Megbízható főtanúsítvány-profilok a Microsoft Intune-hoz
Ha az Intune-nal tanúsítványokkal rendelkező eszközöket épít ki a vállalati erőforrások és a hálózat eléréséhez, egy megbízható tanúsítványprofil használatával telepítse a megbízható főtanúsítványt ezekre az eszközökre. A megbízható főtanúsítványok megbízhatósági kapcsolatot létesítenek az eszközről a legfelső szintű vagy köztes (kiállító) hitelesítésszolgáltatóval, amelyből a többi tanúsítvány ki van állítva.
A megbízható tanúsítványprofilt ugyanazokra az eszközökre és felhasználókra telepíti, amelyek megkapják az Egyszerű tanúsítványigénylési protokoll (SCEP), a nyilvános kulcsú titkosítási szabványok (PKCS) és az importált PKCS tanúsítványprofiljait.
Tipp
A megbízható tanúsítványprofilok a Windows Enterprise több munkamenetes távoli asztalai esetében támogatottak.
A megbízható legfelső szintű hitelesítésszolgáltató tanúsítványának exportálása
A PKCS-, SCEP- és PKCS-importált tanúsítványok használatához az eszközöknek megbízhatónak kell lenniük a legfelső szintű hitelesítésszolgáltatóban. A megbízhatóság létrehozásához exportálja a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt, valamint a köztes vagy kiállító hitelesítésszolgáltatói tanúsítványokat nyilvános tanúsítványként (.cer). Ezeket a tanúsítványokat beszerezheti a kiállító hitelesítésszolgáltatótól vagy bármely olyan eszközről, amely megbízik a kiállító hitelesítésszolgáltatóban.
A tanúsítvány exportálásához tekintse meg a hitelesítésszolgáltató dokumentációját. A nyilvános tanúsítványt DER-kódolású .cer fájlként kell exportálnia. Ne exportálja a titkos kulcsot, a .pfx fájlt.
Ezt a .cer fájlt fogja használni, amikor megbízható tanúsítványprofilokat hoz létre a tanúsítvány telepítéséhez az eszközein.
Megbízható tanúsítványprofilok létrehozása
A SCEP, PKCS vagy PKCS importált tanúsítványprofil létrehozása előtt hozzon létre és helyezzen üzembe egy megbízható tanúsítványprofilt. Ha megbízható tanúsítványprofilt helyez üzembe ugyanazokra a csoportokra, amelyek a többi tanúsítványprofil-típust kapják, biztosítja, hogy minden eszköz felismerje a hitelesítésszolgáltató legitimitását. Ide tartoznak a VPN-hez, a Wi-Fi-hez és az e-mailhez hasonló profilok.
Az SCEP-tanúsítványprofilok közvetlenül hivatkoznak egy megbízható tanúsítványprofilra. A PKCS-tanúsítványprofilok nem hivatkoznak közvetlenül a megbízható tanúsítványprofilra, hanem közvetlenül hivatkoznak a hitelesítésszolgáltatót üzemeltető kiszolgálóra. A PKCS importált tanúsítványprofiljai nem hivatkoznak közvetlenül a megbízható tanúsítványprofilra, de használhatják az eszközön. Ha megbízható tanúsítványprofilt helyez üzembe az eszközökön, akkor ez a megbízhatóság létrejön. Ha egy eszköz nem bízik meg a legfelső szintű hitelesítésszolgáltatóban, az SCEP- vagy PKCS-tanúsítványprofil-szabályzat sikertelen lesz.
Hozzon létre külön megbízható tanúsítványprofilt minden támogatni kívánt eszközplatformhoz, ugyanúgy, mint az importált SCEP-, PKCS- és PKCS-tanúsítványprofilok esetében.
Fontos
A Windows 10 és újabb platformokhoz létrehozott megbízható gyökérprofilok a Microsoft Intune Felügyeleti központban a Windows 8.1 és újabb platformok profiljaiként jelennek meg.
