SCEP-tanúsítványprofilok létrehozása és hozzárendelése a Intune

Miután konfigurálta az infrastruktúrát az SCEP-tanúsítványok támogatására, létrehozhatja és hozzárendelheti az SCEP-tanúsítványprofilokat Intune felhasználóihoz és eszközeihez.

Ahhoz, hogy az eszközök SCEP-tanúsítványprofilt használjanak, megbízhatónak kell lenniük a megbízható legfelső szintű hitelesítésszolgáltatóban (CA). A legfelső szintű hitelesítésszolgáltató megbízhatósága akkor a legjobb, ha egy megbízható tanúsítványprofilt helyez üzembe ugyanabban a csoportban, amely megkapja az SCEP-tanúsítványprofilt. A megbízható tanúsítványprofilok kiépítik a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt.

Előfordulhat, hogy az Android Enterprise rendszert futtató eszközöknek PIN-kódot kell megadniuk ahhoz, hogy az SCEP kiépíthesse őket egy tanúsítvánnyal. További információ: AZ Android Enterprise PIN-követelménye.

Tanúsítvány-összekötő frissítése: A KB5014754 erős leképezési követelményei

A következőkre vonatkozik:

• Windows 10 rendszer esetén
• Windows 11
• Android
• iOS
• macOS

A kulcsterjesztési központ (KDC) megköveteli, hogy a felhasználó- vagy eszközobjektumokat erősen le kell képezni az Active Directoryra a tanúsítványalapú hitelesítéshez. Ez azt jelenti, hogy a tanúsítvány tulajdonos alternatív nevének (SAN) tartalmaznia kell egy biztonsági azonosítót (SID) tartalmazó bővítményt, amely az Active Directory felhasználó- vagy eszközbiztonsági azonosítójának felel meg. Amikor egy felhasználó vagy eszköz hitelesítést végez egy tanúsítvánnyal az Active Directoryban, a KDC ellenőrzi, hogy a biztonsági azonosító megfelelt-e a tanúsítványnak, és a megfelelő felhasználónak vagy eszköznek lett-e kiadva. A leképezési követelmény védelmet nyújt a tanúsítványhamisítás ellen, és biztosítja, hogy a tanúsítványalapú hitelesítés a KDC-vel szemben továbbra is működni fog.

A Microsoft Intune által üzembe helyezett és a KDC-vel végzett tanúsítványalapú hitelesítéshez használt összes tanúsítványhoz erős leképezés szükséges. Az erős leképezési megoldás minden platformon alkalmazható a felhasználói tanúsítványokra. Az eszköztanúsítványok esetében csak a hibrid csatlakoztatott Windows-eszközökre vonatkozik Microsoft Entra. Ha ezekben a forgatókönyvekben a tanúsítványok nem felelnek meg az erős leképezési követelményeknek a teljes kényszerítési mód dátumáig, a rendszer megtagadja a hitelesítést.

A Intune keresztül kézbesített SCEP-tanúsítványok erős leképezési megoldásának implementálásához hozzá kell adnia a OnpremisesSecurityIdentifier változót a SAN-hoz az SCEP-profilban.

Ennek a változónak az URI attribútum részét kell képeznie. Létrehozhat egy új SCEP-profilt, vagy szerkeszthet egy meglévőt az URI-attribútum hozzáadásához.

Miután hozzáadta az URI attribútumot és az értéket a tanúsítványprofilhoz, Microsoft Intune hozzáfűzi a SAN attribútumot a címkéhez és a feloldott SID-hez. Példa formázásra: tag:microsoft.com,2022-09-14:sid:<value> Ekkor a tanúsítványprofil megfelel az erős leképezési követelményeknek.

Annak érdekében, hogy az SCEP-profil megfeleljen az erős leképezési követelményeknek, hozzon létre egy SCEP-tanúsítványprofilt a Microsoft Intune Felügyeleti központban, vagy módosítsa a meglévő profilt az új SAN attribútummal és értékkel. Előfeltételként a felhasználókat és eszközöket szinkronizálni kell az Active Directoryból a Microsoft Entra ID. További információ: Objektumok és hitelesítő adatok szinkronizálása Microsoft Entra tartományi szolgáltatások felügyelt tartományban.

További információ a KDC erős leképezésre vonatkozó követelményeiről és kényszerítési dátumáról : KB5014754: Tanúsítványalapú hitelesítés változásai Windows-tartományvezérlőkön .

SCEP-tanúsítványprofil létrehozása

1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

2. Válassza ki, majd lépjen az Eszközök>kezeléseeszközkonfiguráció>>Létrehozás elemre.

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza ki az eszközei platformját.

   • Profil: Válassza az SCEP-tanúsítvány lehetőséget. Vagy válassza a Sablonok>SCEP-tanúsítvány lehetőséget.

