Configurare e usare i certificati PKCS con Intune

Microsoft Intune supporta l'uso di certificati PKCS (Private and Public Key Pair). Questo articolo esamina gli elementi necessari per usare i certificati PKCS con Intune, inclusa l'esportazione di un certificato PKCS e quindi l'aggiunta a un profilo di configurazione del dispositivo di Intune.

Microsoft Intune include impostazioni predefinite per l'uso dei certificati PKCS per l'accesso e l'autenticazione alle risorse dell'organizzazione. I certificati autenticano e garantiscono l'accesso alle risorse aziendali, ad esempio una VPN o una rete Wi-Fi. Queste impostazioni vengono distribuite nei dispositivi usando i profili di configurazione dei dispositivi in Intune.

Per informazioni sull'uso dei certificati PKCS importati, vedere Certificati PFX importati.

Consiglio

I profili certificato PKCS sono supportati per i desktop remoti a più sessioni di Windows Enterprise.

Requisiti

Per usare i certificati PKCS con Intune, è necessaria l'infrastruttura seguente:

• Dominio di Active Directory:
  Tutti i server elencati in questa sezione devono essere aggiunti al dominio di Active Directory.

  Per altre informazioni sull'installazione e la configurazione di Active Directory Domain Services (AD DS), vedere Progettazione e pianificazione di Active Directory Domain Services.

• Autorità di certificazione:
  Autorità di certificazione (CA) aziendale.

  Per informazioni sull'installazione e la configurazione di Servizi certificati Active Directory, vedere Guida dettagliata di Servizi certificati Active Directory.

  Avviso

  Intune richiede l'esecuzione di Servizi certificati Active Directory con un'autorità di certificazione (CA) enterprise, non una CA autonoma.

• Un client:
  Per connettersi all'autorità di certificazione aziendale.

• Certificato radice:
  Copia esportata del certificato radice dalla CA aziendale.

• Connettore di certificati per Microsoft Intune:

  Per informazioni sul connettore di certificati, vedere:

  • Panoramica del connettore di certificati per Microsoft Intune.
  • Prerequisiti.
  • Installazione e configurazione.

Esportare il certificato radice dalla CA aziendale

Per autenticare un dispositivo con VPN, WiFi o altre risorse, un dispositivo necessita di un certificato CA radice o intermedio. I passaggi seguenti illustrano come ottenere il certificato richiesto dalla CA aziendale.

Usare una riga di comando:

1. Accedere al server Autorità di certificazione radice con account amministratore.

2. Passare a Avvia>esecuzione e quindi immettere Cmd per aprire il prompt dei comandi.

3. Specificare certutil -ca.cert ca_name.cer per esportare il certificato radice come file denominato ca_name.cer.

Configurare i modelli di certificato nella CA

1. Accedere alla CA aziendale con un account con privilegi amministrativi.

2. Aprire la console autorità di certificazione , fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci.

3. Trovare il modello di certificato utente , fare clic con il pulsante destro del mouse su di esso e scegliere Duplica modello per aprire Proprietà nuovo modello.

   Nota

   Per gli scenari di firma e crittografia della posta elettronica S/MIME, molti amministratori usano certificati separati per la firma e la crittografia. Se si usa Servizi certificati Microsoft Active Directory, è possibile usare il modello Solo firma di Exchange per i certificati di firma della posta elettronica S/MIME e il modello Utente di Exchange per i certificati di crittografia S/MIME. Se si usa un'autorità di certificazione di terze parti, è consigliabile esaminarne le linee guida per configurare i modelli di firma e crittografia.

4. Nella scheda Compatibilità :

   • Impostare Autorità di certificazione su Windows Server 2008 R2
   • Impostare Destinatario certificato su Windows 7/Server 2008 R2

5. Nella scheda Generale effettuare le seguenti operazioni:

   • impostare Nome visualizzato modello su qualcosa di significativo per l'utente.
   • Deselezionare Pubblica certificato in Active Directory.

   Avviso

   Per impostazione predefinita, il nome del modello è uguale al nome visualizzato del modellosenza spazi. Prendere nota del nome del modello, che sarà necessario in un secondo momento.

6. In Gestione richieste selezionare Consenti l'esportazione della chiave privata.

   Nota

   A differenza di SCEP, con PKCS la chiave privata del certificato viene generata nel server in cui è installato il connettore di certificati e non nel dispositivo. Il modello di certificato deve consentire l'esportazione della chiave privata in modo che il connettore possa esportare il certificato PFX e inviarlo al dispositivo.

   Quando i certificati vengono installati nel dispositivo stesso, la chiave privata viene contrassegnata come non esportabile.

7. In Crittografia verificare che la dimensione minima della chiave sia impostata su 2048.

   I dispositivi Windows e Android supportano l'uso delle dimensioni della chiave a 4096 bit con un profilo certificato PKCS. Per usare questa dimensione della chiave, specificare 4096 come dimensione minima della chiave.

   Nota

   Per i dispositivi Windows, l'archiviazione delle chiavi a 4096 bit è supportata solo nel provider di archiviazione chiavi software (KSP). Gli elementi seguenti non supportano l'archiviazione di chiavi di queste dimensioni:

   • TPM hardware (modulo piattaforma attendibile). Come soluzione alternativa è possibile usare il KSP software per l'archiviazione delle chiavi.
   • Windows Hello for Business. Al momento non è disponibile alcuna soluzione alternativa per Windows Hello for Business.

8. In Nome soggetto scegliere Fornitura nella richiesta.

9. In Estensioni verificare di visualizzare Encrypting File System, Secure Email e Client Authentication (Autenticazione client) in Criteri applicazione.

   Importante

   Per i modelli di certificato iOS/iPadOS, passare alla scheda Estensioni , aggiornare Utilizzo chiavi e verificare che firma sia la prova dell'origine non selezionata.

10. In Sicurezza:

    1. (Obbligatorio): aggiungere l'account computer per il server in cui si installa il connettore di certificati per Microsoft Intune. Consenti autorizzazioni lettura e registrazione per questo account.
    2. (Facoltativo ma consigliato): rimuovere il gruppo Domain Users dall'elenco dei gruppi o dei nomi utente consentiti per questo modello selezionando il gruppo Domain Users (Utenti di dominio ) e selezionare Remove (Rimuovi). Esaminare le altre voci in Gruppi o nomi utente per le autorizzazioni e l'applicabilità all'ambiente.

11. Selezionare Applica>OK per salvare il modello di certificato. Chiudere la console Modelli di certificato.

12. Nella console autorità di certificazione fare clic con il pulsante destro del mouse su Modelli> di certificatoNuovo>modello di certificato da rilasciare. Scegliere il modello creato nei passaggi precedenti. Seleziona OK.

13. Per consentire al server di gestire i certificati per gli utenti e i dispositivi registrati, seguire questa procedura:

    1. Fare clic con il pulsante destro del mouse sull'Autorità di certificazione e scegliere Proprietà.
    2. Nella scheda sicurezza aggiungere l'account computer del server in cui si esegue il connettore.
    3. Concedere il problema e gestire certificati e richiedere certificati Consente le autorizzazioni per l'account computer.

14. Disconnettersi dalla CA aziendale.

Scaricare, installare e configurare il connettore di certificati per Microsoft Intune

Per indicazioni, vedere Installare e configurare il connettore di certificati per Microsoft Intune.

Creare un profilo certificato attendibile

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare e passare aCreazione configurazione>dispositivi>.

3. Immettere le seguenti proprietà:

   • Piattaforma: scegliere la piattaforma dei dispositivi che riceveranno questo profilo.
     • Amministratore del dispositivo Android
     • Android Enterprise:
       • Completamente gestito
       • Dedicato
       • profilo di lavoro Corporate-Owned
       • profilo di lavoro Personally-Owned
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Profilo: selezionare Certificato attendibile. In alternativa, selezionare Modelli>Certificato attendibile.

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è Profilo certificato attendibile per l'intera azienda.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

6. Seleziona Avanti.

7. In Impostazioni di configurazione specificare il file .cer per il certificato CA radice esportato in precedenza.

   Nota

   A seconda della piattaforma scelta nel passaggio 3, è possibile scegliere o meno l'archivio di destinazione per il certificato.

   

8. Seleziona Avanti.

9. In Assegnazioni selezionare l'utente o i gruppi di dispositivi a cui verrà assegnato il profilo. Per maggiore granularità, vedere Creare filtri in Microsoft Intune e applicarli selezionando Modifica filtro.

   Pianificare la distribuzione di questo profilo certificato negli stessi gruppi che ricevono il profilo certificato PKCS e che ricevono un profilo di configurazione come un profilo di Wi-Fi che usa il certificato. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Seleziona Avanti.

10. (Si applica solo a Windows 10/11) Nelle regole di applicabilità specificare le regole di applicabilità per perfezionare l'assegnazione di questo profilo. È possibile scegliere di assegnare o meno il profilo in base all'edizione o alla versione del sistema operativo di un dispositivo.

    Per altre informazioni, vedere Regole di applicabilità in Creare un profilo di dispositivo in Microsoft Intune.

11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Creare un profilo certificato PKCS

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare e passare aCreazione configurazione>dispositivi>.

3. Immettere le proprietà seguenti:

   • Piattaforma: scegliere la piattaforma per il proprio dispositivo. Le opzioni disponibili sono:
     • Amministratore del dispositivo Android
     • Android Enterprise:
       • Completamente gestito
       • Dedicato
       • profilo di lavoro Corporate-Owned
       • profilo di lavoro Personally-Owned
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Profilo: selezionare Certificato PKCS. In alternativa, selezionare Modelli>certificato PKCS.

   Nota

   Nei dispositivi con un profilo Android Enterprise, i certificati installati con un profilo certificato PKCS non sono visibili nel dispositivo. Per confermare l'esito positivo della distribuzione del certificato, controllare lo stato del profilo nell'interfaccia di amministrazione di Intune.

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è PROFILO PKCS per l'intera azienda.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

6. Seleziona Avanti.

7. In Impostazioni di configurazione le impostazioni configurabili variano in base alla piattaforma scelta. Selezionare la piattaforma per le impostazioni dettagliate:

   • Amministratore del dispositivo Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10/11

   Impostazione	Piattaforma	Dettagli
   Soglia di rinnovo (%)	Tutti	Consigliato: 20%
   Periodo di validità del certificato	Tutti	Se il modello di certificato non è stato modificato, questa opzione può essere impostata su un anno. Usare un periodo di validità di cinque giorni o fino a 24 mesi. Quando il periodo di validità è inferiore a cinque giorni, esiste un'alta probabilità che il certificato entri in uno stato prossimo alla scadenza o scaduto, il che può causare il rifiuto del certificato da parte dell'agente MDM nei dispositivi prima dell'installazione.
   Provider di archiviazione chiavi (KSP)	Windows 10/11	Per Windows selezionare la posizione in cui archiviare le chiavi nel dispositivo.
   Autorità di certificazione	Tutti	Visualizza il nome di dominio completo interno (FQDN) della CA aziendale.
   Nome dell'autorità di certificazione	Tutti	Elenchi il nome della CA aziendale, ad esempio "Autorità di certificazione Contoso".
   Nome del modello di certificato	Tutti	Elenchi il nome del modello di certificato.
   Tipo di certificato	Android Enterprise (profilo di lavoro di proprietà dell'azienda e Personally-Owned) iOS macOS Windows 10/11	Selezionare un tipo: I certificati utente possono contenere attributi utente e dispositivo nel nome alternativo soggetto e soggetto (SAN) del certificato. I certificati del dispositivo possono contenere solo gli attributi del dispositivo nell'oggetto e nella SAN del certificato. Usare Dispositivo per scenari come dispositivi senza utente, ad esempio chioschi multimediali o altri dispositivi condivisi. Questa selezione influisce sul formato del nome del soggetto.
   Formato del nome soggetto	Tutti	Per informazioni dettagliate su come configurare il formato del nome soggetto, vedere Formato del nome soggetto più avanti in questo articolo. Per le piattaforme seguenti, il formato del nome del soggetto è determinato dal tipo di certificato: Android Enterprise (profilo di lavoro) iOS macOS Windows 10/11
   Nome alternativo soggetto	Tutti	In Attributo selezionare Nome entità utente (UPN) se non diversamente richiesto, configurare un valore corrispondente e quindi selezionare Aggiungi. È possibile usare variabili o testo statico per la SAN di entrambi i tipi di certificato. L'uso di una variabile non è obbligatorio. Per altre informazioni, vedere Formato del nome soggetto più avanti in questo articolo.
   Utilizzo esteso delle chiavi	Amministratore del dispositivo Android Android Enterprise (proprietario del dispositivo, profilo di lavoro di proprietà dell'azienda e Personally-Owned) Windows 10/11	I certificati richiedono in genere l'autenticazione client in modo che l'utente o il dispositivo possa eseguire l'autenticazione in un server.
   Consentire a tutte le app di accedere alla chiave privata	macOS	Impostare su Abilita per concedere alle app configurate per il dispositivo Mac associato l'accesso alla chiave privata del certificato PKCS. Per altre informazioni su questa impostazione, vedere AllowAllAppsAccess la sezione Payload certificato di Configuration Profile Reference nella documentazione per sviluppatori Apple.
   Certificato radice	Amministratore del dispositivo Android Android Enterprise (proprietario del dispositivo, profilo di lavoro di proprietà dell'azienda e Personally-Owned)	Selezionare un profilo certificato CA radice assegnato in precedenza.

