Usare credenziali derivate con Microsoft Intune
Le credenziali derivate sono un'implementazione delle linee guida NIST (National Institute of Standards and Technology) per le credenziali PIV (Derived Personal Identity Verification) nell'ambito di Special Publication (SP) 800-157(Link apre un file di .pdf su nvlpubs.nist.gov).).
Questo articolo si applica a:
- Dispositivi Android Enterprise completamente gestiti che eseguono la versione 7.0 e successive
- iOS/iPadOS
- Windows 10
- Windows 11
Le organizzazioni che richiedono l'uso di smart card per l'autenticazione o la crittografia e la firma possono usare Intune per effettuare il provisioning dei dispositivi mobili con un certificato derivato dalla smart card di un utente. Tale certificato è denominato credenziale derivata. Intune supporta diversi emittenti di credenziali derivate, ma l'uso di un solo emittente per ogni tenant.
Informazioni sull'implementazione di Intune
Per usare Intune credenziali derivate, un amministratore Intune deve configurare il tenant in modo che funzioni con un emittente di credenziali derivate supportato. Non è necessario configurare alcuna Intune impostazioni specifiche nel sistema dell'autorità di certificazione delle credenziali derivate.
L'amministratore Intune specifica credenziali derivate come metodo di autenticazione per gli oggetti seguenti:
Per i dispositivi Android Enterprise completamente gestiti:
- Tipi di profilo comuni come Wi-Fi
- Autenticazione di app
Per iOS/iPadOS:
- Tipi di profilo comuni come Wi-Fi, VPN e Email, che include l'app di posta elettronica nativa iOS/iPadOS
- Autenticazione di app
- Firma e crittografia S/MIME
Per Windows:
- Tipi di profilo comuni come Wi-Fi e VPN
Nota
Attualmente, le credenziali derivate come metodo di autenticazione per i profili VPN non funzionano come previsto nei dispositivi Windows. Questo comportamento influisce solo sui profili VPN nei dispositivi Windows e verrà risolto in una versione futura (senza ETA).
Per Android e iOS/iPadOS, gli utenti ottengono una credenziale derivata usando la smart card in un computer per eseguire l'autenticazione all'emittente delle credenziali derivate. L'autorità di certificazione rilascia quindi al dispositivo mobile un certificato derivato dalla smart card. Per Windows, gli utenti installano un'app dal provider di credenziali derivate che installa il certificato nel dispositivo per un uso successivo. a
Dopo che un dispositivo riceve le credenziali derivate, le credenziali vengono usate per l'autenticazione e per la firma E la crittografia S/MIME quando le app o i profili di accesso alle risorse sono configurati per richiedere le credenziali derivate.
Prerequisiti
Prima di configurare il tenant per l'uso delle credenziali derivate, esaminare le informazioni seguenti.
Piattaforme supportate
Intune supporta le credenziali derivate nelle piattaforme seguenti:
- iOS/iPadOS
- Android Enterprise:
- Dispositivi completamente gestiti (versione 7.0 e successive)
- profilo di lavoro Corporate-Owned
- Windows 10
- Windows 11
Autorità di certificazione supportate
Intune supporta un singolo emittente di credenziali derivate per ogni tenant. Sono supportati gli emittenti seguenti:
- DISA Purebred: https://public.cyber.mil/pki-pke/purebred/
- Entrust: https://www.entrust.com/
- Intercede: https://www.intercede.com/
Per informazioni importanti sull'uso dei diversi emittenti, vedere le indicazioni per l'autorità emittente. Per altre informazioni, vedere Pianificare le credenziali derivate in questo articolo.
Importante
Se si elimina un'autorità di certificazione delle credenziali derivata dal tenant, le credenziali derivate configurate tramite tale autorità di certificazione non funzioneranno più.
Vedere Modificare l'autorità di certificazione delle credenziali derivate più avanti in questo articolo.
App necessarie
Pianificare la distribuzione dell'app pertinente rivolta all'utente nei dispositivi registrati per una credenziale derivata. Gli utenti del dispositivo usano l'app per avviare il processo di registrazione delle credenziali.
- I dispositivi iOS usano l'app Portale aziendale. Vedere Aggiungere app dello Store iOS a Microsoft Intune.
- I dispositivi con profilo di lavoro Android Enterprise completamente gestito e Corporate-Owned usano l'app Intune. Vedere Aggiungere app di Android Store a Microsoft Intune.
Pianificare le credenziali derivate
Comprendere le considerazioni seguenti prima di configurare un'autorità di certificazione delle credenziali derivata per Android e iOS/iPadOS.