     Az Android Enterprise esetében a Profil típusa két kategóriába van osztva: Teljes mértékben felügyelt, Dedikált és Corporate-Owned Munkahelyi profil és Személyes tulajdonú munkahelyi profil. Ügyeljen arra, hogy a megfelelő SCEP-tanúsítványprofilt válassza ki a felügyelt eszközökhöz.

     A teljes mértékben felügyelt, dedikált és Corporate-Owned munkahelyi profil SCEP-tanúsítványprofiljaira az alábbi korlátozások vonatkoznak:

     1. A Figyelés területen a tanúsítványjelentés nem érhető el az eszköztulajdonos SCEP-tanúsítványprofiljaihoz.
     2. A Intune nem használható az eszköztulajdonos SCEP-tanúsítványprofiljai által kiépített tanúsítványok visszavonására. A visszavonást külső folyamaton keresztül vagy közvetlenül a hitelesítésszolgáltatónál kezelheti.
     3. Dedikált Android Enterprise-eszközök esetén az SCEP-tanúsítványprofilok Wi-Fi hálózati konfigurációhoz, VPN-hez és hitelesítéshez támogatottak. Az Android Enterprise dedikált eszközökön az SCEP-tanúsítványprofilok nem támogatottak az alkalmazáshitelesítéshez.

     Android (AOSP) esetén a következő korlátozások érvényesek:

     1. A Figyelés területen a tanúsítványjelentés nem érhető el az eszköztulajdonos SCEP-tanúsítványprofiljaihoz.
     2. A Intune nem használható az SCEP-tanúsítványprofilok által az eszköztulajdonosok számára kiépített tanúsítványok visszavonására. A visszavonást külső folyamaton keresztül vagy közvetlenül a hitelesítésszolgáltatónál kezelheti.
     3. Az SCEP-tanúsítványprofilok Wi-Fi hálózati konfiguráció esetén támogatottak. A VPN-konfigurációs profil támogatása nem érhető el. A jövőbeli frissítés a VPN-konfigurációs profilok támogatását is magában foglalhatja.
     4. Az alábbi változók nem használhatók androidos (AOSP) SCEP-tanúsítványprofilokon. Ezeknek a változóknak a támogatása egy későbbi frissítésben fog érkezni.
        • onPremisesSamAccountName
        • OnPrem_Distinguished_Name
        • Department

     Megjegyzés:

     Az eszköztulajdonos egyenértékű a vállalati tulajdonú eszközökkel. A következők minősülnek eszköztulajdonosnak:

     • Android Enterprise – Teljes körűen felügyelt, dedikált és Corporate-Owned munkahelyi profil
     • Android AOSP
       • Felhasználó-affinitás
       • Felhasználó nélküli

4. Válassza a Létrehozás lehetőséget.

5. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. Egy jó profilnév például egy teljes vállalat SCEP-profilja.
   • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

6. Válassza a Tovább gombot.

7. A Konfigurációs beállítások területen végezze el a következő konfigurációkat:

   • Üzembehelyezési csatorna: Válassza ki, hogyan szeretné üzembe helyezni a profilt. Ez a beállítás határozza meg azt a kulcskarikát is, amelyben a csatolt tanúsítványok találhatók, ezért fontos a megfelelő csatorna kiválasztása.

     Mindig válassza ki a felhasználói üzembehelyezési csatornát a felhasználói tanúsítványokkal rendelkező profilokban. A felhasználói csatorna a tanúsítványokat a felhasználói kulcskarikában tárolja. Mindig válassza ki az eszköztelepítési csatornát az eszköztanúsítvánnyal rendelkező profilokban. Az eszközcsatorna a tanúsítványokat a rendszerkulcsláncban tárolja.

     A profil üzembe helyezése után nem lehet szerkeszteni az üzembehelyezési csatornát. Egy másik csatorna kiválasztásához létre kell hoznia egy új profilt.

   • Tanúsítvány típusa:

     (A következőkre vonatkozik: Android, Android Enterprise, Android (AOSP), iOS/iPadOS, macOS, Windows 8.1 és Windows 10/11)

     Válasszon egy típust attól függően, hogy hogyan tervezi használni a tanúsítványprofilt:

     • Felhasználó: A felhasználói tanúsítványok a tanúsítvány tulajdonosában és tárolóhálózatában egyaránt tartalmazhatnak felhasználói és eszközattribútumokat.

     • Eszköz: Az eszköztanúsítványok csak eszközattribútumokat tartalmazhatnak a tanúsítvány tulajdonosában és tárolóhálózatában.

       Használja az Eszközt olyan forgatókönyvekhez, mint a felhasználó nélküli eszközök, például a kioszkok vagy a Windows-eszközök. Windows-eszközökön a tanúsítvány a helyi számítógép tanúsítványtárolójába kerül.

       MacOS esetén, ha ez a profil az eszköztelepítési csatorna használatára van konfigurálva, kiválaszthatja a Felhasználó vagy az Eszköz lehetőséget. Ha a profil a felhasználó üzembehelyezési csatornájának használatára van konfigurálva, csak a Felhasználó lehetőséget választhatja.

