Megosztás a következőn keresztül:

Infrastruktúra konfigurálása az SCEP intune-nal való támogatásához

  • Cikk

Fontos

A 2022. május 10-től KB5014754-ben bevezetett és bejelentett SCEP-tanúsítványok erős leképezésére vonatkozó Windows-követelmények támogatása érdekében módosítottuk az Intune SCEP-tanúsítványok kiállítását az új és megújított SCEP-tanúsítványok esetében. Ezekkel a módosításokkal az iOS/iPadOS, macOS és Windows rendszerhez készült új vagy megújított Intune SCEP-tanúsítványok mostantól a következő címkét tartalmazzák a tanúsítvány Tulajdonos alternatív neve (SAN) mezőjében: URL=tag:microsoft.com,2022-09-14:sid:<value>

Ezt a címkét erős leképezések használják, hogy egy tanúsítványt egy adott eszközhöz vagy felhasználói SID-hez kössenek az Entra-azonosítóból. Ezzel a módosítással és követelménysel le kell képezni egy SID-t az Entra-azonosítóból:

  • Az eszköztanúsítványok akkor támogatottak a windowsos hibrid csatlakoztatott eszközök esetében, ha az eszköz egy helyszíni Active Directoryból szinkronizált, Entra-azonosítójú SID-rel rendelkezik.
  • A felhasználói tanúsítványok a felhasználó Entra-azonosítóból származó BIZTONSÁGI azonosítóját használják, amely a helyszíni Active Directoryból van szinkronizálva.

Előfordulhat, hogy a SAN-ban az URL-címkét nem támogató hitelesítésszolgáltatók (CA-k) nem bocsátanak ki tanúsítványokat. A KB5014754 frissítését telepítő Microsoft Active Directory tanúsítványszolgáltatás-kiszolgálók támogatják a címke használatát. Ha külső hitelesítésszolgáltatót használ, érdeklődjön a hitelesítésszolgáltatójánál, hogy támogatják-e ezt a formátumot, illetve hogy hogyan és mikor kerül sor a támogatás hozzáadására.

További információ: Támogatási tipp: Erős leképezés implementálása a Microsoft Intune-tanúsítványokban – Microsoft Community Hub.

Az Intune támogatja a Simple Certificate Enrollment Protocol (SCEP) használatát az alkalmazások és a vállalati erőforrások kapcsolatainak hitelesítéséhez. Az SCEP a hitelesítésszolgáltató (CA) tanúsítványával védi a tanúsítvány-aláírási kérelem (CSR) üzenetcseréjét. Ha az infrastruktúra támogatja az SCEP-t, az Intune SCEP-tanúsítványprofilok (az Intune eszközprofiljának típusa) használatával telepítheti a tanúsítványokat az eszközeire.

A Microsoft Intune tanúsítvány-összekötőjének SCEP-tanúsítványprofilokat kell használnia az Intune-nal, ha az Active Directory tanúsítványszolgáltatás hitelesítésszolgáltatóját is használja, más néven Microsoft hitelesítésszolgáltatót. Az összekötő nem támogatott ugyanazon a kiszolgálón, mint a kiállító hitelesítésszolgáltató. Külső hitelesítésszolgáltatók használata esetén nincs szükség az összekötőre.

A cikkben található információk segítségével konfigurálhatja az infrastruktúrát az SCEP támogatására az Active Directory tanúsítványszolgáltatások használatakor. Az infrastruktúra konfigurálása után SCEP-tanúsítványprofilokat hozhat létre és helyezhet üzembe az Intune-nal.

Tipp

Az Intune a nyilvános kulcsú titkosítási szabványok #12 tanúsítványok használatát is támogatja.

Az SCEP tanúsítványokhoz való használatának előfeltételei

A folytatás előtt győződjön meg arról, hogy létrehozott és üzembe helyezett egy megbízható tanúsítványprofilt az SCEP-tanúsítványprofilokat használó eszközökön. Az SCEP-tanúsítványprofilok közvetlenül hivatkoznak arra a megbízható tanúsítványprofilra, amellyel megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvánnyal rendelkező eszközöket építhet ki.

Kiszolgálók és kiszolgálói szerepkörök

Az SCEP támogatásához a következő helyszíni infrastruktúrának az Active Directoryhoz tartományhoz csatlakoztatott kiszolgálókon kell futnia, a webalkalmazás-proxykiszolgáló kivételével.

  • Tanúsítvány-összekötő a Microsoft Intune-hoz – A Microsoft Intune tanúsítvány-összekötője szükséges az SCEP-tanúsítványprofilok intune-nal való használatához, amikor Microsoft hitelesítésszolgáltatót használ. Az NDES-kiszolgálói szerepkört is futtató kiszolgálón telepítheti. Az összekötő azonban nem támogatott ugyanazon a kiszolgálón, mint a kiállító hitelesítésszolgáltató.

