A Configuration Manager tanúsítványprofiljainak bemutatása
A következőre vonatkozik: Configuration Manager (aktuális ág)
Fontos
A 2203-es verziótól kezdődően ez a vállalati erőforrás-hozzáférési funkció már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.
A tanúsítványprofilok az Active Directory tanúsítványszolgáltatásokkal és a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) szerepkörrel működnek. Hozzon létre és telepítsen hitelesítési tanúsítványokat a felügyelt eszközökhöz, hogy a felhasználók könnyen elérhessék a szervezeti erőforrásokat. Létrehozhat és üzembe helyezhet például tanúsítványprofilokat, hogy biztosítsa a felhasználók számára a VPN-hez és a vezeték nélküli kapcsolatokhoz való csatlakozáshoz szükséges tanúsítványokat.
A tanúsítványprofilok automatikusan konfigurálhatják a felhasználói eszközöket a szervezeti erőforrásokhoz, például Wi-Fi hálózatokhoz és VPN-kiszolgálókhoz való hozzáféréshez. A felhasználók anélkül érhetik el ezeket az erőforrásokat, hogy manuálisan telepítenék a tanúsítványokat, vagy sávon kívüli folyamatot használnak. A tanúsítványprofilok segítenek az erőforrások védelmében, mivel a nyilvános kulcsú infrastruktúra (PKI) által támogatott biztonságosabb beállításokat használhat. Megkövetelheti például a kiszolgálóhitelesítést az összes Wi-Fi és VPN-kapcsolathoz, mert a szükséges tanúsítványokat telepítette a felügyelt eszközökön.
A tanúsítványprofilok a következő felügyeleti képességeket biztosítják:
Hitelesítésszolgáltatótól (CA) származó tanúsítványregisztráció és -megújítás különböző operációsrendszer-típusokat és -verziókat futtató eszközök esetén. Ezek a tanúsítványok ezután Wi-Fi és VPN-kapcsolatokhoz használhatók.
Megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványok és köztes hitelesítésszolgáltatói tanúsítványok üzembe helyezése. Ezek a tanúsítványok megbízhatósági láncot konfigurálnak az eszközökön a VPN-hez és Wi-Fi kapcsolatokhoz, ha kiszolgálóhitelesítésre van szükség.
A telepített tanúsítványok monitorozása és jelentése.
1. példa: Minden alkalmazottnak több irodában kell csatlakoznia Wi-Fi elérési pontokhoz. Az egyszerű felhasználói kapcsolat engedélyezéséhez először telepítse a Wi-Fi-hez való csatlakozáshoz szükséges tanúsítványokat. Ezután helyezzen üzembe Wi-Fi tanúsítványra hivatkozó profilokat.
2. példa: PKI van érvényben. Rugalmasabb, biztonságosabb módszert szeretne használni a tanúsítványok üzembe helyezéséhez. A felhasználóknak a személyes eszközeikről kell hozzáférniük a szervezeti erőforrásokhoz a biztonság veszélyeztetése nélkül. Konfigurálja a tanúsítványprofilokat az adott eszközplatformon támogatott beállításokkal és protokollokkal. Az eszközök ezután automatikusan lekérhetik ezeket a tanúsítványokat egy internetes regisztrációs kiszolgálóról. Ezután konfigurálja a VPN-profilokat úgy, hogy ezeket a tanúsítványokat használják, hogy az eszköz hozzáférhessen a szervezeti erőforrásokhoz.
Típusok
Háromféle tanúsítványprofil létezik:
Megbízható hitelesítésszolgáltatói tanúsítvány: Helyezzen üzembe egy megbízható legfelső szintű hitelesítésszolgáltatót vagy köztes hitelesítésszolgáltatói tanúsítványt. Ezek a tanúsítványok megbízhatósági láncot képeznek, amikor az eszköznek hitelesítenie kell egy kiszolgálót.
Egyszerű tanúsítványigénylési protokoll (SCEP):Tanúsítvány kérése egy eszközhöz vagy felhasználóhoz az SCEP protokoll használatával. Ehhez a típushoz a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) szerepkörre van szükség egy Windows Server 2012 R2 vagy újabb rendszerű kiszolgálón.
Az SCEP-tanúsítványprofil létrehozásához először hozzon létre egy megbízható hitelesítésszolgáltatói tanúsítványprofilt.
Személyes információcsere (.pfx): .pfx (más néven PKCS #12) tanúsítvány kérése egy eszközhöz vagy felhasználóhoz. A PFX-tanúsítványprofilok létrehozásának két módja van:
- Hitelesítő adatok importálása meglévő tanúsítványokból
- Hitelesítésszolgáltató definiálása a kérések feldolgozásához
Megjegyzés:
Configuration Manager alapértelmezés szerint nem engedélyezi ezt a választható funkciót. Használat előtt engedélyeznie kell ezt a funkciót. További információ: Választható funkciók engedélyezése frissítésekből.
A személyes információcsere (.pfx) tanúsítványaihoz használhatja a Microsoft vagy a Megbízhatóságot hitelesítésszolgáltatóként.
Követelmények
Az SCEP-t használó tanúsítványprofilok telepítéséhez telepítse a tanúsítványregisztrációs pontot egy helyrendszer-kiszolgálóra. Emellett telepítsen egy házirendmodult az NDES-hez, a Configuration Manager Házirendmodulhoz egy olyan kiszolgálón, amely Windows Server 2012 R2-t vagy újabb verziót futtat. Ehhez a kiszolgálóhoz Active Directory tanúsítványszolgáltatások szerepkör szükséges. Egy működő NDES-t is igényel, amely elérhető a tanúsítványokat igénylő eszközök számára. Ha az eszközöknek regisztrálniuk kell az internetről származó tanúsítványokra, akkor az NDES-kiszolgálónak elérhetőnek kell lennie az internetről. Ha például biztonságosan szeretné engedélyezni az NDES-kiszolgálóra irányuló forgalmat az internetről, használhatja Azure-alkalmazás Proxyt.
A PFX-tanúsítványok tanúsítványregisztrációs pontot is igényelnek. Adja meg a tanúsítvány hitelesítésszolgáltatóját (CA) és a megfelelő hozzáférési hitelesítő adatokat is. Megadhatja a Microsoft vagy a Megbízható hitelesítésszolgáltatót.
További információ arról, hogy az NDES hogyan támogatja a szabályzatmodulokat, hogy Configuration Manager telepíthesse a tanúsítványokat: Szabályzatmodul használata a hálózati eszközök tanúsítványigénylési szolgáltatásával.
A követelményektől függően a Configuration Manager támogatja a tanúsítványok különböző tanúsítványtárolókban való üzembe helyezését különböző eszköztípusokon és operációs rendszereken. A következő eszközök és operációs rendszerek támogatottak:
Windows 10 rendszer esetén
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Megjegyzés:
A Windows Phone-telefon 8.1-Windows 10 Mobile Configuration Manager helyszíni MDM-et használhatja. További információ: Helyszíni MDM.
A Configuration Manager tipikus forgatókönyve a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványok telepítése Wi-Fi és VPN-kiszolgálók hitelesítéséhez. A tipikus kapcsolatok a következő protokollokat használják:
- Hitelesítési protokollok: EAP-TLS, EAP-TTLS és PEAP
- VPN-bújtatási protokollok: IKEv2, L2TP/IPsec és Cisco IPsec
A vállalati fő hitelesítésszolgáltatói tanúsítványt telepíteni kell az eszközön, mielőtt az eszköz SCEP-tanúsítványprofil használatával tanúsítványokat kérhet.
Az SCEP-tanúsítványprofilok beállításaival testre szabott tanúsítványokat kérhet a különböző környezetekhez vagy kapcsolati követelményekhez. A Tanúsítványprofil létrehozása varázsló két oldalt tartalmaz a regisztrációs paraméterekhez. Az első SCEP-regisztráció a regisztrációs kérelem beállításait és a tanúsítvány telepítési helyét tartalmazza. A második, Tanúsítvány tulajdonságai című rész magát a kért tanúsítványt írja le.
Üzembe helyezés
SCEP-tanúsítványprofil telepítésekor a Configuration Manager-ügyfél feldolgozza a szabályzatot. Ezután SCEP-kérési jelszót kér a felügyeleti ponttól. Az eszköz létrehoz egy nyilvános/titkos kulcspárt, és létrehoz egy tanúsítvány-aláírási kérést (CSR). Ezt a kérést elküldi az NDES-kiszolgálónak. Az NDES-kiszolgáló az NDES-házirendmodulon keresztül továbbítja a kérést a tanúsítványregisztrációs pont helyrendszerének. A tanúsítványregisztrációs pont ellenőrzi a kérést, ellenőrzi az SCEP-feladvány jelszavát, és ellenőrzi, hogy a kérést nem módosították-e. Ezután jóváhagyja vagy tagadja a kérést. Jóváhagyás esetén az NDES-kiszolgáló elküldi az aláírási kérelmet a csatlakoztatott hitelesítésszolgáltatónak aláírásra. A hitelesítésszolgáltató aláírja a kérést, majd visszaadja a tanúsítványt a kérelmező eszköznek.
Tanúsítványprofilok üzembe helyezése felhasználói vagy eszközgyűjteményekben. Minden tanúsítványhoz megadhatja a céltárolót. Az alkalmazhatósági szabályok határozzák meg, hogy az eszköz telepítheti-e a tanúsítványt.
Amikor tanúsítványprofilt helyez üzembe egy felhasználói gyűjteményben, a felhasználói eszköz affinitása határozza meg, hogy a felhasználók eszközei közül melyik telepítse a tanúsítványokat. Amikor felhasználói tanúsítvánnyal rendelkező tanúsítványprofilt helyez üzembe egy eszközgyűjteményben, alapértelmezés szerint a felhasználók elsődleges eszközei telepítik a tanúsítványokat. Ha a tanúsítványt bármely felhasználói eszközre szeretné telepíteni, módosítsa ezt a viselkedést a Tanúsítványprofil létrehozása varázslóSCEP-regisztráció lapján. Ha az eszközök munkacsoportba tartoznak, Configuration Manager nem helyeznek üzembe felhasználói tanúsítványokat.
Figyelés
A tanúsítványprofilok üzemelő példányait a megfelelőségi eredmények vagy jelentések megtekintésével figyelheti. További információ: Tanúsítványprofilok monitorozása.
Automatikus visszavonás
Configuration Manager automatikusan visszavonja a tanúsítványprofilok használatával üzembe helyezett felhasználói és számítógép-tanúsítványokat a következő esetekben:
Az eszköz ki van vonva Configuration Manager felügyelet alól.
Az eszköz le van tiltva a Configuration Manager-hierarchiából.
A tanúsítványok visszavonásához a helykiszolgáló visszavonási parancsot küld a kiállító hitelesítésszolgáltatónak. A visszavonás oka a működés megszüntetése.
Megjegyzés:
A tanúsítványok megfelelő visszavonásához a hierarchia legfelső szintű helyének számítógépfiókjának engedéllyel kell rendelkeznie a hitelesítésszolgáltatón lévő tanúsítványok kiállításához és kezeléséhez .
A nagyobb biztonság érdekében korlátozhatja a ca-kezelőket a hitelesítésszolgáltatón. Ezután csak a webhely SCEP-profiljaihoz használt tanúsítványsablonhoz adjon engedélyeket ehhez a fiókhoz.