SCEP-tanúsítványprofilok létrehozása és hozzárendelése a Intune
Miután konfigurálta az infrastruktúrát az SCEP-tanúsítványok támogatására, létrehozhatja és hozzárendelheti az SCEP-tanúsítványprofilokat Intune felhasználóihoz és eszközeihez.
Ahhoz, hogy az eszközök SCEP-tanúsítványprofilt használjanak, megbízhatónak kell lenniük a megbízható legfelső szintű hitelesítésszolgáltatóban (CA). A legfelső szintű hitelesítésszolgáltató megbízhatósága akkor a legjobb, ha egy megbízható tanúsítványprofilt helyez üzembe ugyanabban a csoportban, amely megkapja az SCEP-tanúsítványprofilt. A megbízható tanúsítványprofilok kiépítik a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt.
Előfordulhat, hogy az Android Enterprise rendszert futtató eszközöknek PIN-kódot kell megadniuk ahhoz, hogy az SCEP kiépíthesse őket egy tanúsítvánnyal. További információ: AZ Android Enterprise PIN-követelménye.
Fontos
Az Android-eszközök rendszergazdai felügyelete elavult, és már nem érhető el a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközök számára. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre. A támogatási és súgódokumentáció továbbra is elérhető marad a GMS nélküli, Android 15-ös vagy korábbi verziót futtató eszközökhöz. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.
Megjegyzés:
Az Android 11-től kezdődően a megbízható tanúsítványprofilok már nem tudják telepíteni a megbízható főtanúsítványt az Android-eszközadminisztrátorként regisztrált eszközökön. Ez a korlátozás nem vonatkozik a Samsung Knoxra.
További információ erről a korlátozásról: Megbízható tanúsítványprofilok androidos eszközadminisztrátor számára.
Fontos
2022. október 22-én a Microsoft Intune megszüntette a Windows 8.1 rendszerű eszközök támogatását. Ezeken az eszközökön nem érhető el technikai támogatás és automatikus frissítés.
Ha jelenleg a Windows 8.1-et használja, térjen át Windowsos 10/11-es eszközökre. A Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek kezelik a Windows 10/11-es ügyféleszközöket.
Tipp
Az SCEP-tanúsítványprofiloka Windows Enterprise több munkamenetes távoli asztalai esetében támogatottak.
Tanúsítvány-összekötő frissítése: A KB5014754 erős leképezési követelményei
A következőkre vonatkozik:
- Windows 10 rendszer esetén
- Windows 11
- Android
- iOS
- macOS
A kulcsterjesztési központ (KDC) megköveteli, hogy a felhasználó- vagy eszközobjektumokat erősen le kell képezni az Active Directoryra a tanúsítványalapú hitelesítéshez. Ez azt jelenti, hogy a tanúsítvány tulajdonos alternatív nevének (SAN) tartalmaznia kell egy biztonsági azonosítót (SID) tartalmazó bővítményt, amely az Active Directory felhasználó- vagy eszközbiztonsági azonosítójának felel meg. Amikor egy felhasználó vagy eszköz hitelesítést végez egy tanúsítvánnyal az Active Directoryban, a KDC ellenőrzi, hogy a biztonsági azonosító megfelelt-e a tanúsítványnak, és a megfelelő felhasználónak vagy eszköznek lett-e kiadva. A leképezési követelmény védelmet nyújt a tanúsítványhamisítás ellen, és biztosítja, hogy a tanúsítványalapú hitelesítés a KDC-vel szemben továbbra is működni fog.
A Microsoft Intune által üzembe helyezett és a KDC-vel végzett tanúsítványalapú hitelesítéshez használt összes tanúsítványhoz erős leképezés szükséges. Az erős leképezési megoldás minden platformon alkalmazható a felhasználói tanúsítványokra. Az eszköztanúsítványok esetében csak a hibrid csatlakoztatott Windows-eszközökre vonatkozik Microsoft Entra. Ha ezekben a forgatókönyvekben a tanúsítványok nem felelnek meg az erős leképezési követelményeknek a teljes kényszerítési mód dátumáig, a rendszer megtagadja a hitelesítést.
A Intune keresztül kézbesített SCEP-tanúsítványok erős leképezési megoldásának implementálásához hozzá kell adnia a OnpremisesSecurityIdentifier
változót a SAN-hoz az SCEP-profilban.
Ennek a változónak az URI attribútum részét kell képeznie. Létrehozhat egy új SCEP-profilt, vagy szerkeszthet egy meglévőt az URI-attribútum hozzáadásához.
Miután hozzáadta az URI attribútumot és az értéket a tanúsítványprofilhoz, Microsoft Intune hozzáfűzi a SAN attribútumot a címkéhez és a feloldott SID-hez. Példa formázásra: tag:microsoft.com,2022-09-14:sid:<value>
Ekkor a tanúsítványprofil megfelel az erős leképezési követelményeknek.
Annak érdekében, hogy az SCEP-profil megfeleljen az erős leképezési követelményeknek, hozzon létre egy SCEP-tanúsítványprofilt a Microsoft Intune Felügyeleti központban, vagy módosítsa a meglévő profilt az új SAN attribútummal és értékkel. Előfeltételként a felhasználókat és eszközöket szinkronizálni kell az Active Directoryból a Microsoft Entra ID. További információ: Objektumok és hitelesítő adatok szinkronizálása Microsoft Entra tartományi szolgáltatások felügyelt tartományban.
