Creare e assegnare profili certificato SCEP in Intune
Dopo aver configurato l'infrastruttura per supportare i certificati SCEP (Simple Certificate Enrollment Protocol), è possibile creare e quindi assegnare profili di certificato SCEP a utenti e dispositivi in Intune.
Per consentire ai dispositivi di usare un profilo certificato SCEP, devono considerare attendibile l'autorità di certificazione radice attendibile .For devices to use a SCEP certificate profile, they must trust your Trusted Root Certification Authority (CA). È consigliabile stabilire l'attendibilità della CA radice distribuendo un profilo certificato attendibile nello stesso gruppo che riceve il profilo certificato SCEP. I profili certificato attendibili effettuano il provisioning del certificato CA radice attendibile.
I dispositivi che eseguono Android Enterprise potrebbero richiedere un PIN prima che SCEP possa eseguirne il provisioning con un certificato. Per altre informazioni, vedere Requisito del PIN per Android Enterprise.
Importante
Microsoft Intune termina il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.
Nota
A partire da Android 11, i profili certificato attendibili non possono più installare il certificato radice attendibile nei dispositivi registrati come amministratore di dispositivi Android. Questa limitazione non si applica a Samsung Knox.
Per altre informazioni su questa limitazione, vedere Profili di certificato attendibili per l'amministratore di dispositivi Android.
Importante
Il 22 ottobre 2022, Microsoft Intune ha terminato il supporto per i dispositivi con Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici non sono quindi più disponibili per questi dispositivi.
Se si sta attualmente usando Windows 8.1, passare a dispositivi con Windows 10/11. Microsoft Intune offre funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.
Consiglio
I profili certificato SCEP sono supportati per i desktop remoti a più sessioni di Windows Enterprise.
Connettore di certificati di aggiornamento: requisiti di mapping sicuri per KB5014754
Si applica a:
- Windows 10
- Windows 11
- iOS
- macOS
Il Centro distribuzione chiavi (KDC) richiede che gli oggetti utente o dispositivo siano fortemente mappati ad Active Directory per l'autenticazione basata su certificato. Ciò significa che il nome alternativo soggetto (SAN) del certificato deve contenere un'estensione SID (Security Identifier) mappata al SID dell'utente o del dispositivo in Active Directory. Quando un utente o un dispositivo esegue l'autenticazione con un certificato in Active Directory, il KDC verifica che il SID sia mappato e rilasciato all'utente o al dispositivo corretto. Il requisito di mapping protegge dallo spoofing dei certificati e garantisce che l'autenticazione basata su certificato rispetto al KDC continui a funzionare.
Il mapping sicuro è necessario per tutti i certificati distribuiti da Microsoft Intune e usati per l'autenticazione basata su certificati in KDC. La soluzione di mapping avanzata è applicabile ai certificati utente in tutte le piattaforme. Per i certificati dei dispositivi, si applica solo a Microsoft Entra dispositivi Windows aggiunti a un ambiente ibrido. Se i certificati in questi scenari non soddisfano i requisiti di mapping avanzati entro la data della modalità di imposizione completa, l'autenticazione verrà negata.
Per implementare la soluzione di mapping avanzata per i certificati SCEP recapitati tramite Intune, è necessario aggiungere la OnpremisesSecurityIdentifier
variabile alla SAN nel profilo SCEP.
Questa variabile deve far parte dell'attributo URI. È possibile creare un nuovo profilo SCEP o modificarne uno esistente per aggiungere l'attributo URI.
Dopo aver aggiunto l'attributo URI e il valore al profilo del certificato, Microsoft Intune aggiunge l'attributo SAN con il tag e il SID risolto. Formattazione di esempio: tag:microsoft.com,2022-09-14:sid:<value>
a questo punto, il profilo certificato soddisfa i requisiti di mapping sicuri.
Per assicurarsi che il profilo SCEP soddisfi requisiti di mapping sicuri, creare un profilo certificato SCEP nell'interfaccia di amministrazione Microsoft Intune o modificare un profilo esistente con il nuovo attributo e il nuovo valore SAN. Come prerequisito, gli utenti e i dispositivi devono essere sincronizzati da Active Directory a Microsoft Entra ID. Per altre informazioni, vedere Modalità di sincronizzazione di oggetti e credenziali in un dominio gestito Microsoft Entra Domain Services.