     Megjegyzés:

     Az SCEP által kiépített tanúsítványok tárolása:

     • macOS – Az SCEP használatával kiépített tanúsítványok mindig az eszköz rendszerkulcsláncába (más néven rendszertárolóba vagy eszközkulcsláncba) kerülnek, kivéve, ha a felhasználó üzembehelyezési csatornáját választja.

     • Android – Az eszközök vpn- és alkalmazástanúsítvány-tárolóval , valamint WI-FI-tanúsítványtárolóval is rendelkeznek. Intune mindig tárolja az SCEP-tanúsítványokat a VPN-ben és az alkalmazások tárolójában egy eszközön. A VPN és az alkalmazások tárolójának használata elérhetővé teszi a tanúsítványt bármely más alkalmazás számára.

       Ha azonban egy SCEP-tanúsítvány egy Wi-Fi-profilhoz is társítva van, Intune a tanúsítványt is telepíti a Wi-Fi tárolóba.

       Ha a VPN-alkalmazásokhoz van konfigurálva, a rendszer kérni fogja a felhasználót, hogy válassza ki a megfelelő tanúsítványt. A csendes tanúsítvány-jóváhagyás teljes körűen felügyelt (vagy BYOD-forgatókönyvek) esetén nem támogatott. Ha minden megfelelően van beállítva, a megfelelő tanúsítványt már előre ki kell jelölni a párbeszédpanelen.

   • Tulajdonos nevének formátuma:

     Írjon be egy szöveget, amelyből megtudhatja, Intune hogyan hozhatja létre automatikusan a tulajdonos nevét a tanúsítványkérelmben. A tulajdonosnév formátumának beállításai a kiválasztott tanúsítványtípustól függenek( Felhasználó vagy Eszköz).

     Tipp

     Ha a tulajdonos nevének hossza meghaladja a 64 karaktert, előfordulhat, hogy le kell tiltania a névhossz kikényszerítését a belső hitelesítésszolgáltatónál. További információ: DN-hossz kényszerítése

     Megjegyzés:

     Ismert probléma merült fel a tanúsítványok SCEP használatával történő lekérésekor, ha az eredményül kapott tanúsítvány-aláírási kérelem (CSR) tulajdonosneve a következő karakterek egyikét tartalmazza feloldott karakterként (fordított perjel \):

     • +
     • ;
     • ,
     • =

     Megjegyzés:

     Az Android 12-től kezdődően az Android már nem támogatja a következő hardverazonosítók használatát a személyes tulajdonú munkahelyi profilos eszközökhöz:

     • Sorozatszám
     • IMEI
     • MEID

     Intune személyes tulajdonban lévő munkahelyi profilt használó eszközök tanúsítványprofiljai, amelyek a tulajdonos nevében vagy a SAN-ban ezekre a változókra támaszkodnak, nem fognak tanúsítványt kiépíteni az Android 12 vagy újabb rendszerű eszközökön, amikor az eszköz regisztrálva lett a Intune. Az Android 12-re való frissítés előtt regisztrált eszközök akkor is kaphatnak tanúsítványokat, ha Intune korábban beszerezték az eszközök hardverazonosítóit.

     Erről és az Android 12-vel bevezetett egyéb változásokról az Android Day Zero Support for Microsoft Endpoint Manager blogbejegyzésben talál további információt.

     • Felhasználói tanúsítvány típusa

       A szövegmezővel egyéni tulajdonosnév-formátumot adhat meg, beleértve a statikus szöveget és a változókat is. Két változóbeállítás támogatott: Köznapi név (CN) és Email (E).

       Email (E) általában az {{EmailAddress}} változóval lett beállítva. Például: E={{EmailAddress}}

       A Köznapi név (CN) a következő változók bármelyikére állítható be:

       • CN={{UserName}}: A felhasználó felhasználóneve, például janedoe.
       • CN={{UserPrincipalName}}: A felhasználó egyszerű felhasználóneve, például janedoe@contoso.com.
       • CN={{AAD_Device_ID}}: Az eszköz Microsoft Entra ID való regisztrálásakor hozzárendelt azonosító. Ezt az azonosítót általában az Microsoft Entra ID hitelesítésére használják.
       • CN={{DeviceId}}: Az eszköz Intune való regisztrálásakor hozzárendelt azonosító.

       Megjegyzés:

       Windows-eszközökön ne használja a(z) {{DeviceId}} tulajdonosnevet. Bizonyos esetekben az ezzel a tulajdonosnévvel létrehozott tanúsítvány a Intune szinkronizálásának meghiúsulását okozza.

       • CN={{SERIALNUMBER}}: Az eszköz azonosítására általában a gyártó által használt egyedi sorozatszám (SN).

       • CN={{IMEINumber}}: A mobiltelefonok azonosításához használt egyedi IMEI-azonosító (International Mobile Equipment Identity, IMEI).