    További információ a tanúsítvány-összekötőről:

  • Hitelesítésszolgáltató – Olyan Microsoft Active Directory Tanúsítványszolgáltatások vállalati hitelesítésszolgáltató (CA) használata, amely a Windows Server 2008 R2 Enterprise kiadásán fut az 1. szervizcsomaggal vagy újabb szervizcsomaggal. A Windows Server ön által használt verziójának a Microsoft által támogatottnak kell maradnia. Az önálló hitelesítésszolgáltató nem támogatott. További információ: A hitelesítésszolgáltató telepítése.

    Ha a hitelesítésszolgáltató Windows Server 2008 R2 SP1 rendszert futtat, telepítenie kell a gyorsjavítást KB2483564.

  • NDES-kiszolgálói szerepkör – A Microsoft Intune tanúsítvány-összekötőjének SCEP-lel való használatához konfigurálnia kell a tanúsítvány-összekötőt futtató Windows Servert a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) kiszolgálói szerepkörével. Az összekötő támogatja a Windows Server 2012 R2 vagy újabb rendszereken történő telepítést. A cikk egy későbbi szakaszában végigvezetjük az NDES telepítésén.

    • Az NDES-t és az összekötőt futtató kiszolgálónak tartományhoz kell csatlakoznia, és ugyanabban az erdőben kell lennie, mint a vállalati hitelesítésszolgáltatónak.
    • Az NDES-t futtató kiszolgáló nem lehet tartományvezérlő.
    • Ne használja a vállalati hitelesítésszolgáltatót futtató kiszolgálón telepített NDES-t. Ez a konfiguráció biztonsági kockázatot jelent, ha a hitelesítésszolgáltató internetes kéréseket küld, és az összekötő telepítése nem támogatott a kiállító hitelesítésszolgáltatóval (CA) azonos kiszolgálón.
    • Az Internet Explorer fokozott biztonsági konfigurációját le kell tiltani az NDES-t és a Microsoft Intune-összekötőt futtató kiszolgálón.

    Az NDES-sel kapcsolatos további információkért tekintse meg a Windows Server dokumentációjának Hálózati eszközök tanúsítványigénylési szolgáltatásával kapcsolatos útmutatóját és a Házirendmodul használata a hálózati eszközök tanúsítványigénylési szolgáltatásával című cikket. A magas rendelkezésre állás NDES-hez való konfigurálásával kapcsolatban lásd: Magas rendelkezésre állás.

NDES támogatása az interneten

Ahhoz, hogy az interneten lévő eszközök tanúsítványokat szerezzenek be, közzé kell tennie az NDES URL-címét a vállalati hálózaton kívül. Ehhez használhat fordított proxyt, például a Microsoft Entra-alkalmazásproxyt, a Microsoft webalkalmazás-proxykiszolgálóját vagy egy külső féltől származó fordított proxyszolgáltatást vagy eszközt.

  • Microsoft Entra alkalmazásproxy – Dedikált webalkalmazás-proxy (WAP) kiszolgáló helyett a Microsoft Entra alkalmazásproxyval teheti közzé az NDES URL-címét az interneten. Ez a megoldás az intranetes és az internetkapcsolattal rendelkező eszközök számára is lehetővé teszi a tanúsítványok lekérését. További információ: Integrálás a Microsoft Entra alkalmazásproxyval hálózati eszközök tanúsítványigénylési szolgáltatásának (NDES) kiszolgálóján.

  • Webalkalmazás-proxykiszolgáló – Webalkalmazás-proxykiszolgálóként (WAP) használjon egy Windows Server 2012 R2 vagy újabb rendszert futtató kiszolgálót az NDES URL-címének közzétételéhez az interneten. Ez a megoldás az intranetes és az internetkapcsolattal rendelkező eszközök számára is lehetővé teszi a tanúsítványok lekérését.

    A WAP-t futtató kiszolgálónak telepítenie kell egy frissítést , amely lehetővé teszi a hálózati eszközök tanúsítványigénylési szolgáltatása által használt hosszú URL-címek támogatását. Ezt a frissítést a 2014. decemberi kumulatív frissítés tartalmazza, vagy egyenként KB3011135.

    A WAP-kiszolgálónak rendelkeznie kell egy SSL-tanúsítvánnyal, amely megegyezik a külső ügyfelek számára közzétett névvel, és megbízhatónak kell lennie az NDES szolgáltatást futtató számítógépen használt SSL-tanúsítványban. Ezek a tanúsítványok lehetővé teszik, hogy a WAP-kiszolgáló megszakítsa az SSL-kapcsolatot az ügyfelekkel, és új SSL-kapcsolatot hozzon létre az NDES szolgáltatással.

    További információ: Tanúsítványok tervezése WAP-hoz és általános információk a WAP-kiszolgálókról.

  • Külső féltől származó fordított proxy – Ha külső féltől származó fordított proxyt használ, győződjön meg arról, hogy a proxy támogatja a hosszú URI lekérési kérést. A tanúsítványkérelmek folyamatának részeként az ügyfél kérést küld a lekérdezési sztringben található tanúsítványkérelemmel együtt. Ennek eredményeképpen az URI hossza nagy lehet, legfeljebb 40 kb méretű.