Per altre informazioni sui requisiti del KDC e sulla data di imposizione per il mapping sicuro, vedere KB5014754: Modifiche all'autenticazione basata su certificati nei controller di dominio Windows .
Creare un profilo certificato SCEP
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare e passare a Dispositivi>Gestisci dispositivi>Configurazione>crea.
Immettere le proprietà seguenti:
Piattaforma: scegliere la piattaforma per il proprio dispositivo.
Profilo: selezionare Certificato SCEP. In alternativa, selezionare Modelli>certificato SCEP.
Per Android Enterprise, il tipo di profilo è suddiviso in due categorie: Profilo di lavoro completamente gestito, Dedicato e Corporate-Owned e Profilo di lavoro di proprietà personale. Assicurarsi di selezionare il profilo certificato SCEP corretto per i dispositivi gestiti.
I profili certificato SCEP per il profilo del profilo di lavoro completamente gestito, dedicato e Corporate-Owned presentano le limitazioni seguenti:
- In Monitoraggio la creazione di report dei certificati non è disponibile per i profili certificato SCEP del proprietario del dispositivo .
- Non è possibile usare Intune per revocare i certificati di cui è stato effettuato il provisioning dai profili certificato SCEP per il proprietario del dispositivo. È possibile gestire la revoca tramite un processo esterno o direttamente con l'autorità di certificazione.
- Per i dispositivi dedicati Android Enterprise, i profili certificato SCEP sono supportati per Wi-Fi configurazione di rete, VPN e autenticazione. I profili certificato SCEP nei dispositivi android enterprise dedicati non sono supportati per l'autenticazione delle app.
Per Android (AOSP) si applicano le limitazioni seguenti:
- In Monitoraggio la creazione di report dei certificati non è disponibile per i profili certificato SCEP del proprietario del dispositivo .
- Non è possibile usare Intune per revocare i certificati di cui è stato effettuato il provisioning dai profili certificato SCEP per proprietari di dispositivi. È possibile gestire la revoca tramite un processo esterno o direttamente con l'autorità di certificazione.
- I profili certificato SCEP sono supportati per Wi-Fi configurazione di rete. Il supporto del profilo di configurazione VPN non è disponibile. Un aggiornamento futuro potrebbe includere il supporto per i profili di configurazione VPN.
- Le variabili seguenti non sono disponibili per l'uso nei profili di certificato SCEP Android (AOSP). Il supporto per queste variabili verrà aggiornato in futuro.
- onPremisesSamAccountName
- OnPrem_Distinguished_Name
- Reparto
Nota
Il proprietario del dispositivo equivale ai dispositivi di proprietà dell'azienda. I seguenti sono considerati come proprietario del dispositivo:
- Android Enterprise - Profilo di lavoro completamente gestito, dedicato e Corporate-Owned
- Android AOSP
- Affinità utente
- Senza utente
Selezionare Crea.
In Informazioni di base immettere le proprietà seguenti:
- Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è profilo SCEP per l'intera azienda.
- Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
Seleziona Avanti.
In Impostazioni di configurazione completare le configurazioni seguenti:
Tipo di certificato:
(Si applica a: Android, Android Enterprise, Android (AOSP), iOS/iPadOS, macOS, Windows 8.1 e Windows 10/11)
Selezionare un tipo, a seconda di come si prevede di usare il profilo certificato:
Utente: i certificati utente possono contenere attributi sia utente che dispositivo nell'oggetto e nella SAN del certificato.
Dispositivo: i certificati del dispositivo possono contenere solo gli attributi del dispositivo nell'oggetto e nella SAN del certificato.
Usare Dispositivo per scenari come dispositivi senza utente, ad esempio chioschi multimediali o per dispositivi Windows. Nei dispositivi Windows il certificato viene inserito nell'archivio certificati del computer locale.
Nota
Archiviazione dei certificati di cui è stato effettuato il provisioning da SCEP:
macOS : i certificati di cui si esegue il provisioning con SCEP vengono sempre inseriti nel keychain di sistema (archivio di sistema) del dispositivo.
Android : i dispositivi dispongono sia di un archivio certificati VPN che di app e di un archivio certificati WIFI . Intune archivia sempre i certificati SCEP nell'archivio VPN e app in un dispositivo. L'uso della VPN e dell'archivio app rende il certificato disponibile per l'uso da parte di qualsiasi altra app.
Tuttavia, quando un certificato SCEP è associato anche a un profilo di Wi-Fi, Intune installa anche il certificato nell'archivio Wi-Fi.
Quando è configurato per le app VPN, all'utente verrà richiesto di selezionare il certificato corretto. L'approvazione del certificato invisibile all'utente per scenari completamente gestiti (o BYOD) non è supportata. Se tutti gli elementi sono configurati correttamente, il certificato corretto deve essere già preselezionato nella finestra di dialogo.
Formato del nome del soggetto:
Immettere il testo per indicare Intune come creare automaticamente il nome del soggetto nella richiesta di certificato. Le opzioni per il formato del nome soggetto dipendono dal tipo di certificato selezionato, utente o dispositivo.
Consiglio
Se la lunghezza del nome del soggetto supera i 64 caratteri, potrebbe essere necessario disabilitare l'imposizione della lunghezza dei nomi nell'autorità di certificazione interna. Per altre informazioni, vedere Disabilitare l'imposizione della lunghezza DN
Nota
Esiste un problema noto per l'uso di SCEP per ottenere i certificati quando il nome del soggetto nella richiesta di firma del certificato risultante include uno dei caratteri seguenti come carattere di escape (seguito da una barra rovesciata \):
- +
- ;
- ,
- =
Nota
A partire da Android 12, Android non supporta più l'uso dei seguenti identificatori hardware per i dispositivi del profilo di lavoro di proprietà personale :
- Numero di serie
- IMEI
- MEID
Intune profili certificato per i dispositivi del profilo di lavoro di proprietà personale che si basano su queste variabili nel nome del soggetto o nella SAN non riuscirà a effettuare il provisioning di un certificato nei dispositivi che eseguono Android 12 o versioni successive al momento della registrazione del dispositivo con Intune. I dispositivi registrati prima dell'aggiornamento ad Android 12 possono comunque ricevere certificati purché Intune ottenuto in precedenza gli identificatori hardware dei dispositivi.
Per altre informazioni su questa e altre modifiche introdotte con Android 12, vedere il post di blog Supporto di Android Day Zero per Microsoft Endpoint Manager .
Tipo di certificato utente
Usare la casella di testo per immettere un formato di nome soggetto personalizzato, inclusi testo statico e variabili. Sono supportate due opzioni di variabile: Nome comune (CN) e Email (E).
Email (E) viene in genere impostata con la variabile {{EmailAddress}}. Ad esempio: E={{EmailAddress}}
Common Name (CN) può essere impostato su una delle variabili seguenti:
- CN={{UserName}}: nome utente dell'utente, ad esempio janedoe.
- CN={{UserPrincipalName}}: nome dell'entità utente dell'utente, ad janedoe@contoso.comesempio .
- CN={{AAD_Device_ID}}: ID assegnato quando si registra un dispositivo in Microsoft Entra ID. Questo ID viene in genere usato per eseguire l'autenticazione con Microsoft Entra ID.
- CN={{DeviceId}}: ID assegnato quando si registra un dispositivo in Intune.
Nota
Evitare di usare {{DeviceId}} per il nome del soggetto nei dispositivi Windows. In alcuni casi, il certificato generato con questo nome soggetto causa l'esito negativo della sincronizzazione con Intune.
CN={{SERIALNUMBER}}: numero di serie univoco (SN) in genere usato dal produttore per identificare un dispositivo.
CN={{IMEINumber}}: numero univoco IMEI (International Mobile Equipment Identity) usato per identificare un telefono cellulare.
CN={{OnPrem_Distinguished_Name}}: sequenza di nomi distinti relativi separati da virgola, ad esempio CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.
Per usare la variabile {{OnPrem_Distinguished_Name}} :
- Assicurarsi di sincronizzare l'attributo utente onpremisesdistinguishedname usando Microsoft Entra Connettersi al Microsoft Entra ID.
- Se il valore CN contiene una virgola, il formato del nome del soggetto deve essere racchiuso tra virgolette. Ad esempio: CN="{{OnPrem_Distinguished_Name}}"
CN={{OnPremisesSamAccountName}}: gli amministratori possono sincronizzare l'attributo samAccountName da Active Directory a Microsoft Entra ID usando Microsoft Entra Connect in un attributo denominato onPremisesSamAccountName. Intune può sostituire tale variabile come parte di una richiesta di rilascio del certificato nell'oggetto di un certificato. L'attributo samAccountName è il nome di accesso utente usato per supportare client e server di una versione precedente di Windows (versione precedente a Windows 2000). Il formato del nome di accesso utente è: DomainName\testUser o solo testUser.
