Профили доверенных корневых сертификатов для Microsoft Intune

При использовании Intune для подготовки устройств с сертификатами для доступа к корпоративным ресурсам и сети используйте профиль доверенного сертификата для развертывания доверенного корневого сертификата на этих устройствах. Доверенный корневой сертификат устанавливает отношение доверия между устройством и корневым или промежуточным (выдающим) ЦС, который выдает другие сертификаты.

Профиль доверенного сертификата разворачивается для тех же устройств и пользователей, которые получают профили сертификатов для SCEP, стандартов шифрования с открытым ключом (PKCS) и импортированных PKCS.

Совет

Профили доверенных сертификатов поддерживаются для удаленных рабочих столов под управлением Windows Корпоративная с поддержкой многосеансового режима.

Экспорт доверенного корневого сертификата ЦС

Чтобы использовать импортированные сертификаты PKCS, SCEP и PKCS, устройства должны доверять корневому центру сертификации. Чтобы установить доверие, экспортируйте сертификат доверенного корневого ЦС и все промежуточные или выдавающие сертификаты центра сертификации в качестве общедоступного сертификата (.cer). Эти сертификаты можно получить из выдающего ЦС или с любого устройства, которое доверяет выдающему ЦС.

Чтобы экспортировать сертификат, обратитесь к документации по своему центру сертификации. Необходимо экспортировать общедоступный сертификат в виде файла в кодировке .cer DER. Не экспортируйте закрытый .pfx ключ, файл.

Этот .cer файл используется при создании профилей доверенных сертификатов для развертывания этого сертификата на устройствах.

Создание профилей доверенных сертификатов

Перед созданием профиля импортированного сертификата SCEP, PKCS или PKCS создайте и разверните профиль доверенного сертификата. Разверните профиль доверенного сертификата в те же группы, которые получают другие типы профилей сертификатов. Этот шаг гарантирует, что каждое устройство может распознать законность вашего ЦС, включая профили VPN, Wi-Fi и профили электронной почты.

Профили сертификатов SCEP непосредственно ссылаются на профиль доверенного сертификата. Профили сертификатов PKCS не ссылаются напрямую на профиль доверенного сертификата, но напрямую ссылаются на сервер, на котором размещен ваш ЦС. Профили импортированных сертификатов PKCS не ссылаются напрямую на профиль доверенного сертификата, но могут использовать его на устройстве. Развертывание профиля доверенного сертификата на устройствах гарантирует, что доверие будет установлено. Если устройство не доверяет корневому ЦС, политика профиля сертификата SCEP или PKCS завершается сбоем.

Создайте отдельный профиль доверенного сертификата для каждой платформы устройства, которую вы хотите поддерживать, так же, как и для профилей импортированных сертификатов SCEP, PKCS и PKCS.

Важно!

Доверенные корневые профили, создаваемые для платформы Windows 10 и более поздних версий, отображаются в Центре администрирования Microsoft Intune как профили для платформы Windows 8.1 и более поздних версий.

Это известная проблема, связанная с особенностями отображения на платформе для профилей доверенных сертификатов. Хотя профиль отображается как предназначенный для платформы Windows 8.1 и более поздней версии, он поддерживается платформой Windows 10/11.

Примечание.

Профиль Доверенный сертификат в Intune можно использовать только для предоставления корневых или промежуточных сертификатов. Целью развертывания таких сертификатов является создание цепочки доверия. Майкрософт не поддерживает использование профиля доверенного сертификата для предоставления сертификатов, отличных от корневых или промежуточных сертификатов. При выборе профиля доверенного сертификата в Центре администрирования Microsoft Intune может быть заблокирован импорт сертификатов, которые не считаются корневыми или промежуточными сертификатами. Даже если вы можете импортировать и развернуть сертификат, который не является корневым или промежуточным, с помощью этого типа профиля, скорее всего, вы получите непредвиденные результаты на различных платформах, таких как iOS и Android.

Профили доверенных сертификатов для администратора устройств Android

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Данная функция применяется к:

• Android 10 и более ранних версий на устройствах, отличных от KNOX
• Android 12 и более ранних версий на устройствах Samsung KNOX

Так как для профилей сертификатов SCEP требуется, чтобы доверенный корневой сертификат был установлен на устройстве и ссылался на профиль доверенного сертификата, который, в свою очередь, ссылается на этот сертификат, выполните следующие действия, чтобы обойти это ограничение:

1. Вручную подготовьте устройство с доверенным корневым сертификатом. Пример руководства см. в следующем разделе.

