Configurer Omnissa Workspace ONE pour Connector for SCEP - AWS Private Certificate Authority
PrérequisÉtape 1 : définir une autorité de certification et un modèle dans Omnissa Workspace ONEÉtape 2 : configurer un profil Omnissa Workspace ONE UEMÉtape 3 : Inscrire des appareils dans Omnissa Workspace ONEÉtape 4 : Émettre un certificatRésolution des problèmesConsidérations sur la sécurité

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Configurer Omnissa Workspace ONE pour Connector for SCEP

Vous pouvez l'utiliser AWS Private CA en tant qu'autorité de certification (CA) externe avec le système Omnissa Workspace ONE UEM (Unified Endpoint Management). Ce guide fournit des instructions sur la façon de configurer Omnissa Workspace ONE après avoir créé un connecteur SCEP dans. AWS

Prérequis

Avant de créer un connecteur SCEP pour Omnissa Workspace ONE, vous devez remplir les conditions préalables suivantes :

  • Créez une autorité de certification privée dans la AWS console. Pour de plus amples informations, veuillez consulter Créez une autorité de certification privée dans AWS Private CA.

  • Créez un connecteur SCEP à usage général. Pour plus d'informations, consultez la section Création d'un connecteur.

  • Disposer d'un compte administrateur de l'environnement Omnissa Workspace ONE actif avec un identifiant de groupe organisationnel.

  • Si vous inscrivez un appareil Apple, configurez le service de notification push Apple (APNs) pour le MDM. Pour plus d'informations, consultez la section APNs Certificats dans la documentation d'Omnissa.

Étape 1 : définir une autorité de certification et un modèle dans Omnissa Workspace ONE

Après avoir créé un connecteur CA et SCEP privé dans la AWS console, définissez l'autorité de certification et le modèle dans Omnissa Workspace ONE.

Ajouter AWS Private CA en tant qu'autorité de certification

  1. Dans le menu Système, choisissez Enterprise Integration, puis Certificate Authorities.

  2. Choisissez + AJOUTER et fournissez les informations suivantes :

    • Nom : AWS-Private-CA.

    • Description : AWS Private CA pour l'émission de certificats d'appareils.

    • Type d'autorité : sélectionnez le SCEP générique.

    • URL SCEP : entrez l'URL SCEP depuis. AWS Private CA

    • Type de défi : sélectionnez STATIC.

    • Défi statique : entrez le mot de passe du défi statique SCEP depuis le connecteur pour la configuration SCEP dans la AWS console.

    • Entrez les valeurs Retry Timeout et Max Retries.

  3. Enregistrez la configuration.

Création d'un modèle de certificat

  1. Dans le menu Système, choisissez Enterprise Integration, Certificate Authorities, puis Templates.

  2. Choisissez Ajouter des modèles et fournissez les informations suivantes :

    • Nom du modèle : Device-Cert-Template.

    • Autorité de certification : choisissez AWS-Private-CA.

    • Nom du sujet : Il s'agit d'un champ personnalisable. Vous pouvez choisir des valeurs variables dans une liste d'attributs. Par exemple, CN= {DeviceReportedName}, O= {DevicePlatform}, OU= {1} CustomAttribute

    • Longueur de la clé privée : 2048 bits.

    • Type de clé privée : sélectionnez Signature et chiffrement selon les besoins

    • Renouvellement automatique : Enabled/Disabled (en fonction de vos besoins).

  3. Enregistrez le modèle.

Étape 2 : configurer un profil Omnissa Workspace ONE UEM

Créez un profil dans Omnissa Workspace ONE UEM qui dirige les appareils vers Connector pour que SCEP émette un certificat.

Création d'un profil d'appareil SCEP pour la distribution de certificats

  1. Dans le menu Ressources, choisissez Profils et lignes de base, puis Profils.

  2. Choisissez Ajouter puis Ajouter un profil

  3. Sélectionnez la plate-forme de l'appareil (Android, iOS, macOS, Windows).

  4. Définissez le type de gestion et le contexte comme il convient.

  5. Définissez le nom : Device-Cert-Profile.

  6. Faites défiler la page jusqu'à SCEP Payload.

  7. Sélectionnez SCEP, puis choisissez +Ajouter.

  8. Utilisez la configuration suivante :

    • ÉTAPE :

      • Pour Source d'informations d'identification, sélectionnez Autorité de certification définie (par défaut).

      • Pour Autorité de certification, sélectionnez AWS-Private-CA

      • Pour Modèle de certificat, sélectionnez le Device-Cert-Template défini à l'étape 1.

  9. Choisissez Next et dans la section Affectation, sélectionnez le bon groupe intelligent dans la liste (groupe d'attribution pour l'appareil).

  10. Sélectionnez le type d'affectation Auto pour activer le renouvellement automatique.

  11. Enregistrez et publiez le profil.

Note

Pour plus d'informations, consultez la section SCEP dans la documentation d'Omnissa.

Étape 3 : Inscrire des appareils dans Omnissa Workspace ONE

Création ou vérification d'un groupe intelligent

  1. Dans Groupes et paramètres, choisissez Groupes, puis Groupes d'affectation.

  2. Créez ou modifiez le groupe intelligent POC-Devices :

    • Nom : POC-Devices.

    • Type d'appareil : sélectionnez Tout ou une plateforme spécifique (Android ou iOS, par exemple).