       • CN={{OnPrem_Distinguished_Name}}: Relatív megkülönböztető nevek sorozata vesszővel elválasztva, például CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

         A(z ) {{OnPrem_Distinguished_Name}} változó használata:

         • Mindenképpen szinkronizálja az onpremisesdistinguishedname felhasználói attribútumot az Microsoft Entra Csatlakozás a Microsoft Entra ID használatával.
         • Ha a CN érték vesszőt tartalmaz, a Tulajdonos neve formátumnak idézőjelek között kell lennie. Például: CN="{{OnPrem_Distinguished_Name}}"

       • CN={{OnPremisesSamAccountName}}: A rendszergazdák szinkronizálhatják a samAccountName attribútumot az Active Directoryból Microsoft Entra ID az Microsoft Entra Connect használatával az onPremisesSamAccountName nevű attribútumba. Intune helyettesítheti ezt a változót egy tanúsítvány-kiállítási kérelem részeként a tanúsítvány tulajdonosában. A samAccountName attribútum a Windows korábbi (Windows 2000 előtti) verziójából származó ügyfelek és kiszolgálók támogatásához használt felhasználói bejelentkezési név. A felhasználói bejelentkezési név formátuma: DomainName\testUser, vagy csak testUser.

         A(z) {{OnPremisesSamAccountName}} változó használatához mindenképpen szinkronizálja az OnPremisesSamAccountName felhasználói attribútumot Microsoft Entra Csatlakozás a Microsoft Entra ID.

       Az alábbi Eszköztanúsítvány-típus szakaszban felsorolt összes eszközváltozó használható a felhasználói tanúsítvány tulajdonosneveiben is.

       Ezen változók vagy statikus szöveges sztringek egy vagy több kombinációjával egyéni tulajdonosnév-formátumot hozhat létre, például: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

       Ez a példa tartalmaz egy tulajdonosnév-formátumot, amely a CN és E változókat, valamint a szervezeti egység, a szervezet, a hely, az állam és az ország értékeihez tartozó sztringeket használja. A CertStrToName függvény ezt a függvényt és a támogatott sztringeket írja le.

       A felhasználói attribútumok nem támogatottak olyan eszközök esetében, amelyek nem rendelkeznek felhasználói társításokkal, például dedikált Android Enterprise-ként regisztrált eszközök esetében. Ha például egy profil CN={{UserPrincipalName}} -t használ a tárgyban vagy a SAN-ban, nem fogja tudni lekérni az egyszerű felhasználónevet, ha nincs felhasználó az eszközön.

     • Eszköztanúsítvány típusa

       A Tulajdonosnév formátum formátumbeállításai a következő változókat tartalmazzák:

       • {{AAD_Device_ID}} vagy {{AzureADDeviceId}} – Bármelyik változóval azonosítható az eszköz a Microsoft Entra ID.
       • {{DeviceId}} – A Intune eszközazonosítója
       • {{Device_Serial}}
       • {{Device_IMEI}}
       • {{SerialNumber}}
       • {{IMEINumber}}
       • {{WiFiMacAddress}}
       • {{IMEI}}
       • {{DeviceName}}
       • {{FullyQualifiedDomainName}}(Csak Windows és tartományhoz csatlakoztatott eszközök esetén alkalmazható)
       • {{MEID}}

       Ezeket a változókat és statikus szöveget a szövegmezőben adhatja meg. Például egy Device1 nevű eszköz köznapi neve hozzáadható CN={{DeviceName}}Device1 néven.

       Fontos

       • Amikor megad egy változót, a hiba elkerülése érdekében a változó nevét dupla kapcsos zárójelek közé ({{ }}) kell tenni, ahogy az a példában látható.
       • Az eszköztanúsítvány tulajdonosában vagy SAN-jában használt eszköztulajdonságok( például IMEI, SerialNumber és FullyQualifiedDomainName) olyan tulajdonságok, amelyeket az eszközhöz hozzáféréssel rendelkező személy hamisíthat.
       • Az eszköznek támogatnia kell a tanúsítványprofilban megadott összes változót ahhoz, hogy az adott profil telepítve legyen az adott eszközön. Ha például a(z) {{IMEI}} szerepel egy SCEP-profil tulajdonosnevében, és olyan eszközhöz van rendelve, amely nem rendelkezik IMEI-számmal, a profil telepítése sikertelen.

   • Tulajdonos alternatív neve:
     Konfigurálja a tulajdonos alternatív nevét (SAN) a tanúsítványkérelemben. Több tulajdonos alternatív nevét is megadhatja. A szöveges érték tartalmazhat változókat és statikus szöveget az attribútumhoz.

     Megjegyzés:

      Az alábbi Android Enterprise-profilok nem támogatják a(z) {{UserName}} változó használatát a SAN-hoz:

     • Teljes mértékben felügyelt, dedikált és Corporate-Owned munkahelyi profil

     Válasszon az elérhető SAN-attribútumok közül:

     • E-mail-cím
     • Egyszerű felhasználónév (UPN)
     • DNS
     • Egységes erőforrás-azonosító (URI)

     A választott tanúsítványtípus határozza meg a SAN-változót.