2. Разверните на устройстве профиль доверенного корневого сертификата, который ссылается на доверенный корневой сертификат, установленный на устройстве.

3. Разверните на устройстве профиль сертификата SCEP, который ссылается на профиль доверенного корневого сертификата.

Эта проблема не ограничивается профилями сертификатов SCEP. Поэтому запланируйте ручную установку доверенного корневого сертификата на соответствующих устройствах, если вы используете профили сертификатов стандартов шифрования с открытым ключом (PKCS) или этого требуют импортированные профили сертификатов PKCS.

Дополнительные сведения об изменениях в поддержке функции администратора устройств Android см. на сайте techcommunity.microsoft.com.

Подготовка устройства с доверенным корневым сертификатом вручную

Следующие рекомендации помогут вам вручную подготавливать устройства с помощью доверенного корневого сертификата.

1. Скачайте или перенесите доверенный корневой сертификат на устройство Android. Например, можно разослать сертификат пользователям устройств по электронной почте или предложить им загрузить его из безопасного расположения. После того как сертификат окажется на устройстве, его нужно будет открыть, присвоить ему имя и сохранить. При сохранении сертификат добавляется в хранилище сертификатов пользователя на устройстве.

   1. Чтобы открыть сертификат на устройстве, пользователь должен найти и открыть этот сертификат. Например, после отправки сертификата по электронной почте пользователь устройства может открыть вложение с сертификатом.
   2. Когда сертификат откроется, пользователь должен будет ввести ПИН-код или выполнить проверку подлинности на устройстве. После этого он сможет управлять сертификатом.

2. После проверки подлинности сертификат открывается — ему нужно будет присвоить имя и сохранить его в хранилище сертификатов пользователей. Имя сертификата должно совпадать с именем сертификата, который находится в профиле доверенного корневого сертификата, который отправляется на устройство. После присвоения имени сертификату его можно сохранить.

3. После сохранения сертификат готов к использованию. Пользователь может проверить, правильно ли выбрано место хранения сертификата на устройстве:

   1. Откройте Параметры>Безопасность>Доверенные учетные данные. Фактический путь к доверенным учетным данным зависит от устройства.
   2. Откройте вкладку Пользователь и найдите сертификат.
   3. Если сертификат есть в списке сертификатов пользователей, значит, он установлен правильно.

4. Установив корневой сертификат на устройстве, необходимо развернуть следующие компоненты для инициализации сертификатов SCEP или PKCS:

   • Профиль доверенного сертификата, который ссылается на этот сертификат.
   • Профиль SCEP или PKCS, который ссылается на профиль сертификата, для подготовки сертификатов SCEP или PKCS.

Создание профиля доверенного сертификата

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите и перейдитев раздел Управление >устройствами>. Настройка>создать.

   

3. Укажите следующие свойства:

   • Платформа. Выберите платформу устройств, которые должны получать этот профиль.
   • Профиль. В зависимости от выбранной платформы выберите Доверенный сертификат или Шаблоны>Доверенный сертификат.

   Важно!

   22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

   Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Профиль для доверенного сертификата для всей компании.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурации укажите .cer файл для ранее экспортированного доверенного сертификата корневого ЦС.

   Выберите конечное хранилище для доверенного сертификата из следующих вариантов расположений (это касается только устройств Windows 8.1 и Windows 10/11):

   • хранилище сертификатов на компьютере — корневое;
   • хранилище сертификатов на компьютере — промежуточное;
   • хранилище сертификатов пользователей — промежуточное.

   

8. Нажмите кнопку Далее.

9. В разделе Назначения выберите пользователя или группы, которые должны получить ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

   Нажмите кнопку Далее.

10. (Применимо только к Windows 10/11.) В разделе Правила применимости укажите правила применимости, чтобы уточнить назначение этого профиля. Вы можете как назначить, так и не назначать профиль на основе выпуска ОС или версии устройства.

    Сведения о правилах применимости см. в руководстве по созданию профиля устройства в Microsoft Intune.

11. В окне Проверка и создание проверьте параметры. При выборе "Создать" внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Дальнейшие действия

Создание профилей сертификатов:

• Настройка инфраструктуры для поддержки сертификатов SCEP с помощью Intune
• Настройка инфраструктуры сертификатов Microsoft Intune для стандартов шифрования с открытым ключом (PKCS)
• Создание профиля импортированного сертификата PKCS