Konfigurace a používání certifikátů PKCS s Intune

  • Článek

Microsoft Intune podporuje použití certifikátů PKCS (Private Key Pair). Tento článek popisuje, co je potřeba k použití certifikátů PKCS s Intune, včetně exportu certifikátu PKCS a jeho přidání do konfiguračního profilu zařízení Intune.

Microsoft Intune zahrnuje předdefinované nastavení pro použití certifikátů PKCS pro přístup k prostředkům vaší organizace a jejich ověřování. Certifikáty ověřují a zabezpečují přístup k podnikovým prostředkům, jako je síť VPN nebo Wi-Fi. Tato nastavení nasadíte do zařízení pomocí konfiguračních profilů zařízení v Intune.

Informace o používání importovaných certifikátů PKCS najdete v tématu Importované certifikáty PFX.

Tip

Profily certifikátů PKCS jsou podporovány pro vzdálené plochy Windows Enterprise s více relacemi.

Požadavky

Pokud chcete používat certifikáty PKCS s Intune, budete potřebovat následující infrastrukturu:

  • Doména služby Active Directory:
    Všechny servery uvedené v této části musí být připojené k doméně služby Active Directory.

    Další informace o instalaci a konfiguraci služby Active Directory Domain Services (AD DS) najdete v tématu Návrh a plánování služby AD DS.

  • Certifikační autorita:
    Certifikační autorita organizace (CA).

    Informace o instalaci a konfiguraci služby AD CS (Active Directory Certificate Services) najdete v podrobném průvodci službou AD CS( Active Directory Certificate Services).

    Upozornění

    Intune vyžaduje, abyste službu AD CS spustili s certifikační autoritou organizace(CA), nikoli se samostatnou certifikační autoritou.

  • Klient:
    Chcete-li se připojit k certifikační autoritě organizace.

  • Kořenový certifikát:
    Exportovaná kopie kořenového certifikátu z certifikační autority organizace

  • Certificate Connector pro Microsoft Intune:

    Informace o konektoru certificate najdete tady:

Export kořenového certifikátu z certifikační autority organizace

K ověření zařízení pomocí sítě VPN, Wi-Fi nebo jiných prostředků potřebuje zařízení certifikát kořenové nebo zprostředkující certifikační autority. Následující postup vysvětluje, jak získat požadovaný certifikát z certifikační autority organizace.

Použijte příkazový řádek:

  1. Přihlaste se k serveru kořenové certifikační autority pomocí účtu správce.

  2. Přejděte na Spustit>spuštění a zadáním příkazu Cmd otevřete příkazový řádek.

  3. Zadejte certutil -ca.cert ca_name.cer pro export kořenového certifikátu do souboru s názvem ca_name.cer.

Konfigurace šablon certifikátů v certifikační autoritě

  1. Přihlaste se ke své podnikové certifikační autoritě pomocí účtu, který má oprávnění správce.

  2. Otevřete konzolu Certifikační autorita , klikněte pravým tlačítkem na Šablony certifikátů a vyberte Spravovat.

  3. Vyhledejte šablonu certifikátu uživatele , klikněte na ni pravým tlačítkem a zvolte Duplikovat šablonu , aby se otevřely vlastnosti nové šablony.

    Poznámka

    Pro scénáře podepisování a šifrování e-mailů S/MIME používá mnoho správců k podepisování a šifrování samostatné certifikáty. Pokud používáte službu Microsoft Active Directory Certificate Services, můžete použít šablonu Exchange Signature Only pro podpisové certifikáty E-mailů S/MIME a šablonu Uživatele Exchange pro šifrovací certifikáty S/MIME. Pokud používáte certifikační autoritu třetí strany, doporučujeme si projít její doprovodné materiály k nastavení šablon pro registraci a šifrování.

  4. Na kartě Kompatibilita :

    • Nastavení certifikační autority na Windows Server 2008 R2
    • Nastavit příjemce certifikátu na Windows 7 / Server 2008 R2

  5. Na kartě Obecné :

    • nastavte zobrazovaný název šablony na něco, co vám dává smysl.
    • Zrušte zaškrtnutí políčka Publikovat certifikát ve službě Active Directory.

    Upozornění

    Název šablony je ve výchozím nastavení stejný jako zobrazovaný název šablonybez mezer. Poznamenejte si název šablony, budete ho potřebovat později.