     Megjegyzés:

     Az Android 12-től kezdődően az Android már nem támogatja a következő hardverazonosítók használatát a személyes tulajdonú munkahelyi profilos eszközökhöz:

     • Sorozatszám
     • IMEI
     • MEID

     Intune személyes tulajdonban lévő munkahelyi profilt használó eszközök tanúsítványprofiljai, amelyek a tulajdonos nevében vagy a SAN-ban ezekre a változókra támaszkodnak, nem fognak tanúsítványt kiépíteni az Android 12 vagy újabb rendszerű eszközökön, amikor az eszköz regisztrálva lett a Intune. Az Android 12-re való frissítés előtt regisztrált eszközök akkor is kaphatnak tanúsítványokat, ha Intune korábban beszerezték az eszközök hardverazonosítóit.

     Erről és az Android 12-vel bevezetett egyéb változásokról az Android Day Zero Support for Microsoft Endpoint Manager blogbejegyzésben talál további információt.

     • Felhasználói tanúsítvány típusa

       A felhasználói tanúsítvány típusával a tulajdonos neve szakaszban ismertetett felhasználói vagy eszköztanúsítvány-változók bármelyikét használhatja.

       A felhasználói tanúsítványtípusok például belefoglalhatják az egyszerű felhasználónevet (UPN) a tulajdonos alternatív nevébe. Ha egy ügyféltanúsítványt használ egy hálózati házirend-kiszolgálón való hitelesítéshez, állítsa a tulajdonos alternatív nevét az egyszerű felhasználónévre.

       Microsoft Intune támogatja az OnPremisesSecurityIdentifier változót is, amely megfelel a kulcsterjesztési központ (KDC) tanúsítványalapú hitelesítésre vonatkozó erős leképezési követelményeinek. Adja hozzá a változót a KDC-vel hitelesítendő felhasználói tanúsítványokhoz. A változót {{OnPremisesSecurityIdentifier}} formátumban adhatja hozzá a Microsoft Intune Felügyeleti központ új és meglévő profiljaihoz. Ez a változó macOS, iOS és Windows 10/11 felhasználói tanúsítványokban támogatott, és csak az URI attribútummal működik.

     • Eszköztanúsítvány típusa

       Az eszköztanúsítvány típusával az Eszköztanúsítvány típusa szakaszban ismertetett változók bármelyikét használhatja a Tulajdonos neve mezőben.

       Egy attribútum értékének megadásához adja meg a változó nevét kapcsos zárójelekkel, majd a változó szövegét. A DNS-attribútum értéke például hozzáadható a következőhöz: {{AzureADDeviceId}}}.domain.com ahol a .domain.com a szöveg. A User1 nevű felhasználó esetében előfordulhat, hogy egy Email cím {{FullyQualifiedDomainName}}User1@Contoso.com néven jelenik meg.

       Ezen változók vagy statikus szöveges sztringek egy vagy több kombinációjával létrehozhat egy egyéni tulajdonos alternatív névformátumot, például {{UserName}}-Home.

       Microsoft Intune támogatja az OnPremisesSecurityIdentifier változót is, amely megfelel a kulcsterjesztési központ (KDC) tanúsítványalapú hitelesítésre vonatkozó erős leképezési követelményeinek. Adja hozzá a változót a KDC-vel hitelesítendő eszköztanúsítványokhoz. A változót {{OnPremisesSecurityIdentifier}} formátumban adhatja hozzá a Microsoft Intune Felügyeleti központ új és meglévő profiljaihoz. Ez a változó Microsoft Entra hibrid csatlakoztatott eszközök eszköztanúsítványaiban támogatott, és csak az URI attribútummal működik.

       Fontos

       • Eszköztanúsítvány-változó használatakor a változó nevét dupla kapcsos zárójelek közé ({{ }}) kell foglalni.
       • Ne használjon kapcsos zárójeleket { }, csőszimbólumokat |és pontosvesszőket ;, a változót követő szövegben.
       • Az eszköztanúsítvány tulajdonosában vagy SAN-jában használt eszköztulajdonságok( például IMEI, SerialNumber és FullyQualifiedDomainName) olyan tulajdonságok, amelyeket az eszközhöz hozzáféréssel rendelkező személy hamisíthat.
       • Az eszköznek támogatnia kell a tanúsítványprofilban megadott összes változót ahhoz, hogy az adott profil telepítve legyen az adott eszközön. Ha például a(z) {{IMEI}} egy SCEP-profil SAN-jában van használatban, és olyan eszközhöz van rendelve, amely nem rendelkezik IMEI-számmal, a profil telepítése sikertelen.