Az SCEP protokoll korlátozásai megakadályozzák az előhitelesítés használatát. Ha fordított proxykiszolgálón keresztül teszi közzé az NDES URL-címet, átengedés értékre kell állítania az előhitelesítést. Az Intune egy Intune-SCEP-szabályzatmodul NDES-kiszolgálóra való telepítésével védi az NDES URL-címét az Intune Tanúsítvány-összekötő telepítésekor. A modul segít az NDES URL-cím biztonságossá tételében azáltal, hogy megakadályozza, hogy a tanúsítványok érvénytelen vagy digitálisan módosított tanúsítványkérelmekhez legyenek kibocsátva. Ez csak az Intune-nal felügyelt és megfelelően formázott tanúsítványkérelmekkel rendelkező Intune-ban regisztrált eszközökhöz korlátozza a hozzáférést.

Amikor egy Intune SCEP-tanúsítványprofilt kézbesít egy eszközre, az Intune létrehoz egy egyéni kihívást tartalmazó blobot, amelyet titkosít és aláír. Az eszköz nem tudja olvasni a blobot. Csak a szabályzatmodul és az Intune szolgáltatás tudja olvasni és ellenőrizni a kihívási blobot. A blob olyan részleteket tartalmaz, amelyeket az Intune elvár az eszköztől a tanúsítvány-aláírási kérelemben (CSR). Például a várt tulajdonos és tulajdonos alternatív neve (SAN).

Az Intune szabályzatmodulja a következő módokon biztosítja az NDES védelmét:

  • Amikor közvetlenül próbál hozzáférni a közzétett NDES URL-címhez, a kiszolgáló a 403 – Tiltott: Hozzáférés megtagadva választ adja vissza.

  • Ha egy megfelelően formázott SCEP-tanúsítványkérelem érkezik, és a kérelem hasznos adatai tartalmazzák a feladványblobot és az eszköz CSR-jét is, a szabályzatmodul összehasonlítja az eszköz CSR-jének részleteit a feladványblobhoz:

    • Ha az érvényesítés sikertelen, a rendszer nem állít ki tanúsítványt.

    • Csak az Intune-ban regisztrált, a blob ellenőrzésén áteső eszköz tanúsítványkérelmeit állítja ki a rendszer.

Fiókok

Ha úgy szeretné konfigurálni az összekötőt, hogy támogassa az SCEP-t, használjon olyan fiókot, amely rendelkezik az NDES Windows Serveren való konfigurálásához és a hitelesítésszolgáltató kezeléséhez szükséges engedélyekkel. További részletekért lásd: Fiókok a Microsoft Intune tanúsítvány-összekötőjének előfeltételei című cikkben.

Hálózati követelmények

A tanúsítvány-összekötő hálózati követelményei mellett javasoljuk, hogy az NDES szolgáltatást fordított proxyn keresztül tegye közzé, például a Microsoft Entra alkalmazásproxyt, a webelérési proxyt vagy egy külső proxyt. Ha nem használ fordított proxyt, engedélyezze a TCP-forgalmat a 443-as porton az interneten található összes gazdagépről és IP-címről az NDES szolgáltatásba.

Engedélyezze az NDES szolgáltatás és a környezet bármely támogató infrastruktúrája közötti kommunikációhoz szükséges összes portot és protokollt. Az NDES szolgáltatást futtató számítógépnek például kommunikálnia kell a hitelesítésszolgáltatóval, a DNS-kiszolgálókkal, a tartományvezérlőkkel és esetleg a környezeten belüli egyéb szolgáltatásokkal vagy kiszolgálókkal, például a Configuration Managerrel.

Tanúsítványok és sablonok

Az SCEP használatakor a következő tanúsítványok és sablonok használhatók.

Tárgy Részletek
SCEP-tanúsítványsablon A kiállító hitelesítésszolgáltatón konfigurált sablon, amely az eszközök SCEP-kérelmeinek teljes szűrésére szolgál.
Kiszolgálóhitelesítési tanúsítvány A kiállító hitelesítésszolgáltatótól vagy a nyilvános hitelesítésszolgáltatótól kért webkiszolgáló-tanúsítvány.
Ezt az SSL-tanúsítványt az NDES-t futtató számítógépen telepíti és köti az IIS-ben.
Megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvány SCEP-tanúsítványprofil használatához az eszközöknek megbízhatónak kell lenniük a megbízható legfelső szintű hitelesítésszolgáltatóban (CA). Az Intune megbízható tanúsítványprofiljának használatával kiépíthet egy megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt a felhasználók és az eszközök számára.

- Használjon operációsrendszer-platformonként egyetlen megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt, és társítsa a tanúsítványt minden létrehozott megbízható tanúsítványprofilhoz.

- Szükség esetén további megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványokat is használhat. További tanúsítványokkal például megbízhatósági kapcsolatot biztosíthat egy hitelesítésszolgáltatónak, amely aláírja a kiszolgálóhitelesítési tanúsítványokat a Wi-Fi hozzáférési pontjaihoz. Hozzon létre további megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványokat a hitelesítésszolgáltatók kiállításához. Az Intune-ban létrehozott SCEP-tanúsítványprofilban mindenképpen adja meg a kiállító hitelesítésszolgáltató megbízható legfelső szintű hitelesítésszolgáltatói profilját.

A megbízható tanúsítványprofillal kapcsolatos információkért lásd : Megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvány exportálása és Megbízható tanúsítványprofilok létrehozása a Tanúsítványok használata hitelesítéshez az Intune-ban című témakörben.

Megjegyzés:

A következő tanúsítvány nem használható a Microsoft Intune tanúsítvány-összekötőjével. Ezek az információk azok számára vannak megadva, akik még nem cserélték le az SCEP régebbi (NDESConnectorSetup.exe által telepített) összekötőjét az új összekötő szoftverre.

Tárgy Részletek
Ügyfél-hitelesítési tanúsítvány A kérelem a kiállító hitelesítésszolgáltatótól vagy a nyilvános hitelesítésszolgáltatótól kérhető.
Ezt a tanúsítványt az NDES szolgáltatást futtató számítógépre kell telepítenie, amelyet a Microsoft Intune tanúsítvány-összekötője használ.
Ha a tanúsítványban be van állítva az ügyfél - és kiszolgálóhitelesítési kulcshasználat (kibővített kulcshasználat) a tanúsítvány kiállításához használt hitelesítésszolgáltatói sablonon, akkor ugyanazt a tanúsítványt használhatja a kiszolgáló- és ügyfélhitelesítéshez.

PIN-kódra vonatkozó követelmény az Android Enterprise-hoz

Android Enterprise esetén az eszközön a titkosítás verziója határozza meg, hogy az eszközt PIN-kóddal kell-e konfigurálni ahhoz, hogy az SCEP kiépítené az eszközt egy tanúsítvánnyal. Az elérhető titkosítási típusok a következők:

  • Teljes lemezes titkosítás, amelyhez az eszköznek konfigurált PIN-kódra van szüksége.

  • Fájlalapú titkosítás, amely az OEM által az Android 10 vagy újabb rendszerrel telepített eszközökön szükséges. Ezekhez az eszközökhöz nincs szükség PIN-kódra. Előfordulhat, hogy az Android 10-re frissített eszközökhöz pin-kódra van szükség.

Megjegyzés:

A Microsoft Intune nem tudja azonosítani a titkosítás típusát egy Android-eszközön.

Az androidos eszköz verziója hatással lehet a rendelkezésre álló titkosítási típusra:

  • Android 10 és újabb verziók: Az OEM által az Android 10-zel vagy újabb verzióval telepített eszközök fájlalapú titkosítást használnak, és nem igényelnek PIN-kódot az SCEP-hez a tanúsítvány kiépítéséhez. Előfordulhat, hogy azok az eszközök, amelyek a 10-es vagy újabb verzióra frissítenek, és fájlalapú titkosítást kezdenek használni, továbbra is PIN-kódot igényelhetnek.

  • Android 8–9: Az Android ezen verziói támogatják a fájlalapú titkosítás használatát, de nincs rá szükség. Minden oem kiválasztja az eszközhöz implementálandó titkosítási típust. Az is lehetséges, hogy az OEM-módosítások miatt nem lesz szükség PIN-kódra akkor sem, ha teljes lemezes titkosítás van használatban.

További információkért tekintse meg az androidos dokumentáció alábbi cikkeit:

Megfontolandó szempontok dedikált Android Enterprise-ként regisztrált eszközökhöz

A dedikált Android Enterprise-ként regisztrált eszközök esetében a jelszó-kényszerítés kihívást jelenthet.

A 9.0-s vagy újabb verziót futtató és kioszkmódú szabályzatot kapó eszközök esetében eszközmegfelelési vagy eszközkonfigurációs szabályzattal kényszerítheti ki a jelszókövetelményt. Támogatási tipp megtekintése: Új Google-alapú megfelelőségi képernyők a kioszkmódhoz az Intune támogatási csapatától az eszközhasználat megismeréséhez.

A 8.x és korábbi verziót futtató eszközök esetén eszközmegfelelési vagy eszközkonfigurációs szabályzattal is kikényszerítheti a jelszókövetelményt. A PIN-kód beállításához azonban manuálisan kell megadnia a beállítási alkalmazást az eszközön, és konfigurálnia kell a PIN-kódot.

A hitelesítésszolgáltató konfigurálása

A következő szakaszokban a következőket fogja követni:

  • Az NDES-hez szükséges sablon konfigurálása és közzététele
  • Állítsa be a tanúsítvány visszavonásához szükséges engedélyeket.

A következő szakaszok a Windows Server 2012 R2 vagy újabb verzió, valamint az Active Directory tanúsítványszolgáltatások (AD CS) ismeretét igénylik.

Hozzáférés a kiállító hitelesítésszolgáltatóhoz

  1. Jelentkezzen be a kiállító hitelesítésszolgáltatóba egy olyan tartományi fiókkal, amely megfelelő jogosultságokkal rendelkezik a hitelesítésszolgáltató kezeléséhez.

  2. Nyissa meg a Hitelesítésszolgáltató Microsoft Felügyeleti konzolját (MMC). Futtassa a "certsrv.msc" parancsot, vagy a Kiszolgálókezelőben válassza az Eszközök, majd a Hitelesítésszolgáltató lehetőséget.

  3. Válassza a Tanúsítványsablonok csomópontot, majd a Műveletkezelés> lehetőséget.

Az SCEP-tanúsítványsablon létrehozása

  1. Hozzon létre egy v2-tanúsítványsablont (Windows 2003-kompatibilitással) SCEP-tanúsítványsablonként való használatra. Képes vagy:

    • Új egyéni sablon létrehozásához használja a Tanúsítványsablonok beépülő modult.
    • Másolja ki a meglévő sablont (például a webkiszolgáló-sablont), majd frissítse a másolatot NDES-sablonként való használatra.

  2. Konfigurálja a következő beállításokat a sablon megadott lapján:

    • Általános:

      • Törölje a Tanúsítvány közzététele az Active Directoryban jelölőnégyzet jelölését.
      • Adjon meg egy rövid sablonmegjelenítési nevet , hogy később azonosítani tudja a sablont.

    • Tulajdonos neve:

      • A kérelemben válassza a Supply (Kínálat) lehetőséget. Az NDES-hez készült Intune-szabályzatmodul kikényszeríti a biztonságot.

        Sablon, tulajdonos neve lap

    • Bővítmények:

      • Győződjön meg arról, hogy az alkalmazásszabályzatok leírása tartalmazza az ügyfél-hitelesítést.

        Fontos

        Csak a szükséges alkalmazásszabályzatokat adja hozzá. Erősítse meg a választási lehetőségeket a biztonsági rendszergazdáknál.

      • iOS-/iPadOS- és macOS-tanúsítványsablonok esetén szerkessze a kulcshasználatot is, és győződjön meg arról, hogy az Aláírás a forrás igazolása lehetőség nincs kiválasztva.

      Sablon, bővítmények lap

    • Biztonság:

      • Adja hozzá az NDES-szolgáltatásfiókot. Ehhez a fiókhoz olvasási és regisztrálási engedélyek szükségesek ehhez a sablonhoz.

      • Adjon hozzá további fiókokat az Intune-rendszergazdák számára, akik SCEP-profilokat fognak létrehozni. Ezeknek a fiókoknak olvasási engedélyre van szükségük a sablonhoz, hogy a rendszergazdák SCEP-profilok létrehozásakor tallózhassanak a sablonhoz.

      Sablon, biztonság lap

    • Kérelmek kezelése:

      Az alábbi képen egy példa látható. A konfiguráció eltérő lehet.

      Sablon, kérelemkezelés lap

    • Kiállítási követelmények:

      Az alábbi képen egy példa látható. A konfiguráció eltérő lehet.

      Sablon, kiállítási követelmények lap

  3. Mentse a tanúsítványsablont.

Az ügyféltanúsítvány-sablon létrehozása

Megjegyzés:

A következő tanúsítvány nem használható a Microsoft Intune tanúsítvány-összekötőjével. Ezek az információk azok számára vannak megadva, akik még nem cserélték le az SCEP régebbi (NDESConnectorSetup.exe által telepített) összekötőjét az új összekötő szoftverre.

A Microsoft Intune-összekötőhöz olyan tanúsítványra van szükség, amely ügyfél-hitelesítési kibővített kulcshasználattal és tulajdonosnévvel rendelkezik, amely megegyezik azon gép teljes tartománynevével, amelyen az összekötő telepítve van. A következő tulajdonságokkal rendelkező sablonra van szükség:

  • Kiterjesztés>Az alkalmazásszabályzatnaktartalmaznia kell az ügyfél-hitelesítést
  • Tulajdonos neve>Adja meg a kérésben.

Ha már rendelkezik olyan sablonnal, amely tartalmazza ezeket a tulajdonságokat, újra felhasználhatja, máskülönben létrehozhat egy új sablont egy meglévő duplikálásával vagy egy egyéni sablon létrehozásával.

A kiszolgálótanúsítvány-sablon létrehozása

A felügyelt eszközök és az NDES-kiszolgálón található IIS közötti kommunikáció HTTPS-t használ, amelyhez tanúsítványt kell használni. Ezt a tanúsítványt a WebKiszolgáló tanúsítványsablon használatával állíthatja ki. Vagy ha dedikált sablont szeretne használni, a következő tulajdonságokra van szükség:

  • Kiterjesztés>Az alkalmazásszabályzatnaktartalmaznia kell a kiszolgálóhitelesítést.
  • Tulajdonos neve>Adja meg a kérésben.
  • A Biztonság lapon az NDES-kiszolgáló számítógépfiókjának olvasási és regisztrálási engedélyekkel kell rendelkeznie .

Megjegyzés:

Ha olyan tanúsítvánnyal rendelkezik, amely megfelel az ügyfél- és kiszolgálótanúsítvány-sablonok követelményeinek, egyetlen tanúsítványt használhat az IIS-hez és a tanúsítvány-összekötőhöz is.

Engedélyek megadása a tanúsítvány visszavonásához

Ahhoz, hogy az Intune visszavonhassa a már nem szükséges tanúsítványokat, engedélyeket kell adnia a hitelesítésszolgáltatónál.

A tanúsítvány-összekötőt futtató kiszolgálón használja az NDES-kiszolgáló rendszerfiókot vagy egy adott fiókot, például az NDES-szolgáltatásfiókot.

  1. A hitelesítésszolgáltató konzolján kattintson a jobb gombbal a hitelesítésszolgáltató nevére, és válassza a Tulajdonságok lehetőséget.

  2. A Biztonság lapon válassza a Hozzáadás lehetőséget.

  3. Adja meg a probléma elhárításához és a tanúsítványok kezeléséhez szükséges engedélyeket:

    • Ha az NDES-kiszolgáló rendszerfiókjának használata mellett dönt, adja meg az engedélyeket az NDES-kiszolgálónak.
    • Ha az NDES-szolgáltatásfiók használata mellett dönt, adjon meg engedélyeket a fiókhoz.

A tanúsítványsablon érvényességi idejének módosítása

Nem kötelező módosítani a tanúsítványsablon érvényességi időtartamát.

Az SCEP-tanúsítványsablon létrehozása után szerkesztheti a sablont, hogy áttekintse az Érvényességi időtartamot az Általános lapon.

Az Intune alapértelmezés szerint a sablonban konfigurált értéket használja, de beállíthatja úgy a hitelesítésszolgáltatót, hogy a kérelmező más értéket adjon meg, hogy az érték a Microsoft Intune Felügyeleti központban állítható be.

Tervezze meg öt napos vagy annál hosszabb érvényességi időtartam használatát. Ha az érvényességi idő öt napnál rövidebb, nagy a valószínűsége annak, hogy a tanúsítvány hamarosan lejáró vagy lejárt állapotba kerül, ami miatt az eszközökön az MDM-ügynök a telepítés előtt elutasíthatja a tanúsítványt.

Fontos

iOS/iPadOS és macOS esetén mindig használjon a sablonban beállított értéket.

A Microsoft Intune Felügyeleti központban beállítható érték konfigurálása

Futtassa a következő parancsokat a hitelesítésszolgáltatón:

certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc

Tanúsítványsablonok közzététele

  1. A kiállító hitelesítésszolgáltatón használja a Hitelesítésszolgáltató beépülő modult a tanúsítványsablon közzétételéhez. Válassza ki a Tanúsítványsablonok csomópontot, válassza aKibocsátandóÚj> tanúsítványsablon művelet> lehetőséget, majd válassza ki az előző szakaszban létrehozott tanúsítványsablont.

  2. Ellenőrizze, hogy a sablon közzé lett-e téve a Tanúsítványsablonok mappában.

Az NDES beállítása

Az alábbi eljárások segítségével konfigurálhatja a Hálózati eszközök tanúsítványigénylési szolgáltatását (NDES) az Intune-nal való használatra. Ezek példaként szolgálnak, mivel a tényleges konfiguráció a Windows Server verziójától függően változhat. Győződjön meg arról, hogy a .NET-keretrendszerhez szükséges konfigurációk megfelelnek a Microsoft Intune tanúsítvány-összekötőjének előfeltételeinek.

Az NDES-sel kapcsolatos további információkért lásd: Hálózati eszközök tanúsítványigénylési szolgáltatásának útmutatója.

Az NDES szolgáltatás telepítése

  1. Jelentkezzen be vállalati rendszergazdaként az NDES szolgáltatást futtató kiszolgálón, majd a Szerepkörök és szolgáltatások hozzáadása varázslóval telepítse az NDES-t:

    1. A varázslóban válassza az Active Directory tanúsítványszolgáltatások lehetőséget az AD CS szerepkör-szolgáltatásokhoz való hozzáféréshez. Válassza a Hálózati eszközök tanúsítványigénylési szolgáltatása lehetőséget, törölje a hitelesítésszolgáltató jelölését, majd fejezze be a varázslót.

      Tipp

      A Telepítési folyamat területen ne válassza a Bezárás lehetőséget. Ehelyett válassza az Active Directory tanúsítványszolgáltatások konfigurálása lehetőséget a célkiszolgálón . Megnyílik az AD CS konfigurációs varázslója, amelyet az NDES szolgáltatás konfigurálása című cikk következő eljárásában használhat. Miután megnyílik az AD CS-konfiguráció, bezárhatja a Szerepkörök és szolgáltatások hozzáadása varázslót.

