Megosztás a következőn keresztül:

Megbízható főtanúsítvány-profilok Microsoft Intune

  • Cikk

Ha Intune használ az eszközök tanúsítványokkal való kiépítéséhez a vállalati erőforrások és a hálózat eléréséhez, a megbízható főtanúsítvány üzembe helyezéséhez használjon megbízható tanúsítványprofilt ezekre az eszközökre. A megbízható főtanúsítványok megbízhatósági kapcsolatot létesítenek az eszközről a legfelső szintű vagy köztes (kiállító) hitelesítésszolgáltatóval, amelyből a többi tanúsítvány ki van állítva.

A megbízható tanúsítványprofilt ugyanazokra az eszközökre és felhasználókra telepíti, amelyek megkapják az Egyszerű tanúsítványigénylési protokoll (SCEP), a nyilvános kulcsú titkosítási szabványok (PKCS) és az importált PKCS tanúsítványprofiljait.

Tipp

A megbízható tanúsítványprofilok a Windows Enterprise több munkamenetes távoli asztalai esetében támogatottak.

A megbízható legfelső szintű hitelesítésszolgáltató tanúsítványának exportálása

A PKCS-, SCEP- és PKCS-importált tanúsítványok használatához az eszközöknek megbízhatónak kell lenniük a legfelső szintű hitelesítésszolgáltatóban. A megbízhatóság létrehozásához exportálja a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt, valamint a köztes vagy kiállító hitelesítésszolgáltatói tanúsítványokat nyilvános tanúsítványként (.cer). Ezeket a tanúsítványokat beszerezheti a kiállító hitelesítésszolgáltatótól vagy bármely olyan eszközről, amely megbízik a kiállító hitelesítésszolgáltatóban.

A tanúsítvány exportálásához tekintse meg a hitelesítésszolgáltató dokumentációját. A nyilvános tanúsítványt DER-kódolású .cer fájlként kell exportálnia. Ne exportálja a titkos kulcsot, a .pfx fájlt.

Ezt a .cer fájlt akkor használja, ha megbízható tanúsítványprofilokat hoz létre a tanúsítvány eszközökre való telepítéséhez.

Megbízható tanúsítványprofilok létrehozása

Mielőtt SCEP-, PKCS- vagy PKCS-importált tanúsítványprofilt hoz létre, hozzon létre és helyezzen üzembe egy megbízható tanúsítványprofilt. Telepítse a megbízható tanúsítványprofilt ugyanazokra a csoportokra, amelyek a többi tanúsítványprofil-típust megkapják. Ez a lépés biztosítja, hogy minden eszköz felismerje a hitelesítésszolgáltató legitimitását, beleértve a VPN-, Wi-Fi- és e-mail profilokat.

Az SCEP-tanúsítványprofilok közvetlenül hivatkoznak egy megbízható tanúsítványprofilra. A PKCS-tanúsítványprofilok nem hivatkoznak közvetlenül a megbízható tanúsítványprofilra, hanem közvetlenül hivatkoznak a hitelesítésszolgáltatót üzemeltető kiszolgálóra. A PKCS importált tanúsítványprofiljai nem hivatkoznak közvetlenül a megbízható tanúsítványprofilra, de használhatják az eszközön. Ha megbízható tanúsítványprofilt helyez üzembe az eszközökön, akkor ez a megbízhatóság létrejön. Ha egy eszköz nem bízik meg a legfelső szintű hitelesítésszolgáltatóban, az SCEP- vagy PKCS-tanúsítványprofil-szabályzat meghiúsul.

Hozzon létre külön megbízható tanúsítványprofilt minden támogatni kívánt eszközplatformhoz, ugyanúgy, mint az importált SCEP-, PKCS- és PKCS-tanúsítványprofilok esetében.

Fontos

A platform Windows 10 és újabb verzióihoz létrehozott megbízható gyökérprofilok a Microsoft Intune Felügyeleti központban jelennek meg profilként a platform Windows 8.1 és újabb verzióihoz.