Per i dispositivi Windows, vedere Credenziali derivate per Windows, più avanti in questo articolo.
1 - Esaminare la documentazione per l'autorità di certificazione delle credenziali derivate scelta
Prima di configurare un'autorità di certificazione, esaminare la documentazione dell'autorità di certificazione per comprendere come il sistema fornisce le credenziali derivate ai dispositivi.
A seconda dell'autorità emittente scelta, potrebbe essere necessario che il personale sia disponibile al momento della registrazione per consentire agli utenti di completare il processo. Esaminare anche le configurazioni di Intune correnti per assicurarsi che non blocchino l'accesso necessario per i dispositivi o gli utenti per completare la richiesta di credenziali.
Ad esempio, è possibile usare l'accesso condizionale per bloccare l'accesso alla posta elettronica per i dispositivi non conformi. Se si fa affidamento sulle notifiche tramite posta elettronica per informare l'utente di avviare il processo di registrazione delle credenziali derivate, gli utenti potrebbero non ricevere tali istruzioni finché non sono conformi ai criteri.
Analogamente, alcuni flussi di lavoro di richieste di credenziali derivate richiedono l'uso della fotocamera del dispositivo per analizzare un codice a matrice sullo schermo. Questo codice collega il dispositivo alla richiesta di autenticazione che si è verificata nell'autorità di certificazione delle credenziali derivate con le credenziali della smart card dell'utente. Se i criteri di configurazione del dispositivo bloccano l'uso della fotocamera, l'utente non può completare la richiesta di registrazione delle credenziali derivate.
Informazioni generali:
È possibile configurare un solo emittente per ogni tenant alla volta e tale autorità è disponibile per tutti gli utenti e i dispositivi supportati nel tenant.
Gli utenti non ricevono alcuna notifica che devono registrarsi per le credenziali derivate fino a quando non vengono usate come destinazione con un criterio che richiede credenziali derivate.
La notifica può essere tramite la notifica dell'app per il Portale aziendale, tramite posta elettronica o entrambi. Se si sceglie di usare le notifiche tramite posta elettronica e si usa l'accesso condizionale abilitato, gli utenti potrebbero non ricevere la notifica tramite posta elettronica se il dispositivo non è conforme.
Importante
Per garantire che le notifiche relative alle credenziali del dispositivo vengano ricevute correttamente dagli utenti finali, è necessario abilitare le notifiche dell'app per il Portale aziendale, le notifiche tramite posta elettronica o entrambe.
2 - Esaminare il flusso di lavoro dell'utente finale per l'emittente scelto
Di seguito sono riportate alcune considerazioni chiave per ogni partner supportato. Acquisire familiarità con queste informazioni per assicurarsi che i criteri di Intune e le configurazioni non impediscono a utenti e dispositivi di completare correttamente la registrazione per una credenziale derivata da tale autorità di certificazione.
DISA Purebred
Esaminare il flusso di lavoro utente specifico della piattaforma per i dispositivi che verranno usati con le credenziali derivate.
- iOS e iPadOS
- Android Enterprise - Profilo di lavoro di proprietà dell'azienda o dispositivi completamente gestiti
I requisiti principali includono:
Gli utenti devono accedere a un computer o a UN CHIOSCO in cui possono usare la smart card per eseguire l'autenticazione all'emittente.
I dispositivi iOS e iPadOS che verranno registrati per una credenziale derivata devono installare l'app Portale aziendale Intune. I dispositivi Android Completamente gestiti e Corporate-Owned Profilo di lavoro devono installare e usare l'app Intune.
Usare Intune per distribuire l'app DISA Purebred nei dispositivi che verranno registrati per una credenziale derivata. Questa app deve essere distribuita tramite Intune in modo che sia gestita e possa quindi funzionare con l'app Portale aziendale Intune o Intune app, usata dagli utenti del dispositivo per completare la richiesta di credenziali derivate.
Per recuperare una credenziale derivata dall'app Purebred, il dispositivo deve avere accesso alla rete locale. L'accesso può essere tramite Wi-Fi aziendale o VPN.
Gli utenti del dispositivo devono lavorare con un agente live durante il processo di registrazione. Durante la registrazione, all'utente vengono forniti passcode una tantum limitati nel tempo mentre continuano il processo di registrazione.
Quando vengono apportate modifiche a un criterio che usa credenziali derivate, ad esempio la creazione di un nuovo profilo di Wi-Fi, gli utenti di iOS e iPadOS ricevono una notifica per aprire l'app Portale aziendale.
Gli utenti ricevono una notifica per aprire l'app applicabile quando devono rinnovare le credenziali derivate.
Il processo di rinnovo si verifica come segue:
- L'autorità di certificazione delle credenziali derivate deve rilasciare certificati nuovi o aggiornati prima che i certificati precedenti siano dell'80% del periodo di validità.
- Il dispositivo effettua il check-in durante il periodo di rinnovo (l'ultimo 20% del periodo di validità).
- Microsoft Intune notifica all'utente tramite posta elettronica o una notifica dell'app per avviare il Portale aziendale.
- L'utente avvia il Portale aziendale e tocca la notifica delle credenziali derivate e quindi i certificati delle credenziali derivate vengono copiati nel dispositivo.
Per informazioni su come ottenere e configurare l'app DISA Purebred, vedere Distribuire l'app DISA Purebred più avanti in questo articolo.
Affidare
Esaminare il flusso di lavoro utente specifico della piattaforma per i dispositivi che verranno usati con le credenziali derivate.
- iOS e iPadOS
- Android Enterprise- Profilo di lavoro di proprietà dell'azienda o dispositivi completamente gestiti
I requisiti principali includono:
Gli utenti devono accedere a un computer o a UN CHIOSCO in cui possono usare la smart card per eseguire l'autenticazione all'emittente.
I dispositivi iOS e iPadOS che verranno registrati per una credenziale derivata devono installare l'app Portale aziendale Intune. I dispositivi Android Completamente gestiti e Corporate-Owned Profilo di lavoro devono installare e usare l'app Intune.
Uso di una fotocamera del dispositivo per analizzare un codice a matrice che collega la richiesta di autenticazione alla richiesta di credenziali derivata dal dispositivo mobile.
Agli utenti viene richiesto dall'app Portale aziendale o tramite posta elettronica di registrare le credenziali derivate.
Quando vengono apportate modifiche a un criterio che usa credenziali derivate, ad esempio la creazione di un nuovo profilo di Wi-Fi:
- iOS e iPadOS: agli utenti viene notificata l'apertura dell'app Portale aziendale.
- Profilo di lavoro aziendaleAndroid Enterprise o dispositivi completamente gestiti: l'app Portale aziendale non deve essere aperta.
Gli utenti ricevono una notifica per aprire l'app applicabile quando devono rinnovare le credenziali derivate.
Il processo di rinnovo si verifica come segue:
- L'autorità di certificazione delle credenziali derivate deve rilasciare certificati nuovi o aggiornati prima che i certificati precedenti siano dell'80% del periodo di validità.
- Il dispositivo effettua il check-in durante il periodo di rinnovo (l'ultimo 20% del periodo di validità).
- Microsoft Intune notifica all'utente tramite posta elettronica o una notifica dell'app per avviare il Portale aziendale.
- L'utente avvia il Portale aziendale e tocca la notifica delle credenziali derivate e quindi i certificati delle credenziali derivate vengono copiati nel dispositivo
Intercedere
Esaminare il flusso di lavoro utente specifico della piattaforma per i dispositivi che verranno usati con le credenziali derivate.
- iOS e iPadOS
- Android Enterprise - Profilo di lavoro di proprietà dell'azienda o dispositivi completamente gestiti
I requisiti principali includono:
Gli utenti devono accedere a un computer o a UN CHIOSCO in cui possono usare la smart card per eseguire l'autenticazione all'emittente.
I dispositivi iOS e iPadOS che verranno registrati per una credenziale derivata devono installare l'app Portale aziendale Intune. I dispositivi Android Completamente gestiti e Corporate-Owned Profilo di lavoro devono installare e usare l'app Intune.
Uso di una fotocamera del dispositivo per analizzare un codice a matrice che collega la richiesta di autenticazione alla richiesta di credenziali derivata dal dispositivo mobile.
Agli utenti viene richiesto dall'app Portale aziendale o tramite posta elettronica di registrare le credenziali derivate.
Quando vengono apportate modifiche a un criterio che usa credenziali derivate, ad esempio la creazione di un nuovo profilo di Wi-Fi:
- iOS e iPadOS: agli utenti viene notificata l'apertura dell'app Portale aziendale.
- Profilo di lavoro aziendaleAndroid Enterprise o dispositivi completamente gestiti: l'app Portale aziendale non deve essere aperta.
Gli utenti ricevono una notifica per aprire l'app applicabile quando devono rinnovare le credenziali derivate.
Il processo di rinnovo si verifica come segue:
- L'autorità di certificazione delle credenziali derivate deve rilasciare certificati nuovi o aggiornati prima che i certificati precedenti siano dell'80% del periodo di validità.
- Il dispositivo effettua il check-in durante il periodo di rinnovo (l'ultimo 20% del periodo di validità).
- Microsoft Intune notifica all'utente tramite posta elettronica o una notifica dell'app per avviare il Portale aziendale.
- L'utente avvia il Portale aziendale e tocca la notifica delle credenziali derivate e quindi i certificati delle credenziali derivate vengono copiati nel dispositivo
3 - Distribuire un certificato radice attendibile nei dispositivi
Un certificato radice attendibile viene usato con le credenziali derivate per verificare che la catena di certificati delle credenziali derivate sia valida e attendibile. Anche se i criteri non fanno riferimento direttamente, è necessario un certificato radice attendibile. Vedere Configurare un profilo certificato per i dispositivi in Microsoft Intune.
4 - Fornire istruzioni per l'utente finale su come ottenere le credenziali derivate
Creare e fornire indicazioni agli utenti su come avviare il processo di registrazione delle credenziali derivate e esplorare il flusso di lavoro di registrazione delle credenziali derivate per l'autorità emittente scelta.
È consigliabile specificare un URL che ospita le indicazioni. Questo URL viene specificato quando si configura l'autorità di certificazione delle credenziali derivate per il tenant e tale URL viene reso disponibile dall'interno dell'app Portale aziendale. Se non si specifica un URL personalizzato, Intune fornisce un collegamento a dettagli generici. Questi dettagli non possono coprire tutti gli scenari e potrebbero non essere corretti per l'ambiente.
5 - Distribuire criteri di Intune che richiedono credenziali derivate
Creare nuovi criteri o modificare i criteri esistenti per usare le credenziali derivate. Le credenziali derivate sostituiscono altri metodi di autenticazione per gli oggetti seguenti:
- Autenticazione di app
- Wi-Fi
- VPN
- Email (solo iOS)
- Firma e crittografia S/MIME, incluso Outlook (solo iOS)
Evitare di richiedere l'uso di credenziali derivate per accedere a un processo che verrà usato come parte del processo per ottenere le credenziali derivate, in quanto ciò può impedire agli utenti di completare la richiesta.
Configurare un'autorità di certificazione delle credenziali derivata
Prima di creare criteri che richiedono l'uso di credenziali derivate, configurare un'autorità di certificazione delle credenziali nell'interfaccia di amministrazione Microsoft Intune. Un'autorità di certificazione delle credenziali derivata è un'impostazione a livello di tenant. I tenant supportano solo un singolo emittente alla volta.
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
SelezionareConnettori diamministrazione> tenant e token >Credenziali derivate.
Specificare un nome visualizzato descrittivo per i criteri di autorità di certificazione delle credenziali derivate. Questo nome non viene visualizzato agli utenti del dispositivo.
Per Autorità di certificazione credenziali derivate selezionare l'emittente di credenziali derivate scelto per il tenant:
- DISA Purebred (solo iOS)
- Affidare
- Intercedere
Specificare un URL della Guida credenziali derivate per fornire un collegamento a un percorso che include istruzioni personalizzate per consentire agli utenti di ottenere le credenziali derivate per l'organizzazione. Le istruzioni devono essere specifiche per l'organizzazione e per il flusso di lavoro necessario per ottenere le credenziali dall'autorità di certificazione scelta. Il collegamento viene visualizzato nell'app Portale aziendale e deve essere accessibile dal dispositivo.
Se non si specifica un URL personalizzato, Intune fornisce un collegamento a dettagli generici che non possono coprire tutti gli scenari. Queste indicazioni generiche potrebbero non essere corrette per l'ambiente.
Selezionare una o più opzioni per Tipo di notifica. I tipi di notifica sono i metodi usati per informare gli utenti sugli scenari seguenti:
- Registrare un dispositivo con un'autorità di certificazione per ottenere una nuova credenziale derivata.
- Ottenere una nuova credenziale derivata quando le credenziali correnti sono vicine alla scadenza.
- Usare credenziali derivate con un oggetto supportato.
Quando è pronto, selezionare Salva per completare la configurazione dell'autorità di certificazione delle credenziali derivate.
Dopo aver salvato la configurazione, è possibile apportare modifiche a tutti i campi, ad eccezione dell'autorità di certificazione delle credenziali derivate. Per modificare l'autorità di certificazione, vedere Modificare l'autorità di certificazione delle credenziali derivate.
Distribuire l'app DISA Purebred
Questa sezione si applica solo quando si usa DISA Purebred.
Per usare DISA Purebred come emittente di credenziali derivate per Intune, è necessario ottenere l'app DISA Purebred e quindi usare Intune per distribuire l'app nei dispositivi. Gli utenti richiedono quindi le credenziali derivate da DISA Purebred usando l'app Portale aziendale nel dispositivo iOS/iPadOS o l'app Intune nei dispositivi Android.
Oltre a distribuire l'app DISA Purebred con Intune, il dispositivo deve avere accesso alla rete locale. Per fornire questo accesso, è consigliabile usare una VPN o un Wi-Fi aziendale.
Completare le attività seguenti:
Scaricare l'applicazione DISA Purebred: https://cyber.mil/pki-pke/purebred/.
Distribuire l'applicazione DISA Purebred in Intune.
- Vedere Aggiungere un'app line-of-business iOS a Microsoft Intune.
- Vedere Aggiungere un'app line-of-business Android a Microsoft Intune
Potrebbero essere necessarie impostazioni aggiuntive per l'app Purebred. Rivolgersi all'agente Purebred per comprendere quali valori devono essere inclusi nei criteri oppure se è disponibile una scheda di accesso comune (CAC) rilasciata da DoD, è possibile accedere alla documentazione di Purebred online all'indirizzo https://cyber.mil/pki-pke/purebred/.
Se si sceglie di usare una VPN per app per l'applicazione DISA Purebred, vedere Creare una VPN per app.
Usare le credenziali derivate per l'autenticazione e la firma e la crittografia S/MIME
È possibile specificare credenziali derivate per i tipi di profilo e gli scopi seguenti:
Email:
VPN:
Wi-Fi:
Per i profili Wi-Fi, il metodo di autenticazione è disponibile solo quando il tipo EAP è impostato su uno dei valori seguenti:
- EAP - TLS
- EAP-TTLS
- PEAP
Usare le credenziali derivate per l'autenticazione dell'app
Usare le credenziali derivate per l'autenticazione basata su certificati per siti Web e applicazioni. Per distribuire una credenziale derivata per l'autenticazione dell'app:
Accedere all'Interfaccia di amministrazione di Microsoft Intune.
Selezionare Dispositivi> Gestisciconfigurazione>dispositivi> Nella scheda Criteri selezionare + Crea.
Utilizzare le seguenti impostazioni:
Per iOS e iPadOS:
- Per Piattaforma. selezionare iOS/iPadOS e quindi per Tipo di profilo selezionare Modelli > credenziali derivate. Selezionare Crea per continuare.
- In Nome immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è Credenziali derivate per il profilo dei dispositivi iOS.
- In Descrizione immettere una descrizione che fornisce una panoramica dell'impostazione e altri dettagli importanti.
Per Android Enterprise:
- Per Piattaforma. selezionare Android Enterprise e quindi in Tipo di profilo, in Completamente gestito, Dedicato e Corporate-Owned Profilo di lavoro selezionare Credenziali derivate. Selezionare Crea per continuare.
- In Nome immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è Credenziali derivate per il profilo dei dispositivi Android Enterprise.
- In Descrizione immettere una descrizione che fornisce una panoramica dell'impostazione e altri dettagli importanti.
- Nella pagina App configurare l'accesso ai certificati per gestire la modalità di concessione dell'accesso ai certificati alle applicazioni. Scegliere tra:
- Richiedi l'approvazione dell'utente per le app(impostazione predefinita): gli utenti devono approvare l'uso di un certificato da parte di tutte le applicazioni.
- Concedere in modo invisibile all'utente per app specifiche (richiedere l'approvazione dell'utente per altre app): con questa opzione selezionare Aggiungi app e quindi selezionare una o più app che useranno automaticamente il certificato senza l'interazione dell'utente.
Nella pagina Assegnazioni selezionare i gruppi che devono ricevere i criteri.
Al termine, selezionare Crea per creare il profilo Intune. Al termine, il profilo viene visualizzato nell'elenco Dispositivi - Profili di configurazione .
Gli utenti ricevono l'app o la notifica tramite posta elettronica a seconda delle impostazioni specificate durante la configurazione dell'autorità di certificazione delle credenziali derivate. La notifica informa l'utente di avviare il Portale aziendale in modo che i criteri delle credenziali derivate possano essere elaborati.
