Introduction et contexte
L’authentification basée sur des certificats (CBA) est l’un des moyens les plus robustes de protéger l’accès à Microsoft 365, Azure portal et à d’autres applications protégées par Entra. De nombreuses organisations souhaitent bénéficier des avantages de CBA, tels qu’une authentification résistante au phishing, la suppression des mots de passe et une identité des appareils renforcée, mais ne veulent pas exploiter une autorité de certification ni payer un supplément pour Microsoft Cloud PKI.
Foxpass Cloud PKI offre une PKI privée entièrement gérée, compatible avec toutes les plateformes d’appareils et s’intègre facilement à Entra ID pour activer la CBA avec une surcharge minimale. Ce guide vous propose une présentation de :
L’architecture d’Entra CBA utilisant Foxpass Cloud PKI
Comment Foxpass Cloud PKI émet des certificats ClientAuth
Comment déployer des certificats à l’aide de votre MDM
Comment configurer Entra CBA
Comment utiliser le même certificat pour le Wi-Fi/VPN avec Foxpass Cloud RADIUS
Suivez ce guide et vous disposerez bientôt d’un déploiement CBA fonctionnel utilisant Foxpass comme votre PKI privé.
Architecture de référence pour Entra CBA avec Foxpass Cloud PKI
Un schéma montrant comment Foxpass Cloud PKI, MDM et Microsoft Entra ID fonctionnent ensemble pour l’authentification basée sur des certificats.
Foxpass Cloud PKI émet des certificats d’authentification client aux appareils via le MDM de l’organisation (comme Intune, Jamf, Iru/Kandji ou Addigy). Les appareils présentent ces certificats lors de la connexion à Microsoft Entra ID à l’aide de CBA. Entra valide la chaîne de certificats, le mappage utilisateur et l’EKU avant d’accorder l’accès aux applications cloud.
Prérequis et exigences
Checklist des exigences de Foxpass
Foxpass Cloud PKI activé
CA client créé et exporté
Point de terminaison SCEP créé
Intégration MDM et/ou programme d’installation BYOD
Checklist des exigences Microsoft Entra
locataire Entra ID
Authentification basée sur des certificats activée
Le CA client de Foxpass a été téléchargé
Mappage SAN (UPN/e-mail) défini
Checklist des exigences MDM
Capacité du profil SCEP
Guide de configuration étape par étape
1. Vérifiez ou créez votre AC client dans Foxpass
Foxpass Cloud PKI nécessite une AC client (autorité de certification émettrice) pour signer les certificats d’appareil utilisés pour Microsoft Entra CBA et le Wi‑Fi/VPN EAP-TLS.
Connectez-vous à la console Foxpass et accédez à RADIUS → EAP-TLS
Si aucune autorité de certification client n’existe encore, créez-en une maintenant :
Sous "Autorités de certification client", cliquez sur "Create new Client CA"
Modifiez le nom de l’AC, la validité de l’AC et la période de validité du certificat si vous le souhaitez, puis cliquez sur "Create CA"
3. Sous "Autorités de certification cliente," cliquez sur "Download CA" pour l’enregistrer pour plus tard
Une fois l’autorité de certification client créée, Foxpass émet automatiquement des certificats d’authentification client (ClientAuth) EKU, des certificats avec les extensions Key Usage appropriées, ainsi que des valeurs SAN/Subject issues de votre inscription MDM.
2. Assurez-vous qu’un point de terminaison SCEP Foxpass existe
Tous les MDM pris en charge utilisent SCEP pour demander et renouveler des certificats auprès de Foxpass.
Accédez à Foxpass Console → RADIUS → SCEP
Si une URL du serveur SCEP (point de terminaison unique) est déjà affichée, passez à l’étape 4
Cliquez sur "Create SCEP Endpoint", puis indiquez un nom, un type de vérification, un type d’authentification et sélectionnez le Client CA de l’étape 1 ci-dessus
Notez le "Unique Endpoint" et le "Challenge Password" pour plus tard
3. Déployez des certificats via votre MDM ou le programme d’installation de certificats BYOD de Foxpass
Une fois l’autorité de certification cliente et le point de terminaison SCEP en place, votre MDM peut émettre des certificats d’appareil pour Entra CBA.
Foxpass prend en charge les MDM compatibles SCEP (Microsoft Intune, Jamf, Iru (Kandji), Addigy, et bien plus encore), ainsi que le Foxpass BYOD Certificate Installer (inscription basée sur OAuth).
Votre MDM détermine le Subject/SAN (UPN ou e-mail), le comportement de renouvellement et la génération de clés. Foxpass signe le certificat et gère la révocation.
