire comme suit :
mdmDevice::complianceState
Les attributs utilisateur ne nécessitent pas de préfixe.
Attributs de l'appareil, tels que mdmDevice::complianceState la carte provenant d'un seul appareil enregistré. Dans les configurations multi-appareils, cette valeur peut présenter des incohérences. Ne mappez les attributs des appareils dans Verify que lorsque les utilisateurs sont censés être limités à un seul appareil.
- Facultatif : sélectionnez une transformation dans le menu.
- Obligatoire : sélectionnez l'attribut Verify auquel vous souhaitez associer cet attribut.
- Sélectionnez les modes de stockage de l'attribut dans le profil de l'utilisateur.
- Facultatif : cliquez sur « Ajouter des attributs ».
Si vous choisissez d'utiliser une règle personnalisée, vous pouvez ajouter des attributs personnalisés un par un à cette règle. Saisissez la règle permettant de calculer la valeur de l'attribut. Par exemple :
idsuser.email[0].split('@')[0]
Cliquez sur «
Exécuter le test » pour vérifier que la règle fonctionne.
- Cliquez sur « Enregistrer et continuer ».
Le gestionnaire de périphériques est sauvegardé.
- Créez le profil de certificat racine.
Suivez les instructions fournies.
- Téléchargez les fichiers de certificats .zip racine et de profil fournis ci-dessous.
- Connectez-vous à Microsoft Endpoint Manager, puis accédez à .
- Pour créer un profil de certificat racine, sélectionnez « Créer un profil » et choisissez les paramètres suivants :
- Plateforme
- Sélectionnez la plateforme appropriée.
- Profil
- Certificat de confiance.
- Sélectionnez Créer.
- Donnez un nom au profil de certificat racine, par exemple « WIN10_RootCA_Cert », puis cliquez sur Suivant.
- Téléchargez le profil de certificat racine que vous avez téléchargé à l'étape 1, définissez le magasin de destination sur « Magasin de certificats de l'ordinateur - Racine », puis cliquez sur Suivant.
- Définissez le champ « Attribuer à » pour les utilisateurs ou les groupes avec lesquels vous souhaitez effectuer le test, puis cliquez sur Suivant.
- Sélectionnez Créer.
- Répétez les étapes 2 à 8 pour le certificat intermédiaire.
- Cliquez sur Suivant.
- Sur la page du profil de certificat SCEP, saisissez les informations relatives à l'API de votre application à l'adresse AzureActive Directory.
- Si vous disposez déjà d'un profil de certificat SCEP, sélectionnez Valeurs uniquement.
- Spécifiez le sujet et l'URL SCEP.
- Cliquez sur Suivant.
- Si vous créez un profil de certificat SCEP, sélectionnez Afficher avec les étapes et suivez les instructions.
- Pour créer un profil de certificat SCEP, sélectionnez Create profile et choisissez les paramètres suivants :
- Plateforme
- Sélectionnez la plateforme appropriée.
- Profil
- TrustedSCEP certificat.
- Sélectionnez Créer.
- Nommez le profil de certificat racine, par exemple WIN10_RootCA_Cert et sélectionnez Suivant.
- Utilisez les paramètres de configuration suivants :
- Type de certificat
- Utilisateur.
- Format du nom de sujet
- Personnalisé.
- Personnalisé
- CN généré automatiquement.
- Autre nom du sujet
- Nom principal de l'utilisateur (UPN).
- Période de validité du certificat
- 1 an.
- Fournisseur de stockage de clé (KSP)
- Si disponible, inscription au KSP TPM (Trusted Platform Module) ; sinon, inscription à un KSP logiciel.
- Utilisation de la clé
- Chiffrement de la clé, signature numérique.
- Taille de la clé (bits)
- 2048.
- Algorithme de hachage
- SHA-2.
- Certificat racine
- Sélectionnez le profil de certificat racine que vous avez créé et nommé à l'étape 11.
- Utilisation de la clé étendue
- Sélectionnez « Authentification client » dans le menu « Valeurs prédéfinies ».
- Seuil de renouvellement
- 20.
- URL de serveur SCEP
- URL générée automatiquement.
- Sélectionnez Suivant et affectez les utilisateurs ou les groupes avec lesquels vous souhaitez tester la connexion.
- Sélectionnez Créer.
- Cliquez sur Suivant.
- Définissez les portées MDM.
Suivez les instructions.
- Dans le centre d’administration Microsoft Endpoint Manager, choisissez .
- Sélectionnez Microsoft Intune pour configurer Intune.
- Sélectionnez « Certains » dans le périmètre des utilisateurs MDM pour utiliser l'inscription automatique MDM afin de gérer les données d'entreprise sur les appareils Windows™ de vos employés.
Les inscriptions automatiques MDM sont configurées pour les appareils intégrés à AAD et les scénarios de type « Apportez votre propre appareil » (BYOD).
- Sélectionnez .
- Sélectionnez « Certains » dans le champ « Utilisateurs MAM » pour gérer les données sur les appareils de votre personnel.
- Sélectionnez .
- Utilisez les valeurs par défaut pour les valeurs de configuration restantes.
- Cliquez sur Enregistrer.
- Cliquez sur Suivant.
- Testez la configuration.
Suivez les instructions.
- Sélectionnez « Terminer l'installation ».
- Passez en revue vos paramètres.
- Cliquez sur « Enregistrer les modifications ».