    2. Amikor hozzáadja az NDES-t a kiszolgálóhoz, a varázsló az IIS-t is telepíti. Ellenőrizze, hogy az IIS a következő konfigurációkkal rendelkezik-e:

      • Webkiszolgáló>Biztonság>Kérelemszűrés

      • Webkiszolgáló>Alkalmazásfejlesztés>ASP.NET 3.5

        A ASP.NET 3.5 telepítése telepíti a .NET-keretrendszer 3.5-ös verzióját. A .NET-keretrendszer 3.5 telepítésekor telepítse a .NET-keretrendszer 3.5 alapfunkcióját és a HTTP-aktiválást is.

      • Webkiszolgáló>Alkalmazásfejlesztés>ASP.NET 4.7.2

        A ASP.NET 4.7.2 telepítése telepíti a .NET-keretrendszer 4.7.2-t. A .NET-keretrendszer 4.7.2 telepítésekor telepítse a .NET-keretrendszer 4.7.2 alapszolgáltatását, a ASP.NET 4.7.2-t és a WCF-szolgáltatások>HTTP-aktiválási funkcióját.

      • Felügyeleti eszközök>IIS 6 felügyeleti kompatibilitás>IIS 6 metabázis-kompatibilitás

      • Felügyeleti eszközök>IIS 6 felügyeleti kompatibilitás>IIS 6 WMI-kompatibilitás

      • A kiszolgálón adja hozzá az NDES-szolgáltatásfiókot a helyi IIS_IUSR csoport tagjaként.

  2. Szükség esetén konfiguráljon egy egyszerű szolgáltatásnevet (SPN) az Active Directoryban. Az egyszerű szolgáltatásnév beállításával kapcsolatos információkért lásd: Annak ellenőrzése, hogy szükséges-e egyszerű szolgáltatásnév beállítása az NDES-hez.

Az NDES szolgáltatás konfigurálása

Az NDES szolgáltatás konfigurálásához használjon vállalati rendszergazdai fiókot.

  1. Az NDES szolgáltatást futtató számítógépen nyissa meg az AD CS konfigurációs varázslóját, majd végezze el a következő frissítéseket:

    Tipp

    Ha a legutóbbi eljárásból folytatja, és a célkiszolgálón az Active Directory tanúsítványszolgáltatások konfigurálása hivatkozásra kattintott, a varázslónak már meg kell nyílnia. Ellenkező esetben nyissa meg a Kiszolgálókezelőt az Active Directory tanúsítványszolgáltatások üzembe helyezés utáni konfigurációjának eléréséhez.

    • A Szerepkör-szolgáltatások területen válassza a Hálózati eszközök tanúsítványigénylési szolgáltatását.
    • Az NDES szolgáltatásfiókjában adja meg az NDES szolgáltatásfiókot.
    • Az NDES hitelesítésszolgáltatójában kattintson a Kiválasztás gombra, majd válassza ki azt a kiállító hitelesítésszolgáltatót, ahol konfigurálta a tanúsítványsablont.
    • Az NDES titkosítása területen állítsa be a kulcs hosszát a vállalati követelményeknek megfelelően.
    • A megerősítés területen válassza a Konfigurálás lehetőséget a varázsló befejezéséhez.

  2. A varázsló befejeződése után frissítse a következő beállításkulcsot az NDES szolgáltatást futtató számítógépen:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    A kulcs frissítéséhez azonosítsa a tanúsítványsablonok célját (a Kérelemkezelés lapon található). Ezután frissítse a megfelelő beállításjegyzék-bejegyzést úgy, hogy a meglévő adatokat a tanúsítványsablon (nem a sablon megjelenítendő neve) nevére cseréli, amelyet a tanúsítványsablon létrehozásakor adott meg.

    Az alábbi táblázat a tanúsítványsablon célját a beállításjegyzék értékeire képezi le:

    Tanúsítványsablon célja (a Kérelemkezelés lapon) Szerkesztendő beállításjegyzék-érték Az SCEP-profilhoz tartozó Érték a Microsoft Intune Felügyeleti központban
    Aláírás SignatureTemplate Digitális aláírás
    Titkosítás EncryptionTemplate Kulcstikon-titkosítás
    Aláírás és titkosítás GeneralPurposeTemplate Kulcstikon-titkosítás
    Digitális aláírás

    Ha például a tanúsítványsablon célja Titkosítás, módosítsa az EncryptionTemplate értéket a tanúsítványsablon neveként.

  3. Indítsa újra az NDES szolgáltatást futtató kiszolgálót. Ne használja az iisreset elemet; Az iireset nem hajtja végre a szükséges módosításokat.