  6. V části Zpracování žádostí vyberte Povolit export privátního klíče.

    Poznámka

    Na rozdíl od protokolu SCEP se privátní klíč certifikátu vygeneruje v případě PKCS na serveru, na kterém je nainstalovaný konektor certifikátu, a ne na zařízení. Šablona certifikátu musí umožňovat export privátního klíče, aby konektor mohl exportovat certifikát PFX a odeslat ho do zařízení.

    Když se certifikáty nainstalují do samotného zařízení, privátní klíč se označí jako neexportovatelný.

  7. V kryptografii ověřte, že minimální velikost klíče je nastavená na 2048.

    Zařízení s Windows a Androidem podporují použití 4096bitové velikosti klíče s profilem certifikátu PKCS. Pokud chcete použít tuto velikost klíče, zadejte jako Minimální velikost klíče 4096.

    Poznámka

    U zařízení s Windows se úložiště 4096bitových klíčů podporuje jenom v zprostředkovateli KSP (Software Key Storage Provider ). Následující nástroje nepodporují ukládání klíčů této velikosti:

    • Hardwarový čip TPM (Trusted Platform Module). Jako alternativní řešení můžete pro úložiště klíčů použít softwarový KSP.
    • Windows Hello pro firmy. V tuto chvíli neexistuje žádné alternativní řešení pro Windows Hello pro firmy.

  8. V části Název subjektu zvolte v požadavku Zadat.

  9. V části Rozšíření ověřte, že se v části Zásady aplikací zobrazují šifrování systému souborů, zabezpečení Email a ověřování klientů.

    Důležité

    V případě šablon certifikátů pro iOS/iPadOS přejděte na kartu Rozšíření , aktualizujte používání klíče a ověřte, že není vybraná možnost Podpis je důkazem původu .

  10. V části Zabezpečení:

    1. (Povinné): Přidejte účet počítače pro server, na který instalujete Certificate Connector pro Microsoft Intune. Povolte tomuto účtu oprávnění číst a zapsat .
    2. (Volitelné, ale doporučené): Výběrem skupiny Domain Users a výběrem možnosti Odebrat odeberte skupinu Domain Users ze seznamu skupin nebo uživatelských jmen povolených pro tuto šablonu. Projděte si další položky v části Skupiny nebo uživatelská jména , kde najdete oprávnění a použitelnost pro vaše prostředí.

  11. Výběrem možnosti Použít>OK šablonu certifikátu uložte. Zavřete konzolu Šablony certifikátů.

  12. V konzole Certifikační autorita klikněte pravým tlačítkem na Šablony> certifikátůNová>šablona certifikátu, kterou chcete vystavit. Zvolte šablonu, kterou jste vytvořili v předchozích krocích. Vyberte OK.

  13. Aby server spravoval certifikáty pro zaregistrovaná zařízení a uživatele, postupujte následovně:

    1. Klikněte pravým tlačítkem na certifikační autoritu a zvolte Vlastnosti.
    2. Na kartě Zabezpečení přidejte účet Počítače serveru, na kterém konektor spouštíte.
    3. Udělte vydávat a spravovat certifikáty a požadovat certifikáty , aby povolte oprávnění k účtu počítače.

  14. Odhlaste se od certifikační autority organizace.

Stažení, instalace a konfigurace Certificate Connectoru pro Microsoft Intune

Pokyny najdete v tématu Instalace a konfigurace Certificate Connectoru pro Microsoft Intune.

Vytvoření profilu důvěryhodného certifikátu

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte a přejděte naVytvořitkonfiguraci>zařízení>.

  3. Zadejte tyto vlastnosti:

    • Platforma: Zvolte platformu zařízení, která tento profil obdrží.
      • Správce zařízení s Androidem
      • Android Enterprise:
        • Plně spravovaná
        • Vyhrazené
        • pracovní profil Corporate-Owned
        • pracovní profil Personally-Owned
      • iOS/iPadOS
      • macOS
      • Windows 10/11
    • Profil: Vyberte Důvěryhodný certifikát. Nebo vyberte Šablony>Důvěryhodný certifikát.

  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Dobrý název profilu je například Důvěryhodný profil certifikátu pro celou společnost.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

  6. Vyberte Další.

  7. V části Nastavení konfigurace zadejte soubor .cer pro certifikát kořenové certifikační autority, který jste dříve exportovali.

    Poznámka

    V závislosti na platformě, kterou jste zvolili v kroku 3, můžete nebo nemusíte mít možnost zvolit cílové úložiště pro certifikát.

    Vytvoření profilu a nahrání důvěryhodného certifikátu

  8. Vyberte Další.

  9. V části Přiřazení vyberte uživatele nebo skupiny zařízení, kterým se profil přiřadí. Další podrobnosti najdete v tématu Vytvoření filtrů v Microsoft Intune a jejich použití výběrem možnosti Upravit filtr.

    Naplánujte nasazení tohoto profilu certifikátu do stejných skupin, které obdrží profil certifikátu PKCS a které obdrží konfigurační profil, jako je profil Wi-Fi, který certifikát využívá. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

  10. (Platí pouze pro Windows 10/11) V části Pravidla použitelnosti zadejte pravidla použitelnosti pro upřesnění přiřazení tohoto profilu. Profil můžete přiřadit nebo nepřiřazovat na základě edice operačního systému nebo verze zařízení.

    Další informace najdete v tématu Pravidla použitelnosti v tématu Vytvoření profilu zařízení v Microsoft Intune.

  11. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Vytvoření profilu certifikátu PKCS

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 30. srpna 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v článku Ukončení podpory pro správce zařízení s Androidem na zařízeních GMS.

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Vyberte a přejděte naVytvořitkonfiguraci>zařízení>.

  3. Zadejte tyto vlastnosti:

    • Platforma: Zvolte platformu vašich zařízení. Možnosti:
      • Správce zařízení s Androidem
      • Android Enterprise:
        • Plně spravovaná
        • Vyhrazené
        • pracovní profil Corporate-Owned
        • pracovní profil Personally-Owned
      • iOS/iPadOS
      • macOS
      • Windows 10/11
    • Profil: Vyberte certifikát PKCS. Nebo vyberte Šablony>Certifikát PKCS.

    Poznámka

    Na zařízeních s profilem Android Enterprise nejsou certifikáty nainstalované pomocí profilu certifikátu PKCS viditelné. Pokud chcete potvrdit úspěšné nasazení certifikátu, zkontrolujte stav profilu v Centru pro správu Intune.

  4. Vyberte Vytvořit.

  5. V Základy zadejte následující vlastnosti:

    • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Dobrý název profilu je například profil PKCS pro celou společnost.
    • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

  6. Vyberte Další.

  7. V nastavení konfigurace se nastavení, které můžete nakonfigurovat, liší v závislosti na zvolené platformě. Vyberte svoji platformu pro podrobná nastavení:

    • Správce zařízení s Androidem
    • Android Enterprise
    • iOS/iPadOS
    • Windows 10/11
    Nastavení Platforma Podrobnosti
    Prahová hodnota pro prodloužení (%)
    • Vše
    		 Doporučeno je 20 %
    Doba platnosti certifikátu
    • Vše
    		 Pokud jste šablonu certifikátu nezměnili, může být tato možnost nastavená na jeden rok.

    Použijte dobu platnosti pět dnů nebo až 24 měsíců. Pokud je doba platnosti kratší než pět dnů, je vysoká pravděpodobnost, že certifikát přejde do stavu blížícího se vypršení platnosti nebo vypršení platnosti, což může způsobit, že agent MDM na zařízeních certifikát před instalací odmítne.
    Poskytovatel úložiště klíčů (KSP)
    • Windows 10/11
    		 Ve Windows vyberte, kam se mají klíče na zařízení uložit.
    Certifikační autorita
    • Vše
    		 Zobrazí interní plně kvalifikovaný název domény (FQDN) vaší certifikační autority organizace.
    Název certifikační autority
    • Vše
    		 Seznamy název certifikační autority organizace, například "Certifikační autorita Contoso".
    Název šablony certifikátu
    • Vše
    		 Seznamy název šablony certifikátu.
    Typ certifikátu
    • Android Enterprise (firemní a Personally-Owned pracovní profil)
    • iOS
    • macOS
    • Windows 10/11
    		 Vyberte typ:
    • Uživatelské certifikáty můžou obsahovat atributy uživatele i zařízení v alternativním názvu subjektu a alternativním názvu subjektu (SAN) certifikátu.
    • Certifikáty zařízení můžou obsahovat pouze atributy zařízení v předmětu a síti SAN certifikátu. Zařízení můžete použít pro scénáře, jako jsou zařízení bez uživatelů, jako jsou veřejné terminály nebo jiná sdílená zařízení.

      Tento výběr má vliv na formát názvu subjektu.
    Formát názvu subjektu
    • Vše
    		 Podrobnosti o konfiguraci formátu názvu subjektu najdete v části Formát názvu subjektu dále v tomto článku.