Credenziali derivate per Windows
È possibile usare i certificati derivati come metodo di autenticazione per Wi-Fi e profili VPN nei dispositivi Windows. Gli stessi provider supportati dai dispositivi Android e iOS/iPadOS sono supportati come provider per Windows:
- DISA Purebred
- Affidare
- Intercedere
Nota
Attualmente, le credenziali derivate come metodo di autenticazione per i profili VPN non funzionano come previsto nei dispositivi Windows. Questo comportamento influisce solo sui profili VPN nei dispositivi Windows e verrà risolto in una versione futura (senza ETA).
Per Windows, gli utenti non usano un processo di registrazione delle smart card per ottenere un certificato da usare come credenziale derivata. L'utente deve invece installare l'app per Windows, ottenuta dal provider di credenziali derivate. Per usare le credenziali derivate con Windows, completare le configurazioni seguenti:
Installare l'app dai provider di credenziali derivate nel dispositivo Windows.
Quando si installa l'app di Windows da un provider di credenziali derivato in un dispositivo Windows, il certificato derivato viene aggiunto all'archivio certificati Windows di tale dispositivo. Dopo l'aggiunta del certificato al dispositivo, diventa disponibile per l'uso di un metodo di autenticazione delle credenziali derivato.
Dopo aver ottenuto l'app dal provider scelto, l'app può essere distribuita agli utenti o installata direttamente dall'utente del dispositivo.
Configurare i profili Wi-Fi e VPN per l'uso delle credenziali derivate come metodo di autenticazione.
Quando si configura un profilo di Windows per Wi-Fi o VPN, selezionare Credenziali derivate per Metodo di autenticazione. Con questa configurazione, il profilo usa il certificato che viene installato nel dispositivo quando è stata installata l'app del provider.
Rinnovare una credenziale derivata
Le credenziali derivate per i dispositivi Android o iOS/iPadOS non possono essere estese o rinnovate. Gli utenti devono invece usare il flusso di lavoro della richiesta di credenziali per richiedere una nuova credenziale derivata per il dispositivo. Per i dispositivi Windows, consultare la documentazione relativa all'app del provider di credenziali derivate.
Se si configura uno o più metodi per il tipo di notifica, Intune notifica automaticamente agli utenti quando le credenziali derivate correnti raggiungono l'80% dell'intervallo di vita. La notifica indica agli utenti di eseguire il processo di richiesta delle credenziali per ottenere una nuova credenziale derivata.
Dopo che un dispositivo riceve una nuova credenziale derivata, i criteri che usano le credenziali derivate vengono ridistribuiti in tale dispositivo.
Modificare l'autorità di certificazione delle credenziali derivate
A livello di tenant, è possibile modificare l'autorità di certificazione delle credenziali, anche se un solo emittente è supportato da un tenant alla volta.
Dopo aver modificato l'autorità di certificazione, agli utenti viene richiesto di ottenere una nuova credenziale derivata dal nuovo emittente. Devono farlo prima di poter usare credenziali derivate per l'autenticazione.
Modificare l'autorità di certificazione per il tenant
Importante
Se si elimina un'autorità di certificazione e si riconfigura immediatamente lo stesso emittente, è comunque necessario aggiornare i profili e i dispositivi per usare le credenziali derivate da tale autorità di certificazione. Le credenziali derivate ottenute prima dell'eliminazione dell'autorità di certificazione non sono più valide.
- Accedere all'Interfaccia di amministrazione di Microsoft Intune.
- SelezionareConnettori diamministrazione> tenant e token >Credenziali derivate.
- Selezionare Elimina per rimuovere l'autorità di certificazione delle credenziali derivate corrente.
- Configurare una nuova autorità di certificazione.
Aggiornare i profili che usano credenziali derivate
Dopo aver eliminato un'autorità di certificazione e quindi averne aggiunta una nuova, modificare ogni profilo che usa le credenziali derivate. Questa regola si applica anche se si ripristina l'autorità di certificazione precedente. Qualsiasi modifica del profilo attiva un aggiornamento, inclusa una semplice modifica alla descrizione del profilo.
Aggiornare le credenziali derivate nei dispositivi
Dopo aver eliminato un'autorità di certificazione e aver aggiunto una nuova istanza, gli utenti del dispositivo devono richiedere una nuova credenziale derivata. Questa regola si applica anche quando si aggiunge lo stesso emittente rimosso. Il processo per richiedere le nuove credenziali derivate è lo stesso di per la registrazione di un nuovo dispositivo o il rinnovo di credenziali esistenti.