Alors que les organisations adoptent l’authentification basée sur des certificats pour renforcer leurs initiatives Zero Trust, beaucoup commencent par Microsoft Cloud PKI pour émettre des certificats aux appareils inscrits dans Intune. Il s’agit d’une approche simplifiée, native à Microsoft, pour émettre des certificats sur Windows, macOS, iOS et Android à l’aide des profils de certificats Intune.
Cependant, la plupart des environnements réels s’étendent bien au-delà d’Intune. Les équipes IT prennent en charge au quotidien les contrôleurs Wi-Fi, les pare-feu, les commutateurs, les appliances VPN, les serveurs RADIUS, les terminaux Linux, les systèmes IoT, les Chromebooks, les serveurs, les charges de travail SaaS et les services d’applications internes. Beaucoup utilisent également plusieurs solutions MDM, en particulier dans les environnements avec des parcs macOS ou iOS. Et presque toutes les organisations prennent en charge les appareils non gérés, BYOD, des sous-traitants et des invités. Ces systèmes ne peuvent pas s’inscrire dans Intune et ne peuvent donc pas recevoir de certificats de Microsoft Cloud PKI. À mesure que les organisations étendent l’accès basé sur des certificats à leurs réseaux, applications et infrastructures, il devient de plus en plus difficile de combler cet écart sans une PKI plus large et plus flexible.
C’est là que Foxpass entre en jeu. Foxpass Cloud PKI propose une approche plus flexible, évolutive et complète de la sécurité basée sur les certificats, couvrant tout ce qui se trouve à l’intérieur comme à l’extérieur de Intune.
Dans ce blog, nous verrons à quoi sert Microsoft Cloud PKI, où les organisations rencontrent généralement des lacunes, comment Foxpass comble ces lacunes avec une PKI plus flexible à l’échelle de l’infrastructure, et pourquoi Foxpass constitue l’alternative la plus complète pour les équipes qui ont besoin d’un déploiement sécurisé des certificats partout — pas seulement dans Intune.
Qu’est-ce que Microsoft Cloud PKI ?
Microsoft Cloud PKI est une autorité de certification hébergée dans le cloud, conçue spécifiquement pour l’émission de certificats basée sur Intune. Il est inclus dans la suite Microsoft Intune ou disponible en module complémentaire à la carte, et il supprime la nécessité de maintenir des autorités de certification sur site (AD CS) ou l’ancien connecteur NDES, tout en simplifiant le déploiement des certificats pour les appareils utilisant des flux de travail de certificats gérés par Intune. Il émet des certificats via les profils SCEP et PFX d’Intune, valide les demandes via le pipeline de gestion des appareils d’Intune, et maintient des contrôles de révocation et de cycle de vie adaptés aux certificats liés à Intune. Ce périmètre est intentionnel et garantit une expérience de certificat simple, sécurisée et de bout en bout pour les appareils déjà gérés dans Intune.
Cela fait de Microsoft Cloud PKI la solution idéale pour les organisations pleinement investies dans la gestion des appareils Intune. Mais c’est aussi la principale limite.
Limites de Microsoft Cloud PKI
Microsoft Cloud PKI fonctionne bien pour les terminaux inscrits dans Intune, mais ne répond pas aux besoins en certificats pour le reste du réseau. Voici les limites que rencontrent la plupart des équipes IT.
1. Inscription des appareils Intune uniquement
Microsoft Cloud PKI émet des certificats uniquement aux appareils inscrits dans Intune et pouvant recevoir des profils SCEP ou PFX Intune. Comme Cloud PKI est volontairement limité au modèle d’appareils gérés d’Intune, il ne permet pas d’émettre des certificats pour des appareils en dehors d’Intune — comme les appareils BYOD, ceux des sous-traitants, des invités ou d’infrastructure. Par conséquent, les organisations constatent souvent des lacunes de couverture lorsqu’elles étendent l’accès basé sur des certificats à des utilisateurs ou des systèmes situés en dehors du périmètre de gestion Intune.
2. Pas de serveur RADIUS intégré
Microsoft Cloud PKI n’inclut pas de service RADIUS. Les organisations qui mettent en œuvre une authentification Wi-Fi basée sur des certificats (EAP-TLS) ou une authentification VPN ont toujours besoin d’une solution RADIUS distincte pour gérer l’authentification, l’intégration des identités, les politiques d’accès et l’application des règles réseau au sein de leur infrastructure existante.
3. Aucune prise en charge des workflows de certificats basés sur CSR ou API
Microsoft Cloud PKI ne fournit pas le téléversement de CSR, l’émission de certificats basée sur API, ACME ni l’inscription SCEP pour les appareils en dehors d’Intune. Étant donné que les workflows de certification sont intentionnellement liés au modèle d’appareils gérés d’Intune, il n’existe aucun parcours d’inscription pour les serveurs, les microservices, les équilibreurs de charge, les appliances ou l’infrastructure réseau. C’est pourquoi de nombreuses organisations étendent ou remplacent Microsoft Cloud PKI par une PKI complète capable de prendre en charge ces systèmes supplémentaires.
