Megosztás a következőn keresztül:

PKCS-tanúsítványok konfigurálása és használata Intune

  • Cikk

A következőkre vonatkozik:L

  • Android
  • iOS/iPadOS
  • macOS
  • Windows 10/11

Microsoft Intune támogatja a privát és nyilvános kulcspáros (PKCS) tanúsítványok használatát. Ez a cikk áttekinti a Intune rendelkező PKCS-tanúsítványok követelményeit, beleértve a PKCS-tanúsítvány exportálását, majd egy Intune eszközkonfigurációs profilhoz való hozzáadását.

Microsoft Intune beépített beállításokat tartalmaz, amelyek PKCS-tanúsítványokat használnak a szervezeti erőforrásokhoz való hozzáféréshez és hitelesítéshez. A tanúsítványok hitelesítik és biztonságosan hozzáférhetnek a vállalati erőforrásokhoz, például VPN-hez vagy Wi-Fi-hálózathoz. Ezeket a beállításokat a Intune eszközkonfigurációs profiljaival telepítheti az eszközökre.

Az importált PKCS-tanúsítványok használatával kapcsolatos információkért lásd: Importált PFX-tanúsítványok.

Tipp

A PKCS-tanúsítványprofiloka Windows Enterprise több munkamenetes távoli asztalai esetében támogatottak.

Követelmények

A PKCS-tanúsítványok Intune való használatához a következő infrastruktúrára van szükség:

  • Active Directory-tartomány: Az ebben a szakaszban felsorolt összes kiszolgálót csatlakoztatni kell az Active Directory-tartományhoz.

    A Active Directory tartományi szolgáltatások (AD DS) telepítésével és konfigurálásával kapcsolatos további információkért lásd: Az AD DS tervezése és tervezése.

  • Hitelesítésszolgáltató: Vállalati hitelesítésszolgáltató (CA).

    Az Active Directory tanúsítványszolgáltatások (AD CS) telepítésével és konfigurálásával kapcsolatos információkért tekintse meg az Active Directory tanúsítványszolgáltatások részletes útmutatóját.

    Figyelmeztetés

    Intune az AD CS-t vállalati hitelesítésszolgáltatóval (CA) kell futtatnia, nem pedig önálló hitelesítésszolgáltatóval.

  • Ügyfél: A vállalati hitelesítésszolgáltatóhoz való csatlakozáshoz.

  • Főtanúsítvány: A főtanúsítvány vállalati hitelesítésszolgáltatóról exportált példánya.

  • Tanúsítvány-összekötő Microsoft Intune: A tanúsítvány-összekötőről további információt a következő témakörben talál:

Tanúsítvány-összekötő frissítése: A KB5014754 erős leképezési követelményei

A kulcsterjesztési központhoz (KDC) erős leképezési formátumra van szükség a Microsoft Intune által üzembe helyezett és tanúsítványalapú hitelesítéshez használt PKCS-tanúsítványokban. A leképezésnek biztonsági azonosító (SID) kiterjesztéssel kell rendelkeznie, amely leképezi a felhasználót vagy az eszköz biztonsági azonosítóját. Ha egy tanúsítvány nem felel meg a teljes kényszerítési mód dátuma által meghatározott új erős leképezési feltételeknek, a rendszer megtagadja a hitelesítést. A követelményekkel kapcsolatos további információkért lásd: KB5014754: Tanúsítványalapú hitelesítés változásai Windows-tartományvezérlőkön .

A Microsoft Intune Tanúsítvány-összekötő 6.2406.0.1001-es verziójában megjelent egy frissítés, amely hozzáadja a felhasználót vagy az eszköz SID-ét tartalmazó objektumazonosító attribútumot a tanúsítványhoz, hatékonyan megfelelve az erős leképezési követelményeknek. Ez a frissítés az helyi Active Directory és Microsoft Entra ID szinkronizált felhasználókra és eszközökre vonatkozik, és minden platformon elérhető, néhány különbséggel:

  • Az erős leképezési változások minden operációsrendszer-platform felhasználói tanúsítványára vonatkoznak .

  • Az erős leképezési módosítások Microsoft Entra hibrid csatlakoztatott Windows-eszközök eszköztanúsítványaira vonatkoznak.

Ahhoz, hogy a tanúsítványalapú hitelesítés továbbra is működjön, a következő műveleteket kell végrehajtania:

  • Frissítse a Microsoft Intune Tanúsítvány-összekötőt a 6.2406.0.1001-es verzióra. További információ a legújabb verzióról és a tanúsítvány-összekötő frissítéséről: Tanúsítvány-összekötő Microsoft Intune.

  • Módosítsa a beállításkulcs adatait a tanúsítvány-összekötőt futtató Windows-kiszolgálón.

Hajtsa végre az alábbi eljárást a beállításkulcsok módosításához és a tanúsítványok erős leképezési módosításainak alkalmazásához. Ezek a módosítások a megújított új PKCS-tanúsítványokra és PKCS-tanúsítványokra vonatkoznak.

Tipp

Ehhez az eljáráshoz módosítania kell a beállításjegyzéket a Windowsban. További információért tekintse meg az alábbi forrásanyagokat a Microsoft ügyfélszolgálata:

  1. A Windows beállításjegyzékében módosítsa a értékét 1-re[HKLM\Software\Microsoft\MicrosoftIntune\PFXCertificateConnector](DWORD)EnableSidSecurityExtension.

  2. Indítsa újra a tanúsítvány-összekötő szolgáltatást.

    1. Nyissa meg a Futtatás indítása>elemet.
    2. Nyissa meg a services.msc fájlt.
    3. Indítsa újra a következő szolgáltatásokat:

      • PFX – Örökölt összekötő létrehozása Microsoft Intune

      • PFX Tanúsítvány-összekötő létrehozása Microsoft Intune

  3. A módosítások az összes új tanúsítványra és a megújított tanúsítványokra is érvényesek. A hitelesítés működésének ellenőrzéséhez javasoljuk, hogy tesztelje az összes olyan helyet, ahol tanúsítványalapú hitelesítés használható, beleértve a következőket:

    • Apps
    • Intune integrált hitelesítésszolgáltatók
    • NAC-megoldások
    • Hálózati infrastruktúra

    Módosítások visszaállítása:

    1. Állítsa vissza az eredeti beállításjegyzék-beállításokat.

    2. Indítsa újra a következő szolgáltatásokat:

      • PFX – Örökölt összekötő létrehozása Microsoft Intune

      • PFX Tanúsítvány-összekötő létrehozása Microsoft Intune

    3. Hozzon létre egy új PKCS-tanúsítványprofilt az érintett eszközökhöz a tanúsítványok SID attribútum nélküli újbóli kiadásához.

      Tipp

      Ha Digicert hitelesítésszolgáltatót használ, létre kell hoznia egy tanúsítványsablont a SID-vel rendelkező felhasználók számára, valamint egy másik sablont az SID-vel nem rendelkező felhasználók számára. További információt a DigiCert PKI Platform 8.24.1 kibocsátási megjegyzéseiben talál.

Főtanúsítvány exportálása a vállalati hitelesítésszolgáltatóról

Az eszközök VPN-, WiFi- vagy egyéb erőforrásokkal való hitelesítéséhez az eszköznek gyökér- vagy köztes hitelesítésszolgáltatói tanúsítványra van szüksége. Az alábbi lépések bemutatják, hogyan szerezheti be a szükséges tanúsítványt a vállalati hitelesítésszolgáltatótól.

A következő lépések végrehajtásához használjon parancssort:

  1. Jelentkezzen be a legfelső szintű hitelesítésszolgáltató kiszolgálóra rendszergazdai fiókkal.

  2. Lépjen a Futtatás indítása> elemre, majd írja be a Cmd parancsot egy parancssor megnyitásához.

  3. Adja meg a certutil -ca.cert ca_name.cer a főtanúsítvány ca_name.cer nevű fájlként való exportálásához.

Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatón

  1. Jelentkezzen be a vállalati hitelesítésszolgáltatóba egy rendszergazdai jogosultságokkal rendelkező fiókkal.

  2. Nyissa meg a Hitelesítésszolgáltató konzolt, kattintson a jobb gombbal a Tanúsítványsablonok elemre, és válassza a Kezelés lehetőséget.

  3. Keresse meg a Felhasználói tanúsítvány sablont, kattintson rá a jobb gombbal, és válassza a Sablon duplikálása parancsot az új sablon tulajdonságainak megnyitásához.

    Megjegyzés:

    Az S/MIME e-mailek aláírása és titkosítása esetén sok rendszergazda külön tanúsítványokat használ az aláíráshoz és a titkosításhoz. Ha Microsoft Active Directory tanúsítványszolgáltatást használ, használhatja az S/MIME e-mail aláíró tanúsítványainak Csak Exchange Signature sablonját, valamint az S/MIME titkosítási tanúsítványok Exchange-felhasználó sablonját. Ha nem Microsoft hitelesítésszolgáltatót használ, javasoljuk, hogy tekintse át az útmutatójukat az aláírási és titkosítási sablonok beállításához.

  4. A Kompatibilitás lapon:

    • A Hitelesítésszolgáltató beállítása Windows Server 2008 R2-re
    • Tanúsítvány címzettjének beállítása Windows 7 / Server 2008 R2 verzióra

  5. Az Általános lapon:

    • A Sablon megjelenítendő neve mezőben adjon meg valami kifejező nevet.
    • Törölje a Tanúsítvány közzététele az Active Directoryban jelölőnégyzet jelölését.

    Figyelmeztetés

    A sablon neve alapértelmezés szerint ugyanaz, mint a sablon megjelenítendő neveszóközök nélkül. Jegyezze fel a sablon nevét, mert később szüksége lesz rá.

  6. A Kérelemkezelés területen válassza a Titkos kulcs exportálásának engedélyezése lehetőséget.

    Megjegyzés:

    Az SCEP-vel ellentétben a PKCS-vel a tanúsítvány titkos kulcsa azon a kiszolgálón jön létre, amelyen a tanúsítvány-összekötő telepítve van, és nem az eszközön. A tanúsítványsablonnak lehetővé kell tennie a titkos kulcs exportálását, hogy az összekötő exportálhassa a PFX-tanúsítványt, és elküldhesse az eszközre.

    Miután telepítette a tanúsítványokat az eszközön, a titkos kulcs nem exportálhatóként lesz megjelölve.

  7. A Titkosítás területen ellenőrizze, hogy a Minimális kulcsméret 2048 értékre van-e állítva.

    A Windows- és Android-eszközök támogatják a 4096 bites kulcsméret használatát PKCS-tanúsítványprofillal. A kulcsméret használatához módosítsa az értéket 4096-ra.

    Megjegyzés:

    Windows-eszközök esetén a 4096 bites kulcstároló csak a szoftverkulcs-tárolószolgáltatóban (KSP) támogatott. Az alábbi funkciók nem támogatják az ilyen méretű kulcsok tárolását:

    • A hardveres TPM (platformmegbízhatósági modul): Megkerülő megoldásként használhatja a szoftveres KSP-t a kulcstároláshoz.
    • Vállalati Windows Hello: A Vállalati Windows Hello jelenleg nincs áthidaló megoldás.

  8. A Tulajdonos neve területen válassza a Kérelemben a Kínálat lehetőséget.

  9. A Bővítmények területen, az Alkalmazásszabályzatok területen ellenőrizze, hogy megjelenik-e a Fájlrendszer titkosítása, a Biztonságos Email és az Ügyfél-hitelesítés.

    Fontos

    iOS-/iPadOS-tanúsítványsablonok esetén lépjen a Bővítmények lapra, frissítse a kulcshasználatot, majd törölje az Aláírás a forrás igazolása jelölőnégyzet jelölését.

  10. A Biztonság területen:

    1. Adja hozzá annak a kiszolgálónak a számítógépfiókot, amelyen a tanúsítvány-összekötőt telepíti Microsoft Intune. A fiók olvasási és regisztrálási engedélyeinek engedélyezése.
    2. (Nem kötelező, de ajánlott) Távolítsa el a tartományi felhasználók csoportját a sablonhoz engedélyezett csoportok vagy felhasználónevek listájából. A csoport eltávolítása:
      1. Válassza a Tartományfelhasználók csoportot.
      2. Válassza az Eltávolítás lehetőséget.
      3. Tekintse át a Csoportok vagy felhasználónevek területen található többi bejegyzést az engedélyek és a környezet alkalmazhatóságának ellenőrzéséhez.

  11. > Kattintson azOK gombra a tanúsítványsablon mentéséhez. Zárja be a Tanúsítványsablonok konzolt.

  12. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok elemre.

  13. Válassza aKibocsátandóúj> tanúsítványsablon lehetőséget.

  14. Válassza ki az előző lépésekben létrehozott sablont. Kattintson az OK gombra.

  15. Engedélyezi a kiszolgáló számára a regisztrált eszközök és felhasználók tanúsítványainak kezelését:

    1. Kattintson a jobb gombbal a hitelesítésszolgáltatóra, majd válassza a Tulajdonságok parancsot.
    2. A Biztonság lapon adja hozzá annak a kiszolgálónak a számítógépfiókját, amelyen az összekötőt futtatja.
    3. Adjon kiállítási és kezelési tanúsítványokat , és kérjen tanúsítványokat a számítógépfiókhoz.

  16. Jelentkezzen ki a vállalati hitelesítésszolgáltatóból.

Töltse le, telepítse és konfigurálja a tanúsítvány-összekötőt a Microsoft Intune

Útmutatásért lásd: A tanúsítvány-összekötő telepítése és konfigurálása Microsoft Intune.

Megbízható tanúsítványprofil létrehozása

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Válassza ki, majd lépjen az Eszközök>kezeléseeszközkonfiguráció>>Létrehozás elemre.

  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza ki a profilt fogadó eszközök platformját.
      • Android-eszközadminisztrátor
      • Android Enterprise:
        • Teljes körűen felügyelt
        • Elkötelezett
        • Corporate-Owned munkahelyi profil
        • Personally-Owned munkahelyi profil
      • iOS/iPadOS
      • macOS
      • Windows 10/11
    • Profil: Válassza a Megbízható tanúsítvány lehetőséget. Vagy válassza a Sablonok>megbízható tanúsítvány lehetőséget.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok között adja meg a következő tulajdonságokat:

    • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. A jó profilnév például a megbízható tanúsítványprofil a teljes vállalat számára.
    • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

  6. Válassza a Tovább gombot.

  7. A Konfigurációs beállítások területen adja meg a korábban exportált legfelső szintű hitelesítésszolgáltatói tanúsítvány .cer fájlját.

    Megjegyzés:

    A 3. lépésben kiválasztott platformtól függően előfordulhat, hogy lehetősége van a tanúsítvány céltárolójának kiválasztására.

    Profil létrehozása és megbízható tanúsítvány feltöltése

  8. Válassza a Tovább gombot.

  9. A Hozzárendelések területen válassza ki a hozzárendelésbe felvenni kívánt felhasználói vagy eszközcsoportokat. Ezek a csoportok az üzembe helyezés után kapják meg a profilt. Részletesebb információkért lásd: Szűrők létrehozása Microsoft Intune és alkalmazása a Szűrő szerkesztése lehetőség kiválasztásával.

    Tervezze meg a tanúsítványprofil üzembe helyezését ugyanazokon a csoportokon, amelyek a következőt kapják:

    • A PKCS-tanúsítványprofil és a

    • Egy konfigurációs profil, például egy Wi-Fi profil, amely a tanúsítványt használja.

    További információ a profilok hozzárendeléséről: Felhasználói és eszközprofilok hozzárendelése.

    Válassza a Tovább gombot.

  10. (Csak Windows 10/11-re vonatkozik) Az Alkalmazhatósági szabályok területen adja meg az alkalmazhatósági szabályokat a profil hozzárendelésének finomításához. Dönthet úgy, hogy hozzárendeli vagy nem rendeli hozzá a profilt egy eszköz operációsrendszer-kiadása vagy verziója alapján.

    További információt az Eszközprofil létrehozása a Microsoft Intune-ben című témakör Alkalmazhatósági szabályok című témakörében talál.

  11. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

PKCS-tanúsítványprofil létrehozása

Fontos

Az Android-eszközök rendszergazdai felügyelete elavult, és már nem érhető el a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközök számára. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre. A támogatási és súgódokumentáció továbbra is elérhető marad a GMS nélküli, Android 15-ös vagy korábbi verziót futtató eszközökhöz. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Válassza ki, majd lépjen az Eszközök>kezeléseeszközkonfiguráció>>Létrehozás elemre.

  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza ki az eszközei platformját. Az Ön lehetőségei:
      • Android-eszközadminisztrátor
      • Android Enterprise:
        • Teljes körűen felügyelt
        • Elkötelezett
        • Corporate-Owned munkahelyi profil
        • Personally-Owned munkahelyi profil
      • iOS/iPadOS
      • macOS
      • Windows 10/11
    • Profil: Válassza a PKCS-tanúsítvány lehetőséget. Vagy válassza a Sablonok>PKCS-tanúsítvány lehetőséget.

    Megjegyzés:

    Az Android Enterprise-profillal rendelkező eszközökön a PKCS-tanúsítványprofillal telepített tanúsítványok nem láthatók az eszközön. A tanúsítvány sikeres üzembe helyezésének megerősítéséhez ellenőrizze a profil állapotát a Intune Felügyeleti központban.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok között adja meg a következő tulajdonságokat:

    • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. A jó profilnév például a teljes vállalat PKCS-profilja.
    • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

  6. Válassza a Tovább gombot.

  7. A Konfigurációs beállítások területen a választott platformtól függően a konfigurálható beállítások eltérőek. Válassza ki a platformot a részletes beállításokért:

    • Android-eszközadminisztrátor
    • Vállalati Android
    • iOS/iPadOS
    • Windows 10/11
    Beállítás Platform Részletek
    Üzembehelyezési csatorna macOS Válassza ki, hogyan szeretné üzembe helyezni a profilt. Ez a beállítás határozza meg azt a kulcskarikát is, amelyben a csatolt tanúsítványok találhatók, ezért fontos a megfelelő csatorna kiválasztása.

    Mindig válassza ki a felhasználói üzembehelyezési csatornát a felhasználói tanúsítványokkal rendelkező profilokban. A felhasználói csatorna a tanúsítványokat a felhasználói kulcskarikában tárolja. Mindig válassza ki az eszköztelepítési csatornát az eszköztanúsítvánnyal rendelkező profilokban. Az eszközcsatorna a tanúsítványokat a rendszerkulcsláncban tárolja.

    A profil üzembe helyezése után nem lehet szerkeszteni az üzembehelyezési csatornát. Egy másik csatorna kiválasztásához létre kell hoznia egy új profilt.
    Megújítási küszöbérték (%) Minden Ajánlott: 20%
    Tanúsítvány érvényességi időtartama Minden Ha nem módosította a tanúsítványsablont, előfordulhat, hogy ez a beállítás egy évre van állítva.

    Öt napos vagy legfeljebb 24 hónapos érvényességi időtartamot használjon. Ha az érvényességi idő öt napnál rövidebb, nagy a valószínűsége annak, hogy a tanúsítvány hamarosan lejáró vagy lejárt állapotba kerül, ami miatt az eszközökön az MDM-ügynök a telepítés előtt elutasíthatja a tanúsítványt.
    Kulcstároló-szolgáltató (KSP) Windows 10/11 Windows rendszeren válassza ki, hogy hol tárolja a kulcsokat az eszközön.
    Hitelesítésszolgáltató Minden Megjeleníti a vállalati hitelesítésszolgáltató belső teljes tartománynevét (FQDN).
    Hitelesítésszolgáltató neve Minden Listák a vállalati hitelesítésszolgáltató nevét, például "Contoso hitelesítésszolgáltató".
    Tanúsítványsablon neve Minden Listák a tanúsítványsablon nevét.
    Tanúsítvány típusa
    • Android Enterprise (vállalati tulajdonú és Personally-Owned munkahelyi profil)
    • iOS
    • macOS
    • Windows 10/11
    		 Válasszon egy típust:
    • A felhasználói tanúsítványok a tanúsítvány tulajdonosának és tulajdonosának alternatív nevének (SAN) felhasználó- és eszközattribútumait is tartalmazhatják.
    • Az eszköztanúsítványok csak a tanúsítvány tulajdonosában és tárolóhálózatában tartalmazhatnak eszközattribútumokat. Az Eszköz használata olyan forgatókönyvekhez, mint a felhasználó nélküli eszközök, például a kioszkok vagy más megosztott eszközök.

      Ez a kijelölés hatással van a Tulajdonosnév formátumra.

      MacOS esetén, ha ez a profil az eszköztelepítési csatorna használatára van konfigurálva, kiválaszthatja a Felhasználó vagy az Eszköz lehetőséget. Ha a profil a felhasználó üzembehelyezési csatornájának használatára van konfigurálva, csak a Felhasználó lehetőséget választhatja.
    Tulajdonos nevének formátuma Minden A tulajdonosnév formátumának konfigurálásáról a cikk későbbi, Tulajdonosnév formátuma című szakaszában olvashat bővebben.

    A következő platformokon a tulajdonosnév formátumát a tanúsítvány típusa határozza meg:
    • Android Enterprise (munkahelyi profil)
    • iOS
    • macOS
    • Windows 10/11
    Tulajdonos alternatív neve Minden Az Attribútum mezőben válassza az Egyszerű felhasználónév (UPN) lehetőséget, ha másként nem szükséges, konfiguráljon egy megfelelő értéket, majd válassza a Hozzáadás lehetőséget.

    Mindkét tanúsítványtípus tárolóhálózatához használhat változókat vagy statikus szöveget. Nem szükséges változót használni.

    További információt a cikk későbbi, Tulajdonosnév formátuma című szakaszában talál.
    Kibővített kulcshasználat
    • Android-eszközadminisztrátor
    • Android Enterprise (eszköztulajdonos, vállalati tulajdonú és Personally-Owned munkahelyi profil)
    • Windows 10/11
    		 A tanúsítványokhoz általában ügyfél-hitelesítés szükséges, hogy a felhasználó vagy az eszköz hitelesíthesse magát egy kiszolgálón.
    Hozzáférés engedélyezése minden alkalmazásnak a titkos kulcshoz macOS Az Engedélyezés értékre állítva hozzáférést adhat a társított Mac-eszközhöz konfigurált alkalmazásoknak a PKCS-tanúsítvány titkos kulcsához.

    További információ erről a beállításról: AllowAllAppsAccess the Certificate Payload (AllowAllAppsAccess the Certificate Payload) (Az Apple fejlesztői dokumentációjában található konfigurációs profil referenciájának Tanúsítvány hasznos adatai szakasza).
    Főtanúsítvány
    • Android-eszközadminisztrátor
    • Android Enterprise (eszköztulajdonos, vállalati tulajdonú és Personally-Owned munkahelyi profil)
    		 Válasszon ki egy korábban hozzárendelt legfelső szintű hitelesítésszolgáltatói tanúsítványprofilt.

  8. Ez a lépés csak a teljes körűen felügyelt, dedikált és Corporate-Owned munkahelyi profilhoz tartozó Android Enterprise-eszközprofilokra vonatkozik.

    Az Alkalmazások területen konfigurálja a tanúsítvány-hozzáférést az alkalmazásokhoz való tanúsítványhozzáférés kezeléséhez. Válasszon a következő lehetőségek közül:

    • Felhasználói jóváhagyás megkövetelése az alkalmazásokhoz(alapértelmezett) – A felhasználóknak minden alkalmazásnak jóvá kell hagyniuk a tanúsítvány használatát.
    • Engedélyezés csendesen adott alkalmazásokhoz (más alkalmazásokhoz felhasználói jóváhagyás szükséges) – Ezzel a beállítással válassza az Alkalmazások hozzáadása lehetőséget. Ezután válassza ki az összes olyan alkalmazást, amely felhasználói beavatkozás nélkül, csendesen használja a tanúsítványt.

  9. Válassza a Tovább gombot.

  10. A Hozzárendelések területen válassza ki a hozzárendelésbe felvenni kívánt felhasználókat és csoportokat. A felhasználók és csoportok az üzembe helyezés után kapják meg a profilt. Tervezze meg a tanúsítványprofil üzembe helyezését ugyanazokon a csoportokon, amelyek a következőt kapják:

  • A megbízható tanúsítványprofil és

  • Egy konfigurációs profil, például egy Wi-Fi profil, amely a tanúsítványt használja.

További információ a profilok hozzárendeléséről: Felhasználói és eszközprofilok hozzárendelése.

  1. Válassza a Tovább gombot.

  2. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Tulajdonos nevének formátuma

Amikor PKCS-tanúsítványprofilt hoz létre a következő platformokhoz, a tulajdonosnév formátumának beállításai a kiválasztott tanúsítványtípustól függenek( felhasználó vagy eszköz).

Platformok:

  • Android Enterprise (vállalati tulajdonú és Personally-Owned munkahelyi profil)
  • iOS
  • macOS
  • Windows 10/11

Megjegyzés:

Létezik egy ismert probléma, amely miatt a PKCS-vel lekérhetők a tanúsítványok, ami megegyezik az SCEP esetében tapasztalt problémával , amikor az eredményül kapott tanúsítvány-aláírási kérelem tulajdonosneve a következő karakterek egyikét tartalmazza feloldott karakterként (fordított perjellel \):

  • +
  • ;
  • ,
  • =

Megjegyzés:

Az Android 12-től kezdődően az Android már nem támogatja a következő hardverazonosítók használatát a személyes tulajdonú munkahelyi profilos eszközökhöz:

  • Sorozatszám
  • IMEI
  • MEID

Intune személyes tulajdonban lévő, a tulajdonos nevében vagy a SAN-ban szereplő változókra támaszkodó munkahelyi profilok tanúsítványprofiljai nem fognak tanúsítványt kiépíteni az Android 12 vagy újabb rendszerű eszközökön, amikor az eszköz regisztrálva lett a Intune. Az Android 12-re való frissítés előtt regisztrált eszközök akkor is kaphatnak tanúsítványokat, ha Intune korábban beszerezték az eszközök hardverazonosítóit.

Erről és az Android 12-vel bevezetett egyéb változásokról az Android Day Zero Support for Microsoft Endpoint Manager blogbejegyzésben talál további információt.

  • Felhasználói tanúsítvány típusa
    A Tulajdonosnév formátum formátumbeállításai két változót tartalmaznak: Köznapi név (CN) és Email (E). Email (E) általában a{{EmailAddress}} változóval lett beállítva. Például: E={{EmailAddress}}

    A Köznapi név (CN) a következő változók bármelyikére állítható be:

    • CN={{UserName}}: A felhasználó felhasználóneve, például Jane Doe.

    • CN={{UserPrincipalName}}: A felhasználó egyszerű felhasználóneve, például janedoe@contoso.com.

    • CN={{AAD_Device_ID}}: Az eszköz Microsoft Entra ID való regisztrálásakor hozzárendelt azonosító. Ezt az azonosítót általában az Microsoft Entra ID hitelesítésére használják.

    • CN={{DeviceId}}: Az eszköz Intune való regisztrálásakor hozzárendelt azonosító.

    • CN={{SERIALNUMBER}}: Az eszköz azonosítására általában a gyártó által használt egyedi sorozatszám (SN).

    • CN={{IMEINumber}}: A mobiltelefonok azonosításához használt egyedi IMEI-azonosító (International Mobile Equipment Identity, IMEI).

    • CN={{OnPrem_Distinguished_Name}}: Relatív megkülönböztető nevek sorozata vesszővel elválasztva, például CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

      A(z) {{OnPrem_Distinguished_Name}} változó használatához mindenképpen szinkronizálja az onpremisesdistinguishedname felhasználói attribútumot az Microsoft Entra Csatlakozás a Microsoft Entra ID.

    • CN={{onPremisesSamAccountName}}: A rendszergazdák szinkronizálhatják a samAccountName attribútumot az Active Directoryból Microsoft Entra ID a Microsoft Entra Connect használatával az onPremisesSamAccountName nevű attribútumba. Intune helyettesítheti ezt a változót egy tanúsítvány-kiállítási kérelem részeként a tanúsítvány tulajdonosában. A samAccountName attribútum a Windows korábbi (Windows 2000 előtti) verziójából származó ügyfelek és kiszolgálók támogatásához használt felhasználói bejelentkezési név. A felhasználói bejelentkezési név formátuma: DomainName\testUser, vagy csak testUser.

      A(z) {{onPremisesSamAccountName}} változó használatához mindenképpen szinkronizálja az onPremisesSamAccountName felhasználói attribútumot Microsoft Entra Csatlakozás a Microsoft Entra ID.

    Az alábbi Eszköztanúsítvány-típus szakaszban felsorolt összes eszközváltozó használható a felhasználói tanúsítvány tulajdonosneveiben is.

    Ezen változók vagy statikus szöveges sztringek egy vagy több kombinációjával egyéni tulajdonosnév-formátumot hozhat létre, például: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

    Ez a példa tartalmaz egy tulajdonosnév-formátumot, amely a CN és E változókat, valamint a szervezeti egység, a szervezet, a hely, az állam és az ország/régió értékeinek sztringeit használja. A CertStrToName függvény ezt a függvényt és a támogatott sztringeket írja le.

    A felhasználói attribútumok nem támogatottak olyan eszközök esetében, amelyek nem rendelkeznek felhasználói társításokkal, például dedikált Android Enterprise-ként regisztrált eszközök esetében. Ha például egy profil CN={{UserPrincipalName}} értéket használ a tárgyban vagy a SAN-ban, nem tudja lekérni az egyszerű felhasználónevet, ha nincs felhasználó az eszközön.

  • Eszköztanúsítvány típusa
    A Tulajdonosnév formátum formátumbeállításai a következő változókat tartalmazzák:

    • {{AAD_Device_ID}}
    • {{DeviceId}} – A Intune eszközazonosítója
    • {{Device_Serial}}
    • {{Device_IMEI}}
    • {{SerialNumber}}
    • {{IMEINumber}}
    • {{AzureADDeviceId}}
    • {{WiFiMacAddress}}
    • {{IMEI}}
    • {{DeviceName}}
    • {{FullyQualifiedDomainName}}(Csak Windows és tartományhoz csatlakoztatott eszközök esetén alkalmazható)
    • {{MEID}}

    Ezeket a változókat, majd a változó szövegét a szövegmezőben adhatja meg. Például egy Device1 nevű eszköz köznapi neve hozzáadható CN={{DeviceName}}Device1 néven.

    Fontos

    • Amikor megad egy változót, a hiba elkerülése érdekében a változó nevét kapcsos zárójelek { } közé kell tenni a példában látható módon.
    • Az eszköztanúsítvány tulajdonosában vagy SAN-jában használt eszköztulajdonságok( például IMEI, SerialNumber és FullyQualifiedDomainName) olyan tulajdonságok, amelyeket az eszközhöz hozzáféréssel rendelkező személy hamisíthat.
    • Az eszköznek támogatnia kell a tanúsítványprofilban megadott összes változót ahhoz, hogy az adott profil telepítve legyen az adott eszközön. Ha például a(z) {{IMEI}} szerepel egy SCEP-profil tulajdonosnevében, és olyan eszközhöz van rendelve, amely nem rendelkezik IMEI-számmal, a profil telepítése sikertelen.

Következő lépések