Per usare la variabile {{OnPremisesSamAccountName}}, assicurarsi di sincronizzare l'attributo utente OnPremisesSamAccountName usando Microsoft Entra Connetti al Microsoft Entra ID.
Tutte le variabili di dispositivo elencate nella sezione Tipo di certificato dispositivo seguente possono essere usate anche nei nomi dei soggetti del certificato utente.
Usando una combinazione di una o più di queste variabili e stringhe di testo statico, è possibile creare un formato di nome soggetto personalizzato, ad esempio : CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US
Questo esempio include un formato di nome soggetto che usa le variabili CN ed E e le stringhe per i valori Unità organizzativa, Organizzazione, Posizione, Stato e Paese. La funzione CertStrToName descrive questa funzione e le relative stringhe supportate.
Gli attributi utente non sono supportati per i dispositivi che non hanno associazioni utente, ad esempio i dispositivi registrati come Android Enterprise dedicati. Ad esempio, un profilo che usa CN={{UserPrincipalName}} nell'oggetto o san non sarà in grado di ottenere il nome dell'entità utente quando non è presente alcun utente nel dispositivo.
Tipo di certificato del dispositivo
Le opzioni di formato per il formato Nome soggetto includono le variabili seguenti:
- {{AAD_Device_ID}} o {{AzureADDeviceId}} - Entrambe le variabili possono essere usate per identificare un dispositivo in base al relativo Microsoft Entra ID.
- {{DeviceId}} - ID dispositivo Intune
- {{Device_Serial}}
- {{Device_IMEI}}
- {{SerialNumber}}
- {{IMEINumber}}
- {{WiFiMacAddress}}
- {{IMEI}}
- {{DeviceName}}
- {{FullyQualifiedDomainName}}(Applicabile solo per i dispositivi Windows e aggiunti a un dominio)
- {{MEID}}
È possibile specificare queste variabili e il testo statico nella casella di testo. Ad esempio, il nome comune per un dispositivo denominato Device1 può essere aggiunto come CN={{DeviceName}}Device1.
Importante
- Quando si specifica una variabile, racchiudere il nome della variabile tra parentesi graffe doppie {{ }} come illustrato nell'esempio, per evitare un errore.
- Le proprietà del dispositivo usate nell'oggetto o nella SAN di un certificato del dispositivo, ad esempio IMEI, SerialNumber e FullyQualifiedDomainName, sono proprietà che potrebbero essere falsificati da una persona con accesso al dispositivo.
- Un dispositivo deve supportare tutte le variabili specificate in un profilo certificato affinché tale profilo venga installato in tale dispositivo. Ad esempio, se {{IMEI}} viene usato nel nome del soggetto di un profilo SCEP e viene assegnato a un dispositivo che non ha un numero IMEI, l'installazione del profilo non riesce.
Nome alternativo soggetto:
Configurare il nome alternativo del soggetto (SAN) nella richiesta di certificato. È possibile immettere più di un nome alternativo soggetto. Il valore di testo può contenere variabili e testo statico per l'attributo.Nota
I profili Android Enterprise seguenti non supportano l'uso della variabile {{UserName}} per la SAN:
- Profilo di lavoro completamente gestito, dedicato e Corporate-Owned
Selezionare tra gli attributi SAN disponibili:
- Indirizzo di posta elettronica
- Nome dell'entità utente (UPN)
- DNS
- URI (Uniform Resource Identifier)
Il tipo di certificato scelto determina la variabile SAN.
Nota
A partire da Android 12, Android non supporta più l'uso dei seguenti identificatori hardware per i dispositivi del profilo di lavoro di proprietà personale :
- Numero di serie
- IMEI
- MEID
Intune profili certificato per i dispositivi del profilo di lavoro di proprietà personale che si basano su queste variabili nel nome del soggetto o nella SAN non riuscirà a effettuare il provisioning di un certificato nei dispositivi che eseguono Android 12 o versioni successive al momento della registrazione del dispositivo con Intune. I dispositivi registrati prima dell'aggiornamento ad Android 12 possono comunque ricevere certificati purché Intune ottenuto in precedenza gli identificatori hardware dei dispositivi.
Per altre informazioni su questa e altre modifiche introdotte con Android 12, vedere il post di blog Supporto di Android Day Zero per Microsoft Endpoint Manager .
Tipo di certificato utente
Con il tipo di certificato utente , è possibile usare una qualsiasi delle variabili di certificato utente o dispositivo descritte in precedenza nella sezione Nome soggetto.
Ad esempio, i tipi di certificato utente possono includere il nome dell'entità utente (UPN) nel nome alternativo del soggetto. Se viene usato un certificato client per l'autenticazione in un server dei criteri di rete, impostare il nome alternativo del soggetto sull'UPN.
Microsoft Intune supporta anche OnPremisesSecurityIdentifier, una variabile conforme ai requisiti di mapping sicuri del Centro distribuzione chiavi (KDC) per l'autenticazione basata su certificati. È consigliabile aggiungere la variabile ai certificati utente che eseguono l'autenticazione con il KDC. È possibile aggiungere la variabile, formattata come {{OnPremisesSecurityIdentifier}}, ai profili nuovi ed esistenti nell'interfaccia di amministrazione Microsoft Intune. Questa variabile è supportata nei certificati utente per macOS, iOS e Windows 10/11 e funziona solo con l'attributo URI.
Tipo di certificato del dispositivo
Con il tipo di certificato del dispositivo , è possibile usare una qualsiasi delle variabili descritte nella sezione Tipo di certificato dispositivo per Nome soggetto.
Per specificare un valore per un attributo, includere il nome della variabile con parentesi graffe, seguito dal testo per tale variabile. Ad esempio, è possibile aggiungere un valore per l'attributo DNS {{AzureADDeviceId}}.domain.com dove .domain.com è il testo. Per un utente denominato User1 un indirizzo Email potrebbe essere visualizzato come {{FullyQualifiedDomainName}}User1@Contoso.com.
Usando una combinazione di una o più di queste variabili e stringhe di testo statico, è possibile creare un formato di nome alternativo soggetto personalizzato, ad esempio {{NomeUtente}}-Home.
Microsoft Intune supporta anche OnPremisesSecurityIdentifier, una variabile conforme ai requisiti di mapping sicuri del Centro distribuzione chiavi (KDC) per l'autenticazione basata su certificati. È consigliabile aggiungere la variabile ai certificati del dispositivo che eseguono l'autenticazione con il KDC. È possibile aggiungere la variabile, formattata come {{OnPremisesSecurityIdentifier}}, ai profili nuovi ed esistenti nell'interfaccia di amministrazione Microsoft Intune. Questa variabile è supportata nei certificati del dispositivo per Microsoft Entra dispositivi aggiunti ibridi e funziona solo con l'attributo URI.
Importante
- Quando si usa una variabile di certificato del dispositivo, racchiudere il nome della variabile tra parentesi graffe doppie {{ }}.
- Non usare parentesi graffe { }, simboli |di pipe e punti e virgola ;, nel testo che segue la variabile.
- Le proprietà del dispositivo usate nell'oggetto o nella SAN di un certificato del dispositivo, ad esempio IMEI, SerialNumber e FullyQualifiedDomainName, sono proprietà che potrebbero essere falsificati da una persona con accesso al dispositivo.
- Un dispositivo deve supportare tutte le variabili specificate in un profilo certificato affinché tale profilo venga installato in tale dispositivo. Ad esempio, se {{IMEI}} viene usato nella SAN di un profilo SCEP e viene assegnato a un dispositivo che non dispone di un numero IMEI, l'installazione del profilo non riesce.
Periodo di validità del certificato:
È possibile immettere un valore inferiore al periodo di validità nel modello di certificato, ma non superiore. Se il modello di certificato è stato configurato per supportare un valore personalizzato che può essere impostato dall'interfaccia di amministrazione Intune, usare questa impostazione per specificare la quantità di tempo rimanente prima della scadenza del certificato.
Intune supporta un periodo di validità fino a 24 mesi.
Ad esempio, se il periodo di validità del certificato nel modello di certificato è di due anni, è possibile immettere un valore di un anno, ma non un valore di cinque anni. Il valore deve anche essere inferiore al periodo di validità rimanente del certificato della CA emittente.
Pianificare l'uso di un periodo di validità di cinque giorni o superiore. Quando il periodo di validità è inferiore a cinque giorni, esiste un'alta probabilità che il certificato entri in uno stato prossimo alla scadenza o scaduto, il che può causare il rifiuto del certificato da parte dell'agente MDM nei dispositivi prima dell'installazione.
Provider di archiviazione chiavi :Key Storage Provider (KSP):
(Si applica a: Windows 8.1 e Windows 10/11)
Specificare la posizione in cui viene archiviata la chiave del certificato. Scegliere tra i valori seguenti:
- Se presente, registrarsi al provider di servizi KSP Trusted Platform Module (TPM), in caso contrario software KSP
- Registrarsi al provider di servizi di configurazione TPM (Trusted Platform Module), in caso contrario non riesce
- Eseguire la registrazione in Windows Hello for Business, in caso contrario non riuscire (Windows 10 e versioni successive)
- Eseguire la registrazione a Software KSP
Utilizzo delle chiavi:
Selezionare le opzioni di utilizzo delle chiavi per il certificato:
- Firma digitale: consente lo scambio di chiavi solo quando una firma digitale consente di proteggere la chiave.
- Crittografia chiave: consente lo scambio di chiavi solo quando la chiave è crittografata.
Dimensioni della chiave (bit):
Selezionare il numero di bit contenuti nella chiave:
Non configurata
1024
2048
4096 - È supportata una dimensione chiave di 4096 per le piattaforme seguenti:
- Android (tutti)
- iOS/iPadOS 14 e versioni successive
- macOS 11 e versioni successive
- Windows (tutti)
Nota
Per i dispositivi Windows, l'archiviazione delle chiavi a 4096 bit è supportata solo nel provider di archiviazione chiavi software (KSP). Gli elementi seguenti non supportano l'archiviazione di chiavi di queste dimensioni:
- TPM hardware (modulo piattaforma attendibile). Come soluzione alternativa è possibile usare il KSP software per l'archiviazione delle chiavi.
- Windows Hello for Business. Al momento non è disponibile alcuna soluzione alternativa per Windows Hello for Business.
Algoritmo hash:
(Si applica ad Android, Android (AOSP), Android Enterprise, Windows 8.1 e Windows 10/11)
Selezionare uno dei tipi di algoritmo hash disponibili da usare con questo certificato. Selezionare il livello di sicurezza più sicuro supportano i dispositivi di connessione.
NOTA: i dispositivi Android AOSP e Android Enterprise selezioneranno l'algoritmo più sicuro supportato: SHA-1 verrà ignorato e verrà usato SHA-2.
Certificato radice:
Selezionare il profilo certificato attendibile configurato in precedenza e assegnato agli utenti e ai dispositivi applicabili per questo profilo certificato SCEP. Il profilo certificato attendibile viene usato per effettuare il provisioning di utenti e dispositivi con il certificato CA radice attendibile. Per informazioni sul profilo certificato attendibile, vedere Esportare il certificato CA radice attendibile e Creare profili certificato attendibili in Usare i certificati per l'autenticazione in Intune.
Nota
Se si dispone di una struttura PKI a più livelli, ad esempio un'autorità di certificazione radice e un'autorità di certificazione emittente, selezionare il profilo certificato radice attendibile di primo livello che convalida l'autorità di certificazione emittente.
Utilizzo esteso delle chiavi:
Aggiungere valori per lo scopo previsto del certificato. Nella maggior parte dei casi, il certificato richiede l'autenticazione client in modo che l'utente o il dispositivo possa eseguire l'autenticazione in un server. È possibile aggiungere altri utilizzi delle chiavi in base alle esigenze.
Soglia di rinnovo (%):
Immettere la percentuale della durata del certificato che rimane prima che il dispositivo richieda il rinnovo del certificato. Ad esempio, se si immette 20, il rinnovo del certificato verrà tentato quando il certificato è scaduto dell'80%. I tentativi di rinnovo continuano fino al completamento del rinnovo. Il rinnovo genera un nuovo certificato, che genera una nuova coppia di chiavi pubblica/privata.