8. Questo passaggio si applica solo ai profili di dispositivi Android Enterprise per il profilo di lavoro completamente gestito, dedicato e Corporate-Owned.

   In App configurare l'accesso ai certificati per gestire la modalità di concessione dell'accesso ai certificati alle applicazioni. Scegliere tra:

   • Richiedi l'approvazione dell'utente per le app(impostazione predefinita): gli utenti devono approvare l'uso di un certificato da parte di tutte le applicazioni.
   • Concedere in modo invisibile all'utente per app specifiche (richiedere l'approvazione dell'utente per altre app): con questa opzione selezionare Aggiungi app e quindi selezionare una o più app che useranno automaticamente il certificato senza l'interazione dell'utente.

9. Seleziona Avanti.

10. In Assegnazioni selezionare l'utente o i gruppi che riceveranno il profilo. Pianificare la distribuzione di questo profilo certificato negli stessi gruppi che ricevono il profilo certificato attendibile e che ricevono un profilo di configurazione come un profilo di Wi-Fi che usa il certificato. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Seleziona Avanti.

11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Formato del nome soggetto

Quando si crea un profilo certificato PKCS per le piattaforme seguenti, le opzioni per il formato del nome soggetto dipendono dal tipo di certificato selezionato, utente o dispositivo.

Piattaforme:

• Android Enterprise (profilo di lavoro di proprietà dell'azienda e Personally-Owned)
• iOS
• macOS
• Windows 10/11

Nota

Esiste un problema noto per l'uso di PKCS per ottenere i certificati , che è lo stesso problema riscontrato per SCEP quando il nome dell'oggetto nella richiesta di firma del certificato risultante include uno dei caratteri seguenti come carattere di escape (seguito da una barra rovesciata \):

• +
• ;
• ,
• =

Nota

A partire da Android 12, Android non supporta più l'uso dei seguenti identificatori hardware per i dispositivi del profilo di lavoro di proprietà personale :

• Numero di serie
• IMEI
• MEID

I profili certificato di Intune per i dispositivi del profilo di lavoro di proprietà personale che si basano su queste variabili nel nome del soggetto o nella SAN non riusciranno a effettuare il provisioning di un certificato nei dispositivi che eseguono Android 12 o versioni successive al momento della registrazione del dispositivo con Intune. I dispositivi registrati prima dell'aggiornamento ad Android 12 possono comunque ricevere certificati purché Intune ottenga in precedenza gli identificatori hardware dei dispositivi.

Per altre informazioni su questa e altre modifiche introdotte con Android 12, vedere il post di blog Supporto di Android Day Zero per Microsoft Endpoint Manager .

• Tipo di certificato utente
  Le opzioni di formato per il formato Nome soggetto includono due variabili: Nome comune (CN) e Email (E). Email (E) viene in genere impostata con la variabile {{EmailAddress}}. Ad esempio: E={{EmailAddress}}

  Common Name (CN) può essere impostato su una delle variabili seguenti:

  • CN={{UserName}}: nome utente dell'utente, ad esempio Jane Doe.

  • CN={{UserPrincipalName}}: nome dell'entità utente dell'utente, ad janedoe@contoso.comesempio .

  • CN={{AAD_Device_ID}}: ID assegnato quando si registra un dispositivo in Microsoft Entra ID. Questo ID viene in genere usato per eseguire l'autenticazione con Microsoft Entra ID.

  • CN={{DeviceId}}: ID assegnato quando si registra un dispositivo in Intune.

  • CN={{SERIALNUMBER}}: numero di serie univoco (SN) in genere usato dal produttore per identificare un dispositivo.

  • CN={{IMEINumber}}: numero univoco IMEI (International Mobile Equipment Identity) usato per identificare un telefono cellulare.

  • CN={{OnPrem_Distinguished_Name}}: sequenza di nomi distinti relativi separati da virgola, ad esempio CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

    Per usare la variabile {{OnPrem_Distinguished_Name}}}, assicurarsi di sincronizzare l'attributo utente onpremisesdistinguishedname usando Microsoft Entra Connetti al Microsoft Entra ID.

  • CN={{onPremisesSamAccountName}}: gli amministratori possono sincronizzare l'attributo samAccountName da Active Directory a Microsoft Entra ID usando Microsoft Entra Connect in un attributo denominato onPremisesSamAccountName. Intune può sostituire tale variabile come parte di una richiesta di rilascio del certificato nell'oggetto di un certificato. L'attributo samAccountName è il nome di accesso utente usato per supportare client e server di una versione precedente di Windows (versione precedente a Windows 2000). Il formato del nome di accesso utente è: DomainName\testUser o solo testUser.

    Per usare la variabile {{onPremisesSamAccountName}}, assicurarsi di sincronizzare l'attributo utente onPremisesSamAccountName usando Microsoft Entra Connetti al Microsoft Entra ID.

  Tutte le variabili di dispositivo elencate nella sezione Tipo di certificato dispositivo seguente possono essere usate anche nei nomi dei soggetti del certificato utente.

  Usando una combinazione di una o più di queste variabili e stringhe di testo statico, è possibile creare un formato di nome soggetto personalizzato, ad esempio : CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

  Questo esempio include un formato di nome soggetto che usa le variabili CN ed E e le stringhe per i valori Unità organizzativa, Organizzazione, Posizione, Stato e Paese. La funzione CertStrToName descrive questa funzione e le relative stringhe supportate.

  Gli attributi utente non sono supportati per i dispositivi che non hanno associazioni utente, ad esempio i dispositivi registrati come Android Enterprise dedicati. Ad esempio, un profilo che usa CN={{UserPrincipalName}} nell'oggetto o SAN non può ottenere il nome dell'entità utente quando non è presente un utente nel dispositivo.

• Tipo di certificato del dispositivo
  Le opzioni di formato per il formato Nome soggetto includono le variabili seguenti:

  • {{AAD_Device_ID}}
  • {{DeviceId}} - Id dispositivo di Intune
  • {{Device_Serial}}
  • {{Device_IMEI}}
  • {{SerialNumber}}
  • {{IMEINumber}}
  • {{AzureADDeviceId}}
  • {{WiFiMacAddress}}
  • {{IMEI}}
  • {{DeviceName}}
  • {{FullyQualifiedDomainName}}(Applicabile solo per i dispositivi Windows e aggiunti a un dominio)
  • {{MEID}}

  È possibile specificare queste variabili, seguite dal testo per la variabile, nella casella di testo. Ad esempio, il nome comune per un dispositivo denominato Device1 può essere aggiunto come CN={{DeviceName}}Device1.

  Importante

  • Quando si specifica una variabile, racchiudere il nome della variabile tra parentesi graffe { } come illustrato nell'esempio, per evitare un errore.
  • Le proprietà del dispositivo usate nell'oggetto o nella SAN di un certificato del dispositivo, ad esempio IMEI, SerialNumber e FullyQualifiedDomainName, sono proprietà che potrebbero essere falsificati da una persona con accesso al dispositivo.
  • Un dispositivo deve supportare tutte le variabili specificate in un profilo certificato affinché tale profilo venga installato in tale dispositivo. Ad esempio, se {{IMEI}} viene usato nel nome del soggetto di un profilo SCEP e viene assegnato a un dispositivo che non ha un numero IMEI, l'installazione del profilo non riesce.

Passaggi successivi

• Usare SCEP per i certificati
• Rilasciare certificati PKCS da un servizio Web di gestione PKI Symantec.
• Risolvere i problemi relativi ai profili certificato PKCS