4. Prise en charge limitée des environnements hybrides et BYOD
La plupart des organisations fonctionnent avec des environnements MDM mixtes, des flottes macOS gérées par Jamf/Iru (Kandji), des sous-traitants et partenaires externes, ainsi que des appareils non gérés nécessitant un accès au Wi-Fi. Microsoft Cloud PKI ne peut pas délivrer de certificats à ces appareils.
Ces limitations peuvent créer de véritables difficultés opérationnelles, en particulier pour les équipes qui gèrent des groupes d’utilisateurs variés ou mettent en œuvre un modèle de sécurité zero trust. Les organisations à la recherche d’une solution plus complète et plus flexible devraient envisager une alternative qui va au-delà d’Intune et comble ces lacunes fonctionnelles. Foxpass est conçu pour faire exactement cela.
Découvrez Foxpass : l’alternative idéale à Microsoft Cloud PKI
Foxpass Cloud PKI est une autorité de certification cloud-native conçue pour fonctionner sur l’ensemble des appareils et systèmes présents dans les environnements modernes. Il prend en charge l’émission de certificats non seulement pour les terminaux traditionnels, mais aussi pour les équipements réseau, les appliances de sécurité, les serveurs et les services internes. La même PKI peut être utilisée pour le Wi-Fi (EAP-TLS), l’accès VPN, les déploiements NAC, et même pour l’IoT, le BYOD et d’autres appareils non gérés. Foxpass prend en charge SCEP sur tout MDM compatible SCEP — y compris Intune, Jamf, Iru (Kandji), Workspace ONE et Addigy — et prend également en charge les workflows PKI traditionnels, comme la soumission de CSR et l’inscription manuelle de certificats. Pour les appareils totalement en dehors d’un MDM, Foxpass propose des installateurs de certificats BYOD simples pour faciliter l’intégration des certificats. La synchronisation des identités est disponible avec Entra ID, Google Workspace, Okta, OneLogin et d’autres fournisseurs, ce qui permet une application unifiée des politiques sur un large éventail d’identités utilisateur et d’appareil.
Foxpass Cloud RADIUS
Au-delà de l’émission de certificats, Foxpass fournit un service Cloud RADIUS entièrement géré, spécialement conçu pour fonctionner de manière transparente avec Foxpass Cloud PKI. Ensemble, ils créent un workflow d’authentification unifié, de bout en bout, basé sur des certificats pour le Wi-Fi et le VPN. Le service prend en charge EAP-TLS pour l’accès basé sur des certificats, EAP-TTLS et PEAP pour les méthodes basées sur des identifiants, ainsi que RadSec pour transporter le trafic RADIUS sur des canaux sécurisés chiffrés par TLS. Foxpass fonctionne avec des infrastructures Wi-Fi et VPN largement utilisées, telles que Cisco, Aruba, Meraki, Fortinet et Ubiquiti/UniFi, permettant aux organisations de renforcer l’authentification réseau sans refondre leur matériel existant. Comme le service RADIUS est hébergé dans le cloud avec une haute disponibilité, les équipes IT n’ont pas besoin de déployer ni de maintenir des serveurs RADIUS sur site. L’identité et les appartenances aux groupes proviennent directement de votre fournisseur d’identité, et les politiques peuvent être appliquées de manière cohérente sur tous les appareils, qu’ils soient gérés via un MDM, inscrits via SCEP ou intégrés via le programme d’installation BYOD de Foxpass.
En combinant Foxpass Cloud PKI et Cloud RADIUS au sein d’une plateforme cohérente, Foxpass propose une alternative plus complète et plus évolutive à Microsoft Cloud PKI. Il est conçu pour les environnements IT dynamiques d’aujourd’hui, et pas seulement pour ceux gérés par Microsoft.
Foxpass vs Microsoft Cloud PKI : comparaison des fonctionnalités
Lorsque vous évaluez Microsoft Cloud PKI et Foxpass, leurs périmètres différents deviennent évidents. Microsoft Cloud PKI se concentre sur l’émission de certificats pour les appareils gérés par Intune, en offrant une expérience fluide et intégrée au sein de cet écosystème. Foxpass, en revanche, prend en charge la sécurité basée sur les certificats dans l’ensemble de votre environnement — y compris les appareils d’infrastructure, les parcs multi-plateformes, les terminaux non gérés et les systèmes qui nécessitent une authentification basée sur RADIUS — offrant la couverture plus large et l’évolutivité dont de nombreuses organisations ont besoin.
