Származtatott hitelesítő adatok használata Microsoft Intune

Ez a cikk a következőkre vonatkozik:

• A 7.0-s vagy újabb verziót futtató, teljes körűen felügyelt Android Enterprise-eszközök
• iOS/iPadOS
• Windows 10/11

Olyan környezetben, ahol intelligens kártyákra van szükség a hitelesítéshez, a titkosításhoz és az aláíráshoz, az Intune-nal kiépítheti a mobileszközöket a felhasználó intelligens kártyájából származó tanúsítvánnyal. Ezt a tanúsítványt származtatott hitelesítő adatoknak nevezzük. Az Intune számos származtatott hitelesítőadat-kibocsátót támogat, azonban bérlőnként egyszerre csak egy kiállítót használhat.

A származtatott hitelesítő adatok a National Institute of Standards and Technology (NIST) irányelveinek implementálása a származtatott személyes identitás-ellenőrzési (PIV) hitelesítő adatokhoz a Special Publication (SP) 800-157 (Link opens a .pdf file on nvlpubs.nist.gov)) részeként.

Az Intune implementációjával:

• Az Intune-rendszergazda úgy konfigurálja a bérlőt, hogy egy támogatott származtatott hitelesítőadat-kibocsátóval működjön együtt. Nem kell intune-specifikus beállításokat konfigurálnia a származtatott hitelesítőadat-kibocsátó rendszerében.

• Az Intune-rendszergazda a Származtatott hitelesítő adatokat adja meg hitelesítési módszerként a következő objektumokhoz:

  Teljes körűen felügyelt Android Enterprise-eszközök esetén:

  • Gyakori profiltípusok, például Wi-Fi
  • Alkalmazáshitelesítés

  iOS/iPadOS esetén:

  • Gyakori profiltípusok, például Wi-Fi, VPN és Email, amelyek tartalmazzák az iOS/iPadOS natív levelezőalkalmazást
  • Alkalmazáshitelesítés
  • S/MIME aláírása és titkosítása

  Windows esetén:

  • Gyakori profiltípusok, például a Wi-Fi és a VPN

  Megjegyzés:

  A VPN-profilok hitelesítési módszereként származtatott hitelesítő adatok jelenleg nem a várt módon működnek Windows-eszközökön. Ez a viselkedés csak a Windows-eszközökön futó VPN-profilokat érinti, és egy későbbi kiadásban (ETA nélkül) ki lesz javítva.

• Android és iOS/iPadOS esetén a felhasználók a számítógép intelligens kártyájával szereznek be származtatott hitelesítő adatokat a származtatott hitelesítőadat-kibocsátó hitelesítéséhez. A kibocsátó ezután kibocsát a mobileszköznek egy tanúsítványt, amely az intelligens kártyájukból származik. Windows rendszeren a felhasználók a származtatott hitelesítőadat-szolgáltatótól telepítik az alkalmazást, amely telepíti a tanúsítványt az eszközre későbbi használatra.

• Miután az eszköz megkapta a származtatott hitelesítő adatokat, hitelesítésre és S/MIME-aláírásra és -titkosításra használják, ha az alkalmazások vagy erőforrás-hozzáférési profilok megkövetelik a származtatott hitelesítő adatokat.

Előfeltételek

Mielőtt konfigurálja a bérlőt a származtatott hitelesítő adatok használatára, tekintse át az alábbi információkat.

Támogatott platformok

Az Intune a következő platformokon támogatja a származtatott hitelesítő adatokat:

• iOS/iPadOS
• Android Enterprise:
  • Teljes mértékben felügyelt eszközök (7.0-s vagy újabb verzió)
  • Corporate-Owned munkahelyi profil
• Windows 10/11

Támogatott kiállítók

Az Intune bérlőnként egyetlen származtatott hitelesítőadat-kibocsátót támogat. Az Intune a következő kiállítókkal való együttműködésre konfigurálható:

• DISA fajtiszta: https://public.cyber.mil/pki-pke/purebred/
• Megbízás: https://www.entrust.com/
• Intercede: https://www.intercede.com/

A különböző kiállítók használatával kapcsolatos fontos részletekért tekintse át az adott kibocsátóra vonatkozó útmutatót. További információ: A származtatott hitelesítő adatok tervezése ebben a cikkben.

