Appareils mobiles : Éditions compatibles avec cette fonctionnalité : Frontline Standard ; Enterprise Standard et Enterprise Plus ; Education Standard, Education Plus et Endpoint Education Upgrade ; Cloud Identity Premium. Comparer votre édition
Appareils Chrome OS : Chrome Enterprise est requis pour les certificats basés sur les appareils.
Pour contrôler l'accès des utilisateurs depuis des appareils mobiles ou Chrome OS aux réseaux Wi-Fi, aux applications internes et aux sites Web internes de votre entreprise, vous pouvez distribuer des certificats d'appareil provenant de votre autorité de certification sur site. Le connecteur de certificat Google Cloud est un service Windows qui distribue, de manière sécurisée, les certificats et les clés d'authentification de votre serveur SCEP (Simple Certificate Enrollment Protocol) aux appareils mobiles et Chrome OS des utilisateurs. En savoir plus
Pour les appareils Chrome OS, vous pouvez configurer des certificats basés sur l'utilisateur ou sur l'appareil. Un certificat utilisateur est ajouté à un appareil pour un utilisateur donné et accessible à cet utilisateur. Un certificat d'appareil est attribué en fonction de l'appareil et accessible à tous les utilisateurs connectés à l'appareil. Pour en savoir plus, consultez Gérer les certificats client sur les appareils Chrome.
Si vous souhaitez contrôler l'accès au réseau Wi-Fi à la fois pour les appareils mobiles et Chrome OS, vous devez configurer des profils SCEP et des réseaux Wi-Fi distincts, car les appareils mobiles et les appareils Chrome OS sont compatibles avec différents types de clés RSA.
Remarques concernant le stockage de clés :
- Pour les appareils mobiles, les clés privées des certificats sont générées sur les serveurs Google. Les clés sont supprimées définitivement des serveurs Google après l'installation du certificat sur l'appareil ou au bout de 24 heures (selon la première échéance).
- Sur les appareils Chrome OS, les clés privées sont générées pour les certificats. La clé publique correspondante est stockée temporairement sur les serveurs Google et supprimée définitivement après l'installation du certificat.
Configuration système requise
- Votre entreprise utilise le service de certificat Microsoft Active Directory pour un serveur SCEP, et le service NDES (Network Device Enrollment Service) de Microsoft pour distribuer les certificats.
- Appareils mobiles:appareils iOS et Android pour lesquels la gestion avancée des appareils mobiles est activée. En savoir plus sur la configuration requise pour l'appareil
- Appareils Chrome OS :
- Certificats d'appareil : Chrome OS version 89 ou ultérieure et appareils gérés avec Chrome Enterprise
- Certificats utilisateur : Chrome OS version 86 ou ultérieure. Remarque : Pour les versions antérieures à 87, les utilisateurs doivent redémarrer l'appareil ou attendre quelques heures que le certificat utilisateur soit déployé.
Avant de commencer
- S'il vous faut le nom de l'objet du certificat pour utiliser les noms d'utilisateur Active Directory, synchronisez votre répertoire Active Directory et Google Directory avec Google Cloud Directory Sync (GCDS). Si nécessaire, configurez GCDS.
- Si vous n'avez pas encore importé de certificat CA dans la console d'administration Google, ajoutez un certificat.
- Examinez les problèmes connus pour éviter tout comportement inattendu.
Problèmes connus
- Une fois installés sur un appareil, les certificats ne peuvent pas être révoqués.
- Les profils SCEP ne sont pas compatibles avec les questions dynamiques d'authentification.
- L'héritage de profil SCEP entre les unités organisationnelles peut ne pas fonctionner dans certains cas. Par exemple, si vous définissez un profil SCEP pour une unité organisationnelle et modifiez le profil SCEP d'une unité organisationnelle enfant, aucun des profils SCEP de l'unité organisationnelle parente ne peut de nouveau être hérité par l'unité organisationnelle enfant.
- Pour les appareils mobiles, les profils SCEP ne peuvent pas être appliqués aux configurations VPN ou Ethernet, mais uniquement au Wi-Fi.
- Pour les appareils Chrome OS, les profils SCEP ne peuvent pas être appliqués directement aux configurations VPN ou Ethernet. Pour appliquer indirectement un profil SCEP aux configurations VPN ou Ethernet, sélectionnez automatiquement le certificat à utiliser à l'aide du modèle d'émetteur ou du modèle d'objet.
- Pour les utilisateurs d'appareils Chrome OS, les certificats ne peuvent être déployés que pour les utilisateurs connectés à un appareil géré. L'appareil et l'utilisateur doivent appartenir au même domaine.
Étape 1 : Téléchargez le connecteur de certificat Google Cloud
Procédez comme suit sur le serveur SCEP ou sur un ordinateur Windows, à l'aide d'un compte de service sur le serveur SCEP. Gardez les identifiants du compte à disposition.
Si votre organisation dispose de plusieurs serveurs, vous pouvez utiliser le même agent de connecteur de certificat sur chacun d'entre eux. Téléchargez et installez les fichiers d'installation, de configuration et de clé sur un ordinateur, comme décrit dans les étapes suivantes. Ensuite, copiez ces trois fichiers sur l'autre ordinateur et suivez les instructions de configuration.
Remarque : Vous ne téléchargez le connecteur de certificat Google Cloud et ses composants qu'une seule fois, lors de la première configuration des certificats pour votre organisation. Vos certificats et profils SCEP peuvent partager un même connecteur de certificat.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Appareils Réseaux.
- Cliquez sur Profil SCEP sécurisé Télécharger un connecteur.
- Dans la section "Connecteur de certificat Google Cloud", cliquez sur Télécharger. Le téléchargement crée sur votre bureau un dossier contenant le connecteur de certificat. Nous vous recommandons de télécharger les autres fichiers de configuration de connecteur dans ce dossier.
- Dans la section "Télécharger le fichier de configuration du connecteur", cliquez sur Télécharger. Le fichier
config.json
est téléchargé. - Dans la section "Obtenir une clé de compte de service", cliquez sur Générer la clé. Le fichier
key.json
est téléchargé. - Exécutez le programme d'installation du connecteur de certificat.
- Dans l'assistant d'installation, cliquez sur Suivant.
- Acceptez les conditions du contrat de licence, puis cliquez sur Suivant.
- Sélectionnez le compte pour lequel le service est installé et cliquez sur Suivant. Le compte doit disposer de droits pour se connecter en tant que service sur le serveur SCEP.
- Sélectionnez l'emplacement d'installation. Nous vous recommandons d'utiliser l'emplacement par défaut. Cliquez sur Suivant.
- Saisissez les identifiants de votre compte de service, puis cliquez sur Suivant. Le service est installé.
- Cliquez sur Terminer pour finaliser l'installation.
- Déplacez les fichiers de configuration et de clé (
config.json
etkey.json
) dans le dossier du connecteur de certificat Google Cloud créé lors de l'installation, généralementC:\Program Files\Google Cloud Certificate Connector
. - Lancez le service "Connecteur de certificat Google Cloud" :
- Ouvrez les services Windows.
- Sélectionnez Connecteur de certificat Google Cloud dans la liste des services.
- Cliquez sur Démarrer pour lancer le service. Vérifiez que l'état passe à En cours d'exécution. Le service redémarre automatiquement si l'ordinateur redémarre.
Si vous téléchargez une nouvelle clé de compte de service ultérieurement, redémarrez le service pour l'appliquer.
Étape 2 : Ajoutez un profil SCEP
Le profil SCEP définit le certificat qui permet aux utilisateurs d'accéder à votre réseau Wi-Fi. Vous attribuez le profil à des utilisateurs spécifiques en l'ajoutant à une unité organisationnelle. Vous pouvez configurer plusieurs profils SCEP pour gérer l'accès par unité organisationnelle et par type d'appareil.
Avant de commencer : Si vous devez configurer un service ou une équipe pour ce paramètre, consultez Ajouter une unité organisationnelle.
-
Connectez-vous à la Console d'administration Google.
Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").
-
Dans la console d'administration, accédez à Menu Appareils Réseaux.
- Cliquez sur Créer un profil SCEP.
-
(Facultatif) Pour appliquer le paramètre à un service ou à une équipe, sélectionnez une unité organisationnelle sur le côté. Voir la marche à suivre Remarque : Nous vous recommandons de définir le profil SCEP de chaque unité organisationnelle à laquelle vous souhaitez appliquer le profil en raison d'un problème connu.
- Cliquez sur Ajouter un profil SCEP sécurisé.
- Saisissez les informations de configuration du profil. Si votre autorité de certification émet un modèle spécifique, faites correspondre les détails du profil au modèle.
- Nom du profil SCEP : nom descriptif du profil. Le nom apparaît dans la liste des profils et dans le sélecteur de profils de la configuration du réseau Wi-Fi.
- Format du nom de l'objet : choisissez la manière dont vous souhaitez identifier le propriétaire du certificat. Si vous sélectionnez Nom distinctif complet, le nom commun du certificat correspond alors au nom d'utilisateur.
- Autre nom de l'objet : indiquez un réseau SAN. La valeur par défaut est Aucun.
Vous pouvez définir d'autres noms d'objet qui reposent sur les attributs de l'utilisateur et de l'appareil pour les appareils Chrome OS. Pour utiliser une demande de signature de certificat personnalisée, configurez le modèle de certificat sur l'autorité de certification de façon à obtenir et à générer un certificat avec les valeurs d'objet définies dans la demande elle-même. Vous devez au moins fournir une valeur pour l'attribut CommonName de l'objet.
Vous pouvez utiliser les espaces réservés ci-dessous. Ces valeurs sont toutes facultatives.
${DEVICE_DIRECTORY_ID}
: ID de l'annuaire de l'appareil${USER_EMAIL}
: adresse e-mail de l'utilisateur connecté${USER_EMAIL_DOMAIN}
: nom de domaine de l'utilisateur connecté${DEVICE_SERIAL_NUMBER}
: numéro de série de l'appareil${DEVICE_ASSET_ID}
: ID d'élément attribué à l'appareil par l'administrateur${DEVICE_ANNOTATED_LOCATION}
: emplacement attribué à l'appareil par l'administrateur${USER_EMAIL_NAME}
: première partie de l'adresse e-mail de l'utilisateur connecté (avant le signe "@")
Si une valeur d'espace réservé n'est pas disponible, elle est remplacée par une chaîne vide.
- Algorithme de signature : fonction de hachage utilisée pour chiffrer la clé d'authentification. Seul l'algorithme de signature SHA256 avec RSA est disponible.
- Utilisation de la clé : options d'utilisation, de chiffrement et de signature de la clé. Vous pouvez en sélectionner plusieurs.
- Taille de la clé (bits) : taille de la clé RSA. Pour les appareils Chrome OS, sélectionnez 2048.
- URL du serveur SCEP : URL du serveur SCEP.
- Durée de validité du certificat (années) : période pendant laquelle le certificat de l'appareil est valide. Saisissez un nombre.
- Délai avant renouvellement (en jours) : délai pour renouveler le certificat de l'appareil avant son expiration.
- Utilisation étendue de la clé : manière dont la clé peut être utilisée. Vous pouvez choisir plusieurs valeurs.
- Type de question d'authentification : pour exiger que Google pose une question d'authentification spécifique lorsque le service demande un certificat au serveur SCEP, sélectionnez Statique, puis saisissez la question. Si vous sélectionnez Aucune, le serveur n'effectue pas cette vérification.
- Nom du modèle : nom du modèle utilisé par votre serveur NDES.
- Autorité de certification : nom d'un certificat que vous avez importé pour l'utiliser comme autorité de certification.
- Type de réseau auquel s'applique ce profil : type de réseaux utilisant le profil SCEP.
- Plates-formes auxquelles s'applique ce profil : plates-formes utilisant le profil SCEP. Pour les appareils Chrome OS, cochez la case Chromebook (utilisateur), Chromebook (appareil) ou les deux, en fonction du type de certificat que vous souhaitez déployer.
- Cliquez sur Enregistrer. Vous pouvez également cliquer sur Remplacer pour un unité organisationnelle.
Pour restaurer ultérieurement la valeur héritée, cliquez sur Hériter.
Une fois que vous avez ajouté le profil, il est répertorié avec son nom et les plates-formes sur lesquelles il est activé. Dans la colonne Plate-forme, le profil est activé pour les plates-formes marquées d'une icône bleue et désactivé pour les plates-formes marquées d'une icône grise. Pour modifier un profil, placez le curseur sur la ligne et cliquez sur Modifier .
Le profil SCEP est automatiquement distribué aux utilisateurs de l'unité organisationnelle.
Étape 3 : Configurez le keystore de connecteurs de certificats Google Cloud
Si votre certificat est émis par une autorité de certification de confiance ou que l'URL de votre serveur SCEP commence par HTTP, ignorez cette étape.
Si votre certificat n'a pas été émis par une autorité de certification approuvée, par exemple un certificat autosigné, vous devez l'importer dans le keystore du connecteur de certificat Google Cloud. À défaut, le certificat de l'appareil ne pourra pas être provisionné et l'appareil ne pourra pas se connecter.
- Connectez-vous à votre autorité de certification.
- Si aucun JRE Java n'est installé, installez-en un pour pouvoir utiliser keytool.exe.
- Ouvrez une invite de commande.
