Ajout d'un gestionnaire de périphériques Intune

Configurez Microsoft Intune comme gestionnaire de périphériques.

Avant de commencer

Remarque: Les titulaires globaux mtlsidaas pour les gestionnaires de périphériques sont désormais obsolètes et seront supprimés après mars 2024. Accédez à Obtention d'un nom d'hôte personnalisé pour demander un domaine personnalisé. Pour plus d'informations, voir Ajout d'un gestionnaire de périphériques.
  • Vous devez disposer des droits d'administration pour effectuer cette tâche.
  • Connectez-vous à la console d'administration IBM Verify en tant qu'administrateur.

A propos de cette tâche

Systèmes d'exploitation pris en charge
  • Windows 8.1 et versions ultérieures
  • MacOS 10.13 et versions ultérieures
Remarque: Si vous utilisez MacOS Safari, il se peut que vous ne soyez pas invité à entrer les certificats client émis par le gestionnaire de périphériques Intune. Pour résoudre ce problème, vous devez configurer la préférence d'identité de la chaîne de certificats MacOS.
  1. Sur votre système Mac, accédez à Keychain Access.
  2. Ajoutez une préférence d'identité pour le certificat client.
  3. Définissez l'emplacement de préférence d'identité sur URL d'authentification du titulaire + (espace) + (com.apple.Safari). Par exemple, https://{mtls_enabled_tenant_name}/usc.
La préférence d'identité se trouve désormais dans Keychain Access > login > Tous les éléments et l'invite de certificat fonctionne correctement.