Fontos

Ha töröl egy származtatott hitelesítőadat-kibocsátót a bérlőből, a kiállítón keresztül beállított származtatott hitelesítő adatok többé nem fognak működni.

Lásd a cikk későbbi, Származtatott hitelesítőadat-kibocsátójának módosítása című szakaszát.

Szükséges alkalmazások

Tervezze meg a megfelelő felhasználói alkalmazás üzembe helyezését olyan eszközökön, amelyek származtatott hitelesítő adatokra fognak regisztrálni. Az eszközfelhasználók az alkalmazást használják a hitelesítő adatok regisztrálási folyamatának elindításához.

• Az iOS-eszközök a Céges portál alkalmazást használják. Lásd: iOS Áruházbeli alkalmazások hozzáadása Microsoft Intune.
• Az Android Enterprise teljes körűen felügyelt és Corporate-Owned munkahelyi profilos eszközei az Intune alkalmazást használják. Lásd: Android áruházbeli alkalmazások hozzáadása Microsoft Intune.

Származtatott hitelesítő adatok tervezése

Az androidos és iOS/iPadOS rendszerhez készült származtatott hitelesítőadat-kibocsátó beállítása előtt ismerje meg az alábbi szempontokat.

Windows-eszközök esetén lásd a cikk későbbi, Származtatott hitelesítő adatok a Windowshoz című szakaszát.

1 – Tekintse át a választott származtatott hitelesítőadat-kibocsátó dokumentációját

A kiállító konfigurálása előtt tekintse át a kibocsátó dokumentációját, hogy megismerje, hogyan kézbesíti a rendszer a származtatott hitelesítő adatokat az eszközöknek.

A kiválasztott kibocsátótól függően előfordulhat, hogy a regisztráció során rendelkezésre kell állnia az alkalmazottaknak, hogy segítsenek a felhasználóknak a folyamat befejezésében. Tekintse át a jelenlegi Intune-konfigurációkat is, és győződjön meg arról, hogy nem blokkolják az eszközök vagy a felhasználók hitelesítőadat-kérésének teljesítéséhez szükséges hozzáférést.

Feltételes hozzáféréssel például letilthatja a nem megfelelő eszközök e-mail-hozzáférését. Ha e-mail-értesítésekre támaszkodik, hogy tájékoztassa a felhasználót a származtatott hitelesítőadat-regisztrációs folyamat elindításáról, előfordulhat, hogy a felhasználók addig nem kapják meg ezeket az utasításokat, amíg nem felelnek meg a szabályzatnak.

Hasonlóképpen, néhány származtatott hitelesítőadat-kérési munkafolyamat megköveteli az eszköz kamerájának használatát a képernyőn megjelenő QR-kód beolvasásához. Ez a kód a felhasználó intelligens kártyájának hitelesítő adataival összekapcsolja az eszközt a származtatott hitelesítőadat-kibocsátóra irányuló hitelesítési kérelemmel. Ha az eszközkonfigurációs szabályzatok blokkolják a kamera használatát, a felhasználó nem tudja teljesíteni a származtatott hitelesítő adatokra vonatkozó regisztrációs kérést.

Általános információk:

• Bérlőnként egyszerre csak egyetlen kiállítót konfigurálhat, és ez a kibocsátó a bérlő összes felhasználója és támogatott eszköze számára elérhető.

• A felhasználók nem kapnak értesítést arról, hogy regisztrálniuk kell a származtatott hitelesítő adatokra, amíg nem céloz meg olyan szabályzattal, amely származtatott hitelesítő adatokat igényel.

• Az értesítés az Céges portál alkalmazásértesítésén keresztül, e-mailben vagy mindkettőn keresztül lehet. Ha e-mail-értesítéseket használ, és engedélyezett feltételes hozzáférést használ, előfordulhat, hogy a felhasználók nem kapják meg az e-mailes értesítést, ha az eszközük nem megfelelő.

  Fontos

  Annak érdekében, hogy a végfelhasználók sikeresen megkapják az eszköz hitelesítő adataival kapcsolatos értesítéseket, engedélyeznie kell az alkalmazásértesítéseket a Céges portál, az e-mail-értesítésekhez vagy mindkettőhöz.

2 – A kiválasztott kiállító végfelhasználói munkafolyamatának áttekintése

Az alábbiakban az egyes támogatott partnerekkel kapcsolatos legfontosabb szempontokat vesszük figyelembe. Ismerkedjen meg ezekkel az információkkal, így biztosíthatja, hogy az Intune-szabályzatok és -konfigurációk ne akadályozzák meg a felhasználókat és az eszközöket abban, hogy sikeresen regisztrálják az adott kibocsátóból származó hitelesítő adatokat.

DISA fajtiszta

Tekintse át a származtatott hitelesítő adatokkal használni kívánt eszközök platformspecifikus felhasználói munkafolyamatát.

• iOS és iPadOS
• Android Enterprise - Vállalati tulajdonú munkahelyi profil vagy teljes mértékben felügyelt eszközök

A legfontosabb követelmények a következők:

• A felhasználóknak hozzáférésre van szükségük egy számítógéphez vagy KIOSK-hoz, ahol az intelligens kártyájukkal hitelesíthetik magukat a kibocsátóval.

• A származtatott hitelesítő adatokra regisztráló iOS- és iPadOS-eszközöknek telepíteniük kell a Intune Céges portál alkalmazást. Az Android teljes mértékben felügyelt és Corporate-Owned munkahelyi profilos eszközöknek telepíteniük és használniuk kell az Intune alkalmazást.

• Az Intune használatával telepítse a DISA Purebred alkalmazást olyan eszközökre, amelyek egy származtatott hitelesítő adatra fognak regisztrálni. Ezt az alkalmazást az Intune-on keresztül kell üzembe helyezni, hogy az felügyelhető legyen, majd együttműködjön a Intune Céges portál alkalmazással vagy az Intune-alkalmazással, amelyet a felhasználók a származtatott hitelesítőadat-kérés végrehajtásához használnak.

• Ha származtatott hitelesítő adatokat szeretne lekérni a Purebred alkalmazásból, az eszköznek hozzáféréssel kell rendelkeznie a helyszíni hálózathoz. A hozzáférés vállalati Wi-Fi vagy VPN-en keresztül lehetséges.

• Az eszközfelhasználóknak élő ügynökkel kell dolgozniuk a regisztrációs folyamat során. A regisztráció során a rendszer időkorlátos, egyszeri pin-kódot ad a felhasználónak a regisztrációs folyamat során.

• Ha olyan házirendet módosítanak, amely származtatott hitelesítő adatokat használ, például új Wi-Fi-profilt hoz létre, az iOS- és iPadOS-felhasználók értesítést kapnak a Céges portál alkalmazás megnyitásáról.

• A felhasználók értesítést kapnak a megfelelő alkalmazás megnyitásáról, amikor meg kell újítaniuk a származtatott hitelesítő adataikat.

  A megújítási folyamat a következőképpen történik:

  • A származtatott hitelesítőadat-kibocsátónak új vagy frissített tanúsítványokat kell kibocsátania, mielőtt a korábbi tanúsítványok az érvényességi időszak 80%-át érik el.
  • Az eszköz a megújítási időszak alatt (az érvényességi időszak utolsó 20%-ában) jelentkezik be.
  • Microsoft Intune e-mailben vagy alkalmazásértesítésen keresztül értesíti a felhasználót a Céges portál elindításáról.
  • A felhasználó elindítja a Céges portál, és a származtatott hitelesítőadat-értesítésre koppint, majd a származtatott hitelesítőadat-tanúsítványokat átmásolja az eszközre.

A DISA Purebred alkalmazás beszerzéséről és konfigurálásáról a cikk későbbi, A DISA purebred alkalmazás üzembe helyezése című szakaszában olvashat.

Bízza

Tekintse át a származtatott hitelesítő adatokkal használni kívánt eszközök platformspecifikus felhasználói munkafolyamatát.

• iOS és iPadOS
• Android Enterprise- Vállalati tulajdonú munkahelyi profil vagy teljes mértékben felügyelt eszközök

A legfontosabb követelmények a következők:

• A felhasználóknak hozzáférésre van szükségük egy számítógéphez vagy KIOSK-hoz, ahol az intelligens kártyájukkal hitelesíthetik magukat a kibocsátóval.