   • Tanúsítvány érvényességi időtartama:

     A tanúsítványsablonban megadhat egy olyan értéket, amely alacsonyabb, mint az érvényességi idő, de nem magasabb. Ha úgy konfigurálta a tanúsítványsablont, hogy támogassa a Intune Felügyeleti központban beállítható egyéni értéket, ezzel a beállítással adhatja meg a tanúsítvány lejárata előtt hátralévő időt.

     Intune legfeljebb 24 hónapos érvényességi időtartamot támogat.

     Ha például a tanúsítványsablonban szereplő tanúsítvány érvényességi időtartama két év, megadhat egy év értéket, de öt év értéket nem. Az értéknek alacsonyabbnak kell lennie a kiállító hitelesítésszolgáltató tanúsítványának fennmaradó érvényességi időtartamánál is.

     Tervezze meg öt napos vagy annál hosszabb érvényességi időtartam használatát. Ha az érvényességi idő öt napnál rövidebb, nagy a valószínűsége annak, hogy a tanúsítvány hamarosan lejáró vagy lejárt állapotba kerül, ami miatt az eszközökön az MDM-ügynök a telepítés előtt elutasíthatja a tanúsítványt.

   • Kulcstároló-szolgáltató (KSP):

     (A következőkre vonatkozik: Windows 8.1 és Windows 10/11)

     Adja meg a tanúsítvány kulcsának tárolási helyét. Válasszon az alábbi értékek közül:

     • Regisztráljon a Platformmegbízhatósági modul (TPM) KSP-be, ha van ilyen, ellenkező esetben szoftveres KSP
     • Regisztráció a platformmegbízhatósági modul (TPM) KSP-be, ellenkező esetben sikertelen
     • Regisztrálás Vállalati Windows Hello, ellenkező esetben sikertelen (Windows 10 és újabb verziók)
     • Regisztráció a szoftveralapú KSP-be

   • Kulcshasználat:

     Válassza ki a tanúsítvány kulcshasználati beállításait:

     • Digitális aláírás: Csak akkor engedélyezze a kulcscserét, ha egy digitális aláírás segít megvédeni a kulcsot.
     • Kulcstikon-titkosítás: Csak akkor engedélyezze a kulcscserét, ha a kulcs titkosítva van.

   • Kulcsméret (bitek)::

     Válassza ki a kulcsban található bitek számát:

     • Nincs konfigurálva

     • 1024

     • 2048

     • 4096 – A 4096-os kulcsméret a következő platformokon támogatott:

       • Android (mind)
       • iOS/iPadOS 14 és újabb verziók
       • macOS 11 és újabb verziók
       • Windows (mind)

       Megjegyzés:

       Windows-eszközök esetén a 4096 bites kulcstároló csak a szoftverkulcs-tárolószolgáltatóban (KSP) támogatott. A következő nem támogatja az ilyen méretű kulcsok tárolását:

       • A hardveres TPM (platformmegbízhatósági modul). Áthidaló megoldásként használhatja a szoftveres KSP-t a kulcstároláshoz.
       • Vállalati Windows Hello. A Vállalati Windows Hello jelenleg nincs áthidaló megoldás.

   • Kivonatoló algoritmus:

     (Android, Android (AOSP), Android Enterprise, Windows 8.1 és Windows 10/11 esetén)

     Válassza ki a tanúsítvánnyal használható kivonatoló algoritmusok egyikét. Válassza ki a csatlakozó eszközök által támogatott legerősebb biztonsági szintet.

     MEGJEGYZÉS: Az Android AOSP- és Android Enterprise-eszközök a támogatott legerősebb algoritmust választják ki – a rendszer figyelmen kívül hagyja az SHA-1-et, és helyette az SHA-2-t fogja használni.

   • Főtanúsítvány:

     Válassza ki az SCEP-tanúsítványprofilhoz korábban konfigurált és hozzárendelt megbízható tanúsítványprofilt a megfelelő felhasználókhoz és eszközökhöz. A megbízható tanúsítványprofil a felhasználók és eszközök megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal való kiépítésére szolgál. A megbízható tanúsítványprofillal kapcsolatos információkért lásd: Megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvány exportálása és Megbízható tanúsítványprofilok létrehozása a Tanúsítványok használata hitelesítéshez Intune.

     Megjegyzés:

     Ha többszintű PKI-struktúrával rendelkezik, például legfelső szintű hitelesítésszolgáltatóval és kiállító hitelesítésszolgáltatóval, válassza ki azt a legfelső szintű megbízható főtanúsítvány-profilt, amely ellenőrzi a kiállító hitelesítésszolgáltatót.

   • Kibővített kulcshasználat:

     Adjon meg értékeket a tanúsítvány kívánt céljához. A legtöbb esetben a tanúsítvány ügyfél-hitelesítést igényel, hogy a felhasználó vagy az eszköz hitelesíthesse magát egy kiszolgálón. Szükség szerint további kulcshasználatokat is hozzáadhat.