    • Critères : utilisation UserGroup, plate-forme et système d'exploitation, OEM et modèle pour spécifier les critères permettant de regrouper les équipements cibles.

    • Propriété : sélectionnez N'importe lequel pour les appareils personnels ou professionnels.

  3. Enregistrez et vérifiez que les équipements cibles apparaissent dans l'onglet Aperçu.

Enrôlement manuel des appareils

Android

  • Téléchargez l'application Workspace ONE Intelligent Hub depuis Google Play.

  • Ouvrez l'application et saisissez l'URL d'inscription ou scannez un code QR.

  • Connectez-vous et suivez les instructions pour vous inscrire en tant qu'appareil géré par MDM.

iOS/macOS

  • Sur l'appareil, ouvrez Safari et accédez à l'URL d'inscription (https://<Workspace ONEUEMHostname >/enroll, par exemple).

  • Connectez-vous à l'aide des informations d'identification de l'utilisateur.

  • Téléchargez et installez l'application Workspace ONE Intelligent Hub depuis l'App Store.

  • Suivez les instructions pour installer le profil MDM dans Paramètres > Général > Gestion des VPN et des appareils > Profil > Installer.

Windows

  • Téléchargez le Workspace ONE Intelligent Hub depuis le serveur Workspace ONE ou le Microsoft Store.

  • Inscrivez-vous via le Hub en utilisant l'URL d'inscription et les informations d'identification.

Attribuez les appareils inscrits au groupe intelligent POC-Devices dans Appareils > Affichage en liste > Autres actions > Attribuer au groupe intelligent.

Pour plus d'informations, consultez la section Inscription automatisée des appareils dans la documentation d'Omnissa.

Vérifier l'inscription

  1. Dans la console Omnissa Workspace ONE UEM, accédez à Appareils, puis à Affichage en liste.

  2. Vérifiez que le statut des appareils que vous avez inscrits est défini sur Inscrit.

  3. Vérifiez que les appareils font partie du groupe intelligent POC-Devices dans l'onglet Groupes des détails de l'appareil.

Étape 4 : Émettre un certificat

Déclencher l'émission d'un certificat

  1. Dans la vue Liste des appareils, sélectionnez l'appareil inscrit.

  2. Cliquez sur le bouton Requête pour demander un enregistrement.

  3. Ils Device-Cert-Profile doivent délivrer un certificat via. AWS Private CA

Vérifier l'installation du certificat

Android

Choisissez Paramètres, Sécurité, Informations d'identification fiables, puis Utilisateur pour vérifier le certificat.

iOS

Accédez à Paramètres, puis choisissez Général, VPN et gestion des appareils, puis Profil de configuration. Vérifiez que le certificat de AWS-Private-CA est présent.

macOS

Ouvrez Keychain Access puis System Keychain et vérifiez le certificat.

Windows

Ouvrez certmgr.msc, puis Personal, puis Certificates pour vérifier le certificat.

Résolution des problèmes

Erreurs SCEP (« 22013 - Le serveur SCEP a renvoyé une réponse non valide » par exemple)

  • Vérifiez que l'URL SCEP et le mot de passe de défi statique dans Workspace ONE correspondent AWS Private CA.

  • <SCEP_URL>Testez la connectivité des terminaux SCEP : curl.

  • Vérifiez AWS CloudTrail les journaux pour AWS Private CA détecter les erreurs (IssueCertificatedéfaillances, par exemple).

APNs problèmes (iOS/macOS)

  • Assurez-vous que le APNs certificat est valide et qu'il est attribué au groupe organisationnel approprié.

  • Tester APNs la connectivité : telnet gateway.push.apple.com 2195.

Défaillances d'installation du profil

  • Vérifiez que les appareils se trouvent dans le bon groupe intelligent (appareils, puis affichage en liste, puis groupes).

  • Forcer la synchronisation des profils : Plus d'actions, puis Envoyer, puis Liste des profils.

Journaux

  • Android : utilisez les journaux Logcat ou Workspace ONE.

  • iOS/macOS: log show --predicate 'process == "mdmclient"' --last 1h (via Xcode/AppleConfigurateur).

  • Windows : Observateur d'événements, puis journaux des applications et des services, puis Microsoft-Windows -. DeviceManagement

  • Workspace ONE UEM : Surveiller, puis Rapports et analyses, puis Événements, puis Événements liés aux appareils.

Pour obtenir des informations détaillées sur le connecteur pour la surveillance SCEP AWS, voir Connecteur de moniteur pour SCEP.

Considérations sur la sécurité

  • Stockez le SCEP URLs et les secrets en toute sécurité. Pour plus d'informations, consultez le AWS Secrets Manager service.

  • Limitez les critères des groupes intelligents aux appareils cibles uniquement.

  • Renouvelez régulièrement les certificats Apple Push Notifications (APNs) (valables 1 an).

  • Définissez de courtes périodes de validité des certificats pour les projets de preuve de concept afin de minimiser les risques.

  • Pour les appareils personnels, assurez-vous que le nettoyage supprime tous les profils et certificats.

Pour plus d'informations sur la configuration de l'intégration entre Omnissa Workspace ONE UEM et CA à l'aide d'un connecteur SCEP, consultez le SCEP dans la documentation d'Omnissa Workspace ONE.