• A származtatott hitelesítő adatokra regisztráló iOS- és iPadOS-eszközöknek telepíteniük kell a Intune Céges portál alkalmazást. Az Android teljes mértékben felügyelt és Corporate-Owned munkahelyi profilos eszközöknek telepíteniük és használniuk kell az Intune alkalmazást.

• Eszközkamera használata olyan QR-kód beolvasására, amely a hitelesítési kérést a mobileszközről származó származtatott hitelesítőadat-kéréshez kapcsolja.

• A felhasználókat a Céges portál alkalmazás vagy e-mailben kéri a származtatott hitelesítő adatok regisztrálására.

• Származtatott hitelesítő adatokat használó házirend módosításakor, például új Wi-Fi-profil létrehozásakor:

  • iOS és iPadOS – A felhasználók értesítést kapnak a Céges portál alkalmazás megnyitásáról.
  • Android Enterprisevállalati tulajdonú munkahelyi profil vagy teljes mértékben felügyelt eszközök – A Céges portál alkalmazásnak nem kell megnyitnia.

• A felhasználók értesítést kapnak a megfelelő alkalmazás megnyitásáról, amikor meg kell újítaniuk a származtatott hitelesítő adataikat.

  A megújítási folyamat a következőképpen történik:

  • A származtatott hitelesítőadat-kibocsátónak új vagy frissített tanúsítványokat kell kibocsátania, mielőtt a korábbi tanúsítványok az érvényességi időszak 80%-át érik el.
  • Az eszköz a megújítási időszak alatt (az érvényességi időszak utolsó 20%-ában) jelentkezik be.
  • Microsoft Intune e-mailben vagy alkalmazásértesítésen keresztül értesíti a felhasználót a Céges portál elindításáról.
  • A felhasználó elindítja a Céges portál, és a származtatott hitelesítőadat-értesítésre koppint, majd a származtatott hitelesítőadat-tanúsítványokat átmásolja az eszközre

Közbenjárni

Tekintse át a származtatott hitelesítő adatokkal használni kívánt eszközök platformspecifikus felhasználói munkafolyamatát.

• iOS és iPadOS
• Android Enterprise - Vállalati tulajdonú munkahelyi profil vagy teljes mértékben felügyelt eszközök

A legfontosabb követelmények a következők:

• A felhasználóknak hozzáférésre van szükségük egy számítógéphez vagy KIOSK-hoz, ahol az intelligens kártyájukkal hitelesíthetik magukat a kibocsátóval.

• A származtatott hitelesítő adatokra regisztráló iOS- és iPadOS-eszközöknek telepíteniük kell a Intune Céges portál alkalmazást. Az Android teljes mértékben felügyelt és Corporate-Owned munkahelyi profilos eszközöknek telepíteniük és használniuk kell az Intune alkalmazást.

• Eszközkamera használata olyan QR-kód beolvasására, amely a hitelesítési kérést a mobileszközről származó származtatott hitelesítőadat-kéréshez kapcsolja.

• A felhasználókat a Céges portál alkalmazás vagy e-mailben kéri a származtatott hitelesítő adatok regisztrálására.

• Származtatott hitelesítő adatokat használó házirend módosításakor, például új Wi-Fi-profil létrehozásakor:

  • iOS és iPadOS – A felhasználók értesítést kapnak a Céges portál alkalmazás megnyitásáról.
  • Android Enterprisevállalati tulajdonú munkahelyi profil vagy teljes mértékben felügyelt eszközök – A Céges portál alkalmazásnak nem kell megnyitnia.

• A felhasználók értesítést kapnak a megfelelő alkalmazás megnyitásáról, amikor meg kell újítaniuk a származtatott hitelesítő adataikat.

  A megújítási folyamat a következőképpen történik:

  • A származtatott hitelesítőadat-kibocsátónak új vagy frissített tanúsítványokat kell kibocsátania, mielőtt a korábbi tanúsítványok az érvényességi időszak 80%-át érik el.
  • Az eszköz a megújítási időszak alatt (az érvényességi időszak utolsó 20%-ában) jelentkezik be.
  • Microsoft Intune e-mailben vagy alkalmazásértesítésen keresztül értesíti a felhasználót a Céges portál elindításáról.
  • A felhasználó elindítja a Céges portál, és a származtatott hitelesítőadat-értesítésre koppint, majd a származtatott hitelesítőadat-tanúsítványokat átmásolja az eszközre

3 – Megbízható főtanúsítvány üzembe helyezése az eszközökön

A rendszer megbízható főtanúsítványt használ származtatott hitelesítő adatokkal annak ellenőrzéséhez, hogy a származtatott hitelesítőadat-tanúsítványlánc érvényes és megbízható-e. Akkor is megbízható főtanúsítványra van szükség, ha a szabályzat közvetlenül nem hivatkozik rá. Lásd: Tanúsítványprofil konfigurálása az eszközökhöz a Microsoft Intune.

4 – Adjon meg végfelhasználói utasításokat a származtatott hitelesítő adatok beszerzéséhez

Hozzon létre és adjon útmutatást a felhasználóknak a származtatott hitelesítőadat-regisztrációs folyamat elindításához és a kiválasztott kiállító származtatott hitelesítőadat-regisztrációs munkafolyamatának navigálásához.

Javasoljuk, hogy adjon meg egy URL-címet, amely az útmutatást tárolja. Ezt az URL-címet akkor adja meg, amikor konfigurálja a bérlőhöz tartozó származtatott hitelesítőadat-kibocsátót, és az URL-cím elérhetővé válik az Céges portál alkalmazásban. Ha nem adja meg a saját URL-címét, az Intune az általános részletekre mutató hivatkozást biztosít. Ezek a részletek nem fedhetik le az összes forgatókönyvet, és előfordulhat, hogy nem megfelelőek a környezetéhez.

5 – Származtatott hitelesítő adatokat igénylő Intune-szabályzatok üzembe helyezése

Hozzon létre új szabályzatokat, vagy szerkessze a meglévő szabályzatokat a származtatott hitelesítő adatok használatához. A származtatott hitelesítő adatok a következő objektumok egyéb hitelesítési módszereit váltják fel:

• Alkalmazáshitelesítés
• Wi-Fi
• VPN
• Email (csak iOS esetén)
• S/MIME aláírása és titkosítása, beleértve az Outlookot (csak iOS esetén)

Ne igényeljen származtatott hitelesítő adatokat egy folyamat eléréséhez, amelyet a folyamat részeként fog használni a származtatott hitelesítő adatok lekéréséhez, mivel ez megakadályozhatja, hogy a felhasználók befejezzék a kérést.

Származtatott hitelesítőadat-kibocsátó beállítása

A származtatott hitelesítő adatok használatát igénylő szabályzatok létrehozása előtt állítson be egy hitelesítőadat-kibocsátót a Microsoft Intune Felügyeleti központban. A származtatott hitelesítőadat-kibocsátó bérlőszintű beállítás. A bérlők egyszerre csak egyetlen kiállítót támogatnak.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza a Bérlői felügyeleti>összekötők és jogkivonatok>Származtatott hitelesítő adatok lehetőséget.

   

3. Adjon meg egy rövid megjelenítendő nevet a származtatott hitelesítőadat-kibocsátó házirendjének. Ez a név nem jelenik meg az eszköz felhasználói számára.

4. Származtatott hitelesítőadat-kibocsátó esetén válassza ki a bérlőhöz kiválasztott származtatott hitelesítőadat-kibocsátót:

   • DISA purebred (csak iOS esetén)
   • Bízza
   • Közbenjárni

5. Adjon meg egy származtatott hitelesítőadat-súgó URL-címét , amely egy olyan helyre mutató hivatkozást biztosít, amely egyéni utasításokat tartalmaz, amelyekkel a felhasználók lekérhetik a szervezet származtatott hitelesítő adatait. Az utasításoknak a szervezetre és a választott kiállítótól származó hitelesítő adatok beszerzéséhez szükséges munkafolyamatra kell vonatkoznia. A hivatkozás megjelenik a Céges portál alkalmazásban, és elérhetőnek kell lennie az eszközről.

   Ha nem adja meg a saját URL-címét, az Intune olyan általános részletekre mutató hivatkozást biztosít, amelyek nem fedhetik le az összes forgatókönyvet. Előfordulhat, hogy ez az általános útmutató nem megfelelő a környezethez.

6. Válasszon egy vagy több lehetőséget az Értesítés típusa beállításhoz. Az értesítési típusok azok a módszerek, amelyek a felhasználók tájékoztatására használhatók a következő forgatókönyvekről:

   • Új származtatott hitelesítő adatok beszerzéséhez regisztráljon egy eszközt egy kibocsátóval.
   • Új származtatott hitelesítő adat lekérése, ha az aktuális hitelesítő adatok lejárati ideje közel van.
   • Használjon származtatott hitelesítő adatokat egy támogatott objektummal.

7. Ha készen áll, válassza a Mentés lehetőséget a származtatott hitelesítőadat-kibocsátó konfigurálásának befejezéséhez.

A konfiguráció mentése után a Származtatott hitelesítőadat-kibocsátó kivételével az összes mezőt módosíthatja. A kibocsátó módosításához lásd : A származtatott hitelesítőadat-kibocsátó módosítása.

A DISA Purebred alkalmazás üzembe helyezése

Ez a szakasz csak a DISA Purebred használatakor érvényes.

Ha a DISA Purebred-et szeretné használni az Intune származtatott hitelesítőadat-kibocsátójaként, le kell szereznie a DISA Purebred alkalmazást, majd az Intune használatával üzembe kell helyeznie az alkalmazást az eszközökön. Ezután a felhasználók a DISA Purebred szolgáltatásból származó hitelesítő adatokat az iOS/iPadOS-eszközükön lévő Céges portál alkalmazással vagy androidos eszközükön az Intune-alkalmazással kérhetik le.

A DISA Purebred alkalmazás Intune-nal való üzembe helyezése mellett az eszköznek hozzáféréssel kell rendelkeznie a helyszíni hálózathoz. A hozzáférés biztosításához fontolja meg VPN vagy vállalati Wi-Fi használatát.

Hajtsa végre a következő feladatokat:

1. Töltse le a DISA Purebred alkalmazást: https://cyber.mil/pki-pke/purebred/.

2. Telepítse a DISA Purebred alkalmazást az Intune-ban.

   • Lásd: Üzletági iOS-alkalmazás hozzáadása Microsoft Intune.
   • Lásd: Üzletági Android-alkalmazás hozzáadása Microsoft Intune

   Előfordulhat, hogy további beállításokra van szükség a Purebred alkalmazáshoz. Beszéljen a Purebred-ügynökkel, és ismerje meg, hogy mely értékeket kell belefoglalnia a szabályzatokba, vagy ha rendelkezik DoD által kibocsátott common access card (CAC) kártyával, a Purebred dokumentációját az interneten érheti el: https://cyber.mil/pki-pke/purebred/.

3. Ha alkalmazásonkénti VPN-t használ a DISA purebred alkalmazáshoz, tekintse meg az alkalmazásonkénti VPN létrehozását.

Származtatott hitelesítő adatok használata hitelesítéshez és S/MIME-aláíráshoz és -titkosításhoz

A származtatott hitelesítő adatokat a következő profiltípusokhoz és célokhoz adhatja meg:

• Alkalmazások

• Email:

  • iOS és iPadOS
  • Vállalati Android

• VPN:

  • iOS és iPadOS

• S/MIME aláírása és titkosítása

• Wi-Fi:

  • iOS és iPadOS
  • Vállalati Android

  Wi-Fi profilok esetében a hitelesítési módszer csak akkor érhető el, ha az EAP típusa az alábbi értékek egyikére van beállítva:

  • EAP – TLS
  • EAP-TTLS
  • PEAP

Származtatott hitelesítő adatok használata az alkalmazáshitelesítéshez

Használjon származtatott hitelesítő adatokat a webhelyek és alkalmazások tanúsítványalapú hitelesítéséhez. Származtatott hitelesítő adatok továbbítása az alkalmazáshitelesítéshez:

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza az Eszközök>konfigurációja> Lehetőséget A Szabályzatok lapon válassza a + Létrehozás lehetőséget.