   • Megújítási küszöbérték (%):

     Adja meg a tanúsítvány élettartamának azon százalékát, amely még azelőtt marad, hogy az eszköz a tanúsítvány megújítását kéri. Ha például a 20 értéket adja meg, a rendszer megkísérli a tanúsítvány megújítását, ha a tanúsítvány 80%-os lejárt. A megújítási kísérletek addig folytatódnak, amíg a megújítás sikeres nem lesz. A megújítás létrehoz egy új tanúsítványt, amely egy új nyilvános/titkos kulcspárt eredményez.

     Megjegyzés:

     Megújítási viselkedés iOS/iPadOS és macOS rendszeren: A tanúsítványok csak a megújítási küszöbérték szakaszában újíthatók meg. Emellett az eszközt fel kell oldani a Intune való szinkronizálás során. Ha a megújítás nem sikerült, a lejárt tanúsítvány az eszközön marad, és Intune nem váltja ki a megújítást. Emellett a Intune nem kínál lehetőséget a lejárt tanúsítványok ismételt üzembe helyezésére. Az érintett eszközöket ideiglenesen ki kell zárni az SCEP-profilból a lejárt tanúsítvány eltávolításához és egy új kéréshez.

   • SCEP-kiszolgáló URL-címei:

     Adjon meg egy vagy több OLYAN NDES-kiszolgáló URL-címét, amelyek SCEP-en keresztül bocsátanak ki tanúsítványokat. Írja be például a következőhöz hasonlót https://ndes.contoso.com/certsrv/mscep/mscep.dll: .

     Ahhoz, hogy az interneten lévő eszközök tanúsítványokat szerezzenek be, meg kell adnia a vállalati hálózaton kívüli NDES URL-címet.
     Az URL-cím lehet HTTP vagy HTTPS. A következő eszközök támogatásához azonban az SCEP-kiszolgáló URL-címének HTTPS-t kell használnia:

     • Android-eszközadminisztrátor
     • Android Enterprise-eszköz tulajdonosa
     • Android Enterprise vállalati tulajdonú munkahelyi profil
     • Android Enterprise személyes tulajdonú munkahelyi profil

     Szükség szerint további SCEP URL-címeket is hozzáadhat a terheléselosztáshoz. Az eszközök három külön hívást intéznek az NDES-kiszolgálóhoz. Az első a kiszolgálók képességeinek lekérése, a következő egy nyilvános kulcs lekérése, majd egy aláírási kérelem elküldése. Ha több URL-címet használ, előfordulhat, hogy a terheléselosztás azt eredményezi, hogy a rendszer egy másik URL-címet használ az NDES-kiszolgálóra irányuló későbbi hívásokhoz. Ha ugyanazon kérés során egy másik kiszolgálóval lép kapcsolatba egy későbbi hívás során, a kérés sikertelen lesz.

     Az NDES-kiszolgáló URL-címének kezelése az egyes eszközplatformokra jellemző:

     • Android: Az eszköz véletlenszerűvé teszi az SCEP-szabályzatban kapott URL-címek listáját, majd végigvezeti a listán, amíg egy elérhető NDES-kiszolgáló nem található. Az eszköz ezután a teljes folyamat során továbbra is ugyanazt az URL-címet és kiszolgálót használja. Ha az eszköz nem fér hozzá egyik NDES-kiszolgálóhoz sem, a folyamat sikertelen lesz.
     • iOS/iPadOS: Intune véletlenszerűvé teszi az URL-címeket, és egyetlen URL-címet biztosít az eszköznek. Ha az eszköz nem fér hozzá az NDES-kiszolgálóhoz, az SCEP-kérés meghiúsul.
     • Windows: Az NDES URL-címek listáját a rendszer véletlenszerűen adja át a Windows-eszköznek, amely ezután a kapott sorrendben próbálja meg őket, amíg meg nem találja az elérhető url-címeket. Ha az eszköz nem fér hozzá egyik NDES-kiszolgálóhoz sem, a folyamat sikertelen lesz.

     Ha egy eszköz nem éri el sikeresen ugyanazt az NDES-kiszolgálót az NDES-kiszolgálóhoz intézett három hívás bármelyike során, az SCEP-kérés sikertelen lesz. Ez például akkor fordulhat elő, ha egy terheléselosztási megoldás eltérő URL-címet biztosít az NDES-kiszolgáló második vagy harmadik hívásához, vagy egy másik tényleges NDES-kiszolgálót biztosít az NDES virtualizált URL-címe alapján. Egy sikertelen kérés után az eszköz újrapróbálkozik a folyamattal a következő szabályzatciklusban, kezdve az NDES URL-címek véletlenszerű listájával (vagy az iOS/iPadOS esetében egyetlen URL-címmel).

8. Ez a lépés csak a teljes körűen felügyelt, dedikált és Corporate-Owned munkahelyi profilhoz tartozó Android Enterprise-eszközprofilokra vonatkozik.

   Az Alkalmazások területen konfigurálja a tanúsítvány-hozzáférést az alkalmazásokhoz való tanúsítványhozzáférés kezeléséhez. Válasszon a következő lehetőségek közül:

   • Felhasználói jóváhagyás megkövetelése az alkalmazásokhoz(alapértelmezett) – A felhasználóknak minden alkalmazásnak jóvá kell hagyniuk a tanúsítvány használatát.
   • Engedélyezés csendesen adott alkalmazásokhoz (más alkalmazásokhoz felhasználói jóváhagyás szükséges) – Ezzel a beállítással válassza az Alkalmazások hozzáadása lehetőséget, majd válasszon ki egy vagy több olyan alkalmazást, amely felhasználói beavatkozás nélkül, csendesen fogja használni a tanúsítványt.

9. Válassza a Tovább gombot.

10. A Feladatok csoportban válassza ki, hogy mely felhasználók vagy felhasználói csoportok kapják meg a profilját. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

    Válassza a Tovább gombot.

11. (Csak Windows 10/11-re vonatkozik) Az Alkalmazhatósági szabályok területen adja meg az alkalmazhatósági szabályokat a profil hozzárendelésének finomításához. Dönthet úgy, hogy hozzárendeli vagy nem rendeli hozzá a profilt egy eszköz operációsrendszer-kiadása vagy verziója alapján.

    További információt az Eszközprofil létrehozása a Microsoft Intune-ben című témakör Alkalmazhatósági szabályok című témakörében talál.

12. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

A feloldott speciális karaktereket tartalmazó tanúsítvány-aláírási kérések elkerülése

Ismert probléma merült fel az SCEP- és PKCS-tanúsítványkérelmek esetében, amelyek tartalmazzák a Tulajdonos neve (CN) karaktert, és a következő speciális karakterek közül egy vagy több karaktert tartalmaz feloldott karakterként. A speciális karakterek egyikét feloldó karakterként tartalmazó tulajdonosnevek helytelen tulajdonosnévvel rendelkező CSR-t eredményeznek. Ha a tulajdonos neve helytelen, az SCEP-Intune-ellenőrzés sikertelen lesz, és nem ad ki tanúsítványt.

A speciális karakterek a következők:

• +
• ,
• ;
• =

Ha a tulajdonos neve tartalmazza a speciális karakterek egyikét, az alábbi lehetőségek egyikével megkerülheti ezt a korlátozást:

• Foglalja bele a speciális karaktert tartalmazó CN-értéket idézőjelekkel.
• Távolítsa el a speciális karaktert a CN-értékből.

Van például egy Tulajdonos neve, amely Tesztfelhasználóként (TestCompany, LLC) jelenik meg. A TestCompany és az LLC közötti vesszővel rendelkező CN-t tartalmazó CSR problémát jelent. A probléma elkerülhető, ha idézőjeleket helyez el a teljes CN körül, vagy eltávolítja a vesszőt a TestCompany és az LLC között:

• Idézőjelek hozzáadása: CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
• Távolítsa el a következő vesszőt: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

A vessző fordított perjel karakterrel való feloldása azonban meghiúsul a CRP-naplókban található hibával:

• Feloldott vessző: CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

A hiba a következőhöz hasonló:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

A tanúsítványprofil hozzárendelése

Az SCEP-tanúsítványprofilok hozzárendelése ugyanúgy történik, mint az eszközprofilok üzembe helyezése más célokra.

A folytatás előtt vegye figyelembe a következőket:

• Amikor SCEP-tanúsítványprofilokat rendel csoportokhoz, a megbízható legfelső szintű hitelesítésszolgáltató tanúsítványfájlja (a megbízható tanúsítványprofilban megadottak szerint) települ az eszközön. Az eszköz az SCEP-tanúsítványprofil használatával hoz létre tanúsítványkérelmet a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványhoz.

• Az SCEP-tanúsítványprofil csak azokra az eszközökre telepíthető, amelyek a tanúsítványprofil létrehozásakor megadott platformot futtatják.

• Tanúsítványprofilokat hozzárendelhet felhasználói gyűjteményekhez vagy eszközgyűjteményekhez.

• Ha az eszköz regisztrálása után gyorsan közzé szeretne tenni egy tanúsítványt egy eszközön, rendelje hozzá a tanúsítványprofilt egy felhasználói csoporthoz, nem pedig egy eszközcsoporthoz. Ha eszközcsoporthoz rendel hozzá, teljes eszközregisztrációra van szükség ahhoz, hogy az eszköz megkapja a szabályzatokat.

• Ha megosztott felügyeletet használ Intune és Configuration Manager, a Configuration Manager állítsa be az Erőforrás-hozzáférési szabályzatok számítási feladatok csúszkáitIntune vagy Próba Intune értékre. Ezzel a beállítással Windows 10/11 ügyfél elindíthatja a tanúsítvány igénylésének folyamatát.

Következő lépések

Profilok hozzárendelése

SCEP-tanúsítványprofilok üzembe helyezésének hibaelhárítása