További információ a KDC erős leképezésre vonatkozó követelményeiről és kényszerítési dátumáról : KB5014754: Tanúsítványalapú hitelesítés változásai Windows-tartományvezérlőkön .
SCEP-tanúsítványprofil létrehozása
Jelentkezzen be a Microsoft Intune felügyeleti központba.
Válassza ki, majd lépjen az Eszközök>kezeléseeszközkonfiguráció>>Létrehozás elemre.
Adja meg a következő tulajdonságokat:
Platform: Válassza ki az eszközei platformját.
Profil: Válassza az SCEP-tanúsítvány lehetőséget. Vagy válassza a Sablonok>SCEP-tanúsítvány lehetőséget.
Az Android Enterprise esetében a Profil típusa két kategóriába van osztva: Teljes mértékben felügyelt, Dedikált és Corporate-Owned Munkahelyi profil és Személyes tulajdonú munkahelyi profil. Ügyeljen arra, hogy a megfelelő SCEP-tanúsítványprofilt válassza ki a felügyelt eszközökhöz.
A teljes mértékben felügyelt, dedikált és Corporate-Owned munkahelyi profil SCEP-tanúsítványprofiljaira az alábbi korlátozások vonatkoznak:
- A Figyelés területen a tanúsítványjelentés nem érhető el az eszköztulajdonos SCEP-tanúsítványprofiljaihoz.
- A Intune nem használható az eszköztulajdonos SCEP-tanúsítványprofiljai által kiépített tanúsítványok visszavonására. A visszavonást külső folyamaton keresztül vagy közvetlenül a hitelesítésszolgáltatónál kezelheti.
- Dedikált Android Enterprise-eszközök esetén az SCEP-tanúsítványprofilok Wi-Fi hálózati konfigurációhoz, VPN-hez és hitelesítéshez támogatottak. Az Android Enterprise dedikált eszközökön az SCEP-tanúsítványprofilok nem támogatottak az alkalmazáshitelesítéshez.
Android (AOSP) esetén a következő korlátozások érvényesek:
- A Figyelés területen a tanúsítványjelentés nem érhető el az eszköztulajdonos SCEP-tanúsítványprofiljaihoz.
- A Intune nem használható az SCEP-tanúsítványprofilok által az eszköztulajdonosok számára kiépített tanúsítványok visszavonására. A visszavonást külső folyamaton keresztül vagy közvetlenül a hitelesítésszolgáltatónál kezelheti.
- Az SCEP-tanúsítványprofilok Wi-Fi hálózati konfiguráció esetén támogatottak. A VPN-konfigurációs profil támogatása nem érhető el. A jövőbeli frissítés a VPN-konfigurációs profilok támogatását is magában foglalhatja.
- Az alábbi változók nem használhatók androidos (AOSP) SCEP-tanúsítványprofilokon. Ezeknek a változóknak a támogatása egy későbbi frissítésben fog érkezni.
- onPremisesSamAccountName
- OnPrem_Distinguished_Name
- Department
Megjegyzés:
Az eszköztulajdonos egyenértékű a vállalati tulajdonú eszközökkel. A következők minősülnek eszköztulajdonosnak:
- Android Enterprise – Teljes körűen felügyelt, dedikált és Corporate-Owned munkahelyi profil
- Android AOSP
- Felhasználó-affinitás
- Felhasználó nélküli
Válassza a Létrehozás lehetőséget.
Az Alapadatok között adja meg a következő tulajdonságokat:
- Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. Egy jó profilnév például egy teljes vállalat SCEP-profilja.
- Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.
Válassza a Tovább gombot.
A Konfigurációs beállítások területen végezze el a következő konfigurációkat:
Üzembehelyezési csatorna: Válassza ki, hogyan szeretné üzembe helyezni a profilt. Ez a beállítás határozza meg azt a kulcskarikát is, amelyben a csatolt tanúsítványok találhatók, ezért fontos a megfelelő csatorna kiválasztása.
Mindig válassza ki a felhasználói üzembehelyezési csatornát a felhasználói tanúsítványokkal rendelkező profilokban. A felhasználói csatorna a tanúsítványokat a felhasználói kulcskarikában tárolja. Mindig válassza ki az eszköztelepítési csatornát az eszköztanúsítvánnyal rendelkező profilokban. Az eszközcsatorna a tanúsítványokat a rendszerkulcsláncban tárolja.
A profil üzembe helyezése után nem lehet szerkeszteni az üzembehelyezési csatornát. Egy másik csatorna kiválasztásához létre kell hoznia egy új profilt.
Tanúsítvány típusa:
(A következőkre vonatkozik: Android, Android Enterprise, Android (AOSP), iOS/iPadOS, macOS, Windows 8.1 és Windows 10/11)
Válasszon egy típust attól függően, hogy hogyan tervezi használni a tanúsítványprofilt:
Felhasználó: A felhasználói tanúsítványok a tanúsítvány tulajdonosában és tárolóhálózatában egyaránt tartalmazhatnak felhasználói és eszközattribútumokat.
Eszköz: Az eszköztanúsítványok csak eszközattribútumokat tartalmazhatnak a tanúsítvány tulajdonosában és tárolóhálózatában.
Használja az Eszközt olyan forgatókönyvekhez, mint a felhasználó nélküli eszközök, például a kioszkok vagy a Windows-eszközök. Windows-eszközökön a tanúsítvány a helyi számítógép tanúsítványtárolójába kerül.
MacOS esetén, ha ez a profil az eszköztelepítési csatorna használatára van konfigurálva, kiválaszthatja a Felhasználó vagy az Eszköz lehetőséget. Ha a profil a felhasználó üzembehelyezési csatornájának használatára van konfigurálva, csak a Felhasználó lehetőséget választhatja.
Megjegyzés:
Az SCEP által kiépített tanúsítványok tárolása:
macOS – Az SCEP használatával kiépített tanúsítványok mindig az eszköz rendszerkulcsláncába (más néven rendszertárolóba vagy eszközkulcsláncba) kerülnek, kivéve, ha a felhasználó üzembehelyezési csatornáját választja.
Android – Az eszközök vpn- és alkalmazástanúsítvány-tárolóval , valamint WI-FI-tanúsítványtárolóval is rendelkeznek. Intune mindig tárolja az SCEP-tanúsítványokat a VPN-ben és az alkalmazások tárolójában egy eszközön. A VPN és az alkalmazások tárolójának használata elérhetővé teszi a tanúsítványt bármely más alkalmazás számára.
Ha azonban egy SCEP-tanúsítvány egy Wi-Fi-profilhoz is társítva van, Intune a tanúsítványt is telepíti a Wi-Fi tárolóba.
Ha a VPN-alkalmazásokhoz van konfigurálva, a rendszer kérni fogja a felhasználót, hogy válassza ki a megfelelő tanúsítványt. A csendes tanúsítvány-jóváhagyás teljes körűen felügyelt (vagy BYOD-forgatókönyvek) esetén nem támogatott. Ha minden megfelelően van beállítva, a megfelelő tanúsítványt már előre ki kell jelölni a párbeszédpanelen.
Tulajdonos nevének formátuma:
Írjon be egy szöveget, amelyből megtudhatja, Intune hogyan hozhatja létre automatikusan a tulajdonos nevét a tanúsítványkérelmben. A tulajdonosnév formátumának beállításai a kiválasztott tanúsítványtípustól függenek( Felhasználó vagy Eszköz).
Tipp
Ha a tulajdonos nevének hossza meghaladja a 64 karaktert, előfordulhat, hogy le kell tiltania a névhossz kikényszerítését a belső hitelesítésszolgáltatónál. További információ: DN-hossz kényszerítése
Megjegyzés:
Ismert probléma merült fel a tanúsítványok SCEP használatával történő lekérésekor, ha az eredményül kapott tanúsítvány-aláírási kérelem (CSR) tulajdonosneve a következő karakterek egyikét tartalmazza feloldott karakterként (fordított perjel \):
- +
- ;
- ,
- =
Megjegyzés:
Az Android 12-től kezdődően az Android már nem támogatja a következő hardverazonosítók használatát a személyes tulajdonú munkahelyi profilos eszközökhöz:
- Sorozatszám
- IMEI
- MEID
Intune személyes tulajdonban lévő munkahelyi profilt használó eszközök tanúsítványprofiljai, amelyek a tulajdonos nevében vagy a SAN-ban ezekre a változókra támaszkodnak, nem fognak tanúsítványt kiépíteni az Android 12 vagy újabb rendszerű eszközökön, amikor az eszköz regisztrálva lett a Intune. Az Android 12-re való frissítés előtt regisztrált eszközök akkor is kaphatnak tanúsítványokat, ha Intune korábban beszerezték az eszközök hardverazonosítóit.
Erről és az Android 12-vel bevezetett egyéb változásokról az Android Day Zero Support for Microsoft Endpoint Manager blogbejegyzésben talál további információt.
Felhasználói tanúsítvány típusa
A szövegmezővel egyéni tulajdonosnév-formátumot adhat meg, beleértve a statikus szöveget és a változókat is. Két változóbeállítás támogatott: Köznapi név (CN) és Email (E).
Email (E) általában az {{EmailAddress}} változóval lett beállítva. Például: E={{EmailAddress}}
A Köznapi név (CN) a következő változók bármelyikére állítható be:
- CN={{UserName}}: A felhasználó felhasználóneve, például janedoe.
- CN={{UserPrincipalName}}: A felhasználó egyszerű felhasználóneve, például janedoe@contoso.com.
- CN={{AAD_Device_ID}}: Az eszköz Microsoft Entra ID való regisztrálásakor hozzárendelt azonosító. Ezt az azonosítót általában az Microsoft Entra ID hitelesítésére használják.
- CN={{DeviceId}}: Az eszköz Intune való regisztrálásakor hozzárendelt azonosító.
Megjegyzés:
Windows-eszközökön ne használja a(z) {{DeviceId}} tulajdonosnevet. Bizonyos esetekben az ezzel a tulajdonosnévvel létrehozott tanúsítvány a Intune szinkronizálásának meghiúsulását okozza.