Procédure

  1. Sélectionnez Authentification > Gestionnaires de périphériques.
  2. Sélectionnez Ajouter un gestionnaire de périphériques.
  3. Sélectionnez le Type du gestionnaire de périphériques que vous souhaitez configurer.
  4. Sélectionnez Suivant.
  5. Dans la page Paramètres généraux , fournissez les informations suivantes.
    • Entrez le nom du gestionnaire de périphériques dans la zone fournie.
    • Sélectionnez le fournisseur d'identité dans le menu.
    • Sélectionnez le Type de confiance dans le menu. Pour la sélection Confiance dans l'appareil, les utilisateurs doivent se connecter avec le mécanisme d'authentification à premier facteur qu'ils ont configuré. La confiance dans l'appareil ne fait que confirmer si l'authentification est effectuée à partir de l'appareil géré ou non.
      Remarque : la fonction " Device trust" CI-114829 peut être activée sur demande. Pour demander cette fonctionnalité, contactez votre représentant commercial IBM ou votre contact IBM et indiquez votre intérêt pour l'activation de cette fonctionnalité. Créez un ticket d'assistance si vous en avez l'autorisation. IBM Verify les abonnements d'essai ne peuvent pas créer de tickets d'assistance.
    • Indiquez si vous souhaitez activer l'application des accès JIT pour les comptes utilisateur.
      Note: Le provisionnement Just-in-Time (JIT) pour les comptes d'utilisateurs n'est applicable qu'en cas de sélection de la confiance de l'utilisateur et de l'appareil.
    • Sélectionnez la Période de validité du certificat du client. Par défaut, la sélection est de 3 ans.
    • Spécifiez le nombre maximal de certificats de chaque périphérique.
    • Spécifiez le nombre de minutes pendant lesquelles les informations sur l'utilisateur et le périphérique sont conservées.
  6. Sélectionnez Suivant.
  7. Sur la page Données d'identification de l'API , entrez les détails de l'API de votre application dans Azure Active Directory.
    • Si vous disposez déjà de l'application, sélectionnez Formulaire uniquement.
      1. Spécifiez l'ID d'application, le secret et le nom du titulaire.
      2. Sélectionnez Unique user identifier dans une liste prédéfinie d'attributs ou sélectionnez Règle personnalisée pour spécifier les mappages d'attributs. Si vous choisissez d'utiliser une règle personnalisée, vous pouvez ajouter des attributs personnalisés et une règle. Entrez la règle de calcul de la valeur d'attribut. Par exemple :
        requestContext.email[0].split('@')[0]
        Note: La sélection de règles personnalisées ne s'applique pas à la confiance dans les appareils. Toutefois, vous pouvez saisir l'attribut approprié dans le champ prévu à cet effet.
      3. Sélectionnez Test credentials pour vérifier vos données d'identification.
      4. Sélectionnez Suivant.
    • Si vous créez une application, sélectionnez Afficher avec les étapes et suivez les instructions.
      1. Dans le portail Azure, allez à Azure Active Directory > Enregistrements d'applications et sélectionnez Nouvelle inscription.
      2. Sur la page Inscrire une application, indiquez les détails suivants.
        Nom
        Saisissez un nom d'application significatif, par exemple IBM Verify.
        Types de compte pris en charge
        Sélectionnez Comptes dans un répertoire de l'organisation.
        URI de redirection
        Conservez la section par défaut Web, puis spécifiez l'URL de connexion du serveur SCEP tiers.
      3. Sélectionnez Register.
      4. Dans la page de présentation de l'application, copiez la valeur Application (client) ID, puis collez-la dans la zone Entrez l'ID d'application.
      5. Dans la page de navigation de l'application, sous Gérer, sélectionnez Certificats et secrets et sélectionnez Nouveau secret client.
      6. Entrez une description, sélectionnez une option pour Expires, puis cliquez sur Ajouter.
      7. Collez le secret client dans la zone Entrez la valeur confidentielle de l'application.
      8. Copiez l'ID de titulaire (le texte du domaine après le signe @ dans votre compte) et collez-le dans la zone Nom du titulaire.
      9. Sélectionnez ou entrez un attribut d'identificateur utilisateur unique.
      10. Dans la page de navigation de l'application, sous Gérer, sélectionnez Droits de l'API, puis sélectionnez Ajouter un droit.
      11. Sélectionnez Intune , puis Application permissions. Cochez la case scep_challenge-provider.
      12. Sélectionnez Add permissions.
      13. Dans le panneau de navigation de l'application, sous Manage, sélectionnez API permissions, puis sélectionnez Add a permission.
      14. Sélectionnez Microsoft Graph, puis Application permissions. .
      15. Cochez la case pour DeviceManagementManageDevices.Read.All, User.Read.All, et Application.Read.All.
      16. Sélectionnez Add permissions.
      17. Sélectionnez Grant admin consent for Microsoft, puis Oui.
      18. Sélectionnez Test credentials pour vérifier vos données d'identification.
      19. Sélectionnez Suivant.
  8. Sur la page Propriétés de l'utilisateur (s'ouvre en cas de sélection de confiance de l'utilisateur et du périphérique) ou Propriétés du périphérique (s'ouvre en cas de sélection de confiance du périphérique), mappez les attributs du gestionnaire de périphérique sur les attributs IBM Verify.