Option A : Microsoft Intune
Étape A1 : créer un profil de certificat SCEP
Accédez au centre d’administration Intune
Accédez à Devices → Configuration profiles → Create profile
Choisissez la plateforme (Windows, iOS/iPadOS, macOS, Android)
Type de profil : certificat SCEP
Définissez les paramètres clés suivants :
Paramètres | Valeur |
URL du serveur SCEP | « Unique Endpoint » de Foxpass SCEP |
Format du nom du sujet | {{UserPrincipalName}} ou {{EmailAddress}} |
Taille de clé | 2048 ou 4096 |
Utilisation des clés | Signature numérique, chiffrement de clé |
EKU | Authentification du client |
Algorithme de hachage | SHA-256 |
Seuil de renouvellement | Recommandé : 20–30 % |
Étape A2 : Configurer l’authentification SCEP
Type d’authentification → secret partagé
Secret → Foxpass SCEP "mot de passe de challenge" (depuis la console Foxpass)
Étape A3 : attribuer et valider
Affectez le profil aux groupes d’utilisateurs/appareils et vérifiez :
Certificat délivré par Foxpass Client CA
Le SAN/sujet correspond à l’UPN ou à l’e-mail
EKU = authentification du client
Option B : Jamf / Iru (Kandji) / Addigy / Workspace ONE / Mosyle
Entra CBA ne nécessite pas Intune pour le provisionnement des certificats. Cela signifie que vous pouvez utiliser Entra CBA même dans des environnements non gérés par Intune, y compris des flottes Apple mixtes, des déploiements multiplateformes, des environnements EDU, des appareils de sous-traitants/BYOD et des organisations utilisant des MDM non-Microsoft.
Ces MDM suivent la même logique sous-jacente qu’Intune, en utilisant SCEP pour générer des clés sur l’appareil et demander des certificats à Foxpass. Vous trouverez ici les instructions complètes pour chacun :
Option C : appareils BYOD
Utilisez le Foxpass BYOD Certificate Installer et suivez les étapes suivantes :
L’utilisateur se connecte à l’aide d’OAuth avec Microsoft Entra ID (Remarque : la connexion Google du programme d’installation BYOD ne peut pas être utilisée pour Microsoft Entra CBA. CBA nécessite des certificats qui correspondent aux identités Entra.)
Foxpass émet un certificat ClientAuth
Le certificat s’installe localement (aucun MDM requis)
C’est idéal pour les sous-traitants, les appareils des étudiants (EDU) ou les terminaux non gérés.
4. Téléchargez le Client CA Foxpass sur Microsoft Entra
Pour utiliser cette méthode, Microsoft Entra doit approuver votre autorité de certification émettrice.
Étape 1 : téléchargez le certificat Client CA
Accédez à Foxpass Console → RADIUS → EAP-TLS
Téléchargez le certificat Client CA
Étape 2 : téléchargez l’autorité de certification client dans Entra
Accédez à Entra Admin Center → Protection → authentification par certificat → autorités de certification
Téléchargez le certificat CA client Foxpass
5. Configurer l’authentification par certificat Microsoft Entra
Dans le centre d’administration Entra :
Activer l’authentification basée sur des certificats
Choisissez les règles de mappage :
SAN → UPN (recommandé)
SAN → e-mail
EKU requis → Authentification client
Facultatif : restreindre par émetteur ou politique de certificat
Consultez Microsoft Learn pour les règles de mappage avancées, les exigences EKU, les contraintes d’émetteur et une présentation complète de la configuration de Entra CBA :
https://learn.microsoft.com/en-us/entra/identity/authentication/how-to-certificate-based-authentication
6. Appliquez des politiques d’accès conditionnel
Créez une stratégie d’accès conditionnel :
Utilisateurs : commencez avec un groupe de test
Applications : Microsoft 365 ou toutes les applications cloud
Autoriser : exiger une authentification basée sur un certificat
Améliorations optionnelles :
Bloquer la connexion par mot de passe
Exiger des appareils conformes ou joints à un domaine
Ajouter une méthode de secours MFA
7. Testez l’authentification basée sur des certificats
Sur un appareil doté d’un certificat émis par Foxpass :
Visitez https://portal.office.com
Entrez votre nom d’utilisateur
Le navigateur demande un certificat
Sélectionnez le certificat émis par Foxpass
L’authentification réussit sans mot de passe
Si vous rencontrez un problème lors de l’authentification avec un certificat, vérifiez que l’émetteur est Foxpass Client CA et que le SAN/sujet correspond à l’UPN/e-mail.
(Facultatif) Utilisez le même certificat Foxpass pour le Wi-Fi/VPN (EAP-TLS)
L’un des avantages de l’utilisation de Foxpass Cloud PKI est que le même certificat d’appareil émis pour Microsoft Entra CBA peut également être utilisé pour un accès sécurisé au Wi‑Fi ou au VPN via EAP-TLS avec Foxpass Cloud RADIUS.
Avec EAP-TLS, les organisations peuvent :
Appliquez un accès réseau Zero Trust
Éliminez les mots de passe pour le Wi‑Fi et le VPN
Assurez-vous que seuls les appareils disposant d’un certificat valide délivré par Foxpass puissent rejoindre
Appliquez l’attribution VLAN, les règles de confiance des appareils ou les politiques basées sur l’identité
Partagez le même cycle de vie des certificats entre l’authentification cloud Entra CBA et l’accès réseau
结论
L’utilisation de Foxpass Cloud PKI avec Microsoft Entra CBA et votre MDM vous offre :
Une PKI privée entièrement gérée
Émission de certificats multiplateforme
Gestion automatisée du cycle de vie des certificats
Identité de certificat unifiée pour l’accès SaaS et le Wi-Fi/VPN (facultatif)
Intégration fluide avec Intune, Jamf, Iru (Kandji), Addigy et BYOD
Cette configuration offre une approche moderne, sans mot de passe et basée sur des certificats pour sécuriser à la fois l’identité et l’accès réseau, sans exécuter votre propre CA.