Vous trouverez ci-dessous une comparaison côte à côte des principales fonctionnalités :
Caractéristique | Microsoft Cloud PKI | Foxpass Cloud PKI |
Inscription au certificat | Intune SCEP/PFX uniquement | SCEP (tout MDM), CSR, workflows manuels, installateur BYOD |
Support des appareils | terminaux gérés par Intune | Tout appareil : endpoints, serveurs, infrastructure, IoT, BYOD |
Compatibilité MDM | Intune uniquement | Tout MDM compatible SCEP |
prise en charge de RADIUS | Non inclus | Cloud RADIUS intégré avec EAP-TLS, EAP-TTLS, PEAP et RadSec |
Intégrations d’identité | Entra ID via Intune | Entra ID, Okta, Google, OneLogin, et plus encore |
Compatibilité de la plateforme | Windows, macOS, iOS, Android (Intune-enrolled only) | Windows, macOS, iOS, Android, Chromebook, Linux |
Flexibilité tarifaire | Nécessite Intune Suite ou une licence complémentaire | Disponible en PKI autonome, ou inclus avec la licence RADIUS Advanced, sans dépendance à Intune |
Foxpass répond aux besoins essentiels du cycle de vie des certificats tout en étendant la prise en charge aux appareils non gérés, à divers fournisseurs d'identité et au contrôle d'accès réseau direct. Les entreprises qui souhaitent une authentification sécurisée et évolutive, sans être enfermées dans une seule plateforme de gestion des appareils, bénéficieront de la flexibilité de Foxpass et de sa facilité de déploiement.
Si votre organisation étudie également l’authentification basée sur des certificats pour Entra ID, notre guide Comment configurer Microsoft Entra CBA avec Foxpass Cloud PKI pourrait vous être utile. Il présente le processus de configuration et explique comment les certificats émis par Foxpass s’intègrent facilement aux workflows Entra CBA.
Cas d’usage où Foxpass brille
Foxpass est conçu pour répondre aux besoins réels des équipes IT modernes. Sa flexibilité et son intégration réseau intégrée en font la solution idéale pour les organisations qui doivent sécuriser l’accès sur un large éventail d’appareils et d’environnements. Voici quelques-uns des cas d’usage les plus courants dans lesquels Foxpass surpasse Microsoft Cloud PKI :
1. Authentification Wi‑Fi basée sur des certificats
Foxpass permet une authentification sécurisée, basée sur des certificats, pour les réseaux Wi-Fi utilisant le 802.1x avec EAP-TLS. Il fonctionne parfaitement avec les points d’accès et le matériel réseau de grands fournisseurs comme Cisco, Aruba, Meraki et Ubiquiti. Avec Foxpass Cloud RADIUS, vous n’avez pas besoin de déployer et de maintenir votre propre infrastructure RADIUS.
2. Inscription des appareils BYOD et non gérés
Contrairement à Microsoft Cloud PKI, qui ne prend en charge que les appareils inscrits dans Intune, Foxpass permet d’émettre facilement des certificats pour n’importe quel appareil. Qu’il s’agisse d’un ordinateur portable personnel, du téléphone d’un prestataire ou d’un Chromebook utilisé dans un environnement scolaire, Foxpass prend en charge un onboarding sécurisé sans compromettre le contrôle.
3. Accès à distance sécurisé VPN
Les certificats Foxpass peuvent être utilisés pour authentifier des clients VPN sur différentes plateformes. Les équipes IT peuvent appliquer un accès basé sur des certificats pour les utilisateurs à distance, garantissant que seuls les appareils de confiance peuvent établir des connexions VPN, sans s’appuyer sur des mots de passe ni sur l’inscription des utilisateurs dans Intune.
4. Identité Zero Trust et accès réseau
Foxpass prend en charge la synchronisation en temps réel avec des fournisseurs d’identité comme Entra ID et Okta, ce qui permet aux organisations d’appliquer des politiques d’accès basées à la fois sur l’identité de l’utilisateur et celle de l’appareil. Lorsqu’il est combiné à une authentification basée sur des certificats et à Cloud RADIUS, Foxpass prend en charge une véritable approche Zero Trust sur les couches réseau et identité.
Ces cas d’usage reflètent le besoin croissant de solutions d’accès sécurisées et évolutives qui vont au-delà de l’écosystème Microsoft. Avec Foxpass, les entreprises peuvent simplifier leurs opérations, réduire les risques et améliorer l’expérience utilisateur dans tous les environnements qu’elles gèrent.
Prêt à remplacer ou étendre Microsoft Cloud PKI ? Essayez Foxpass
Microsoft Cloud PKI peut être une option pratique pour les organisations déjà bien ancrées dans l’écosystème Intune, mais il montre ses limites lorsque de la flexibilité, une prise en charge plus large des appareils et une intégration complète au réseau sont nécessaires. L’absence de prise en charge de RADIUS, la compatibilité limitée avec les appareils et la courte durée de validité des certificats créent des difficultés inutiles pour les équipes IT qui gèrent des environnements modernes et hybrides.
Foxpass est la meilleure alternative. Il offre tous les avantages de la sécurité basée sur des certificats, sans vous enfermer dans une plateforme unique. Grâce à l’authentification par certificat, à une intégration fluide des identités et à un backend Cloud RADIUS entièrement géré, Foxpass facilite la mise en place de politiques d’accès sécurisées sur n’importe quel appareil, pour tout utilisateur ou depuis n’importe quel lieu.
Que vous cherchiez à remplacer Microsoft Cloud PKI ou à étendre ses capacités, Foxpass vous offre tout ce dont vous avez besoin sur une plateforme unique et facile à gérer.
Commencez votre essai gratuit de Foxpass dès aujourd'hui et découvrez à quel point un accès sécurisé peut être simple.