CN={{SERIALNUMBER}}: Az eszköz azonosítására általában a gyártó által használt egyedi sorozatszám (SN).
CN={{IMEINumber}}: A mobiltelefonok azonosításához használt egyedi IMEI-azonosító (International Mobile Equipment Identity, IMEI).
CN={{OnPrem_Distinguished_Name}}: Relatív megkülönböztető nevek sorozata vesszővel elválasztva, például CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.
A(z ) {{OnPrem_Distinguished_Name}} változó használata:
- Mindenképpen szinkronizálja az onpremisesdistinguishedname felhasználói attribútumot az Microsoft Entra Csatlakozás a Microsoft Entra ID használatával.
- Ha a CN érték vesszőt tartalmaz, a Tulajdonos neve formátumnak idézőjelek között kell lennie. Például: CN="{{OnPrem_Distinguished_Name}}"
CN={{OnPremisesSamAccountName}}: A rendszergazdák szinkronizálhatják a samAccountName attribútumot az Active Directoryból Microsoft Entra ID az Microsoft Entra Connect használatával az onPremisesSamAccountName nevű attribútumba. Intune helyettesítheti ezt a változót egy tanúsítvány-kiállítási kérelem részeként a tanúsítvány tulajdonosában. A samAccountName attribútum a Windows korábbi (Windows 2000 előtti) verziójából származó ügyfelek és kiszolgálók támogatásához használt felhasználói bejelentkezési név. A felhasználói bejelentkezési név formátuma: DomainName\testUser, vagy csak testUser.
A(z) {{OnPremisesSamAccountName}} változó használatához mindenképpen szinkronizálja az OnPremisesSamAccountName felhasználói attribútumot Microsoft Entra Csatlakozás a Microsoft Entra ID.
Az alábbi Eszköztanúsítvány-típus szakaszban felsorolt összes eszközváltozó használható a felhasználói tanúsítvány tulajdonosneveiben is.
Ezen változók vagy statikus szöveges sztringek egy vagy több kombinációjával egyéni tulajdonosnév-formátumot hozhat létre, például: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US
Ez a példa tartalmaz egy tulajdonosnév-formátumot, amely a CN és E változókat, valamint a szervezeti egység, a szervezet, a hely, az állam és az ország értékeihez tartozó sztringeket használja. A CertStrToName függvény ezt a függvényt és a támogatott sztringeket írja le.
A felhasználói attribútumok nem támogatottak olyan eszközök esetében, amelyek nem rendelkeznek felhasználói társításokkal, például dedikált Android Enterprise-ként regisztrált eszközök esetében. Ha például egy profil CN={{UserPrincipalName}} -t használ a tárgyban vagy a SAN-ban, nem fogja tudni lekérni az egyszerű felhasználónevet, ha nincs felhasználó az eszközön.
Eszköztanúsítvány típusa
A Tulajdonosnév formátum formátumbeállításai a következő változókat tartalmazzák:
- {{AAD_Device_ID}} vagy {{AzureADDeviceId}} – Bármelyik változóval azonosítható az eszköz a Microsoft Entra ID.
- {{DeviceId}} – A Intune eszközazonosítója
- {{Device_Serial}}
- {{Device_IMEI}}
- {{SerialNumber}}
- {{IMEINumber}}
- {{WiFiMacAddress}}
- {{IMEI}}
- {{DeviceName}}
- {{FullyQualifiedDomainName}}(Csak Windows és tartományhoz csatlakoztatott eszközök esetén alkalmazható)
- {{MEID}}
Ezeket a változókat és statikus szöveget a szövegmezőben adhatja meg. Például egy Device1 nevű eszköz köznapi neve hozzáadható CN={{DeviceName}}Device1 néven.
Fontos
- Amikor megad egy változót, a hiba elkerülése érdekében a változó nevét dupla kapcsos zárójelek közé ({{ }}) kell tenni, ahogy az a példában látható.
- Az eszköztanúsítvány tulajdonosában vagy SAN-jában használt eszköztulajdonságok( például IMEI, SerialNumber és FullyQualifiedDomainName) olyan tulajdonságok, amelyeket az eszközhöz hozzáféréssel rendelkező személy hamisíthat.
- Az eszköznek támogatnia kell a tanúsítványprofilban megadott összes változót ahhoz, hogy az adott profil telepítve legyen az adott eszközön. Ha például a(z) {{IMEI}} szerepel egy SCEP-profil tulajdonosnevében, és olyan eszközhöz van rendelve, amely nem rendelkezik IMEI-számmal, a profil telepítése sikertelen.
Tulajdonos alternatív neve:
Konfigurálja a tulajdonos alternatív nevét (SAN) a tanúsítványkérelemben. Több tulajdonos alternatív nevét is megadhatja. A szöveges érték tartalmazhat változókat és statikus szöveget az attribútumhoz.Megjegyzés:
Az alábbi Android Enterprise-profilok nem támogatják a(z) {{UserName}} változó használatát a SAN-hoz:
- Teljes mértékben felügyelt, dedikált és Corporate-Owned munkahelyi profil
Válasszon az elérhető SAN-attribútumok közül:
- E-mail-cím
- Egyszerű felhasználónév (UPN)
- DNS
- Egységes erőforrás-azonosító (URI)
A választott tanúsítványtípus határozza meg a SAN-változót.