3. Használja a következő beállításokat:

   iOS és iPadOS esetén:

   • Platform esetén. válassza az iOS/iPadOS lehetőséget, majd a Profil típusa területen válassza a Sablonok > Származtatott hitelesítő adatok lehetőséget. A folytatáshoz válassza a Létrehozás lehetőséget.
   • A Név mezőben adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. Egy jó profilnév például az iOS-eszközök profil származtatott hitelesítő adatai.
   • A Leírás mezőben adjon meg egy leírást, amely áttekintést ad a beállításról és minden más fontos részletről.

   Android Enterprise esetén:

   • Platform esetén. válassza az Android Enterprise lehetőséget, majd a Profil típusa területen a Teljes körűen felügyelt, dedikált és Corporate-Owned Munkahelyi profil területen válassza a Származtatott hitelesítő adatok** lehetőséget. A folytatáshoz válassza a Létrehozás lehetőséget.
   • A Név mezőben adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. Egy jó profilnév például az Android Enterprise-eszközök profil származtatott hitelesítő adatai.
   • A Leírás mezőben adjon meg egy leírást, amely áttekintést ad a beállításról és minden más fontos részletről.
   • Az Alkalmazások lapon konfigurálja a Tanúsítványhozzáférést az alkalmazásokhoz való tanúsítványhozzáférés megadásának kezeléséhez. Válasszon a következő lehetőségek közül:
     • Felhasználói jóváhagyás megkövetelése az alkalmazásokhoz(alapértelmezett) – A felhasználóknak minden alkalmazásnak jóvá kell hagyniuk a tanúsítvány használatát.
     • Engedélyezés csendesen adott alkalmazásokhoz (más alkalmazásokhoz felhasználói jóváhagyás szükséges) – Ezzel a beállítással válassza az Alkalmazások hozzáadása lehetőséget, majd válasszon ki egy vagy több olyan alkalmazást, amely felhasználói beavatkozás nélkül, csendesen fogja használni a tanúsítványt.

4. A Hozzárendelések lapon válassza ki azokat a csoportokat, amelyeknek meg kell kapniuk a szabályzatot.

5. Ha végzett, válassza a Létrehozás lehetőséget az Intune-profil létrehozásához. Ha elkészült, a profilja megjelenik az Eszközök – Konfigurációs profilok listában.

A felhasználók a származtatott hitelesítőadat-kibocsátó beállításakor megadott beállításoktól függően kapják meg az alkalmazás- vagy e-mail-értesítést. Az értesítés tájékoztatja a felhasználót, hogy indítsa el a Céges portál, hogy a származtatott hitelesítőadat-szabályzatok feldolgozhatók legyenek.

Származtatott hitelesítő adatok a Windowshoz

A származtatott tanúsítványokat hitelesítési módszerként használhatja Wi-Fi és VPN-profilokhoz Windows-eszközökön. Az Android- és iOS-/iPadOS-eszközök által támogatott szolgáltatók támogatottak a Windowshoz:

• DISA fajtiszta
• Bízza
• Közbenjárni

Megjegyzés:

A VPN-profilok hitelesítési módszereként származtatott hitelesítő adatok jelenleg nem a várt módon működnek Windows-eszközökön. Ez a viselkedés csak a Windows-eszközökön futó VPN-profilokat érinti, és egy későbbi kiadásban (ETA nélkül) ki lesz javítva.

Windows esetén a felhasználók nem dolgoznak intelligenskártya-regisztrációs folyamaton, hogy tanúsítványt szerezzenek be származtatott hitelesítő adatként való használatra. Ehelyett a felhasználónak telepítenie kell a Windowshoz készült alkalmazást, amely a származtatott hitelesítőadat-szolgáltatótól származik. Ha származtatott hitelesítő adatokat szeretne használni a Windowsban, végezze el a következő konfigurációkat:

1. Telepítse az alkalmazást a származtatott hitelesítőadat-szolgáltatóktól a Windows-eszközön.

   Amikor egy származtatott hitelesítőadat-szolgáltatótól telepíti a Windows-alkalmazást egy Windows-eszközön, a származtatott tanúsítvány hozzá lesz adva az eszköz Windows-tanúsítványtárolójába. Miután hozzáadta a tanúsítványt az eszközhöz, elérhetővé válik egy származtatott hitelesítőadat-hitelesítési módszer használatához.

   Miután beszerezte az alkalmazást a kiválasztott szolgáltatótól, az alkalmazást üzembe helyezheti a Felhasználók szolgáltatásban, vagy közvetlenül az eszköz felhasználója is telepítheti.

2. Konfigurálja Wi-Fi és VPN-profilokat, hogy származtatott hitelesítő adatokat használjanak hitelesítési módszerként.

   Amikor windowsos profilt konfigurál Wi-Fi vagy VPN-hez, válassza a Származtatott hitelesítő adatok lehetőséget a hitelesítési módszerhez. Ezzel a konfigurációval a profil az eszközön a szolgáltató alkalmazásának telepítésekor telepített tanúsítványt használja.

Származtatott hitelesítő adatok megújítása

Az Android- vagy iOS-/iPadOS-eszközök származtatott hitelesítő adatai nem bővíthetők és nem újíthatók meg. Ehelyett a felhasználóknak a hitelesítőadat-kérelmek munkafolyamatával kell új származtatott hitelesítő adatokat kérniük az eszközükhöz. Windows-eszközök esetén tekintse meg a származtatott hitelesítőadat-szolgáltatótól származó alkalmazás dokumentációját.

Ha egy vagy több metódust konfigurál az Értesítés típusa beállításhoz, az Intune automatikusan értesíti a felhasználókat, ha az aktuális származtatott hitelesítő adatok elérik az élettartam 80%-át. Az értesítés arra utasítja a felhasználókat, hogy haladjanak végig a hitelesítőadat-kérelmek folyamatán egy új származtatott hitelesítő adat lekéréséhez.

Miután egy eszköz új származtatott hitelesítő adatot kap, a származtatott hitelesítő adatokat használó szabályzatok újból üzembe helyeződnek az adott eszközön.

A származtatott hitelesítőadat-kibocsátó módosítása

A bérlői szinten módosíthatja a hitelesítőadat-kibocsátót, bár a bérlő egyszerre csak egy kiállítót támogat.

A kibocsátó módosítása után a rendszer kérni fogja a felhasználókat, hogy szerezzenek be új származtatott hitelesítő adatokat az új kibocsátótól. Ezt meg kell tenniük, mielőtt származtatott hitelesítő adatokat használhatnának a hitelesítéshez.

A bérlő kiállítójának módosítása

Fontos

Ha töröl egy kiállítót, és azonnal újrakonfigurálja ugyanazt a kiállítót, akkor is frissítenie kell a profilokat és az eszközöket, hogy az adott kiállítótól származó származtatott hitelesítő adatokat használjon. A kiállító törlése előtt beszerzett származtatott hitelesítő adatok már nem érvényesek.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.
2. Válassza a Bérlői felügyeleti>összekötők és jogkivonatok>Származtatott hitelesítő adatok lehetőséget.
3. Válassza a Törlés lehetőséget az aktuálisan származtatott hitelesítőadat-kibocsátó eltávolításához.
4. Konfiguráljon egy új kiállítót.

Származtatott hitelesítő adatokat használó profilok frissítése

Miután törölt egy kiállítót, majd hozzáadott egy újat, szerkessze az összes származtatott hitelesítő adatot használó profilt. Ez a szabály akkor is érvényes, ha visszaállítja az előző kiállítót. A profil bármely szerkesztése frissítést indít el, beleértve a profil leírásának egyszerű szerkesztését is.

Származtatott hitelesítő adatok frissítése az eszközökön

Miután törölt egy kiállítót, majd hozzáadott egy újat, az eszköz felhasználóinak új származtatott hitelesítő adatot kell igényelniük. Ez a szabály akkor is érvényes, ha ugyanazt a kiállítót adja hozzá, amelyet eltávolított. Az új származtatott hitelesítő adatok kérésének folyamata ugyanaz, mint egy új eszköz regisztrálása vagy egy meglévő hitelesítő adat megújítása esetén.

Következő lépések

Eszközkonfigurációs profilok létrehozása.