    Pro následující platformy je formát názvu subjektu určen typem certifikátu:
    • Android Enterprise (pracovní profil)
    • iOS
    • macOS
    • Windows 10/11
    Alternativní název subjektu
    • Vše
    		 V části Atribut vyberte Hlavní název uživatele (UPN), pokud není vyžadováno jinak, nakonfigurujte odpovídající hodnotu a pak vyberte Přidat.

    Pro síť SAN obou typů certifikátů můžete použít proměnné nebo statický text. Použití proměnné není povinné.

    Další informace najdete v části Formát názvu subjektu dále v tomto článku.
    Rozšířené použití klíče
    • Správce zařízení s Androidem
    • Android Enterprise (vlastník zařízení, firemní a Personally-Owned pracovní profil)
    • Windows 10/11
    		 Certifikáty obvykle vyžadují ověření klienta , aby se uživatel nebo zařízení mohl ověřit na serveru.
    Povolit všem aplikacím přístup k privátnímu klíči
    • macOS
    		 Pokud chcete aplikacím nakonfigurovaným pro přidružené zařízení Mac udělit přístup k privátnímu klíči certifikátu PKCS, nastavte na Povolit .

    Další informace o tomto nastavení najdete v části AllowAllAppsAccess datová část certifikátu v tématu Referenční informace o konfiguračním profilu v dokumentaci apple pro vývojáře.
    Kořenový certifikát
    • Správce zařízení s Androidem
    • Android Enterprise (vlastník zařízení, firemní a Personally-Owned pracovní profil)
    		 Vyberte profil certifikátu kořenové certifikační autority, který byl dříve přiřazen.

  8. Tento krok platí jenom pro profily zařízení s Androidem Enterprise pro plně spravovaný, vyhrazený a pracovní profil Corporate-Owned.

    V části Aplikace nakonfigurujte přístup k certifikátům , abyste mohli spravovat způsob udělování přístupu k certifikátům aplikacím. Vyberte si z:

    • Vyžadovat souhlas uživatele pro aplikace(výchozí) – Uživatelé musí schválit použití certifikátu všemi aplikacemi.
    • Udělovat bezobslužné udělení pro konkrétní aplikace (vyžadovat souhlas uživatele pro jiné aplikace) – Pomocí této možnosti vyberte Přidat aplikace a pak vyberte jednu nebo více aplikací, které budou certifikát bez zásahu uživatele bez zásahu uživatele používat.

  9. Vyberte Další.

  10. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Naplánujte nasazení tohoto profilu certifikátu do stejných skupin, které obdrží profil důvěryhodného certifikátu a které obdrží konfigurační profil, jako je profil Wi-Fi, který certifikát využívá. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

    Vyberte Další.

  11. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Formát názvu subjektu

Když vytvoříte profil certifikátu PKCS pro následující platformy, možnosti pro formát názvu subjektu závisí na typu certifikátu, který vyberete , uživatel nebozařízení.

Platformy:

  • Android Enterprise (firemní a Personally-Owned pracovní profil)
  • iOS
  • macOS
  • Windows 10/11

Poznámka

Existuje známý problém s použitím PKCS k získání certifikátů , což je stejný problém jako u SCEP , když název subjektu ve výsledné žádosti o podepsání certifikátu (CSR) obsahuje jeden z následujících znaků jako řídicí znak (pokračuje zpětným lomítkem \):

  • +
  • ;
  • ,
  • =

Poznámka

Počínaje Androidem 12 už Android nepodporuje použití následujících hardwarových identifikátorů pro zařízení s pracovním profilem v osobním vlastnictví :

  • Sériové číslo
  • IMEI
  • MEID

Profily certifikátů Intune pro zařízení s osobním pracovním profilem, která se spoléhají na tyto proměnné v názvu subjektu nebo v síti SAN, nezřídí certifikát na zařízeních se systémem Android 12 nebo novějším v době registrace zařízení v Intune. Zařízení, která byla zaregistrovaná před upgradem na Android 12, můžou dál přijímat certifikáty, pokud intune dříve získalo identifikátory hardwaru zařízení.

Další informace o těchto a dalších změnách zavedených v Androidu 12 najdete v blogovém příspěvku Podpora Android Day Zero pro Microsoft Endpoint Manager .

  • Typ certifikátu uživatele
    Možnosti formátování pro formát názvu subjektu zahrnují dvě proměnné: Běžný název (CN) a Email (E). Email (E) se obvykle nastaví s proměnnou {{EmailAddress}}. Příklad: E={{EmailAddress}}

    Běžný název (CN) je možné nastavit na libovolnou z následujících proměnných:

    • CN={{UserName}}: Uživatelské jméno uživatele, například Jane Doe.

    • CN={{UserPrincipalName}}: Hlavní název uživatele, například janedoe@contoso.com.

    • CN={{AAD_Device_ID}}: ID přiřazené při registraci zařízení v Microsoft Entra ID. Toto ID se obvykle používá k ověření pomocí Microsoft Entra ID.

    • CN={{DeviceId}}: ID přiřazené při registraci zařízení v Intune.

    • CN={{SERIALNUMBER}}: Jedinečné sériové číslo (SN) obvykle používané výrobcem k identifikaci zařízení.

    • CN={{IMEINumber}}: Jedinečné číslo IMEI (International Mobile Equipment Identity) použité k identifikaci mobilního telefonu.

    • CN={{OnPrem_Distinguished_Name}}: Posloupnost relativních rozlišujících názvů oddělených čárkami, například CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

      Pokud chcete použít proměnnou {{OnPrem_Distinguished_Name}}, nezapomeňte synchronizovat atribut uživatele onpremisesdistinguishedname pomocí Microsoft Entra Připojit k Microsoft Entra ID.

    • CN={{onPremisesSamAccountName}}: Správci můžou synchronizovat atribut samAccountName ze služby Active Directory do Microsoft Entra ID pomocí Microsoft Entra Připojit do atributu s názvem onPremisesSamAccountName. Intune může nahradit proměnnou jako součást žádosti o vystavení certifikátu v předmětu certifikátu. Atribut samAccountName je přihlašovací jméno uživatele, které se používá k podpoře klientů a serverů z předchozí verze Systému Windows (starší než Windows 2000). Formát přihlašovacího jména uživatele je: DomainName\testUser nebo pouze testUser.

      Pokud chcete použít proměnnou {{onPremisesSamAccountName}}, nezapomeňte synchronizovat atribut uživatele onPremisesSamAccountName pomocí Microsoft Entra Připojit k Microsoft Entra ID.

    Všechny proměnné zařízení uvedené v následující části Typ certifikátu zařízení je také možné použít v názvech subjektů uživatelských certifikátů.

    Pomocí kombinace jedné nebo několika těchto proměnných a statických textových řetězců můžete vytvořit vlastní formát názvu subjektu, například : CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

    Tento příklad obsahuje formát názvu subjektu, který používá proměnné CN a E, a řetězce pro hodnoty Organizační jednotka, Organizace, Umístění, Stát a Země. Funkce CertStrToName popisuje tuto funkci a její podporované řetězce.

    Atributy uživatelů se nepodporují u zařízení, která nemají přidružení uživatelů, jako jsou zařízení zaregistrovaná jako vyhrazená pro Android Enterprise. Například profil, který v předmětu používá CN={{UserPrincipalName}} nebo SAN, nemůže získat hlavní název uživatele, pokud na zařízení není uživatel.

  • Typ certifikátu zařízení
    Možnosti formátování pro formát názvu subjektu zahrnují následující proměnné:

    • {{AAD_Device_ID}}
    • {{DeviceId}} – ID zařízení Intune.
    • {{Device_Serial}}
    • {{Device_IMEI}}
    • {{SerialNumber}}
    • {{IMEINumber}}
    • {{AzureADDeviceId}}
    • {{WiFiMacAddress}}
    • {{IMEI}}
    • {{DeviceName}}
    • {{FullyQualifiedDomainName}}(platí jenom pro Windows a zařízení připojená k doméně)
    • {{MEID}}

    Do textového pole můžete zadat tyto proměnné následované textem proměnné. Například běžný název zařízení s názvem Device1 se dá přidat jako CN={{DeviceName}}Device1.

    Důležité

    • Když zadáte proměnnou, uzavřete název proměnné do složených závorek { }, jak je vidět v příkladu, aby nedošlo k chybě.
    • Vlastnosti zařízení používané v předmětu nebo síti SAN certifikátu zařízení, jako jsou IMEI, SerialNumber a FullyQualifiedDomainName, jsou vlastnosti, které může zfalšovat osoba s přístupem k zařízení.
    • Zařízení musí podporovat všechny proměnné zadané v profilu certifikátu, aby se tento profil nainstaloval na toto zařízení. Pokud se například {{IMEI}} použije v názvu subjektu profilu SCEP a přiřadí se zařízení, které nemá číslo IMEI, profil se nenainstaluje.

Další kroky