Megjegyzés:
Az Android 12-től kezdődően az Android már nem támogatja a következő hardverazonosítók használatát a személyes tulajdonú munkahelyi profilos eszközökhöz:
- Sorozatszám
- IMEI
- MEID
Intune személyes tulajdonban lévő munkahelyi profilt használó eszközök tanúsítványprofiljai, amelyek a tulajdonos nevében vagy a SAN-ban ezekre a változókra támaszkodnak, nem fognak tanúsítványt kiépíteni az Android 12 vagy újabb rendszerű eszközökön, amikor az eszköz regisztrálva lett a Intune. Az Android 12-re való frissítés előtt regisztrált eszközök akkor is kaphatnak tanúsítványokat, ha Intune korábban beszerezték az eszközök hardverazonosítóit.
Erről és az Android 12-vel bevezetett egyéb változásokról az Android Day Zero Support for Microsoft Endpoint Manager blogbejegyzésben talál további információt.
Felhasználói tanúsítvány típusa
A felhasználói tanúsítvány típusával a tulajdonos neve szakaszban ismertetett felhasználói vagy eszköztanúsítvány-változók bármelyikét használhatja.
A felhasználói tanúsítványtípusok például belefoglalhatják az egyszerű felhasználónevet (UPN) a tulajdonos alternatív nevébe. Ha egy ügyféltanúsítványt használ egy hálózati házirend-kiszolgálón való hitelesítéshez, állítsa a tulajdonos alternatív nevét az egyszerű felhasználónévre.
Microsoft Intune támogatja az OnPremisesSecurityIdentifier változót is, amely megfelel a kulcsterjesztési központ (KDC) tanúsítványalapú hitelesítésre vonatkozó erős leképezési követelményeinek. Adja hozzá a változót a KDC-vel hitelesítendő felhasználói tanúsítványokhoz. A változót {{OnPremisesSecurityIdentifier}} formátumban adhatja hozzá a Microsoft Intune Felügyeleti központ új és meglévő profiljaihoz. Ez a változó macOS, iOS és Windows 10/11 felhasználói tanúsítványokban támogatott, és csak az URI attribútummal működik.
Eszköztanúsítvány típusa
Az eszköztanúsítvány típusával az Eszköztanúsítvány típusa szakaszban ismertetett változók bármelyikét használhatja a Tulajdonos neve mezőben.
Egy attribútum értékének megadásához adja meg a változó nevét kapcsos zárójelekkel, majd a változó szövegét. A DNS-attribútum értéke például hozzáadható a következőhöz: {{AzureADDeviceId}}}.domain.com ahol a .domain.com a szöveg. A User1 nevű felhasználó esetében előfordulhat, hogy egy Email cím {{FullyQualifiedDomainName}}User1@Contoso.com néven jelenik meg.
Ezen változók vagy statikus szöveges sztringek egy vagy több kombinációjával létrehozhat egy egyéni tulajdonos alternatív névformátumot, például {{UserName}}-Home.
Microsoft Intune támogatja az OnPremisesSecurityIdentifier változót is, amely megfelel a kulcsterjesztési központ (KDC) tanúsítványalapú hitelesítésre vonatkozó erős leképezési követelményeinek. Adja hozzá a változót a KDC-vel hitelesítendő eszköztanúsítványokhoz. A változót {{OnPremisesSecurityIdentifier}} formátumban adhatja hozzá a Microsoft Intune Felügyeleti központ új és meglévő profiljaihoz. Ez a változó Microsoft Entra hibrid csatlakoztatott eszközök eszköztanúsítványaiban támogatott, és csak az URI attribútummal működik.
Fontos
- Eszköztanúsítvány-változó használatakor a változó nevét dupla kapcsos zárójelek közé ({{ }}) kell foglalni.
- Ne használjon kapcsos zárójeleket { }, csőszimbólumokat |és pontosvesszőket ;, a változót követő szövegben.
- Az eszköztanúsítvány tulajdonosában vagy SAN-jában használt eszköztulajdonságok( például IMEI, SerialNumber és FullyQualifiedDomainName) olyan tulajdonságok, amelyeket az eszközhöz hozzáféréssel rendelkező személy hamisíthat.
- Az eszköznek támogatnia kell a tanúsítványprofilban megadott összes változót ahhoz, hogy az adott profil telepítve legyen az adott eszközön. Ha például a(z) {{IMEI}} egy SCEP-profil SAN-jában van használatban, és olyan eszközhöz van rendelve, amely nem rendelkezik IMEI-számmal, a profil telepítése sikertelen.
Tanúsítvány érvényességi időtartama:
A tanúsítványsablonban megadhat egy olyan értéket, amely alacsonyabb, mint az érvényességi idő, de nem magasabb. Ha úgy konfigurálta a tanúsítványsablont, hogy támogassa a Intune Felügyeleti központban beállítható egyéni értéket, ezzel a beállítással adhatja meg a tanúsítvány lejárata előtt hátralévő időt.