Ez egy ismert probléma a platform megbízható tanúsítványprofilokhoz való megjelenítésével kapcsolatban. Bár a profil a Windows 8.1 és újabb verziók platformját jeleníti meg, a Windows 10/11-ben működik.

Megjegyzés:

Az Intune megbízható tanúsítványprofilja csak fő- vagy köztes tanúsítványok továbbítására használható. Az ilyen tanúsítványok üzembe helyezésének célja a megbízhatósági lánc kialakítása. A Microsoft nem támogatja a megbízható tanúsítványprofil használatát a fő- és köztes tanúsítványoktól eltérő tanúsítványok továbbításához. Előfordulhat, hogy a megbízható tanúsítványprofil Microsoft Intune felügyeleti központban való kiválasztásakor a rendszer letiltja az olyan tanúsítványok importálását, amelyek nem minősülnek főtanúsítványnak vagy köztes tanúsítványnak. Még ha olyan tanúsítványt is importálhat és telepíthet, amely nem gyökér- vagy köztes tanúsítvány ilyen profiltípussal, valószínűleg váratlan eredményeket fog tapasztalni a különböző platformok, például az iOS és az Android között.

Megbízható tanúsítványprofilok Android-eszközadminisztrátor számára

Fontos

Az Android-eszközök rendszergazdai felügyelete elavult, és már nem érhető el a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközök számára. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre. A támogatási és súgódokumentáció továbbra is elérhető marad a GMS nélküli, Android 15-ös vagy korábbi verziót futtató eszközökhöz. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

Ez a funkció az alábbiakra vonatkozik:

  • Android 10 és korábbi verziók nem KNOX-eszközökön
  • Android 12 és korábbi verziók Samsung KNOX-eszközökön

Mivel az SCEP-tanúsítványprofilokhoz mindkét megbízható főtanúsítványt telepíteni kell egy eszközön, és olyan megbízható tanúsítványprofilra kell hivatkoznia, amely viszont erre a tanúsítványra hivatkozik, a korlátozás megkerüléséhez kövesse az alábbi lépéseket:

  1. Az eszköz manuális kiépítése a megbízható főtanúsítvánnyal. Minta útmutatásért tekintse meg a következő szakaszt.

  2. Telepítse az eszközt, amely egy megbízható főtanúsítvány-profil, amely az eszközön telepített megbízható főtanúsítványra hivatkozik.

  3. Helyezzen üzembe egy SCEP-tanúsítványprofilt a megbízható főtanúsítvány-profilra hivatkozó eszközön.

Ez a probléma nem korlátozódik az SCEP-tanúsítványprofilra. Ezért tervezze meg manuálisan telepíteni a megbízható főtanúsítványt a megfelelő eszközökre, ha PKCS-tanúsítványprofilokat használ, vagy az importált PKCS-tanúsítványprofilok megkövetelik.

További információ az androidos eszközadminisztrátor támogatásának változásairól a techcommunity.microsoft.com.

Eszköz manuális kiépítése a megbízható főtanúsítvánnyal

Az alábbi útmutató segítséget nyújthat az eszközök manuális kiépítésében egy megbízható főtanúsítvánnyal.

  1. Töltse le vagy vigye át a megbízható főtanúsítványt az Android-eszközre. Előfordulhat például, hogy e-mail használatával terjeszti a tanúsítványt az eszköz felhasználóinak, vagy lekéreheti a felhasználókat egy biztonságos helyről. Miután a tanúsítvány telepítve van az eszközön, meg kell nyitni, el kell nevezni és menteni kell. A tanúsítvány mentése hozzáadja a felhasználó tanúsítványtárolójába az eszközön.

    1. Ha meg szeretné nyitni a tanúsítványt az eszközön, a felhasználónak meg kell keresnie és meg kell nyitnia a tanúsítványt. Miután például e-mailben elküldte a tanúsítványt, az eszközfelhasználók rákoppinthatnak vagy megnyithatják a tanúsítványmellékletet.
    2. A tanúsítvány megnyitásakor a felhasználónak meg kell adnia a PIN-kódját, vagy más módon hitelesítenie kell magát az eszközön a tanúsítvány kezelése előtt.