- Exportez votre certificat CA et convertissez-le en fichier PEM à l'aide des commandes suivantes :
certutil ‑ca.cert C:\root.cer certutil ‑encode cacert.cer cacert.pem
- Importez le certificat CA dans le keystore. Dans le sous-répertoire du dossier du connecteur de certificat Google Cloud créé lors de l'installation, généralement C:\Program Files\Google Cloud Certificate Connector, exécutez la commande suivante :
java-home-dir\bin\keytool.exe ‑import ‑keystore rt\lib\security\cacerts ‑trustcacerts ‑file cert-export-dir\cacert.pem ‑storepass changeit
Remplacez
java-home-dir
par le chemin d'accès à l'environnement JRE dans le dossier du connecteur de certificat Google Cloud etcert-export-dir.
par le chemin d'accès au certificat que vous avez exporté à l'étape 4.
Étape 4 : Configurez les réseaux Wi-Fi pour exiger le profil SCEP (facultatif)
Une fois que les appareils mobiles ou Chrome OS des utilisateurs ont reçu les certificats provenant du serveur SCEP, vous pouvez configurer les réseaux Wi-Fi de sorte qu'ils exigent l'authentification des certificats.
Pour contrôler l'accès au réseau Wi-Fi pour les appareils mobiles et Chrome OS, configurez des réseaux Wi-Fi distincts pour chacun. Par exemple, configurez un réseau Wi-Fi pour les appareils mobiles et attribuez-lui un profil SCEP pour les appareils mobiles. Configurez ensuite un autre réseau Wi-Fi pour les appareils Chrome OS, puis attribuez un profil SCEP aux appareils Chrome OS.
Pour sélectionner le certificat et appliquer le profil SCEP à un réseau Wi-Fi, :
- Ajoutez une configuration Wi-Fi ou modifiez une configuration existante.
- Dans la section "Accès aux plates-formes", cochez l'option Android, iOS ou les deux.
- Dans la section "Détails", définissez les éléments suivants :
- Pour les Paramètres de sécurité, sélectionnez WPA/WPA2 Enterprise (802.1 X) ou WEP dynamique (802.1 X).
- Pour le Protocole EAP (Extensible Authentication Protocol), sélectionnez EAP-TLS ou EAP-TTLS.
- Pour le Profil SCEP, sélectionnez le profil SCEP que vous souhaitez appliquer à ce réseau.
- Cliquez sur Enregistrer.
Désormais, lorsque les utilisateurs essayent de se connecter au réseau Wi-Fi pour la première fois, leur appareil doit fournir le certificat.
- Pour les appareils Android et Chrome OS, le certificat correspondant à leur profil SCEP et au réseau est automatiquement renseigné et l'utilisateur doit cliquer sur Se connecter.
- Pour les appareils iOS, l'utilisateur doit choisir le certificat à utiliser, puis cliquer sur Se connecter.
Fonctionnement de l'authentification par certificat via le connecteur de certificat Google Cloud
Le connecteur de certificat Google Cloud est un service Windows qui établit une connexion exclusive entre votre serveur SCEP et Google. Il est configuré et sécurisé par un fichier de configuration et un fichier de clé, tous deux dédiés uniquement à votre organisation.
Vous devez attribuer des certificats aux appareils et aux utilisateurs disposant d'un profil SCEP. Pour attribuer un profil, ajoutez-le à l'unité organisationnelle de votre choix. Le profil comprend l'autorité de certification qui émet les certificats d'appareil. Lorsqu'un utilisateur enregistre son appareil mobile ou Chrome OS pour le gérer, la gestion des points de terminaison Google récupère le profil SCEP de l'utilisateur et installe le certificat sur l'appareil. Pour les appareils Chrome OS, un certificat d'appareil est installé avant la connexion de l'utilisateur, tandis qu'un certificat utilisateur est installé après la connexion de l'utilisateur. Si l'appareil est déjà enregistré, le certificat est installé lors d'un cycle de synchronisation standard.
Lorsqu'un utilisateur essaye de se connecter à votre réseau, il est invité à fournir le certificat. Sur les appareils Android, le certificat est automatiquement sélectionné et l'utilisateur doit cliquer sur Se connecter. Sur les appareils iOS, l'utilisateur doit d'abord sélectionner le certificat manuellement, puis se connecter. L'appareil accède au réseau de votre organisation à l'aide d'une clé négociée par Google via le connecteur de certificat. Pendant la négociation de sécurité, Google stocke la clé. En revanche, une fois la clé installée sur l'appareil (ou au bout de 24 heures), Google la supprime définitivement.
Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.