Nota
Comportamento di rinnovo in iOS/iPadOS e macOS: i certificati possono essere rinnovati solo durante la fase di soglia di rinnovo. Inoltre, il dispositivo deve essere sbloccato durante la sincronizzazione con Intune. Se il rinnovo non ha avuto esito positivo, il certificato scaduto rimarrà nel dispositivo e Intune non attiva più un rinnovo. Inoltre, Intune non offre un'opzione per ridistribuire i certificati scaduti. I dispositivi interessati devono essere esclusi temporaneamente dal profilo SCEP per rimuovere il certificato scaduto e richiederne uno nuovo.
URL del server SCEP:
Immettere uno o più URL per i server NDES che emettono certificati tramite SCEP. Ad esempio, immettere qualcosa come
https://ndes.contoso.com/certsrv/mscep/mscep.dll
.Per consentire ai dispositivi su Internet di ottenere i certificati, è necessario specificare l'URL del servizio Registrazione dispositivi di rete esterno alla rete aziendale.
L'URL può essere HTTP o HTTPS. Tuttavia, per supportare i dispositivi seguenti, l'URL del server SCEP deve usare HTTPS:- Amministratore del dispositivo Android
- Proprietario del dispositivo Android Enterprise
- Profilo di lavoro di proprietà dell'azienda Android Enterprise
- Profilo di lavoro di proprietà personale di Android Enterprise
È possibile aggiungere altri URL SCEP per il bilanciamento del carico in base alle esigenze. I dispositivi effettuano tre chiamate separate al server NDES. Il primo consiste nell'ottenere le funzionalità dei server, il successivo per ottenere una chiave pubblica e quindi inviare una richiesta di firma. Quando si usano più URL, è possibile che il bilanciamento del carico comporti l'uso di un URL diverso per le chiamate successive a un server NDES. Se un server diverso viene contattato per una chiamata successiva durante la stessa richiesta, la richiesta avrà esito negativo.
Il comportamento per la gestione dell'URL del server NDES è specifico per ogni piattaforma del dispositivo:
- Android: il dispositivo esegue in modo casuale l'elenco di URL ricevuti nei criteri SCEP e quindi esegue l'elenco fino a quando non viene trovato un server NDES accessibile. Il dispositivo continua quindi a usare lo stesso URL e lo stesso server durante l'intero processo. Se il dispositivo non può accedere a nessuno dei server NDES, il processo ha esito negativo.
- iOS/iPadOS: Intune casualizza gli URL e fornisce un singolo URL a un dispositivo. Se il dispositivo non riesce ad accedere al server NDES, la richiesta SCEP ha esito negativo.
- Windows: l'elenco di URL NDES viene casuale e quindi passato al dispositivo Windows, che quindi li prova nell'ordine ricevuto, fino a quando non ne viene trovato uno disponibile. Se il dispositivo non può accedere a nessuno dei server NDES, il processo ha esito negativo.
Se un dispositivo non riesce a raggiungere correttamente lo stesso server NDES durante una delle tre chiamate al server NDES, la richiesta SCEP ha esito negativo. Ciò può verificarsi, ad esempio, quando una soluzione di bilanciamento del carico fornisce un URL diverso per la seconda o la terza chiamata al server NDES o fornisce un server NDES effettivo diverso in base a un URL virtualizzato per NDES. Dopo una richiesta non riuscita, un dispositivo ritenta il processo nel ciclo di criteri successivo, a partire dall'elenco casuale di URL NDES (o un singolo URL per iOS/iPadOS).
Questo passaggio si applica solo ai profili di dispositivi Android Enterprise per il profilo di lavoro completamente gestito, dedicato e Corporate-Owned.
In App configurare l'accesso ai certificati per gestire la modalità di concessione dell'accesso ai certificati alle applicazioni. Scegliere tra:
- Richiedi l'approvazione dell'utente per le app(impostazione predefinita): gli utenti devono approvare l'uso di un certificato da parte di tutte le applicazioni.
- Concedere in modo invisibile all'utente per app specifiche (richiedere l'approvazione dell'utente per altre app): con questa opzione selezionare Aggiungi app e quindi selezionare una o più app che useranno automaticamente il certificato senza l'interazione dell'utente.
Seleziona Avanti.
In Assegnazioni selezionare gli utenti o i gruppi che riceveranno il profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.
Seleziona Avanti.
(Si applica solo a Windows 10/11) Nelle regole di applicabilità specificare le regole di applicabilità per perfezionare l'assegnazione di questo profilo. È possibile scegliere di assegnare o meno il profilo in base all'edizione o alla versione del sistema operativo di un dispositivo.
Per altre informazioni, vedere Regole di applicabilità in Creare un profilo di dispositivo in Microsoft Intune.
In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.
Evitare le richieste di firma del certificato con caratteri speciali preceduti da caratteri di escape
Esiste un problema noto per le richieste di certificato SCEP e PKCS che includono un nome soggetto (CN) con uno o più dei caratteri speciali seguenti come carattere di escape. I nomi dei soggetti che includono uno dei caratteri speciali come carattere di escape generano una richiesta csr con un nome soggetto non corretto. Un nome del soggetto non corretto comporta l'esito negativo della convalida del Intune richiesta di verifica SCEP e nessun certificato emesso.
I caratteri speciali sono:
- +
- ,
- ;
- =
Quando il nome del soggetto include uno dei caratteri speciali, usare una delle opzioni seguenti per ovviare a questa limitazione:
- Incapsulare il valore CN che contiene il carattere speciale con virgolette.
- Rimuovere il carattere speciale dal valore CN.
Ad esempio, si dispone di un nome soggetto che viene visualizzato come Utente di test (TestCompany, LLC).You have a Subject Name that appears as Test user (TestCompany, LLC). Un CSR che include un CN con la virgola tra TestCompany e LLC presenta un problema. Il problema può essere evitato inserendo virgolette nell'intero CN o rimuovendo la virgola tra TestCompany e LLC:
- Aggiungere virgolette: CN="Utente di test (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
- Rimuovere la virgola: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com
Tuttavia, i tentativi di escape della virgola usando un carattere barra rovesciata avranno esito negativo con un errore nei log CRP:
- Virgola con caratteri di escape: CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com
L'errore è simile al seguente:
Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match
Exception: System.ArgumentException: Subject Name in CSR and challenge do not match
at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)
Exception: at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)
at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value
Assegnare il profilo certificato
Assegnare i profili certificato SCEP allo stesso modo in cui si distribuiscono i profili di dispositivo per altri scopi.
Importante
Per usare un profilo certificato SCEP, un dispositivo deve avere ricevuto anche il profilo certificato attendibile che lo effettua il provisioning con il certificato CA radice attendibile. È consigliabile distribuire sia il profilo certificato radice attendibile che il profilo certificato SCEP negli stessi gruppi.
Prima di continuare, considerare quanto segue:
Quando si assegnano profili certificato SCEP ai gruppi, nel dispositivo viene installato il file di certificato CA radice attendibile (come specificato nel profilo certificato attendibile). Il dispositivo usa il profilo certificato SCEP per creare una richiesta di certificato per il certificato CA radice attendibile.
Il profilo certificato SCEP viene installato solo nei dispositivi che eseguono la piattaforma specificata al momento della creazione del profilo certificato.
È possibile assegnare profili certificato alle raccolte utenti o alle raccolte di dispositivi.
Per pubblicare rapidamente un certificato in un dispositivo dopo la registrazione del dispositivo, assegnare il profilo certificato a un gruppo di utenti anziché a un gruppo di dispositivi. Se si assegna a un gruppo di dispositivi, è necessaria una registrazione completa del dispositivo prima che il dispositivo riceva i criteri.
Se si usa la co-gestione per Intune e Configuration Manager, in Configuration Manager impostare il dispositivo di scorrimento del carico di lavoro per Criteri di accesso alle risorse su Intune o Intune pilota. Questa impostazione consente ai client Windows 10/11 di avviare il processo di richiesta del certificato.
Nota
- Nei dispositivi iOS/iPadOS e macOS, quando un profilo certificato SCEP o un profilo certificato PKCS è associato a un profilo aggiuntivo, ad esempio un profilo Wi-Fi o VPN, il dispositivo riceve un certificato per ognuno di questi profili aggiuntivi. In questo modo il dispositivo ha più certificati recapitati dalla richiesta di certificato SCEP o PKCS.
- I certificati forniti da SCEP sono univoci. I certificati recapitati da PKCS sono lo stesso certificato, ma appaiono diversi perché ogni istanza del profilo è rappresentata da una riga separata nel profilo di gestione.
- In iOS 13 e macOS 10.15 sono previsti requisiti di sicurezza aggiuntivi documentati da Apple da prendere in considerazione.
Passaggi successivi
Risolvere i problemi di distribuzione dei profili certificato SCEP