  4. Keresse meg a http:// Server_FQDN/certsrv/mscep/mscep.dll. Az alábbi képen láthatóhoz hasonló NDES-lapnak kell megjelennie:

    NDES tesztelése

    Ha a webcím egy nem elérhető 503-at ad vissza, ellenőrizze a számítógépek eseménynaplójában. Ez a hiba általában akkor fordul elő, ha az alkalmazáskészlet le van állítva az NDES-szolgáltatásfiók hiányzó engedélye miatt.

Tanúsítványok telepítése és kötése az NDES-t futtató kiszolgálón

Az NDES-kiszolgálón adjon hozzá egy kiszolgálóhitelesítési tanúsítványt.

  • Kiszolgálóhitelesítési tanúsítvány

    Ezt a tanúsítványt az IIS használja. Ez egy egyszerű webkiszolgáló-tanúsítvány, amellyel az ügyfél megbízhat az NDES URL-címében.

    1. Kérjen kiszolgálóhitelesítési tanúsítványt a belső hitelesítésszolgáltatótól vagy a nyilvános hitelesítésszolgáltatótól, majd telepítse a tanúsítványt a kiszolgálóra.

      Attól függően, hogy hogyan teszi elérhetővé az NDES-t az interneten, különböző követelmények vonatkoznak rá.

      A megfelelő konfiguráció a következő:

      • Tulajdonos neve: Állítson be egy cn (köznapi név) értéket, amelynek meg kell egyeznie annak a kiszolgálónak a teljes tartománynevével, amelyen a tanúsítványt telepíti (az NDES-kiszolgáló).
      • Tulajdonos alternatív neve: Állítsa be a DNS-bejegyzéseket minden olyan URL-címhez, amelyre az NDES válaszol, például a belső teljes tartománynevet és a külső URL-címeket.

      Megjegyzés:

      Ha Microsoft Entra alkalmazásproxyt használ, a Microsoft Entra alkalmazásproxy-összekötő a külső URL-címről a belső URL-címre fordítja le a kéréseket. Ezért az NDES csak a belső URL-címre irányított kérésekre válaszol, általában az NDES-kiszolgáló teljes tartománynevére.

      Ebben az esetben a külső URL-címre nincs szükség.

    2. Kösse össze a kiszolgálóhitelesítő tanúsítványt az IIS-ben:

      1. A kiszolgálóhitelesítő tanúsítvány telepítése után nyissa meg az IIS-kezelőt, és válassza az Alapértelmezett webhely lehetőséget. A Műveletek panelen válassza a Kötések lehetőséget.

      2. Válassza a Hozzáadás lehetőséget, állítsa a Típus beállítást https értékre, majd győződjön meg arról, hogy a port 443.

      3. SSL-tanúsítvány esetén adja meg a kiszolgálóhitelesítési tanúsítványt.

Megjegyzés:

Amikor az NDES-t a Microsoft Intune tanúsítvány-összekötőhöz konfigurálja, csak a kiszolgálóhitelesítési tanúsítványt használja a rendszer. Ha az NDES-t a régebbi tanúsítvány-összekötő (NDESConnectorSetup.exe) támogatására konfigurálja, akkor ügyfél-hitelesítési tanúsítványt is konfigurálnia kell. Egyetlen tanúsítványt is használhat a kiszolgálóhitelesítéshez és az ügyfél-hitelesítéshez , ha a tanúsítvány úgy van konfigurálva, hogy megfeleljen mindkét felhasználási feltételnek. A Tulajdonos neve mezőben meg kell felelnie az ügyfél-hitelesítési tanúsítvány követelményeinek.

Az alábbi információk azok számára vannak megadva, akik még nem cserélték le az SCEP régebbi (NDESConnectorSetup.exe által telepített) összekötőjét az új összekötő szoftverre.

  • Ügyfél-hitelesítési tanúsítvány

    Ez a tanúsítvány a Microsoft Intune tanúsítvány-összekötőjének telepítésekor használatos az SCEP támogatásához.

    Ügyfél-hitelesítési tanúsítvány kérése és telepítése a belső hitelesítésszolgáltatótól vagy egy nyilvános hitelesítésszolgáltatótól.

    A tanúsítványnak meg kell felelnie a következő követelményeknek:

    • Kibővített kulcshasználat: Ennek az értéknek tartalmaznia kell az ügyfél-hitelesítést.
    • Tulajdonos neve: Állítson be egy cn (köznapi név) értéket, amelynek meg kell egyeznie annak a kiszolgálónak a teljes tartománynevével, amelyen a tanúsítványt telepíti (az NDES-kiszolgáló).

A Microsoft Intune tanúsítvány-összekötőjének letöltése, telepítése és konfigurálása

Útmutatásért lásd: A Microsoft Intune tanúsítvány-összekötőjének telepítése és konfigurálása.

  • A tanúsítvány-összekötő az NDES-szolgáltatást futtató kiszolgálóra telepíthető.
  • Az összekötő nem támogatott ugyanazon a kiszolgálón, mint a kiállító hitelesítésszolgáltató.

Következő lépések

SCEP-tanúsítványprofil létrehozása