  2. A hitelesítés után megnyílik a tanúsítvány, és el kell nevezni, mielőtt menthető lenne a Felhasználók tanúsítványtárolóba. A tanúsítvány nevének meg kell egyeznie az eszközre küldött megbízható főtanúsítvány-profilban szereplő tanúsítványnévvel. Miután elnevezte a tanúsítványt, mentheti.

  3. A mentés után a tanúsítvány használatra kész. A felhasználó ellenőrizheti, hogy a tanúsítvány a megfelelő helyen van-e az eszközön:

    1. Nyissa meg a Beállítások>Biztonsági>megbízható hitelesítő adatokat. A megbízható hitelesítő adatok tényleges elérési útja eszközönként eltérő lehet.
    2. Nyissa meg a Felhasználó lapot, és keresse meg a tanúsítványt.
    3. Ha szerepel a felhasználói tanúsítványok listájában, a tanúsítvány megfelelően van telepítve.

  4. Ha a főtanúsítvány telepítve van egy eszközön, akkor is telepítenie kell a következőket az SCEP- vagy PKCS-tanúsítványok kiépítéséhez:

    • Megbízható tanúsítványprofil, amely erre a tanúsítványra hivatkozik
    • Az SCEP- vagy PKCS-tanúsítványok kiépítéséhez a tanúsítványprofilra hivatkozó SCEP- vagy PKCS-profil.

Megbízható tanúsítványprofil létrehozása

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Válassza ki, majd lépjen az Eszközök>kezeléseeszközkonfiguráció>>Létrehozás elemre.

    Lépjen a Intune, és hozzon létre egy új profilt egy megbízható tanúsítványhoz

  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza ki azon eszközök platformját, amelyeknek meg kell kapniuk ezt a profilt.
    • Profil: A választott platformtól függően válassza a Megbízható tanúsítvány lehetőséget, vagy válassza a Sablonok>Megbízható tanúsítvány lehetőséget.

    Fontos

    2022. október 22-én a Microsoft Intune megszüntette a Windows 8.1 rendszerű eszközök támogatását. Ezeken az eszközökön nem érhető el technikai támogatás és automatikus frissítés.

    Ha jelenleg a Windows 8.1-et használja, térjen át Windowsos 10/11-es eszközökre. A Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek kezelik a Windows 10/11-es ügyféleszközöket.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok között adja meg a következő tulajdonságokat:

    • Név: Adja meg a profil leíró nevét. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. A jó profilnév például a megbízható tanúsítványprofil a teljes vállalat számára.
    • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

  6. Válassza a Tovább gombot.

  7. A Konfigurációs beállítások területen adja meg a .cer korábban exportált megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvány fájlját.

    Csak Windows 8.1 és Windows 10/11 rendszerű eszközök esetén válassza ki a megbízható tanúsítvány céltárolót a következő helyekről:

    • Számítógéptanúsítvány-tároló – Gyökér
    • Számítógéptanúsítvány-tároló – Köztes
    • Felhasználói tanúsítványtároló – Köztes

    Profil létrehozása és megbízható tanúsítvány feltöltése

  8. Válassza a Tovább gombot.

  9. A Hozzárendelések területen válassza ki azt a felhasználót vagy csoportokat, amelyeknek meg kell kapniuk a profilját. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

    Válassza a Tovább gombot.

  10. (Csak Windows 10/11-re vonatkozik) Az Alkalmazhatósági szabályok területen adja meg az alkalmazhatósági szabályokat a profil hozzárendelésének finomításához. Dönthet úgy, hogy hozzárendeli vagy nem rendeli hozzá a profilt egy eszköz operációsrendszer-kiadása vagy verziója alapján.

    További információt az Eszközprofil létrehozása a Microsoft Intune-ben című témakör Alkalmazhatósági szabályok című témakörében talál.

  11. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Következő lépések

Tanúsítványprofilok létrehozása: