Megosztás a következőn keresztül:

Származtatott hitelesítő adatok használata Microsoft Intune

  • Cikk

A származtatott hitelesítő adatok a National Institute of Standards and Technology (NIST) irányelveinek implementálása a származtatott személyes identitás-ellenőrzési (PIV) hitelesítő adatokhoz a Special Publication (SP) 800-157 (Link opens a .pdf file on nvlpubs.nist.gov)) részeként.

Ez a cikk a következőkre vonatkozik:

  • A 7.0-s vagy újabb verziót futtató, teljes körűen felügyelt Android Enterprise-eszközök
  • iOS/iPadOS
  • Windows 10
  • Windows 11

Azok a szervezetek, amelyek intelligens kártyákat igényelnek a hitelesítéshez, a titkosításhoz és az aláíráshoz, Intune használhatnak a mobileszközök kiépítéséhez a felhasználó intelligens kártyájából származó tanúsítvánnyal. Ezt a tanúsítványt származtatott hitelesítő adatoknak nevezzük. Intune több származtatott hitelesítőadat-kibocsátót támogat, de bérlőnként csak egy kiállítót használ.

A Intune implementációjának ismertetése

Intune származtatott hitelesítő adatok használatához a Intune rendszergazdának úgy kell konfigurálnia a bérlőt, hogy egy támogatott származtatott hitelesítőadat-kibocsátóval működjön együtt. Nem kell konfigurálnia Intune megadott beállításokat a származtatott hitelesítőadat-kibocsátó rendszerében.

  • A Intune rendszergazda a Származtatott hitelesítő adatokat adja meg hitelesítési módszerként a következő objektumokhoz:

    Teljes körűen felügyelt Android Enterprise-eszközök esetén:

    • Gyakori profiltípusok, például Wi-Fi
    • Alkalmazáshitelesítés

    iOS/iPadOS esetén:

    • Gyakori profiltípusok, például Wi-Fi, VPN és Email, amelyek tartalmazzák az iOS/iPadOS natív levelezőalkalmazást
    • Alkalmazáshitelesítés
    • S/MIME aláírása és titkosítása

    Windows esetén:

    • Gyakori profiltípusok, például a Wi-Fi és a VPN

    Megjegyzés:

    A VPN-profilok hitelesítési módszereként származtatott hitelesítő adatok jelenleg nem a várt módon működnek Windows-eszközökön. Ez a viselkedés csak a Windows-eszközökön futó VPN-profilokat érinti, és egy későbbi kiadásban (ETA nélkül) ki lesz javítva.

  • Android és iOS/iPadOS esetén a felhasználók a számítógép intelligens kártyájával szereznek be származtatott hitelesítő adatokat a származtatott hitelesítőadat-kibocsátó hitelesítéséhez. A kibocsátó ezután kibocsát a mobileszköznek egy tanúsítványt, amely az intelligens kártyájukból származik. Windows rendszeren a felhasználók egy olyan alkalmazást telepítenek a származtatott hitelesítőadat-szolgáltatótól, amely telepíti a tanúsítványt az eszközre későbbi használatra. egy

  • Miután egy eszköz megkapta a származtatott hitelesítő adatokat, a rendszer a hitelesítő adatokat használja a hitelesítéshez, valamint az S/MIME-aláíráshoz és -titkosításhoz, ha az alkalmazások vagy erőforrás-hozzáférési profilok úgy vannak konfigurálva, hogy megkövetelhessék a származtatott hitelesítő adatokat.

Előfeltételek

Mielőtt konfigurálja a bérlőt a származtatott hitelesítő adatok használatára, tekintse át az alábbi információkat.

Támogatott platformok

Intune a következő platformokon támogatja a származtatott hitelesítő adatokat:

  • iOS/iPadOS
  • Android Enterprise:
    • Teljes mértékben felügyelt eszközök (7.0-s vagy újabb verzió)
    • Corporate-Owned munkahelyi profil
  • Windows 10 rendszer esetén
  • Windows 11

Támogatott kiállítók

Intune bérlőnként egyetlen származtatott hitelesítőadat-kibocsátót támogat. A következő kiállítók támogatottak:

A különböző kiállítók használatával kapcsolatos fontos részletekért tekintse át az adott kibocsátóra vonatkozó útmutatót. További információ: A származtatott hitelesítő adatok tervezése ebben a cikkben.

Fontos

Ha töröl egy származtatott hitelesítőadat-kibocsátót a bérlőből, a kiállítón keresztül beállított származtatott hitelesítő adatok többé nem fognak működni.

Lásd a cikk későbbi, Származtatott hitelesítőadat-kibocsátójának módosítása című szakaszát.

Szükséges alkalmazások

Tervezze meg a megfelelő felhasználói alkalmazás üzembe helyezését olyan eszközökön, amelyek származtatott hitelesítő adatokra regisztrálnak. Az eszközfelhasználók az alkalmazást használják a hitelesítő adatok regisztrálási folyamatának elindításához.

Származtatott hitelesítő adatok tervezése

Az androidos és iOS/iPadOS rendszerhez készült származtatott hitelesítőadat-kibocsátó beállítása előtt ismerje meg az alábbi szempontokat.

Windows-eszközök esetén lásd a cikk későbbi, Származtatott hitelesítő adatok a Windowshoz című szakaszát.

1 – Tekintse át a választott származtatott hitelesítőadat-kibocsátó dokumentációját

A kiállító konfigurálása előtt tekintse át a kibocsátó dokumentációját, hogy megismerje, hogyan kézbesíti a rendszer a származtatott hitelesítő adatokat az eszközöknek.

A kiválasztott kibocsátótól függően előfordulhat, hogy a regisztráció során rendelkezésre kell állnia az alkalmazottaknak, hogy segítsenek a felhasználóknak a folyamat befejezésében. Tekintse át a jelenlegi Intune konfigurációkat is, hogy ne tiltsa le az eszközök vagy felhasználók hitelesítőadat-kérésének teljesítéséhez szükséges hozzáférést.

Feltételes hozzáféréssel például letilthatja a nem megfelelő eszközök e-mail-hozzáférését. Ha e-mail-értesítésekre támaszkodik, hogy tájékoztassa a felhasználót a származtatott hitelesítőadat-regisztrációs folyamat elindításáról, előfordulhat, hogy a felhasználók addig nem kapják meg ezeket az utasításokat, amíg nem felelnek meg a szabályzatnak.

Hasonlóképpen, néhány származtatott hitelesítőadat-kérési munkafolyamat megköveteli az eszköz kamerájának használatát a képernyőn megjelenő QR-kód beolvasásához. Ez a kód a felhasználó intelligens kártyájának hitelesítő adataival összekapcsolja az eszközt a származtatott hitelesítőadat-kibocsátóra irányuló hitelesítési kérelemmel. Ha az eszközkonfigurációs szabályzatok blokkolják a kamera használatát, a felhasználó nem tudja teljesíteni a származtatott hitelesítőadat-regisztrációs kérést.

Általános információk:

  • Bérlőnként egyszerre csak egyetlen kiállítót konfigurálhat, és ez a kibocsátó a bérlő összes felhasználója és támogatott eszköze számára elérhető.

  • A felhasználók nem kapnak értesítést arról, hogy regisztrálniuk kell a származtatott hitelesítő adatokra, amíg nem céloz meg olyan szabályzattal, amely származtatott hitelesítő adatokat igényel.

  • Az értesítés az Céges portál alkalmazásértesítésén keresztül, e-mailben vagy mindkettőn keresztül lehet. Ha e-mail-értesítéseket használ, és engedélyezett feltételes hozzáférést használ, előfordulhat, hogy a felhasználók nem kapják meg az e-mailes értesítést, ha az eszközük nem megfelelő.

    Fontos

    Annak érdekében, hogy a végfelhasználók sikeresen megkapják az eszköz hitelesítő adataival kapcsolatos értesítéseket, engedélyeznie kell az alkalmazásértesítéseket a Céges portál, az e-mail-értesítésekhez vagy mindkettőhöz.

2 – A kiválasztott kiállító végfelhasználói munkafolyamatának áttekintése

Az alábbiakban az egyes támogatott partnerekkel kapcsolatos legfontosabb szempontokat vesszük figyelembe. Ismerkedjen meg ezekkel az információkkal, hogy a Intune szabályzatai és konfigurációi ne akadályozzák meg a felhasználókat és eszközöket abban, hogy sikeresen regisztrálják az adott kibocsátóból származó hitelesítő adatokat.

DISA fajtiszta

Tekintse át a származtatott hitelesítő adatokkal használni kívánt eszközök platformspecifikus felhasználói munkafolyamatát.

A legfontosabb követelmények a következők:

  • A felhasználóknak hozzáférésre van szükségük egy számítógéphez vagy KIOSK-hoz, ahol az intelligens kártyájukkal hitelesíthetik magukat a kibocsátóval.

  • A származtatott hitelesítő adatokra regisztráló iOS- és iPadOS-eszközöknek telepíteniük kell a Intune Céges portál alkalmazást. Az Android teljes mértékben felügyelt és Corporate-Owned munkahelyi profilos eszközeinek telepíteniük és használniuk kell az Intune alkalmazást.

  • A Intune használatával telepítse a DISA Purebred alkalmazást azokra az eszközökre, amelyek egy származtatott hitelesítő adatra fognak regisztrálni. Ezt az alkalmazást Intune kell üzembe helyezni, hogy felügyelhesse, majd együttműködjön a Intune Céges portál alkalmazással vagy Intune alkalmazással, amelyet az eszköz felhasználói használnak a származtatott hitelesítőadat-kérés végrehajtásához.

  • Ha származtatott hitelesítő adatokat szeretne lekérni a Purebred alkalmazásból, az eszköznek hozzáféréssel kell rendelkeznie a helyszíni hálózathoz. A hozzáférés vállalati Wi-Fi vagy VPN-en keresztül lehetséges.

  • Az eszközfelhasználóknak élő ügynökkel kell dolgozniuk a regisztrációs folyamat során. A regisztráció során a rendszer időkorlátos, egyszeri pin-kódot ad a felhasználónak a regisztrációs folyamat során.

  • Ha olyan házirendet módosítanak, amely származtatott hitelesítő adatokat használ, például új Wi-Fi-profilt hoz létre, az iOS- és iPadOS-felhasználók értesítést kapnak a Céges portál alkalmazás megnyitásáról.

  • A felhasználók értesítést kapnak a megfelelő alkalmazás megnyitásáról, amikor meg kell újítaniuk a származtatott hitelesítő adataikat.

    A megújítási folyamat a következőképpen történik:

    • A származtatott hitelesítőadat-kibocsátónak új vagy frissített tanúsítványokat kell kibocsátania, mielőtt a korábbi tanúsítványok az érvényességi időszak 80%-át érik el.
    • Az eszköz a megújítási időszak alatt (az érvényességi időszak utolsó 20%-ában) jelentkezik be.
    • Microsoft Intune e-mailben vagy alkalmazásértesítésen keresztül értesíti a felhasználót a Céges portál elindításáról.
    • A felhasználó elindítja a Céges portál, és a származtatott hitelesítőadat-értesítésre koppint, majd a származtatott hitelesítőadat-tanúsítványokat átmásolja az eszközre.

A DISA Purebred alkalmazás beszerzéséről és konfigurálásáról a cikk későbbi, A DISA purebred alkalmazás üzembe helyezése című szakaszában olvashat.

Rábíz

Tekintse át a származtatott hitelesítő adatokkal használni kívánt eszközök platformspecifikus felhasználói munkafolyamatát.

A legfontosabb követelmények a következők:

  • A felhasználóknak hozzáférésre van szükségük egy számítógéphez vagy KIOSK-hoz, ahol az intelligens kártyájukkal hitelesíthetik magukat a kibocsátóval.

  • A származtatott hitelesítő adatokra regisztráló iOS- és iPadOS-eszközöknek telepíteniük kell a Intune Céges portál alkalmazást. Az Android teljes mértékben felügyelt és Corporate-Owned munkahelyi profilos eszközeinek telepíteniük és használniuk kell az Intune alkalmazást.

  • Eszközkamera használata olyan QR-kód beolvasására, amely a hitelesítési kérést a mobileszközről származó származtatott hitelesítőadat-kéréshez kapcsolja.

  • A felhasználókat a Céges portál alkalmazás vagy e-mailben kéri a származtatott hitelesítő adatok regisztrálására.

  • Származtatott hitelesítő adatokat használó házirend módosításakor, például új Wi-Fi-profil létrehozásakor:

    • iOS és iPadOS – A felhasználók értesítést kapnak a Céges portál alkalmazás megnyitásáról.
    • Android Enterprisevállalati tulajdonú munkahelyi profil vagy teljes mértékben felügyelt eszközök – A Céges portál alkalmazásnak nem kell megnyitnia.

  • A felhasználók értesítést kapnak a megfelelő alkalmazás megnyitásáról, amikor meg kell újítaniuk a származtatott hitelesítő adataikat.

    A megújítási folyamat a következőképpen történik:

    • A származtatott hitelesítőadat-kibocsátónak új vagy frissített tanúsítványokat kell kibocsátania, mielőtt a korábbi tanúsítványok az érvényességi időszak 80%-át érik el.
    • Az eszköz a megújítási időszak alatt (az érvényességi időszak utolsó 20%-ában) jelentkezik be.
    • Microsoft Intune e-mailben vagy alkalmazásértesítésen keresztül értesíti a felhasználót a Céges portál elindításáról.
    • A felhasználó elindítja a Céges portál, és a származtatott hitelesítőadat-értesítésre koppint, majd a származtatott hitelesítőadat-tanúsítványokat átmásolja az eszközre

Közbenjár

Tekintse át a származtatott hitelesítő adatokkal használni kívánt eszközök platformspecifikus felhasználói munkafolyamatát.

A legfontosabb követelmények a következők:

  • A felhasználóknak hozzáférésre van szükségük egy számítógéphez vagy KIOSK-hoz, ahol az intelligens kártyájukkal hitelesíthetik magukat a kibocsátóval.

  • A származtatott hitelesítő adatokra regisztráló iOS- és iPadOS-eszközöknek telepíteniük kell a Intune Céges portál alkalmazást. Az Android teljes mértékben felügyelt és Corporate-Owned munkahelyi profilos eszközeinek telepíteniük és használniuk kell az Intune alkalmazást.

  • Eszközkamera használata olyan QR-kód beolvasására, amely a hitelesítési kérést a mobileszközről származó származtatott hitelesítőadat-kéréshez kapcsolja.

  • A felhasználókat a Céges portál alkalmazás vagy e-mailben kéri a származtatott hitelesítő adatok regisztrálására.

  • Származtatott hitelesítő adatokat használó házirend módosításakor, például új Wi-Fi-profil létrehozásakor:

    • iOS és iPadOS – A felhasználók értesítést kapnak a Céges portál alkalmazás megnyitásáról.
    • Android Enterprisevállalati tulajdonú munkahelyi profil vagy teljes mértékben felügyelt eszközök – A Céges portál alkalmazásnak nem kell megnyitnia.

  • A felhasználók értesítést kapnak a megfelelő alkalmazás megnyitásáról, amikor meg kell újítaniuk a származtatott hitelesítő adataikat.

    A megújítási folyamat a következőképpen történik:

    • A származtatott hitelesítőadat-kibocsátónak új vagy frissített tanúsítványokat kell kibocsátania, mielőtt a korábbi tanúsítványok az érvényességi időszak 80%-át érik el.
    • Az eszköz a megújítási időszak alatt (az érvényességi időszak utolsó 20%-ában) jelentkezik be.
    • Microsoft Intune e-mailben vagy alkalmazásértesítésen keresztül értesíti a felhasználót a Céges portál elindításáról.
    • A felhasználó elindítja a Céges portál, és a származtatott hitelesítőadat-értesítésre koppint, majd a származtatott hitelesítőadat-tanúsítványokat átmásolja az eszközre

3 – Megbízható főtanúsítvány üzembe helyezése az eszközökön

A rendszer megbízható főtanúsítványt használ származtatott hitelesítő adatokkal annak ellenőrzéséhez, hogy a származtatott hitelesítőadat-tanúsítványlánc érvényes és megbízható-e. Akkor is megbízható főtanúsítványra van szükség, ha a szabályzat közvetlenül nem hivatkozik rá. Lásd: Tanúsítványprofil konfigurálása az eszközökhöz a Microsoft Intune.

4 – Adjon meg végfelhasználói utasításokat a származtatott hitelesítő adatok beszerzéséhez

Hozzon létre és adjon útmutatást a felhasználóknak a származtatott hitelesítőadat-regisztrációs folyamat elindításához és a kiválasztott kiállító származtatott hitelesítőadat-regisztrációs munkafolyamatának navigálásához.

Javasoljuk, hogy adjon meg egy URL-címet, amely az útmutatást tárolja. Ezt az URL-címet akkor adja meg, amikor konfigurálja a bérlőhöz tartozó származtatott hitelesítőadat-kibocsátót, és az URL-cím elérhetővé válik az Céges portál alkalmazásban. Ha nem adja meg a saját URL-címét, Intune az általános részletekre mutató hivatkozást biztosít. Ezek a részletek nem fedhetik le az összes forgatókönyvet, és előfordulhat, hogy nem megfelelőek a környezetéhez.

5 – Származtatott hitelesítő adatokat igénylő Intune-szabályzatok üzembe helyezése

Hozzon létre új szabályzatokat, vagy szerkessze a meglévő szabályzatokat a származtatott hitelesítő adatok használatához. A származtatott hitelesítő adatok a következő objektumok egyéb hitelesítési módszereit váltják fel:

  • Alkalmazáshitelesítés
  • Wi-Fi
  • VPN
  • Email (csak iOS esetén)
  • S/MIME aláírása és titkosítása, beleértve az Outlookot (csak iOS esetén)

Ne igényeljen származtatott hitelesítő adatokat egy folyamat eléréséhez, amelyet a folyamat részeként fog használni a származtatott hitelesítő adatok lekéréséhez, mivel ez megakadályozhatja, hogy a felhasználók befejezzék a kérést.

Származtatott hitelesítőadat-kibocsátó beállítása

A származtatott hitelesítő adatok használatát igénylő szabályzatok létrehozása előtt állítson be egy hitelesítőadat-kibocsátót a Microsoft Intune Felügyeleti központban. A származtatott hitelesítőadat-kibocsátó bérlőszintű beállítás. A bérlők egyszerre csak egyetlen kiállítót támogatnak.

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Válassza a Bérlői felügyeleti>összekötők és jogkivonatok>Származtatott hitelesítő adatok lehetőséget.

    Konfigurálja a származtatott hitelesítő adatokat a Microsoft Intune Felügyeleti központban.

  3. Adjon meg egy rövid megjelenítendő nevet a származtatott hitelesítőadat-kibocsátó házirendjének. Ez a név nem jelenik meg az eszköz felhasználói számára.

  4. Származtatott hitelesítőadat-kibocsátó esetén válassza ki a bérlőhöz kiválasztott származtatott hitelesítőadat-kibocsátót:

    • DISA purebred (csak iOS esetén)
    • Rábíz
    • Közbenjár

  5. Adjon meg egy származtatott hitelesítőadat-súgó URL-címét , amely egy olyan helyre mutató hivatkozást biztosít, amely egyéni utasításokat tartalmaz, amelyekkel a felhasználók lekérhetik a szervezet származtatott hitelesítő adatait. Az utasításoknak a szervezetre és a választott kiállítótól származó hitelesítő adatok beszerzéséhez szükséges munkafolyamatra kell vonatkoznia. A hivatkozás megjelenik a Céges portál alkalmazásban, és elérhetőnek kell lennie az eszközről.

    Ha nem adja meg a saját URL-címét, Intune olyan általános részletekre mutató hivatkozást biztosít, amelyek nem fedhetik le az összes forgatókönyvet. Előfordulhat, hogy ez az általános útmutató nem megfelelő a környezethez.

  6. Válasszon egy vagy több lehetőséget az Értesítés típusa beállításhoz. Az értesítési típusok azok a módszerek, amelyek a felhasználók tájékoztatására használhatók a következő forgatókönyvekről:

    • Új származtatott hitelesítő adatok beszerzéséhez regisztráljon egy eszközt egy kibocsátóval.
    • Új származtatott hitelesítő adat lekérése, ha az aktuális hitelesítő adatok lejárati ideje közel van.
    • Használjon származtatott hitelesítő adatokat egy támogatott objektummal.

  7. Ha készen áll, válassza a Mentés lehetőséget a származtatott hitelesítőadat-kibocsátó konfigurálásának befejezéséhez.

A konfiguráció mentése után a Származtatott hitelesítőadat-kibocsátó kivételével az összes mezőt módosíthatja. A kibocsátó módosításához lásd : A származtatott hitelesítőadat-kibocsátó módosítása.

A DISA Purebred alkalmazás üzembe helyezése

Ez a szakasz csak a DISA Purebred használatakor érvényes.

A DISA Purebred Intune származtatott hitelesítőadat-kibocsátójaként való használatához be kell szereznie a DISA Purebred alkalmazást, majd a Intune kell használnia az alkalmazás eszközökre való üzembe helyezéséhez. Ezután a felhasználók az iOS/iPadOS-eszközükön lévő Céges portál alkalmazással vagy az Android-eszközükön lévő Intune alkalmazással kérik le a DISA Purebred származtatott hitelesítő adatait.

A DISA Purebred alkalmazás Intune való üzembe helyezése mellett az eszköznek hozzáféréssel kell rendelkeznie a helyszíni hálózathoz. A hozzáférés biztosításához fontolja meg VPN vagy vállalati Wi-Fi használatát.

Hajtsa végre a következő feladatokat:

  1. Töltse le a DISA Purebred alkalmazást: https://cyber.mil/pki-pke/purebred/.

  2. Telepítse a DISA Purebred alkalmazást a Intune.

    Előfordulhat, hogy további beállításokra van szükség a Purebred alkalmazáshoz. Beszéljen a Purebred-ügynökkel, és ismerje meg, hogy mely értékeket kell belefoglalnia a szabályzatokba, vagy ha rendelkezik DoD által kibocsátott common access card (CAC) kártyával, a Purebred dokumentációját az interneten érheti el: https://cyber.mil/pki-pke/purebred/.

  3. Ha alkalmazásonkénti VPN-t használ a DISA purebred alkalmazáshoz, tekintse meg az alkalmazásonkénti VPN létrehozását.

Származtatott hitelesítő adatok használata hitelesítéshez és S/MIME-aláíráshoz és -titkosításhoz

A származtatott hitelesítő adatokat a következő profiltípusokhoz és célokhoz adhatja meg:

Származtatott hitelesítő adatok használata az alkalmazáshitelesítéshez

Használjon származtatott hitelesítő adatokat a webhelyek és alkalmazások tanúsítványalapú hitelesítéséhez. Származtatott hitelesítő adatok továbbítása az alkalmazáshitelesítéshez:

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.

  2. Válassza az Eszközök>Eszközök kezeléseEszközkonfiguráció>> Lehetőséget A Szabályzatok lapon válassza a + Létrehozás lehetőséget.

  3. Használja a következő beállításokat:

    iOS és iPadOS esetén:

    • Platform esetén. válassza az iOS/iPadOS lehetőséget, majd a Profil típusa területen válassza a Sablonok > Származtatott hitelesítő adatok lehetőséget. A folytatáshoz válassza a Létrehozás lehetőséget.
    • A Név mezőben adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. Egy jó profilnév például az iOS-eszközök profil származtatott hitelesítő adatai.
    • A Leírás mezőben adjon meg egy leírást, amely áttekintést ad a beállításról és minden más fontos részletről.

    Android Enterprise esetén:

    • Platform esetén. válassza az Android Enterprise lehetőséget, majd a Profil típusa beállításnál a Teljes felügyeletű, dedikált és Corporate-Owned Munkahelyi profil területen válassza a Származtatott hitelesítő adatok lehetőséget. A folytatáshoz válassza a Létrehozás lehetőséget.
    • A Név mezőben adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. Egy jó profilnév például az Android Enterprise-eszközök profil származtatott hitelesítő adatai.
    • A Leírás mezőben adjon meg egy leírást, amely áttekintést ad a beállításról és minden más fontos részletről.
    • Az Alkalmazások lapon konfigurálja a Tanúsítványhozzáférést az alkalmazásokhoz való tanúsítványhozzáférés megadásának kezeléséhez. Válasszon a következő lehetőségek közül:
      • Felhasználói jóváhagyás megkövetelése az alkalmazásokhoz(alapértelmezett) – A felhasználóknak minden alkalmazásnak jóvá kell hagyniuk a tanúsítvány használatát.
      • Engedélyezés csendesen adott alkalmazásokhoz (más alkalmazásokhoz felhasználói jóváhagyás szükséges) – Ezzel a beállítással válassza az Alkalmazások hozzáadása lehetőséget, majd válasszon ki egy vagy több olyan alkalmazást, amely felhasználói beavatkozás nélkül, csendesen fogja használni a tanúsítványt.

  4. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyeknek meg kell kapniuk a szabályzatot.

  5. Ha végzett, válassza a Létrehozás lehetőséget a Intune profil létrehozásához. Ha elkészült, a profilja megjelenik az Eszközök – Konfigurációs profilok listában.

A felhasználók a származtatott hitelesítőadat-kibocsátó beállításakor megadott beállításoktól függően kapják meg az alkalmazás- vagy e-mail-értesítést. Az értesítés tájékoztatja a felhasználót, hogy indítsa el a Céges portál, hogy a származtatott hitelesítőadat-szabályzatok feldolgozhatók legyenek.

Származtatott hitelesítő adatok a Windowshoz

A származtatott tanúsítványokat hitelesítési módszerként használhatja Wi-Fi és VPN-profilokhoz Windows-eszközökön. Az Android- és iOS-/iPadOS-eszközök által támogatott szolgáltatók támogatottak a Windowshoz:

  • DISA fajtiszta
  • Rábíz
  • Közbenjár

Megjegyzés:

A VPN-profilok hitelesítési módszereként származtatott hitelesítő adatok jelenleg nem a várt módon működnek Windows-eszközökön. Ez a viselkedés csak a Windows-eszközökön futó VPN-profilokat érinti, és egy későbbi kiadásban (ETA nélkül) ki lesz javítva.

Windows esetén a felhasználók nem dolgoznak intelligenskártya-regisztrációs folyamaton, hogy tanúsítványt szerezzenek be származtatott hitelesítő adatként való használatra. Ehelyett a felhasználónak telepítenie kell a Windowshoz készült alkalmazást, amely a származtatott hitelesítőadat-szolgáltatótól származik. Ha származtatott hitelesítő adatokat szeretne használni a Windowsban, végezze el a következő konfigurációkat:

  1. Telepítse az alkalmazást a származtatott hitelesítőadat-szolgáltatóktól a Windows-eszközön.

    Amikor egy származtatott hitelesítőadat-szolgáltatótól telepíti a Windows-alkalmazást egy Windows-eszközön, a származtatott tanúsítvány hozzá lesz adva az eszköz Windows-tanúsítványtárolójába. Miután hozzáadta a tanúsítványt az eszközhöz, elérhetővé válik egy származtatott hitelesítőadat-hitelesítési módszer használatához.

    Miután beszerezte az alkalmazást a kiválasztott szolgáltatótól, az alkalmazást üzembe helyezheti a Felhasználók szolgáltatásban, vagy közvetlenül az eszköz felhasználója is telepítheti.

  2. Konfigurálja Wi-Fi és VPN-profilokat, hogy származtatott hitelesítő adatokat használjanak hitelesítési módszerként.

    Amikor windowsos profilt konfigurál Wi-Fi vagy VPN-hez, válassza a Származtatott hitelesítő adatok lehetőséget a hitelesítési módszerhez. Ezzel a konfigurációval a profil az eszközön a szolgáltató alkalmazásának telepítésekor telepített tanúsítványt használja.

Származtatott hitelesítő adatok megújítása

Az Android- vagy iOS-/iPadOS-eszközök származtatott hitelesítő adatai nem bővíthetők és nem újíthatók meg. Ehelyett a felhasználóknak a hitelesítőadat-kérelmek munkafolyamatával kell új származtatott hitelesítő adatokat kérniük az eszközükhöz. Windows-eszközök esetén tekintse meg a származtatott hitelesítőadat-szolgáltatótól származó alkalmazás dokumentációját.

Ha egy vagy több metódust konfigurál az Értesítés típusa beállításhoz, Intune automatikusan értesíti a felhasználókat, ha az aktuális származtatott hitelesítő adat eléri az élettartamának 80%-át. Az értesítés arra utasítja a felhasználókat, hogy haladjanak végig a hitelesítőadat-kérelmek folyamatán egy új származtatott hitelesítő adat lekéréséhez.

Miután egy eszköz új származtatott hitelesítő adatot kap, a származtatott hitelesítő adatokat használó szabályzatok újból üzembe helyeződnek az adott eszközön.

A származtatott hitelesítőadat-kibocsátó módosítása

A bérlői szinten módosíthatja a hitelesítőadat-kibocsátót, bár a bérlő egyszerre csak egy kiállítót támogat.

A kibocsátó módosítása után a rendszer kérni fogja a felhasználókat, hogy szerezzenek be új származtatott hitelesítő adatokat az új kibocsátótól. Ezt meg kell tenniük, mielőtt származtatott hitelesítő adatokat használhatnának a hitelesítéshez.

A bérlő kiállítójának módosítása

Fontos

Ha töröl egy kiállítót, és azonnal újrakonfigurálja ugyanazt a kiállítót, akkor is frissítenie kell a profilokat és az eszközöket, hogy az adott kiállítótól származó származtatott hitelesítő adatokat használjon. A kiállító törlése előtt beszerzett származtatott hitelesítő adatok már nem érvényesek.

  1. Jelentkezzen be a Microsoft Intune felügyeleti központba.
  2. Válassza a Bérlői felügyeleti>összekötők és jogkivonatok>Származtatott hitelesítő adatok lehetőséget.
  3. Válassza a Törlés lehetőséget az aktuálisan származtatott hitelesítőadat-kibocsátó eltávolításához.
  4. Konfiguráljon egy új kiállítót.

Származtatott hitelesítő adatokat használó profilok frissítése

Miután törölt egy kiállítót, majd hozzáadott egy újat, szerkessze az összes származtatott hitelesítő adatot használó profilt. Ez a szabály akkor is érvényes, ha visszaállítja az előző kiállítót. A profil bármely szerkesztése frissítést indít el, beleértve a profil leírásának egyszerű szerkesztését is.

Származtatott hitelesítő adatok frissítése az eszközökön

Miután törölt egy kiállítót, majd hozzáadott egy újat, az eszköz felhasználóinak új származtatott hitelesítő adatot kell igényelniük. Ez a szabály akkor is érvényes, ha ugyanazt a kiállítót adja hozzá, amelyet eltávolított. Az új származtatott hitelesítő adatok kérésének folyamata ugyanaz, mint egy új eszköz regisztrálása vagy egy meglévő hitelesítő adat megújítása esetén.

Következő lépések

Eszközkonfigurációs profilok létrehozása