Intune legfeljebb 24 hónapos érvényességi időtartamot támogat.
Ha például a tanúsítványsablonban szereplő tanúsítvány érvényességi időtartama két év, megadhat egy év értéket, de öt év értéket nem. Az értéknek alacsonyabbnak kell lennie a kiállító hitelesítésszolgáltató tanúsítványának fennmaradó érvényességi időtartamánál is.
Tervezze meg öt napos vagy annál hosszabb érvényességi időtartam használatát. Ha az érvényességi idő öt napnál rövidebb, nagy a valószínűsége annak, hogy a tanúsítvány hamarosan lejáró vagy lejárt állapotba kerül, ami miatt az eszközökön az MDM-ügynök a telepítés előtt elutasíthatja a tanúsítványt.
Kulcstároló-szolgáltató (KSP):
(A következőkre vonatkozik: Windows 8.1 és Windows 10/11)
Adja meg a tanúsítvány kulcsának tárolási helyét. Válasszon az alábbi értékek közül:
- Regisztráljon a Platformmegbízhatósági modul (TPM) KSP-be, ha van ilyen, ellenkező esetben szoftveres KSP
- Regisztráció a platformmegbízhatósági modul (TPM) KSP-be, ellenkező esetben sikertelen
- Regisztrálás Vállalati Windows Hello, ellenkező esetben sikertelen (Windows 10 és újabb verziók)
- Regisztráció a szoftveralapú KSP-be
Kulcshasználat:
Válassza ki a tanúsítvány kulcshasználati beállításait:
- Digitális aláírás: Csak akkor engedélyezze a kulcscserét, ha egy digitális aláírás segít megvédeni a kulcsot.
- Kulcstikon-titkosítás: Csak akkor engedélyezze a kulcscserét, ha a kulcs titkosítva van.
Kulcsméret (bitek)::
Válassza ki a kulcsban található bitek számát:
Nincs konfigurálva
1024
2048
4096 – A 4096-os kulcsméret a következő platformokon támogatott:
- Android (mind)
- iOS/iPadOS 14 és újabb verziók
- macOS 11 és újabb verziók
- Windows (mind)
Megjegyzés:
Windows-eszközök esetén a 4096 bites kulcstároló csak a szoftverkulcs-tárolószolgáltatóban (KSP) támogatott. A következő nem támogatja az ilyen méretű kulcsok tárolását:
- A hardveres TPM (platformmegbízhatósági modul). Áthidaló megoldásként használhatja a szoftveres KSP-t a kulcstároláshoz.
- Vállalati Windows Hello. A Vállalati Windows Hello jelenleg nincs áthidaló megoldás.
Kivonatoló algoritmus:
(Android, Android (AOSP), Android Enterprise, Windows 8.1 és Windows 10/11 esetén)
Válassza ki a tanúsítvánnyal használható kivonatoló algoritmusok egyikét. Válassza ki a csatlakozó eszközök által támogatott legerősebb biztonsági szintet.
MEGJEGYZÉS: Az Android AOSP- és Android Enterprise-eszközök a támogatott legerősebb algoritmust választják ki – a rendszer figyelmen kívül hagyja az SHA-1-et, és helyette az SHA-2-t fogja használni.
Főtanúsítvány:
Válassza ki az SCEP-tanúsítványprofilhoz korábban konfigurált és hozzárendelt megbízható tanúsítványprofilt a megfelelő felhasználókhoz és eszközökhöz. A megbízható tanúsítványprofil a felhasználók és eszközök megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal való kiépítésére szolgál. A megbízható tanúsítványprofillal kapcsolatos információkért lásd: Megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvány exportálása és Megbízható tanúsítványprofilok létrehozása a Tanúsítványok használata hitelesítéshez Intune.
Megjegyzés:
Ha többszintű PKI-struktúrával rendelkezik, például legfelső szintű hitelesítésszolgáltatóval és kiállító hitelesítésszolgáltatóval, válassza ki azt a legfelső szintű megbízható főtanúsítvány-profilt, amely ellenőrzi a kiállító hitelesítésszolgáltatót.
Kibővített kulcshasználat:
Adjon meg értékeket a tanúsítvány kívánt céljához. A legtöbb esetben a tanúsítvány ügyfél-hitelesítést igényel, hogy a felhasználó vagy az eszköz hitelesíthesse magát egy kiszolgálón. Szükség szerint további kulcshasználatokat is hozzáadhat.
Megújítási küszöbérték (%):
Adja meg a tanúsítvány élettartamának azon százalékát, amely még azelőtt marad, hogy az eszköz a tanúsítvány megújítását kéri. Ha például a 20 értéket adja meg, a rendszer megkísérli a tanúsítvány megújítását, ha a tanúsítvány 80%-os lejárt. A megújítási kísérletek addig folytatódnak, amíg a megújítás sikeres nem lesz. A megújítás létrehoz egy új tanúsítványt, amely egy új nyilvános/titkos kulcspárt eredményez.
Megjegyzés:
Megújítási viselkedés iOS/iPadOS és macOS rendszeren: A tanúsítványok csak a megújítási küszöbérték szakaszában újíthatók meg. Emellett az eszközt fel kell oldani a Intune való szinkronizálás során. Ha a megújítás nem sikerült, a lejárt tanúsítvány az eszközön marad, és Intune nem váltja ki a megújítást. Emellett a Intune nem kínál lehetőséget a lejárt tanúsítványok ismételt üzembe helyezésére. Az érintett eszközöket ideiglenesen ki kell zárni az SCEP-profilból a lejárt tanúsítvány eltávolításához és egy új kéréshez.
SCEP-kiszolgáló URL-címei:
Adjon meg egy vagy több OLYAN NDES-kiszolgáló URL-címét, amelyek SCEP-en keresztül bocsátanak ki tanúsítványokat. Írja be például a következőhöz hasonlót
https://ndes.contoso.com/certsrv/mscep/mscep.dll
: .Ahhoz, hogy az interneten lévő eszközök tanúsítványokat szerezzenek be, meg kell adnia a vállalati hálózaton kívüli NDES URL-címet.
Az URL-cím lehet HTTP vagy HTTPS. A következő eszközök támogatásához azonban az SCEP-kiszolgáló URL-címének HTTPS-t kell használnia:- Android-eszközadminisztrátor
- Android Enterprise-eszköz tulajdonosa
- Android Enterprise vállalati tulajdonú munkahelyi profil
- Android Enterprise személyes tulajdonú munkahelyi profil
Szükség szerint további SCEP URL-címeket is hozzáadhat a terheléselosztáshoz. Az eszközök három külön hívást intéznek az NDES-kiszolgálóhoz. Az első a kiszolgálók képességeinek lekérése, a következő egy nyilvános kulcs lekérése, majd egy aláírási kérelem elküldése. Ha több URL-címet használ, előfordulhat, hogy a terheléselosztás azt eredményezi, hogy a rendszer egy másik URL-címet használ az NDES-kiszolgálóra irányuló későbbi hívásokhoz. Ha ugyanazon kérés során egy másik kiszolgálóval lép kapcsolatba egy későbbi hívás során, a kérés sikertelen lesz.
Az NDES-kiszolgáló URL-címének kezelése az egyes eszközplatformokra jellemző:
- Android: Az eszköz véletlenszerűvé teszi az SCEP-szabályzatban kapott URL-címek listáját, majd végigvezeti a listán, amíg egy elérhető NDES-kiszolgáló nem található. Az eszköz ezután a teljes folyamat során továbbra is ugyanazt az URL-címet és kiszolgálót használja. Ha az eszköz nem fér hozzá egyik NDES-kiszolgálóhoz sem, a folyamat sikertelen lesz.
- iOS/iPadOS: Intune véletlenszerűvé teszi az URL-címeket, és egyetlen URL-címet biztosít az eszköznek. Ha az eszköz nem fér hozzá az NDES-kiszolgálóhoz, az SCEP-kérés meghiúsul.
- Windows: Az NDES URL-címek listáját a rendszer véletlenszerűen adja át a Windows-eszköznek, amely ezután a kapott sorrendben próbálja meg őket, amíg meg nem találja az elérhető url-címeket. Ha az eszköz nem fér hozzá egyik NDES-kiszolgálóhoz sem, a folyamat sikertelen lesz.
Ha egy eszköz nem éri el sikeresen ugyanazt az NDES-kiszolgálót az NDES-kiszolgálóhoz intézett három hívás bármelyike során, az SCEP-kérés sikertelen lesz. Ez például akkor fordulhat elő, ha egy terheléselosztási megoldás eltérő URL-címet biztosít az NDES-kiszolgáló második vagy harmadik hívásához, vagy egy másik tényleges NDES-kiszolgálót biztosít az NDES virtualizált URL-címe alapján. Egy sikertelen kérés után az eszköz újrapróbálkozik a folyamattal a következő szabályzatciklusban, kezdve az NDES URL-címek véletlenszerű listájával (vagy az iOS/iPadOS esetében egyetlen URL-címmel).
Ez a lépés csak a teljes körűen felügyelt, dedikált és Corporate-Owned munkahelyi profilhoz tartozó Android Enterprise-eszközprofilokra vonatkozik.
Az Alkalmazások területen konfigurálja a tanúsítvány-hozzáférést az alkalmazásokhoz való tanúsítványhozzáférés kezeléséhez. Válasszon a következő lehetőségek közül:
- Felhasználói jóváhagyás megkövetelése az alkalmazásokhoz(alapértelmezett) – A felhasználóknak minden alkalmazásnak jóvá kell hagyniuk a tanúsítvány használatát.
- Engedélyezés csendesen adott alkalmazásokhoz (más alkalmazásokhoz felhasználói jóváhagyás szükséges) – Ezzel a beállítással válassza az Alkalmazások hozzáadása lehetőséget, majd válasszon ki egy vagy több olyan alkalmazást, amely felhasználói beavatkozás nélkül, csendesen fogja használni a tanúsítványt.
Válassza a Tovább gombot.
A Feladatok csoportban válassza ki, hogy mely felhasználók vagy felhasználói csoportok kapják meg a profilját. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.
Válassza a Tovább gombot.
(Csak Windows 10/11-re vonatkozik) Az Alkalmazhatósági szabályok területen adja meg az alkalmazhatósági szabályokat a profil hozzárendelésének finomításához. Dönthet úgy, hogy hozzárendeli vagy nem rendeli hozzá a profilt egy eszköz operációsrendszer-kiadása vagy verziója alapján.
További információt az Eszközprofil létrehozása a Microsoft Intune-ben című témakör Alkalmazhatósági szabályok című témakörében talál.
Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.
A feloldott speciális karaktereket tartalmazó tanúsítvány-aláírási kérések elkerülése
Ismert probléma merült fel az SCEP- és PKCS-tanúsítványkérelmek esetében, amelyek tartalmazzák a Tulajdonos neve (CN) karaktert, és a következő speciális karakterek közül egy vagy több karaktert tartalmaz feloldott karakterként. A speciális karakterek egyikét feloldó karakterként tartalmazó tulajdonosnevek helytelen tulajdonosnévvel rendelkező CSR-t eredményeznek. Ha a tulajdonos neve helytelen, az SCEP-Intune-ellenőrzés sikertelen lesz, és nem ad ki tanúsítványt.
A speciális karakterek a következők:
- +
- ,
- ;
- =
Ha a tulajdonos neve tartalmazza a speciális karakterek egyikét, az alábbi lehetőségek egyikével megkerülheti ezt a korlátozást:
- Foglalja bele a speciális karaktert tartalmazó CN-értéket idézőjelekkel.
- Távolítsa el a speciális karaktert a CN-értékből.
Van például egy Tulajdonos neve, amely Tesztfelhasználóként (TestCompany, LLC) jelenik meg. A TestCompany és az LLC közötti vesszővel rendelkező CN-t tartalmazó CSR problémát jelent. A probléma elkerülhető, ha idézőjeleket helyez el a teljes CN körül, vagy eltávolítja a vesszőt a TestCompany és az LLC között:
- Idézőjelek hozzáadása: CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
- Távolítsa el a következő vesszőt: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com
A vessző fordított perjel karakterrel való feloldása azonban meghiúsul a CRP-naplókban található hibával:
- Feloldott vessző: CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com
A hiba a következőhöz hasonló:
Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match
Exception: System.ArgumentException: Subject Name in CSR and challenge do not match
at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)
Exception: at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)
at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value
A tanúsítványprofil hozzárendelése
Az SCEP-tanúsítványprofilok hozzárendelése ugyanúgy történik, mint az eszközprofilok üzembe helyezése más célokra.
Fontos
Az SCEP-tanúsítványprofil használatához az eszköznek meg kell kapnia a megbízható tanúsítványprofilt is, amely kiépíti azt a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal. Javasoljuk, hogy a megbízható főtanúsítvány-profilt és az SCEP-tanúsítványprofilt is telepítse ugyanazon csoportokba.
A folytatás előtt vegye figyelembe a következőket:
Amikor SCEP-tanúsítványprofilokat rendel csoportokhoz, a megbízható legfelső szintű hitelesítésszolgáltató tanúsítványfájlja (a megbízható tanúsítványprofilban megadottak szerint) települ az eszközön. Az eszköz az SCEP-tanúsítványprofil használatával hoz létre tanúsítványkérelmet a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványhoz.
Az SCEP-tanúsítványprofil csak azokra az eszközökre telepíthető, amelyek a tanúsítványprofil létrehozásakor megadott platformot futtatják.
Tanúsítványprofilokat hozzárendelhet felhasználói gyűjteményekhez vagy eszközgyűjteményekhez.
Ha az eszköz regisztrálása után gyorsan közzé szeretne tenni egy tanúsítványt egy eszközön, rendelje hozzá a tanúsítványprofilt egy felhasználói csoporthoz, nem pedig egy eszközcsoporthoz. Ha eszközcsoporthoz rendel hozzá, teljes eszközregisztrációra van szükség ahhoz, hogy az eszköz megkapja a szabályzatokat.
Ha megosztott felügyeletet használ Intune és Configuration Manager, a Configuration Manager állítsa be az Erőforrás-hozzáférési szabályzatok számítási feladatok csúszkáitIntune vagy Próba Intune értékre. Ezzel a beállítással Windows 10/11 ügyfél elindíthatja a tanúsítvány igénylésének folyamatát.
Megjegyzés:
- iOS-/iPadOS- és macOS-eszközökön, ha egy SCEP-tanúsítványprofil vagy egy PKCS-tanúsítványprofil egy további profilhoz , például egy Wi-Fi vagy VPN-profilhoz van társítva, az eszköz mindegyik további profilhoz kap tanúsítványt. Ez azt eredményezi, hogy az eszköz az SCEP- vagy PKCS-tanúsítványkérelem által kézbesített több tanúsítvánnyal rendelkezik.
- Az SCEP által kézbesített tanúsítványok mindegyike egyedi. A PKCS által kézbesített tanúsítványok azonosak, de másként jelennek meg, mivel minden profilpéldányt külön sor jelöl a felügyeleti profilban.
- Az iOS 13-on és a macOS 10.15-ben az Apple további biztonsági követelményeket is figyelembe vesz.