Creare e assegnare profili certificato SCEP in Intune

Importante

Per supportare i requisiti di Windows per il mapping sicuro dei certificati SCEP introdotti e annunciati in KB5014754 dal 10 maggio 2022 sono state apportate modifiche a Intune rilascio di certificati SCEP per certificati SCEP nuovi e rinnovati. Con queste modifiche, i certificati SCEP nuovi o rinnovati Intune per iOS/iPadOS, macOS e Windows ora includono il tag seguente nel campo Nome alternativo soggetto (SAN) del certificato:URL=tag:microsoft.com,2022-09-14:sid:<value> 

Questo tag viene usato dal mapping sicuro per associare un certificato a un dispositivo specifico o a un SID utente specifico dall'ID entra. Con questa modifica e questo requisito per eseguire il mapping di un SID da Entra ID:

• I certificati del dispositivo sono supportati per i dispositivi windows aggiunti a un ambiente ibrido quando il dispositivo ha un SID in Entra ID sincronizzato da un Active Directory locale.
• I certificati utente usano il SID dell'utente da Entra ID, sincronizzato da Active Directory locale.

Le autorità di certificazione che non supportano il tag URL nella SAN potrebbero non emettere certificati. I server di Servizi certificati Microsoft Active Directory che hanno installato l'aggiornamento da KB5014754 supportano l'uso di questo tag. Se si usa una CA di terze parti, rivolgersi al provider di ca per assicurarsi che supporti questo formato o come e quando verrà aggiunto il supporto.

Per altre informazioni, vedere Suggerimento per il supporto: Implementazione di un mapping sicuro nei certificati Microsoft Intune - Microsoft Community Hub.

Dopo aver configurato l'infrastruttura per supportare i certificati SCEP (Simple Certificate Enrollment Protocol), è possibile creare e quindi assegnare profili di certificato SCEP a utenti e dispositivi in Intune.

Per consentire ai dispositivi di usare un profilo certificato SCEP, devono considerare attendibile l'autorità di certificazione radice attendibile .For devices to use a SCEP certificate profile, they must trust your Trusted Root Certification Authority (CA). È consigliabile stabilire l'attendibilità della CA radice distribuendo un profilo certificato attendibile nello stesso gruppo che riceve il profilo certificato SCEP. I profili certificato attendibili effettuano il provisioning del certificato CA radice attendibile.

I dispositivi che eseguono Android Enterprise potrebbero richiedere un PIN prima che SCEP possa eseguirne il provisioning con un certificato. Per altre informazioni, vedere Requisito del PIN per Android Enterprise.

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

Nota

A partire da Android 11, i profili certificato attendibili non possono più installare il certificato radice attendibile nei dispositivi registrati come amministratore di dispositivi Android. Questa limitazione non si applica a Samsung Knox.

Per altre informazioni su questa limitazione, vedere Profili di certificato attendibili per l'amministratore di dispositivi Android.

Importante

Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.

Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.

Consiglio

I profili certificato SCEP sono supportati per i desktop remoti a più sessioni di Windows Enterprise.

Creare un profilo certificato SCEP

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare e passare aCreazione configurazione>dispositivi>.

3. Immettere le proprietà seguenti:

   • Piattaforma: scegliere la piattaforma per il proprio dispositivo.

   • Profilo: selezionare Certificato SCEP. In alternativa, selezionare Modelli>certificato SCEP.

     Per Android Enterprise, il tipo di profilo è suddiviso in due categorie: Profilo di lavoro completamente gestito, Dedicato e Corporate-Owned e Profilo di lavoro di proprietà personale. Assicurarsi di selezionare il profilo certificato SCEP corretto per i dispositivi gestiti.

     I profili certificato SCEP per il profilo del profilo di lavoro completamente gestito, dedicato e Corporate-Owned presentano le limitazioni seguenti:

     1. In Monitoraggio la creazione di report dei certificati non è disponibile per i profili certificato SCEP del proprietario del dispositivo .
     2. Non è possibile usare Intune per revocare i certificati di cui è stato effettuato il provisioning dai profili certificato SCEP per il proprietario del dispositivo. È possibile gestire la revoca tramite un processo esterno o direttamente con l'autorità di certificazione.
     3. Per i dispositivi dedicati Android Enterprise, i profili certificato SCEP sono supportati per Wi-Fi configurazione di rete, VPN e autenticazione. I profili certificato SCEP nei dispositivi android enterprise dedicati non sono supportati per l'autenticazione delle app.

     Per Android (AOSP) si applicano le limitazioni seguenti:

     1. In Monitoraggio la creazione di report dei certificati non è disponibile per i profili certificato SCEP del proprietario del dispositivo .
     2. Non è possibile usare Intune per revocare i certificati di cui è stato effettuato il provisioning dai profili certificato SCEP per proprietari di dispositivi. È possibile gestire la revoca tramite un processo esterno o direttamente con l'autorità di certificazione.
     3. I profili certificato SCEP sono supportati per Wi-Fi configurazione di rete. Il supporto del profilo di configurazione VPN non è disponibile. Un aggiornamento futuro può includere il supporto per i profili di configurazione VPN.
     4. Le 3 variabili seguenti non sono disponibili per l'uso nei profili di certificato SCEP Android (AOSP). Il supporto per queste variabili verrà aggiornato in futuro.
        • onPremisesSamAccountName
        • OnPrem_Distinguished_Name
        • Reparto

     Nota

     Il proprietario del dispositivo equivale ai dispositivi di proprietà dell'azienda. I seguenti sono considerati come proprietario del dispositivo:

     • Android Enterprise - Profilo di lavoro completamente gestito, dedicato e Corporate-Owned
     • Android AOSP
       • Affinità utente
       • Senza utente

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è profilo SCEP per l'intera azienda.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

6. Selezionare Avanti.

7. In Impostazioni di configurazione completare le configurazioni seguenti:

   • Tipo di certificato:

     (Si applica a: Android, Android Enterprise, Android (AOSP), iOS/iPadOS, macOS, Windows 8.1 e Windows 10/11)

     Selezionare un tipo a seconda di come si userà il profilo certificato:

     • Utente: i certificati utente possono contenere attributi sia utente che dispositivo nell'oggetto e nella SAN del certificato.

     • Dispositivo: i certificati del dispositivo possono contenere solo gli attributi del dispositivo nell'oggetto e nella SAN del certificato.

       Usare Dispositivo per scenari come dispositivi senza utente, ad esempio chioschi multimediali o per dispositivi Windows. Nei dispositivi Windows il certificato viene inserito nell'archivio certificati del computer locale.

     Nota

     Archiviazione dei certificati di cui è stato effettuato il provisioning da SCEP:

     • macOS : i certificati di cui si esegue il provisioning con SCEP vengono sempre inseriti nel keychain di sistema (archivio di sistema) del dispositivo.

     • Android : i dispositivi dispongono sia di un archivio certificati VPN che di app e di un archivio certificati WIFI . Intune archivia sempre i certificati SCEP nell'archivio VPN e app in un dispositivo. L'uso della VPN e dell'archivio app rende il certificato disponibile per l'uso da parte di qualsiasi altra app.

       Tuttavia, quando un certificato SCEP è associato anche a un profilo di Wi-Fi, Intune installa anche il certificato nell'archivio Wi-Fi.

       Quando è configurato per le app VPN, all'utente verrà richiesto di selezionare il certificato corretto. L'approvazione del certificato invisibile all'utente per scenari completamente gestiti (o BYOD) non è supportata. Se tutti gli elementi sono configurati correttamente, il certificato corretto deve essere già preselezionato nella finestra di dialogo.

   • Formato del nome del soggetto:

     Immettere il testo per indicare Intune come creare automaticamente il nome del soggetto nella richiesta di certificato. Le opzioni per il formato del nome soggetto dipendono dal tipo di certificato selezionato, utente o dispositivo.

     Consiglio

     Se la lunghezza del nome del soggetto supera i 64 caratteri, potrebbe essere necessario disabilitare l'imposizione della lunghezza dei nomi nell'autorità di certificazione interna. Per altre informazioni, vedere Disabilitare l'imposizione della lunghezza DN

     Nota

     Esiste un problema noto per l'uso di SCEP per ottenere i certificati quando il nome del soggetto nella richiesta di firma del certificato risultante include uno dei caratteri seguenti come carattere di escape (seguito da una barra rovesciata \):

     • +
     • ;
     • ,
     • =

     Nota

     A partire da Android 12, Android non supporta più l'uso dei seguenti identificatori hardware per i dispositivi del profilo di lavoro di proprietà personale :

     • Numero di serie
     • IMEI
     • MEID

     Intune profili certificato per i dispositivi del profilo di lavoro di proprietà personale che si basano su queste variabili nel nome del soggetto o nella SAN non riuscirà a effettuare il provisioning di un certificato nei dispositivi che eseguono Android 12 o versioni successive al momento della registrazione del dispositivo con Intune. I dispositivi registrati prima dell'aggiornamento ad Android 12 possono comunque ricevere certificati purché Intune ottenuto in precedenza gli identificatori hardware dei dispositivi.

     Per altre informazioni su questa e altre modifiche introdotte con Android 12, vedere il post di blog Supporto di Android Day Zero per Microsoft Endpoint Manager .

     • Tipo di certificato utente

       Usare la casella di testo per immettere un formato di nome soggetto personalizzato, inclusi testo statico e variabili. Sono supportate due opzioni di variabile: Nome comune (CN) e Email (E).

       Email (E) viene in genere impostata con la variabile {{EmailAddress}}. Ad esempio: E={{EmailAddress}}

       Common Name (CN) può essere impostato su una delle variabili seguenti:

       • CN={{UserName}}: nome utente dell'utente, ad esempio janedoe.
       • CN={{UserPrincipalName}}: nome dell'entità utente dell'utente, ad janedoe@contoso.comesempio .
       • CN={{AAD_Device_ID}}: ID assegnato quando si registra un dispositivo in Microsoft Entra ID. Questo ID viene in genere usato per eseguire l'autenticazione con Microsoft Entra ID.
       • CN={{DeviceId}}: ID assegnato quando si registra un dispositivo in Intune.

       Nota

       Evitare di usare {{DeviceId}} per il nome del soggetto nei dispositivi Windows. In alcuni casi, il certificato generato con questo nome soggetto causa l'esito negativo della sincronizzazione con Intune.

       • CN={{SERIALNUMBER}}: numero di serie univoco (SN) in genere usato dal produttore per identificare un dispositivo.

       • CN={{IMEINumber}}: numero univoco IMEI (International Mobile Equipment Identity) usato per identificare un telefono cellulare.

       • CN={{OnPrem_Distinguished_Name}}: sequenza di nomi distinti relativi separati da virgola, ad esempio CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

         Per usare la variabile {{OnPrem_Distinguished_Name}} :

         • Assicurarsi di sincronizzare l'attributo utente onpremisesdistinguishedname usando Microsoft Entra Connettersi al Microsoft Entra ID.
         • Se il valore CN contiene una virgola, il formato del nome del soggetto deve essere racchiuso tra virgolette. Ad esempio: CN="{{OnPrem_Distinguished_Name}}"

       • CN={{OnPremisesSamAccountName}}: gli amministratori possono sincronizzare l'attributo samAccountName da Active Directory a Microsoft Entra ID usando Microsoft Entra Connect in un attributo denominato onPremisesSamAccountName. Intune può sostituire tale variabile come parte di una richiesta di rilascio del certificato nell'oggetto di un certificato. L'attributo samAccountName è il nome di accesso utente usato per supportare client e server di una versione precedente di Windows (versione precedente a Windows 2000). Il formato del nome di accesso utente è: DomainName\testUser o solo testUser.

         Per usare la variabile {{OnPremisesSamAccountName}}, assicurarsi di sincronizzare l'attributo utente OnPremisesSamAccountName usando Microsoft Entra Connetti al Microsoft Entra ID.

       Tutte le variabili di dispositivo elencate nella sezione Tipo di certificato dispositivo seguente possono essere usate anche nei nomi dei soggetti del certificato utente.

       Usando una combinazione di una o più di queste variabili e stringhe di testo statico, è possibile creare un formato di nome soggetto personalizzato, ad esempio : CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

       Questo esempio include un formato di nome soggetto che usa le variabili CN ed E e le stringhe per i valori Unità organizzativa, Organizzazione, Posizione, Stato e Paese. La funzione CertStrToName descrive questa funzione e le relative stringhe supportate.

       Gli attributi utente non sono supportati per i dispositivi che non hanno associazioni utente, ad esempio i dispositivi registrati come Android Enterprise dedicati. Ad esempio, un profilo che usa CN={{UserPrincipalName}} nell'oggetto o san non sarà in grado di ottenere il nome dell'entità utente quando non è presente alcun utente nel dispositivo.

     • Tipo di certificato del dispositivo

       Le opzioni di formato per il formato Nome soggetto includono le variabili seguenti:

       • {{AAD_Device_ID}} o {{AzureADDeviceId}} - Entrambe le variabili possono essere usate per identificare un dispositivo in base al relativo Microsoft Entra ID.
       • {{DeviceId}} - ID dispositivo Intune
       • {{Device_Serial}}
       • {{Device_IMEI}}
       • {{SerialNumber}}
       • {{IMEINumber}}
       • {{WiFiMacAddress}}
       • {{IMEI}}
       • {{DeviceName}}
       • {{FullyQualifiedDomainName}}(Applicabile solo per i dispositivi Windows e aggiunti a un dominio)
       • {{MEID}}

       È possibile specificare queste variabili e il testo statico nella casella di testo. Ad esempio, il nome comune per un dispositivo denominato Device1 può essere aggiunto come CN={{DeviceName}}Device1.

       Importante

       • Quando si specifica una variabile, racchiudere il nome della variabile tra parentesi graffe doppie {{ }} come illustrato nell'esempio, per evitare un errore.
       • Le proprietà del dispositivo usate nell'oggetto o nella SAN di un certificato del dispositivo, ad esempio IMEI, SerialNumber e FullyQualifiedDomainName, sono proprietà che potrebbero essere falsificati da una persona con accesso al dispositivo.
       • Un dispositivo deve supportare tutte le variabili specificate in un profilo certificato affinché tale profilo venga installato in tale dispositivo. Ad esempio, se {{IMEI}} viene usato nel nome del soggetto di un profilo SCEP e viene assegnato a un dispositivo che non ha un numero IMEI, l'installazione del profilo non riesce.

   • Nome alternativo soggetto:
     Selezionare il modo in cui Intune crea automaticamente il nome alternativo soggetto (SAN) nella richiesta di certificato. È possibile specificare più nomi alternativi del soggetto. Per ognuno di essi, è possibile selezionare tra quattro attributi SAN e immettere un valore di testo per tale attributo. Il valore di testo può contenere variabili e testo statico per l'attributo.

     Nota

      I profili Android Enterprise seguenti non supportano l'uso della variabile {{UserName}} per la SAN:

     • Profilo di lavoro completamente gestito, dedicato e Corporate-Owned

     Selezionare tra gli attributi SAN disponibili:

     • Indirizzo di posta elettronica
     • Nome dell'entità utente (UPN)
     • DNS
     • URI (Uniform Resource Identifier)

     Le variabili disponibili per il valore SAN dipendono dal tipo di certificato selezionato; utente o dispositivo.

     Nota

     A partire da Android 12, Android non supporta più l'uso dei seguenti identificatori hardware per i dispositivi del profilo di lavoro di proprietà personale :

     • Numero di serie
     • IMEI
     • MEID

     Intune profili certificato per i dispositivi del profilo di lavoro di proprietà personale che si basano su queste variabili nel nome del soggetto o nella SAN non riuscirà a effettuare il provisioning di un certificato nei dispositivi che eseguono Android 12 o versioni successive al momento della registrazione del dispositivo con Intune. I dispositivi registrati prima dell'aggiornamento ad Android 12 possono comunque ricevere certificati purché Intune ottenuto in precedenza gli identificatori hardware dei dispositivi.

     Per altre informazioni su questa e altre modifiche introdotte con Android 12, vedere il post di blog Supporto di Android Day Zero per Microsoft Endpoint Manager .

     • Tipo di certificato utente

       Con il tipo di certificato Utente , è possibile usare una qualsiasi delle variabili di certificato utente o dispositivo descritte in precedenza nella sezione Nome soggetto.

       Ad esempio, i tipi di certificato utente possono includere il nome dell'entità utente (UPN) nel nome alternativo del soggetto. Se viene usato un certificato client per l'autenticazione in un server dei criteri di rete, impostare il nome alternativo del soggetto sull'UPN.

     • Tipo di certificato del dispositivo

       Con il tipo di certificato Dispositivo è possibile usare una qualsiasi delle variabili descritte nella sezione Tipo di certificato dispositivo per Nome soggetto.

       Per specificare un valore per un attributo, includere il nome della variabile con parentesi graffe, seguito dal testo per tale variabile. Ad esempio, è possibile aggiungere un valore per l'attributo DNS {{AzureADDeviceId}}.domain.com dove .domain.com è il testo. Per un utente denominato User1 un indirizzo Email potrebbe essere visualizzato come {{FullyQualifiedDomainName}}User1@Contoso.com.

     Usando una combinazione di una o più di queste variabili e stringhe di testo statiche, è possibile creare un formato di nome alternativo soggetto personalizzato, ad esempio:

     • {{UserName}}-Home

       Importante

       • Quando si usa una variabile di certificato del dispositivo, racchiudere il nome della variabile tra parentesi graffe doppie {{ }}.
       • Non usare parentesi graffe { }, simboli |di pipe e punti e virgola ;, nel testo che segue la variabile.
       • Le proprietà del dispositivo usate nell'oggetto o nella SAN di un certificato del dispositivo, ad esempio IMEI, SerialNumber e FullyQualifiedDomainName, sono proprietà che potrebbero essere falsificati da una persona con accesso al dispositivo.
       • Un dispositivo deve supportare tutte le variabili specificate in un profilo certificato affinché tale profilo venga installato in tale dispositivo. Ad esempio, se {{IMEI}} viene usato nella SAN di un profilo SCEP e viene assegnato a un dispositivo che non dispone di un numero IMEI, l'installazione del profilo non riesce.

   • Periodo di validità del certificato:

     È possibile immettere un valore inferiore al periodo di validità nel modello di certificato, ma non superiore. Se il modello di certificato è stato configurato per supportare un valore personalizzato che può essere impostato dall'interfaccia di amministrazione Intune, usare questa impostazione per specificare la quantità di tempo rimanente prima della scadenza del certificato.

     Intune supporta un periodo di validità fino a 24 mesi.

     Ad esempio, se il periodo di validità del certificato nel modello di certificato è di due anni, è possibile immettere un valore di un anno, ma non un valore di cinque anni. Il valore deve anche essere inferiore al periodo di validità rimanente del certificato della CA emittente.

     Pianificare l'uso di un periodo di validità di cinque giorni o superiore. Quando il periodo di validità è inferiore a cinque giorni, esiste un'alta probabilità che il certificato entri in uno stato prossimo alla scadenza o scaduto, il che può causare il rifiuto del certificato da parte dell'agente MDM nei dispositivi prima dell'installazione.

   • Provider di archiviazione chiavi :Key Storage Provider (KSP):

     (Si applica a: Windows 8.1 e Windows 10/11)

     Specificare la posizione in cui viene archiviata la chiave del certificato. Scegliere tra i valori seguenti:

     • Se presente, registrarsi al provider di servizi KSP Trusted Platform Module (TPM), in caso contrario software KSP
     • Registrarsi al provider di servizi di configurazione TPM (Trusted Platform Module), in caso contrario non riesce
     • Eseguire la registrazione in Windows Hello for Business, in caso contrario non riuscire (Windows 10 e versioni successive)
     • Eseguire la registrazione a Software KSP

   • Utilizzo delle chiavi:

     Selezionare le opzioni di utilizzo delle chiavi per il certificato:

     • Firma digitale: consente lo scambio di chiavi solo quando una firma digitale consente di proteggere la chiave.
     • Crittografia chiave: consente lo scambio di chiavi solo quando la chiave è crittografata.

   • Dimensioni della chiave (bit):

     Selezionare il numero di bit contenuti nella chiave:

     • Non configurata

     • 1024

     • 2048

     • 4096 - È supportata una dimensione chiave di 4096 per le piattaforme seguenti:

       • Android (tutti)
       • iOS/iPadOS 14 e versioni successive
       • macOS 11 e versioni successive
       • Windows (tutti)

       Nota

       Per i dispositivi Windows, l'archiviazione delle chiavi a 4096 bit è supportata solo nel provider di archiviazione chiavi software (KSP). Gli elementi seguenti non supportano l'archiviazione di chiavi di queste dimensioni:

       • TPM hardware (modulo piattaforma attendibile). Come soluzione alternativa è possibile usare il KSP software per l'archiviazione delle chiavi.
       • Windows Hello for Business. Al momento non è disponibile alcuna soluzione alternativa per Windows Hello for Business.

   • Algoritmo hash:

     (Si applica ad Android, Android (AOSP), Android Enterprise, Windows 8.1 e Windows 10/11)

     Selezionare uno dei tipi di algoritmo hash disponibili da usare con questo certificato. Selezionare il livello di sicurezza più sicuro supportano i dispositivi di connessione.

     NOTA: i dispositivi Android AOSP e Android Enterprise selezioneranno l'algoritmo più sicuro supportato: SHA-1 verrà ignorato e verrà usato SHA-2.

   • Certificato radice:

     Selezionare il profilo certificato attendibile configurato in precedenza e assegnato agli utenti e ai dispositivi applicabili per questo profilo certificato SCEP. Il profilo certificato attendibile viene usato per effettuare il provisioning di utenti e dispositivi con il certificato CA radice attendibile. Per informazioni sul profilo certificato attendibile, vedere Esportare il certificato CA radice attendibile e Creare profili certificato attendibili in Usare i certificati per l'autenticazione in Intune.

     Nota

     Se si dispone di una struttura PKI a più livelli, ad esempio un'autorità di certificazione radice e un'autorità di certificazione emittente, selezionare il profilo certificato radice attendibile di primo livello che convalida l'autorità di certificazione emittente.

   • Utilizzo esteso delle chiavi:

     Aggiungere valori per lo scopo previsto del certificato. Nella maggior parte dei casi, il certificato richiede l'autenticazione client in modo che l'utente o il dispositivo possa eseguire l'autenticazione in un server. È possibile aggiungere altri utilizzi delle chiavi in base alle esigenze.

   • Soglia di rinnovo (%):

     Immettere la percentuale della durata del certificato che rimane prima che il dispositivo richieda il rinnovo del certificato. Ad esempio, se si immette 20, il rinnovo del certificato verrà tentato quando il certificato è scaduto dell'80%. I tentativi di rinnovo continuano fino al completamento del rinnovo. Il rinnovo genera un nuovo certificato, che genera una nuova coppia di chiavi pubblica/privata.

     Nota

     Comportamento di rinnovo in iOS/iPadOS e macOS: i certificati possono essere rinnovati solo durante la fase di soglia di rinnovo. Inoltre, il dispositivo deve essere sbloccato durante la sincronizzazione con Intune. Se il rinnovo non ha avuto esito positivo, il certificato scaduto rimarrà nel dispositivo e Intune non attiva più un rinnovo. Inoltre, Intune non offre un'opzione per ridistribuire i certificati scaduti. I dispositivi interessati devono essere esclusi temporaneamente dal profilo SCEP per rimuovere il certificato scaduto e richiederne uno nuovo.

   • URL del server SCEP:

     Immettere uno o più URL per i server NDES che emettono certificati tramite SCEP. Ad esempio, immettere qualcosa come https://ndes.contoso.com/certsrv/mscep/mscep.dll.

     Per consentire ai dispositivi su Internet di ottenere i certificati, è necessario specificare l'URL del servizio Registrazione dispositivi di rete esterno alla rete aziendale. L'URL può essere HTTP o HTTPS. Tuttavia, per supportare i dispositivi seguenti, l'URL del server SCEP deve usare HTTPS:

     • Amministratore del dispositivo Android
     • Proprietario del dispositivo Android Enterprise
     • Profilo di lavoro di proprietà dell'azienda Android Enterprise
     • Profilo di lavoro di proprietà personale di Android Enterprise

     È possibile aggiungere altri URL SCEP per il bilanciamento del carico in base alle esigenze. I dispositivi effettuano tre chiamate separate al server NDES. Il primo consiste nell'ottenere le funzionalità dei server, il successivo per ottenere una chiave pubblica e quindi inviare una richiesta di firma. Quando si usano più URL, è possibile che il bilanciamento del carico comporti l'uso di un URL diverso per le chiamate successive a un server NDES. Se un server diverso viene contattato per una chiamata successiva durante la stessa richiesta, la richiesta avrà esito negativo.

     Il comportamento per la gestione dell'URL del server NDES è specifico per ogni piattaforma del dispositivo:

     • Android: il dispositivo esegue in modo casuale l'elenco di URL ricevuti nei criteri SCEP e quindi esegue l'elenco fino a quando non viene trovato un server NDES accessibile. Il dispositivo continua quindi a usare lo stesso URL e lo stesso server durante l'intero processo. Se il dispositivo non può accedere a nessuno dei server NDES, il processo ha esito negativo.
     • iOS/iPadOS: Intune casualizza gli URL e fornisce un singolo URL a un dispositivo. Se il dispositivo non riesce ad accedere al server NDES, la richiesta SCEP ha esito negativo.
     • Windows: l'elenco di URL NDES viene casuale e quindi passato al dispositivo Windows, che quindi li prova nell'ordine ricevuto, fino a quando non ne viene trovato uno disponibile. Se il dispositivo non può accedere a nessuno dei server NDES, il processo ha esito negativo.

     Se un dispositivo non riesce a raggiungere correttamente lo stesso server NDES durante una delle tre chiamate al server NDES, la richiesta SCEP ha esito negativo. Ciò può verificarsi, ad esempio, quando una soluzione di bilanciamento del carico fornisce un URL diverso per la seconda o la terza chiamata al server NDES o fornisce un server NDES effettivo diverso in base a un URL virtualizzato per NDES. Dopo una richiesta non riuscita, un dispositivo ritenta il processo nel ciclo di criteri successivo, a partire dall'elenco casuale di URL NDES (o un singolo URL per iOS/iPadOS).

8. Questo passaggio si applica solo ai profili di dispositivi Android Enterprise per il profilo di lavoro completamente gestito, dedicato e Corporate-Owned.

   In App configurare l'accesso ai certificati per gestire la modalità di concessione dell'accesso ai certificati alle applicazioni. Scegliere tra:

   • Richiedi l'approvazione dell'utente per le app(impostazione predefinita): gli utenti devono approvare l'uso di un certificato da parte di tutte le applicazioni.
   • Concedere in modo invisibile all'utente per app specifiche (richiedere l'approvazione dell'utente per altre app): con questa opzione selezionare Aggiungi app e quindi selezionare una o più app che useranno automaticamente il certificato senza l'interazione dell'utente.

9. Selezionare Avanti.

10. In Assegnazioni selezionare l'utente o i gruppi che riceveranno il profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Selezionare Avanti.

11. (Si applica solo a Windows 10/11) Nelle regole di applicabilità specificare le regole di applicabilità per perfezionare l'assegnazione di questo profilo. È possibile scegliere di assegnare o meno il profilo in base all'edizione o alla versione del sistema operativo di un dispositivo.

    Per altre informazioni, vedere Regole di applicabilità in Creare un profilo di dispositivo in Microsoft Intune.

12. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Evitare le richieste di firma del certificato con caratteri speciali preceduti da caratteri di escape

Esiste un problema noto per le richieste di certificato SCEP e PKCS che includono un nome soggetto (CN) con uno o più dei caratteri speciali seguenti come carattere di escape. I nomi dei soggetti che includono uno dei caratteri speciali come carattere di escape generano una richiesta csr con un nome soggetto non corretto. Un nome del soggetto non corretto comporta l'esito negativo della convalida del Intune richiesta di verifica SCEP e nessun certificato emesso.

I caratteri speciali sono:

• +
• ,
• ;
• =

Quando il nome del soggetto include uno dei caratteri speciali, usare una delle opzioni seguenti per ovviare a questa limitazione:

• Incapsulare il valore CN che contiene il carattere speciale con virgolette.
• Rimuovere il carattere speciale dal valore CN.

Ad esempio, si dispone di un nome soggetto che viene visualizzato come Utente di test (TestCompany, LLC).You have a Subject Name that appears as Test user (TestCompany, LLC). Un CSR che include un CN con la virgola tra TestCompany e LLC presenta un problema. Il problema può essere evitato inserendo virgolette nell'intero CN o rimuovendo la virgola tra TestCompany e LLC:

• Aggiungere virgolette: CN="Utente di test (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
• Rimuovere la virgola: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Tuttavia, i tentativi di escape della virgola usando un carattere barra rovesciata avranno esito negativo con un errore nei log CRP:

• Virgola con caratteri di escape: CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

L'errore è simile al seguente:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Assegnare il profilo certificato

Assegnare i profili certificato SCEP allo stesso modo in cui si distribuiscono i profili di dispositivo per altri scopi.

Importante

Per usare un profilo certificato SCEP, un dispositivo deve avere ricevuto anche il profilo certificato attendibile che lo effettua il provisioning con il certificato CA radice attendibile. È consigliabile distribuire sia il profilo certificato radice attendibile che il profilo certificato SCEP negli stessi gruppi.

Prima di continuare, considerare quanto segue:

• Quando si assegnano profili certificato SCEP ai gruppi, nel dispositivo viene installato il file di certificato CA radice attendibile (come specificato nel profilo certificato attendibile). Il dispositivo usa il profilo certificato SCEP per creare una richiesta di certificato per il certificato CA radice attendibile.

• Il profilo certificato SCEP viene installato solo nei dispositivi che eseguono la piattaforma specificata al momento della creazione del profilo certificato.

• È possibile assegnare profili certificato alle raccolte utenti o alle raccolte di dispositivi.

• Per pubblicare rapidamente un certificato in un dispositivo dopo la registrazione del dispositivo, assegnare il profilo certificato a un gruppo di utenti anziché a un gruppo di dispositivi. Se si assegna a un gruppo di dispositivi, è necessaria una registrazione completa del dispositivo prima che il dispositivo riceva i criteri.

• Se si usa la co-gestione per Intune e Configuration Manager, in Configuration Manager impostare il dispositivo di scorrimento del carico di lavoro per Criteri di accesso alle risorse su Intune o Intune pilota. Questa impostazione consente ai client Windows 10/11 di avviare il processo di richiesta del certificato.

Nota

• Nei dispositivi iOS/iPadOS e macOS, quando un profilo certificato SCEP o un profilo certificato PKCS è associato a un profilo aggiuntivo, ad esempio un profilo Wi-Fi o VPN, il dispositivo riceve un certificato per ognuno di questi profili aggiuntivi. In questo modo il dispositivo ha più certificati recapitati dalla richiesta di certificato SCEP o PKCS.
• I certificati forniti da SCEP sono univoci. I certificati recapitati da PKCS sono lo stesso certificato, ma appaiono diversi perché ogni istanza del profilo è rappresentata da una riga separata nel profilo di gestione.
• In iOS 13 e macOS 10.15 sono previsti requisiti di sicurezza aggiuntivi documentati da Apple da prendere in considerazione.

Passaggi successivi

Assegnare profili

Risolvere i problemi di distribuzione dei profili certificato SCEP