Configurer des certificats pour les appareils mobiles gérés

Éditions compatibles pour cette fonctionnalité: Enterprise ; Education Standard et Plus ; Cloud Identity Premium. Comparer votre édition

Pour contrôler l'accès des utilisateurs depuis des appareils mobiles aux réseaux Wi-Fi, aux applications internes et aux sites Web internes de votre entreprise, vous pouvez distribuer des certificats d'appareil provenant de votre autorité de certification sur site. Le connecteur de certificat Google Cloud est un service Windows qui distribue, de manière sécurisée, les certificats et les clés d'authentification de votre serveur SCEP (Simple Certificate Enrollment Protocol) aux appareils mobiles des utilisateurs. En savoir plus

Remarque : Les clés privées des certificats d'appareil sont générées sur les serveurs Google. Les clés sont supprimées définitivement des serveurs Google après l'installation du certificat sur l'appareil ou au bout de 24 heures (selon la première échéance).

Configuration système requise

  • Votre entreprise utilise le service de certificat Microsoft Active Directory pour un serveur SCEP, et le service NDES (Network Device Enrollment Service) de Microsoft pour distribuer les certificats.

  • Les certificats d'appareils peuvent être distribués sur les appareils iOS et Android via la gestion avancée des appareils mobiles. En savoir plus sur la configuration requise pour l'appareil

  • Les appareils Android doivent utiliser l'application Android Device Policy. L'ancienne version de l'application Google Apps Device Policy pour Android n'est pas compatible. En savoir plus

Avant de commencer

  • S'il vous faut le nom de l'objet du certificat pour utiliser les noms d'utilisateur Active Directory, synchronisez votre répertoire Active Directory et Google Directory avec Google Cloud Directory Sync (GCDS). Si nécessaire, configurez GCDS.

  • Si vous n'avez pas encore importé de certificat CA dans la console d'administration Google, ajoutez un certificat.

Étape 1 : Téléchargez le connecteur de certificat Google Cloud

Procédez comme suit sur le serveur SCEP ou sur un ordinateur Windows, à l'aide d'un compte de service sur le serveur SCEP. Gardez les identifiants du compte à disposition.

Si votre organisation dispose de plusieurs serveurs, vous pouvez utiliser le même agent de connecteur de certificat sur chacun d'entre eux. Téléchargez et installez les fichiers d'installation, de configuration et de clé sur un ordinateur, comme décrit dans les étapes suivantes. Ensuite, copiez ces trois fichiers sur l'autre ordinateur et suivez les instructions de configuration.

Remarque : Vous ne téléchargez le connecteur de certificat Google Cloud et ses composants qu'une seule fois, lors de la première configuration des certificats pour votre organisation. Vos certificats et profils SCEP peuvent partager un même connecteur de certificat.

  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Appareils. Sur la gauche, cliquez sur Réseaux.

    Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

  3. Cliquez sur Profil SCEP sécurisé puis Télécharger un connecteur.
  4. Dans la section "Connecteur de certificat Google Cloud", cliquez sur Télécharger. Le téléchargement crée sur votre bureau un dossier contenant le connecteur de certificat. Nous vous recommandons de télécharger les autres fichiers de configuration de connecteur dans ce dossier.
  5. Dans la section "Télécharger le fichier de configuration du connecteur", cliquez sur Télécharger. Le fichier config.json est téléchargé.

  6. Dans la section "Obtenir une clé de compte de service", cliquez sur Générer la clé. Le fichier key.json est téléchargé.
  7. Exécutez le programme d'installation du connecteur de certificat.
    1. Dans l'assistant d'installation, cliquez sur Suivant.
    2. Acceptez les conditions du contrat de licence, puis cliquez sur Suivant.
    3. Sélectionnez le compte pour lequel le service est installé et cliquez sur Suivant. Le compte doit disposer de droits pour se connecter en tant que service sur le serveur SCEP.
    4. Sélectionnez l'emplacement d'installation. Nous vous recommandons d'utiliser l'emplacement par défaut. Cliquez sur Suivant.
    5. Saisissez les identifiants de votre compte de service, puis cliquez sur Suivant. Le service est installé.
    6. Cliquez sur Terminer pour finaliser l'installation.
  8. Déplacez les fichiers de configuration et de clé (config.json et key.json) dans le dossier du connecteur de certificat Google Cloud créé lors de l'installation, généralement C:\Program Files\Google Cloud Certificate Connector.
  9. Lancez le service "Connecteur de certificat Google Cloud" :
    1. Ouvrez les services Windows.
    2. Sélectionnez Connecteur de certificat Google Cloud dans la liste des services.
    3. Cliquez sur Démarrer pour lancer le service. Vérifiez que l'état passe à En cours d'exécution. Le service redémarre automatiquement si l'ordinateur redémarre.

Si vous téléchargez une nouvelle clé de compte de service ultérieurement, redémarrez le service pour l'appliquer.

Étape 2 : Ajoutez un profil SCEP

Le profil SCEP définit le certificat qui permet aux utilisateurs d'accéder à votre réseau Wi-Fi. Vous attribuez le profil à des utilisateurs spécifiques en l'ajoutant à une unité organisationnelle. Vous pouvez configurer plusieurs profils SCEP pour gérer l'accès par unité organisationnelle et par type d'appareil.

Avant de commencer : pour appliquer le paramètre à certains utilisateurs uniquement, placez leur compte dans une unité organisationnelle.
  1. Connectez-vous à la Console d'administration Google.

    Connectez-vous avec votre compte administrateur (ne se terminant pas par "@gmail.com").

  2. Sur la page d'accueil de la console d'administration, accédez à Appareils. Sur la gauche, cliquez sur Réseaux.

    Vous devez disposer du droit d'administrateur Paramètres des appareils partagés.

  3. Cliquez sur Créer un profil SCEP.
  4. Pour appliquer le paramètre à tous les utilisateurs, vérifiez que l'unité organisationnelle racine est sélectionnée. Sinon, sélectionnez une unité organisationnelle enfant.
  5. Cliquez sur Ajouter un profil SCEP sécurisé.
  6. Saisissez les informations de configuration du profil. Si votre autorité de certification émet un modèle spécifique, faites correspondre les détails du profil au modèle.
    • Nom du profil SCEP : nom descriptif du profil. Le nom apparaît dans la liste des profils et dans le sélecteur de profils de la configuration du réseau Wi-Fi.
    • Format du nom de l'objet : choisissez la manière dont vous souhaitez identifier le propriétaire du certificat. Si vous sélectionnez Nom distinctif complet, le nom commun du certificat correspond alors au nom d'utilisateur.
    • Autre nom de l'objet : indiquez un réseau SAN. La valeur par défaut est Aucun.
    • Algorithme de signature : fonction de hachage utilisée pour chiffrer la clé d'authentification. Seul l'algorithme de signature SHA256 avec RSA est disponible.
    • Utilisation de la clé : options d'utilisation, de chiffrement et de signature de la clé. Vous pouvez en sélectionner plusieurs.
    • Taille de la clé (bits) : taille de la clé RSA.
    • URL du serveur SCEP : URL du serveur SCEP.
    • Durée de validité du certificat (années) : période pendant laquelle le certificat de l'appareil est valide. Saisissez un nombre.
    • Délai avant renouvellement (en jours) : délai pour renouveler le certificat de l'appareil avant son expiration.
    • Utilisation étendue de la clé : manière dont la clé peut être utilisée. Vous pouvez choisir plusieurs valeurs.
    • Type de question d'authentification : pour exiger que Google pose une question d'authentification spécifique lorsque le service demande un certificat au serveur SCEP, sélectionnez Statique, puis saisissez la question. Si vous sélectionnez Aucune, le serveur n'effectue pas cette vérification.
    • Nom du modèle : nom du modèle utilisé par votre serveur NDES.
    • Autorité de certification : nom d'un certificat que vous avez importé pour l'utiliser comme autorité de certification.
    • Type de réseau auquel s'applique ce profil : type de réseaux utilisant le profil SCEP.
    • Plates-formes auxquelles s'applique ce profil : plates-formes utilisant le profil SCEP.
  7. Cliquez sur Enregistrer. Si vous avez configuré une unité organisationnelle enfant, vous pourrez peut-être hériter des paramètres d'une unité organisationnelle parent ou les remplacer.

Une fois que vous avez ajouté le profil, il est répertorié avec son nom et les plates-formes sur lesquelles il est activé. Dans la colonne Plate-forme, le profil est activé pour les plates-formes marquées d'une icône bleue et désactivé pour les plates-formes marquées d'une icône grise. Pour modifier un profil, placez le curseur sur la ligne et cliquez sur Modifier "".

Le profil SCEP est automatiquement distribué aux utilisateurs de l'unité organisationnelle.

Étape 3 : (Facultatif) Configurez les réseaux Wi-Fi pour exiger le profil SCEP

Maintenant que les appareils mobiles des utilisateurs ont reçu les certificats provenant du serveur SCEP, vous pouvez configurer les réseaux Wi-Fi de façon qu'ils exigent l'authentification par certificat.

Pour sélectionner le certificat et appliquer le profil SCEP à un réseau Wi-Fi, procédez comme suit :

  1. Ajoutez une configuration Wi-Fi ou modifiez une configuration existante.
  2. Dans la section "Accès aux plates-formes", cochez l'option Android, iOS ou les deux.
  3. Dans la section "Détails", définissez les éléments suivants :
    1. Pour les Paramètres de sécurité, sélectionnez WPA/WPA2 Enterprise (802.1 X) ou WEP dynamique (802.1 X).
    2. Pour le Protocole EAP (Extensible Authentication Protocol), sélectionnez EAP-TLS ou EAP-TTLS.
    3. Pour le Profil SCEP, sélectionnez le profil SCEP que vous souhaitez appliquer à ce réseau.
  4. Cliquez sur Enregistrer.

Désormais, lorsque les utilisateurs essayent de se connecter au réseau Wi-Fi pour la première fois, leur appareil doit fournir le certificat.

  • Pour Android, le certificat correspondant à leur profil SCEP et au réseau est automatiquement renseigné et l'utilisateur doit cliquer sur Se connecter.
  • Pour iOS, l'utilisateur doit choisir le certificat à utiliser, puis cliquer sur Se connecter.

Fonctionnement de l'authentification par certificat via le connecteur de certificat Google Cloud

Le connecteur de certificat Google Cloud est un service Windows qui établit une connexion exclusive entre votre serveur SCEP et Google. Il est configuré et sécurisé par un fichier de configuration et un fichier de clé, tous deux dédiés uniquement à votre organisation.

Vous devez attribuer des certificats d'appareil aux utilisateurs disposant d'un profil SCEP. Pour attribuer le profil aux utilisateurs, ajoutez-le à l'unité organisationnelle de votre choix. Le profil comprend l'autorité de certification qui émet les certificats d'appareil. Lorsqu'un utilisateur enregistre son appareil, le service de gestion des points de terminaison Google récupère le profil SCEP de l'utilisateur et installe le certificat sur l'appareil. Si l'appareil est déjà enregistré, le certificat est installé lors d'un cycle de synchronisation standard.

Lorsqu'un utilisateur essaye de se connecter à votre réseau, il est invité à fournir le certificat. Sur les appareils Android, le certificat est automatiquement sélectionné et l'utilisateur doit cliquer sur Se connecter. Sur les appareils iOS, l'utilisateur doit d'abord sélectionner le certificat manuellement, puis se connecter. L'appareil accède au réseau de votre organisation à l'aide d'une clé négociée par Google via le connecteur de certificat. Pendant la négociation de sécurité, Google stocke la clé. En revanche, une fois la clé installée sur l'appareil (ou au bout de 24 heures), Google la supprime définitivement.

Problèmes connus

  • Une fois installés sur un appareil, les certificats ne peuvent pas être révoqués.
  • Les profils SCEP ne sont pas compatibles avec les questions dynamiques d'authentification.
  • Les profils SCEP ne peuvent pas être appliqués aux configurations VPN ou Ethernet.
  • Les chaînes de certificats qui sont plus longues que "certificat CA-certificat d'identité", telles que "certificat CA-certificat intermédiaire-certificat d'identité", ne sont pas acceptées.



Google, Google Workspace et les marques et logos associés sont des marques de Google LLC. Tous les autres noms de sociétés et de produits sont des marques des sociétés auxquelles ils sont associés.

Ces informations vous-ont elles été utiles ?
Comment pouvons-nous l'améliorer ?

Vous avez encore besoin d'aide ?

Connectez-vous pour accéder à des options d'assistance supplémentaires afin de résoudre rapidement votre problème.