    Remarque: les noms d'attribut sont insensibles à la casse et les attributs en double ne sont pas autorisés.
    1. Sélectionnez l'attribut de gestionnaire de périphériques.
    2. Facultatif: Sélectionnez une transformation dans le menu.
    3. Obligatoire: Sélectionnez l'attribut Verify auquel vous souhaitez mapper l'attribut.
    4. Sélectionnez les modes de stockage de l'attribut dans le profil de l'utilisateur.
  9. Facultatif: Cliquez sur Ajouter des attributs.
    Si vous choisissez d'utiliser une règle personnalisée, vous pouvez ajouter des attributs personnalisés un par un et une règle. Entrez la règle de calcul de la valeur d'attribut. Par exemple :
    idsuser.email[0].split('@')[0]
    Cliquez sur Exécuter le test pour vérifier que la règle fonctionne.
  10. Sélectionnez Enregistrer et continuer.
    Le gestionnaire de périphériques est sauvegardé.
  11. Créez le profil de certificat racine.
    Suivez les instructions fournies.
    1. Téléchargez les fichiers .zip de certificat racine et de profil suivants qui sont fournis.
    2. Connectez-vous à Microsoft Endpoint Manager et ouvrez Dispositifs > Profils de configuration.
    3. Pour créer un profil de certificat racine, sélectionnez Créer un profil et choisissez les paramètres suivants:
      Plateforme
      Sélectionnez la plateforme appropriée.
      Profil
      Certificat digne de confiance.
    4. Sélectionnez Créer.
    5. Nommez le profil de certificat racine, par exemple WIN10_RootCA_Cert, puis sélectionnez Suivant.
    6. Téléchargez le profil de certificat racine que vous avez téléchargé à l'étape 1, définissez le magasin de destination sur Magasin de certificats d'ordinateur-Racineet sélectionnez Suivant.
    7. Définissez Affecter à sur les utilisateurs ou les groupes avec lesquels vous souhaitez effectuer le test et sélectionnez Suivant.
    8. Sélectionnez Créer.
    9. Répétez les étapes 2 à 8 pour le certificat intermédiaire.
  12. Sélectionnez Suivant.
  13. Sur la page Profil de certificat SCEP , entrez les détails de l'API de votre application dans Azure Active Directory.
    • Si vous disposez déjà d'un profil de certificat SCEP, sélectionnez Valeurs uniquement.
      1. Spécifiez le sujet et l'URL SCEP.
      2. Sélectionnez Suivant.
    • Si vous créez un profil de certificat SCEP, sélectionnez Afficher avec les étapes et suivez les instructions.
      1. Pour créer un profil de certificat SCEP, sélectionnez Create profile et choisissez les paramètres suivants :
        Plateforme
        Sélectionnez la plateforme appropriée.
        Profil
        CertificatTrustedSCEP.
      2. Sélectionnez Créer.
      3. Nommez le profil de certificat racine, par exemple WIN10_RootCA_Cert et sélectionnez Suivant.
      4. Utilisez les paramètres de configuration suivants :
        Type de certificat
        Utilisateur.
        Format du nom de sujet
        Personnalisé.
        Personnalisé
        CN généré automatiquement.
        Autre nom du sujet
        Nom principal de l'utilisateur (UPN).
        Période de validité du certificat
        1 an.
        Fournisseur de stockage de clé (KSP)
        Si disponible, inscription au KSP TPM (Trusted Platform Module) ; sinon, inscription à un KSP logiciel.
        Utilisation de la clé
        Chiffrement de la clé, signature numérique.
        Taille de la clé (bits)
        2048.
        Algorithme de hachage
        SHA-2.
        Certificat racine
        Sélectionnez le profil de certificat racine que vous avez créé et nommé à l'étape 11.
        Utilisation de la clé étendue
        Sélectionnez Authentification du client dans le menu Valeurs prédéfinies .
        Seuil de renouvellement
        20.
        URL de serveur SCEP
        URL générée automatiquement.
      5. Sélectionnez Suivant et affectez les utilisateurs ou les groupes avec lesquels vous souhaitez tester la connexion.
      6. Sélectionnez Créer.
      7. Sélectionnez Suivant.
  14. Définissez les portées MDM.
    Suivez les instructions.
    1. Dans le centre d'administration de Microsoft Endpoint Manager, choisissez Tous les services > M365 Azure Active Directory > Azure Active Directory > Mobilité (MDM et MAM).
    2. Sélectionnez Microsoft Intune pour configurer Intune.
    3. Sélectionnez Some dans la portée utilisateur MDM pour utiliser l'inscription automatique MDM afin de gérer les données d'entreprise sur les appareils Windows de vos employés.
      Les inscriptions automatiques MDM sont configurées pour les appareils joints à AAD et apportent vos propres scénarios d'appareil.
    4. Sélectionnez Sélectionner les groupes > Groupes/utilisateurs sélectionnés > Sélectionner comme groupe assigné.
    5. Sélectionnez Certains dans la portée Utilisateurs MAM pour gérer les données sur les périphériques de votre main-d'oeuvre.
    6. Choisissez Sélectionner les groupes > Sélectionner des groupes/utilisateurs > Sélectionner comme groupe assigné.
    7. Utilisez les valeurs par défaut pour les valeurs de configuration restantes.
    8. Sélectionnez Sauvegarder.
  15. Sélectionnez Suivant.
  16. Testez la configuration.
    Suivez les instructions.
  17. Sélectionnez Terminer la configuration.
    1. Passez en revue vos paramètres.
    2. Sélectionnez Sauvegarder les modifications.