Ez egy ismert probléma a platform megbízható tanúsítványprofilokhoz való megjelenítésével kapcsolatban. Bár a profil a Windows 8.1 és újabb verziók platformját jeleníti meg, a Windows 10/11-ben működik.
Megjegyzés:
Az Intune megbízható tanúsítványprofilja csak fő- vagy köztes tanúsítványok továbbítására használható. Az ilyen tanúsítványok üzembe helyezésének célja a megbízhatósági lánc kialakítása. A Microsoft nem támogatja a megbízható tanúsítványprofil használatát a fő- és köztes tanúsítványoktól eltérő tanúsítványok továbbításához. Előfordulhat, hogy a Microsoft Intune Felügyeleti központban a megbízható tanúsítványprofil kiválasztásakor a rendszer letiltja az olyan tanúsítványok importálását, amelyek nem minősülnek főtanúsítványnak vagy köztes tanúsítványnak. Még ha olyan tanúsítványt is importálhat és telepíthet, amely nem gyökér- vagy köztes tanúsítvány ilyen profiltípussal, valószínűleg váratlan eredményeket fog tapasztalni a különböző platformok, például az iOS és az Android között.
Megbízható tanúsítványprofilok Android-eszközadminisztrátor számára
Fontos
A Microsoft Intune 2024. december 31-én megszünteti az Android-eszközök rendszergazdai felügyeletének támogatását a Google Mobile Serviceshez (GMS) hozzáférő eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy a támogatás befejeződése előtt váltson egy másik Android-felügyeleti lehetőségre az Intune-ban. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.
Az Android 11-től kezdődően már nem használhat megbízható tanúsítványprofilt megbízható főtanúsítvány üzembe helyezéséhez az Android-eszközadminisztrátorként regisztrált eszközökön. Ez a korlátozás nem vonatkozik a Samsung Knoxra.
Mivel az SCEP-tanúsítványprofilokhoz mindkét megbízható főtanúsítványt telepíteni kell egy eszközön, és olyan megbízható tanúsítványprofilra kell hivatkoznia, amely viszont erre a tanúsítványra hivatkozik, a korlátozás megkerüléséhez kövesse az alábbi lépéseket:
Az eszköz manuális kiépítése a megbízható főtanúsítvánnyal. Minta útmutatásért tekintse meg a következő szakaszt.
Telepítse az eszközt, amely egy megbízható főtanúsítvány-profil, amely az eszközön telepített megbízható főtanúsítványra hivatkozik.
Helyezzen üzembe egy SCEP-tanúsítványprofilt a megbízható főtanúsítvány-profilra hivatkozó eszközön.
Ez a probléma nem korlátozódik az SCEP-tanúsítványprofilra. Ezért tervezze meg manuálisan telepíteni a megbízható főtanúsítványt a megfelelő eszközökre, ha PKCS-tanúsítványprofilokat használ, vagy az importált PKCS-tanúsítványprofilok megkövetelik.
További információ az androidos eszközadminisztrátor támogatásának változásairól a techcommunity.microsoft.com.
Eszköz manuális kiépítése a megbízható főtanúsítvánnyal
Az alábbi útmutató segítséget nyújthat az eszközök manuális kiépítésében egy megbízható főtanúsítvánnyal.
Töltse le vagy vigye át a megbízható főtanúsítványt az Android-eszközre. Előfordulhat például, hogy e-mail használatával terjeszti a tanúsítványt az eszköz felhasználóinak, vagy lekéreheti a felhasználókat egy biztonságos helyről. Miután a tanúsítvány telepítve van az eszközön, meg kell nyitni, el kell nevezni és menteni kell. A tanúsítvány mentése hozzáadja a felhasználó tanúsítványtárolójába az eszközön.
- Ha meg szeretné nyitni a tanúsítványt az eszközön, a felhasználónak meg kell keresnie és meg kell nyitnia a tanúsítványt. Miután például e-mailben elküldte a tanúsítványt, az eszközfelhasználók rákoppinthatnak vagy megnyithatják a tanúsítványmellékletet.
- A tanúsítvány megnyitásakor a felhasználónak meg kell adnia a PIN-kódját, vagy más módon hitelesítenie kell magát az eszközön a tanúsítvány kezelése előtt.
A hitelesítés után megnyílik a tanúsítvány, és el kell nevezni, mielőtt menthető lenne a Felhasználók tanúsítványtárolóba. A tanúsítvány nevének meg kell egyeznie az eszközre küldött megbízható főtanúsítvány-profilban megadott tanúsítványnévvel. A tanúsítvány elnevezése után menthető.
A mentés után a tanúsítvány használatra kész. A felhasználó ellenőrizheti, hogy a tanúsítvány a megfelelő helyen van-e az eszközön:
- Nyissa meg a Beállítások>Biztonsági>megbízható hitelesítő adatokat. A megbízható hitelesítő adatok tényleges elérési útja eszközönként eltérő lehet.
- Nyissa meg a Felhasználó lapot, és keresse meg a tanúsítványt.
- Ha szerepel a felhasználói tanúsítványok listájában, a tanúsítvány megfelelően van telepítve.
Ha a főtanúsítvány telepítve van egy eszközön, akkor is telepítenie kell a következőket az SCEP- vagy PKCS-tanúsítványok kiépítéséhez:
- Megbízható tanúsítványprofil, amely erre a tanúsítványra hivatkozik
- Az SCEP- vagy PKCS-tanúsítványok kiépítéséhez a tanúsítványprofilra hivatkozó SCEP- vagy PKCS-profil.
Megbízható tanúsítványprofil létrehozása
Jelentkezzen be a Microsoft Intune Felügyeleti központba.
Válassza ki, majd lépjen az Eszközök>kezeléseeszközkonfiguráció>>Létrehozás elemre.
Adja meg a következő tulajdonságokat:
- Platform: Válassza ki a profilt fogadó eszközök platformját.
- Profil: A választott platformtól függően válassza a Megbízható tanúsítvány lehetőséget, vagy válassza a Sablonok>Megbízható tanúsítvány lehetőséget.
Fontos
2022. október 22-én a Microsoft Intune megszüntette a Windows 8.1 rendszerű eszközök támogatását. Ezeken az eszközökön nem érhető el technikai segítség és automatikus frissítés.
Ha jelenleg a Windows 8.1-et használja, javasoljuk, hogy windowsos 10/11-eszközökre lépjen. A Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek a Windows 10/11 ügyféleszközöket kezelik.
Válassza a Létrehozás lehetőséget.
Az Alapadatok között adja meg a következő tulajdonságokat:
- Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. A jó profilnév például a megbízható tanúsítványprofil a teljes vállalat számára.
- Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.
Válassza a Tovább gombot.
A Konfigurációs beállítások területen adja meg a korábban exportált megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvány .cer fájlját.
Csak Windows 8.1 és Windows 10/11 rendszerű eszközök esetén válassza ki a megbízható tanúsítvány céltárolót a következő helyekről:
- Számítógéptanúsítvány-tároló – Gyökér
- Számítógéptanúsítvány-tároló – Köztes
- Felhasználói tanúsítványtároló – Köztes
Válassza a Tovább gombot.
A Hozzárendelések területen válassza ki a profilt fogadó felhasználót vagy csoportokat. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.
Válassza a Tovább gombot.
(Csak a Windows 10/11 rendszerre vonatkozik) Az Alkalmazhatósági szabályok területen adja meg az alkalmazhatósági szabályokat a profil hozzárendelésének finomításához. Dönthet úgy, hogy hozzárendeli vagy nem rendeli hozzá a profilt egy eszköz operációsrendszer-kiadása vagy verziója alapján.
További információt az Eszközprofil létrehozása a Microsoft Intune-ban című témakör Alkalmazhatósági szabályok című témakörében talál.
Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.
Következő lépések
Tanúsítványprofilok létrehozása:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: