SCEP-certificaatprofielen maken en toewijzen in Intune
Nadat u uw infrastructuur hebt geconfigureerd om SCEP-certificaten (Simple Certificate Enrollment Protocol) te ondersteunen, kunt u SCEP-certificaatprofielen maken en vervolgens toewijzen aan gebruikers en apparaten in Intune.
Voor apparaten die een SCEP-certificaatprofiel kunnen gebruiken, moeten ze uw vertrouwde basiscertificeringsinstantie (CA) vertrouwen. Vertrouwen van de basis-CA kan het beste tot stand worden gebracht door een vertrouwd certificaatprofiel te implementeren in dezelfde groep die het SCEP-certificaatprofiel ontvangt. Met vertrouwde certificaatprofielen wordt het vertrouwde basis-CA-certificaat ingericht.
Voor apparaten met Android Enterprise is mogelijk een pincode vereist voordat SCEP ze kan inrichten met een certificaat. Zie Pincodevereiste voor Android Enterprise voor meer informatie.
Belangrijk
Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.
Opmerking
Vanaf Android 11 kunnen vertrouwde certificaatprofielen het vertrouwde basiscertificaat niet meer installeren op apparaten die zijn ingeschreven als Android-apparaatbeheerder. Deze beperking is niet van toepassing op Samsung Knox.
Zie Vertrouwde certificaatprofielen voor Android-apparaatbeheerder voor meer informatie over deze beperking.
Belangrijk
Op 22 oktober 2022 Microsoft Intune de ondersteuning beëindigd voor apparaten met Windows 8.1. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.
Als je momenteel Windows 8.1 gebruikt, ga je naar Windows 10/11-apparaten. Microsoft Intune heeft ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.
Tip
SCEP-certificaatprofielen worden ondersteund voor externe bureaubladen met meerdere sessies in Windows Enterprise.
Certificaatconnector bijwerken: vereisten voor sterke toewijzing voor KB5014754
Van toepassing op:
- Windows 10
- Windows 11
- iOS
- macOS
Het Key Distribution Center (KDC) vereist dat gebruikers- of apparaatobjecten sterk worden toegewezen aan Active Directory voor verificatie op basis van certificaten. Dit betekent dat de alternatieve onderwerpnaam (SAN) van het certificaat een SID-extensie (Security Identifier) moet bevatten die is toegewezen aan de gebruikers- of apparaat-SID in Active Directory. Wanneer een gebruiker of apparaat wordt geverifieerd met een certificaat in Active Directory, controleert de KDC op de SID om te controleren of het certificaat is toegewezen en uitgegeven aan de juiste gebruiker of het juiste apparaat. De toewijzingsvereiste beschermt tegen adresvervalsing van certificaten en zorgt ervoor dat verificatie op basis van certificaten voor de KDC blijft werken.
Sterke toewijzing is vereist voor alle certificaten die door Microsoft Intune zijn geïmplementeerd en worden gebruikt voor verificatie op basis van certificaten voor KDC. De oplossing voor sterke toewijzing is van toepassing op gebruikerscertificaten op alle platforms. Voor apparaatcertificaten geldt dit alleen voor Microsoft Entra hybride gekoppelde Windows-apparaten. Als certificaten in deze scenario's niet voldoen aan de vereisten voor sterke toewijzing op de datum van de volledige afdwingingsmodus, wordt verificatie geweigerd.
Als u de sterke toewijzingsoplossing wilt implementeren voor SCEP-certificaten die via Intune worden geleverd, moet u de OnpremisesSecurityIdentifier
variabele toevoegen aan het SAN in het SCEP-profiel.
Deze variabele moet deel uitmaken van het URI-kenmerk. U kunt een nieuw SCEP-profiel maken of een bestaand profiel bewerken om het URI-kenmerk toe te voegen.
Nadat u het URI-kenmerk en de waarde aan het certificaatprofiel hebt toegevoegd, voegt Microsoft Intune het SAN-kenmerk toe met de tag en de opgeloste SID. Voorbeeldopmaak: tag:microsoft.com,2022-09-14:sid:<value>
Op dit moment voldoet het certificaatprofiel aan de vereisten voor sterke toewijzing.
Als u ervoor wilt zorgen dat uw SCEP-profiel voldoet aan de vereisten voor sterke toewijzingen, maakt u een SCEP-certificaatprofiel in het Microsoft Intune-beheercentrum of wijzigt u een bestaand profiel met het nieuwe SAN-kenmerk en de nieuwe waarde. Gebruikers en apparaten moeten vanuit Active Directory worden gesynchroniseerd met Microsoft Entra ID. Zie Hoe objecten en referenties worden gesynchroniseerd in een Microsoft Entra Domeinservices beheerd domein voor meer informatie.
Zie KB5014754: Verificatiewijzigingen op basis van certificaten op Windows-domeincontrollers voor meer informatie over de vereisten van de KDC en de afdwingingsdatum voor sterke toewijzing.
Een SCEP-certificaatprofiel maken
Meld je aan bij het Microsoft Intune-beheercentrum.
Selecteer en ga naar Apparaten>Apparaten beheren>Configuratie>maken.
Geef de volgende eigenschappen op:
Platform: kies het platform van uw apparaten.
Profiel: selecteer SCEP-certificaat. Of selecteerSCEP-certificaatsjablonen>.
Voor Android Enterprise is profieltype onderverdeeld in twee categorieën: Volledig beheerd, Toegewezen en Corporate-Owned Werkprofiel en Werkprofiel in persoonlijk eigendom. Zorg ervoor dat u het juiste SCEP-certificaatprofiel selecteert voor de apparaten die u beheert.
SCEP-certificaatprofielen voor het volledig beheerde, toegewezen en Corporate-Owned werkprofiel hebben de volgende beperkingen:
- Onder Bewaking is certificaatrapportage niet beschikbaar voor SCEP-certificaatprofielen van apparaateigenaar .
- U kunt Intune niet gebruiken om certificaten in te trekken die zijn ingericht door SCEP-certificaatprofielen voor Apparaateigenaar. U kunt intrekking beheren via een extern proces of rechtstreeks met de certificeringsinstantie.
- Voor toegewezen Android Enterprise-apparaten worden SCEP-certificaatprofielen ondersteund voor Wi-Fi netwerkconfiguratie, VPN en verificatie. SCEP-certificaatprofielen op toegewezen Android Enterprise-apparaten worden niet ondersteund voor app-verificatie.
Voor Android (AOSP) gelden de volgende beperkingen:
- Onder Bewaking is certificaatrapportage niet beschikbaar voor SCEP-certificaatprofielen van apparaateigenaar .
- U kunt Intune niet gebruiken om certificaten in te trekken die zijn ingericht door SCEP-certificaatprofielen voor apparaateigenaren. U kunt intrekking beheren via een extern proces of rechtstreeks met de certificeringsinstantie.
- SCEP-certificaatprofielen worden ondersteund voor Wi-Fi netwerkconfiguratie. Ondersteuning voor VPN-configuratieprofielen is niet beschikbaar. Een toekomstige update kan ondersteuning bieden voor VPN-configuratieprofielen.
- De volgende variabelen zijn niet beschikbaar voor gebruik op SCEP-certificaatprofielen voor Android (AOSP). Ondersteuning voor deze variabelen komt in een toekomstige update.
- onPremisesSamAccountName
- OnPrem_Distinguished_Name
- Department
Opmerking
Apparaateigenaar is gelijk aan apparaten in bedrijfseigendom. De volgende worden beschouwd als apparaateigenaar:
- Android Enterprise - Volledig beheerd, toegewezen en Corporate-Owned werkprofiel
- Android AOSP
- Gebruikersaffiniteit
- Gebruikerloos
Selecteer Maken.
Voer in Basisinformatie de volgende eigenschappen in:
- Naam: een unieke beschrijvende naam voor het beleid. Geef uw profielen een naam zodat u ze later gemakkelijk kunt identificeren. Een goede profielnaam is bijvoorbeeld SCEP-profiel voor het hele bedrijf.
- Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
Selecteer Volgende.
Voer in Configuratie-instellingen de volgende configuraties uit:
Certificaattype:
(Van toepassing op: Android, Android Enterprise, Android (AOSP), iOS/iPadOS, macOS, Windows 8.1 en Windows 10/11)
Selecteer een type, afhankelijk van hoe u het certificaatprofiel wilt gebruiken:
Gebruiker: Gebruikerscertificaten kunnen zowel gebruikers- als apparaatkenmerken bevatten in het onderwerp en de SAN van het certificaat.
Apparaat: Apparaatcertificaten kunnen alleen apparaatkenmerken bevatten in het onderwerp en de SAN van het certificaat.
Gebruik Apparaat voor scenario's zoals apparaten die geen gebruiker gebruiken, zoals kiosken of voor Windows-apparaten. Op Windows-apparaten wordt het certificaat in het certificaatarchief van de lokale computer geplaatst.
Opmerking
Opslag van certificaten die zijn ingericht door SCEP:
macOS : certificaten die u met SCEP inricht, worden altijd in de systeemsleutelhanger (systeemarchief) van het apparaat geplaatst.
Android : apparaten hebben zowel een VPN- en apps-certificaatarchief als een WIFI-certificaatarchief . Intune slaat SCEP-certificaten altijd op in het VPN- en apps-archief op een apparaat. Het gebruik van het VPN- en apps-archief maakt het certificaat beschikbaar voor gebruik door elke andere app.
Wanneer een SCEP-certificaat echter ook is gekoppeld aan een Wi-Fi-profiel, installeert Intune het certificaat ook in het Wi-Fi-archief.
Wanneer deze is geconfigureerd voor VPN-apps, wordt de gebruiker gevraagd het juiste certificaat te selecteren. Goedkeuring van stille certificaten voor volledig beheerde (of BYOD-scenario's) wordt niet ondersteund. Als alles correct is ingesteld, moet het juiste certificaat al vooraf zijn geselecteerd in het dialoogvenster.
Indeling van de onderwerpnaam:
Voer tekst in om Intune te laten weten hoe u automatisch de onderwerpnaam in de certificaataanvraag maakt. Opties voor de indeling van de onderwerpnaam zijn afhankelijk van het certificaattype dat u selecteert, gebruiker of apparaat.
Tip
Als de lengte van uw onderwerpnaam langer is dan 64 tekens, moet u mogelijk het afdwingen van de naamlengte uitschakelen bij uw interne certificeringsinstantie. Zie Het afdwingen van DN-lengte uitschakelen voor meer informatie
Opmerking
Er is een bekend probleem met het gebruik van SCEP om certificaten op te halen wanneer de onderwerpnaam in de resulterende aanvraag voor certificaatondertekening (CSR) een van de volgende tekens bevat als een escaped teken (gevolgd door een backslash \):
- +
- ;
- ,
- =
Opmerking
Vanaf Android 12 biedt Android geen ondersteuning meer voor het gebruik van de volgende hardware-id's voor apparaten met een werkprofiel in persoonlijk eigendom :
- Serienummer
- IMEI
- MEID
Intune certificaatprofielen voor apparaten met een werkprofiel in persoonlijk eigendom die afhankelijk zijn van deze variabelen in de onderwerpnaam of san, kunnen geen certificaat inrichten op apparaten waarop Android 12 of hoger wordt uitgevoerd op het moment dat het apparaat is ingeschreven met Intune. Apparaten die zijn ingeschreven voordat ze een upgrade naar Android 12 hebben uitgevoerd, kunnen nog steeds certificaten ontvangen zolang Intune eerder de hardware-id's van het apparaat hebben verkregen.
Zie het blogbericht Android Day Zero Support for Microsoft Endpoint Manager voor meer informatie over deze en andere wijzigingen die zijn geïntroduceerd met Android 12.
Gebruikerscertificaattype
Gebruik het tekstvak om een aangepaste indeling voor de onderwerpnaam in te voeren, inclusief statische tekst en variabelen. Er worden twee variabeleopties ondersteund: Common Name (CN) en Email (E).
Email (E) wordt meestal ingesteld met de variabele {{EmailAddress}} . Bijvoorbeeld: E={{EmailAddress}}
Common Name (CN) kan worden ingesteld op een van de volgende variabelen:
- CN={{UserName}}: de gebruikersnaam van de gebruiker, zoals janedoe.
- CN={{UserPrincipalName}}: de user principal name van de gebruiker, zoals janedoe@contoso.com.
- CN={{AAD_Device_ID}}: een id die is toegewezen wanneer u een apparaat registreert in Microsoft Entra ID. Deze id wordt doorgaans gebruikt voor verificatie met Microsoft Entra ID.
- CN={{DeviceId}}: een id die is toegewezen wanneer u een apparaat inschrijft bij Intune.
Opmerking
Vermijd het gebruik van {{DeviceId}} voor onderwerpnaam op Windows-apparaten. In bepaalde gevallen mislukt het certificaat dat is gegenereerd met deze onderwerpnaam, de synchronisatie met Intune.
CN={SERIALNUMBER}}: het unieke serienummer (SN) dat doorgaans door de fabrikant wordt gebruikt om een apparaat te identificeren.
CN={{IMEINumber}}: het unieke IMEI-nummer (International Mobile Equipment Identity) dat wordt gebruikt om een mobiele telefoon te identificeren.
CN={{OnPrem_Distinguished_Name}}: een reeks relatieve DN-namen gescheiden door komma's, zoals CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.
De variabele {{OnPrem_Distinguished_Name}} gebruiken:
- Zorg ervoor dat u het gebruikerskenmerk onpremisesdistinguishedname synchroniseert met behulp van Microsoft Entra Verbinding maken met uw Microsoft Entra ID.
- Als de CN-waarde een komma bevat, moet de indeling van de onderwerpnaam tussen aanhalingstekens staan. Bijvoorbeeld: CN="{{OnPrem_Distinguished_Name}}"
CN={{OnPremisesSamAccountName}}: Beheerders kunnen het kenmerk samAccountName van Active Directory synchroniseren met Microsoft Entra ID met behulp van Microsoft Entra Connect in een kenmerk met de naam onPremisesSamAccountName. Intune kunt deze variabele vervangen als onderdeel van een certificaatuitgifteaanvraag in het onderwerp van een certificaat. Het kenmerk samAccountName is de aanmeldingsnaam van de gebruiker die wordt gebruikt ter ondersteuning van clients en servers van een eerdere versie van Windows (pre-Windows 2000). De notatie van de aanmeldingsnaam van de gebruiker is: DomainName\testUser of alleen testUser.
Als u de variabele {{OnPremisesSamAccountName}} wilt gebruiken, moet u het gebruikerskenmerk OnPremisesSamAccountName synchroniseren met Microsoft Entra Verbinding maken met uw Microsoft Entra ID.
Alle apparaatvariabelen die worden vermeld in de volgende sectie Apparaatcertificaattype , kunnen ook worden gebruikt in onderwerpnamen van gebruikerscertificaat.
Door een combinatie van een of meer van deze variabelen en statische teksttekenreeksen te gebruiken, kunt u een aangepaste indeling voor de onderwerpnaam maken, zoals: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US
Dit voorbeeld bevat een indeling voor de onderwerpnaam die gebruikmaakt van de cn- en E-variabelen, en tekenreeksen voor de waarden organisatie-eenheid, organisatie, locatie, staat en land. De functie CertStrToName beschrijft deze functie en de ondersteunde tekenreeksen.
Gebruikerskenmerken worden niet ondersteund voor apparaten die geen gebruikerskoppelingen hebben, zoals apparaten die zijn ingeschreven als toegewezen Android Enterprise. Een profiel dat bijvoorbeeld CN={{UserPrincipalName}} in het onderwerp of SAN gebruikt, kan de user principal name niet ophalen wanneer er geen gebruiker op het apparaat is.
Apparaatcertificaattype
Indelingsopties voor de indeling van de onderwerpnaam omvatten de volgende variabelen:
- {{AAD_Device_ID}} of {{AzureADDeviceId}} - Beide variabelen kunnen worden gebruikt om een apparaat te identificeren op basis van de Microsoft Entra ID.
- {{DeviceId}} - De Intune apparaat-id
- {{Device_Serial}}
- {{Device_IMEI}}
- {{SerialNumber}}
- {{IMEINumber}}
- {{WiFiMacAddress}}
- {{IMEI}}
- {{DeviceName}}
- {{FullyQualifiedDomainName}}(Alleen van toepassing op Windows en apparaten die lid zijn van een domein)
- {{MEID}}
U kunt deze variabelen en statische tekst opgeven in het tekstvak. De algemene naam voor een apparaat met de naam Device1 kan bijvoorbeeld worden toegevoegd als CN={{DeviceName}}Device1.
Belangrijk
- Wanneer u een variabele opgeeft, plaatst u de naam van de variabele tussen dubbele accolades {{ }} zoals in het voorbeeld, om een fout te voorkomen.
- Apparaateigenschappen die worden gebruikt in het onderwerp of san van een apparaatcertificaat, zoals IMEI, SerialNumber en FullyQualifiedDomainName, zijn eigenschappen die kunnen worden vervalst door een persoon met toegang tot het apparaat.
- Een apparaat moet alle variabelen ondersteunen die zijn opgegeven in een certificaatprofiel om dat profiel op dat apparaat te kunnen installeren. Als {{IMEI}} bijvoorbeeld wordt gebruikt in de onderwerpnaam van een SCEP-profiel en is toegewezen aan een apparaat dat geen IMEI-nummer heeft, kan het profiel niet worden geïnstalleerd.
Alternatieve onderwerpnaam:
Configureer de alternatieve onderwerpnaam (SAN) in de certificaataanvraag. U kunt meer dan één alternatieve onderwerpnaam invoeren. De tekstwaarde kan variabelen en statische tekst voor het kenmerk bevatten.Opmerking
De volgende Android Enterprise-profielen bieden geen ondersteuning voor het gebruik van de variabele {{UserName}} voor het SAN:
- Volledig beheerd, toegewezen en Corporate-Owned werkprofiel
Selecteer een van de beschikbare SAN-kenmerken:
- E-mailadres
- UPN (User Principal Name)
- DNS
- Uniform Resource Identifier (URI)
Het type certificaat dat u kiest, bepaalt de SAN-variabele.
Opmerking
Vanaf Android 12 biedt Android geen ondersteuning meer voor het gebruik van de volgende hardware-id's voor apparaten met een werkprofiel in persoonlijk eigendom :
- Serienummer
- IMEI
- MEID
Intune certificaatprofielen voor apparaten met een werkprofiel in persoonlijk eigendom die afhankelijk zijn van deze variabelen in de onderwerpnaam of san, kunnen geen certificaat inrichten op apparaten waarop Android 12 of hoger wordt uitgevoerd op het moment dat het apparaat is ingeschreven met Intune. Apparaten die zijn ingeschreven voordat ze een upgrade naar Android 12 hebben uitgevoerd, kunnen nog steeds certificaten ontvangen zolang Intune eerder de hardware-id's van het apparaat hebben verkregen.
Zie het blogbericht Android Day Zero Support for Microsoft Endpoint Manager voor meer informatie over deze en andere wijzigingen die zijn geïntroduceerd met Android 12.
Gebruikerscertificaattype
Met het certificaattype van de gebruiker kunt u een van de variabelen voor gebruikers- of apparaatcertificaten gebruiken die hierboven in de sectie Onderwerpnaam worden beschreven.
Gebruikerscertificaattypen kunnen bijvoorbeeld de UPN (User Principal Name) bevatten in de alternatieve onderwerpnaam. Als een clientcertificaat wordt gebruikt om te verifiëren bij een netwerkbeleidsserver, stelt u de alternatieve onderwerpnaam in op de UPN.
Microsoft Intune ondersteunt ook OnPremisesSecurityIdentifier, een variabele die voldoet aan de sterke toewijzingsvereisten van het Key Distribution Center (KDC) voor verificatie op basis van certificaten. U moet de variabele toevoegen aan gebruikerscertificaten die worden geverifieerd bij de KDC. U kunt de variabele, opgemaakt als {{OnPremisesSecurityIdentifier}}, toevoegen aan nieuwe en bestaande profielen in het Microsoft Intune-beheercentrum. Deze variabele wordt ondersteund in gebruikerscertificaten voor macOS, iOS en Windows 10/11 en werkt alleen met het URI-kenmerk.
Apparaatcertificaattype
Met het certificaattype van het apparaat kunt u een van de variabelen gebruiken die worden beschreven in de sectie Apparaatcertificaattype voor Onderwerpnaam.
Als u een waarde voor een kenmerk wilt opgeven, neemt u de naam van de variabele op met accolades, gevolgd door de tekst voor die variabele. U kunt bijvoorbeeld een waarde voor het DNS-kenmerk toevoegen {{AzureADDeviceId}}.domain.com waarbij .domain.com de tekst is. Voor een gebruiker met de naam Gebruiker1 kan een Email-adres worden weergegeven als {{FullyQualifiedDomainName}}User1@Contoso.com.
Door een combinatie van een of meer van deze variabelen en statische teksttekenreeksen te gebruiken, kunt u een aangepaste alternatieve naamindeling voor onderwerpen maken, zoals {{UserName}}-Home.
Microsoft Intune ondersteunt ook OnPremisesSecurityIdentifier, een variabele die voldoet aan de sterke toewijzingsvereisten van het Key Distribution Center (KDC) voor verificatie op basis van certificaten. U moet de variabele toevoegen aan apparaatcertificaten die worden geverifieerd bij de KDC. U kunt de variabele, opgemaakt als {{OnPremisesSecurityIdentifier}}, toevoegen aan nieuwe en bestaande profielen in het Microsoft Intune-beheercentrum. Deze variabele wordt ondersteund in apparaatcertificaten voor Microsoft Entra hybride gekoppelde apparaten en werkt alleen met het URI-kenmerk.
Belangrijk
- Wanneer u een apparaatcertificaatvariabele gebruikt, plaatst u de naam van de variabele tussen dubbele accolades {{ }}.
- Gebruik geen accolades { }, sluissymbolen |en puntkomma's ;, in de tekst die volgt op de variabele.
- Apparaateigenschappen die worden gebruikt in het onderwerp of san van een apparaatcertificaat, zoals IMEI, SerialNumber en FullyQualifiedDomainName, zijn eigenschappen die kunnen worden vervalst door een persoon met toegang tot het apparaat.
- Een apparaat moet alle variabelen ondersteunen die zijn opgegeven in een certificaatprofiel om dat profiel op dat apparaat te kunnen installeren. Als {{IMEI}} bijvoorbeeld wordt gebruikt in de SAN van een SCEP-profiel en is toegewezen aan een apparaat dat geen IMEI-nummer heeft, kan het profiel niet worden geïnstalleerd.
Geldigheidsperiode van certificaat:
U kunt een waarde invoeren die lager is dan de geldigheidsperiode in de certificaatsjabloon, maar niet hoger. Als u de certificaatsjabloon hebt geconfigureerd voor ondersteuning van een aangepaste waarde die kan worden ingesteld vanuit het Intune beheercentrum, gebruikt u deze instelling om de resterende tijd op te geven voordat het certificaat verloopt.
Intune ondersteunt een geldigheidsperiode van maximaal 24 maanden.
Als de geldigheidsperiode van het certificaat in de certificaatsjabloon bijvoorbeeld twee jaar is, kunt u een waarde van één jaar opgeven, maar geen waarde van vijf jaar. De waarde moet ook lager zijn dan de resterende geldigheidsperiode van het certificaat van de verlenende CA.
Plan een geldigheidsperiode van vijf dagen of langer te gebruiken. Wanneer de geldigheidsperiode korter is dan vijf dagen, is de kans groot dat het certificaat een bijna verlopende of verlopen status krijgt. Dit kan ertoe leiden dat de MDM-agent op apparaten het certificaat weigert voordat het wordt geïnstalleerd.
Sleutelopslagprovider (KSP):
(Van toepassing op: Windows 8.1 en Windows 10/11)
Geef op waar de sleutel van het certificaat wordt opgeslagen. Kies uit de volgende waarden:
- Inschrijven bij Trusted Platform Module (TPM) KSP indien aanwezig, anders Software-KSP
- Inschrijven bij TRUSTED Platform Module (TPM) KSP, anders mislukt
- Inschrijven voor Windows Hello voor Bedrijven, anders mislukt (Windows 10 en hoger)
- Inschrijven voor software-KSP
Sleutelgebruik:
Opties voor sleutelgebruik voor het certificaat selecteren:
- Digitale handtekening: sleuteluitwisseling alleen toestaan wanneer een digitale handtekening helpt de sleutel te beveiligen.
- Sleutelcodering: sleuteluitwisseling alleen toestaan wanneer de sleutel is versleuteld.
Sleutelgrootte (bits)::
Selecteer het aantal bits in de sleutel:
Niet geconfigureerd
1024
2048
4096 - Een sleutelgrootte van 4096 wordt ondersteund voor de volgende platforms:
- Android (alle)
- iOS/iPadOS 14 en hoger
- macOS 11 en hoger
- Windows (alle)
Opmerking
Voor Windows-apparaten wordt 4096-bits sleutelopslag alleen ondersteund in de Software Key Storage Provider (KSP). De volgende bieden geen ondersteuning voor het opslaan van sleutels van deze grootte:
- De hardware-TPM (Trusted Platform Module). Als tijdelijke oplossing kunt u de Software-KSP gebruiken voor sleutelopslag.
- Windows Hello voor Bedrijven. Er is momenteel geen tijdelijke oplossing voor Windows Hello voor Bedrijven.
Hash-algoritme:
(Van toepassing op Android, Android (AOSP), Android Enterprise, Windows 8.1 en Windows 10/11)
Selecteer een van de beschikbare hash-algoritmetypen voor gebruik met dit certificaat. Selecteer het sterkste beveiligingsniveau dat de verbindingsapparaten ondersteunen.
OPMERKING: Android AOSP- en Android Enterprise-apparaten selecteren het sterkste ondersteunde algoritme: SHA-1 wordt genegeerd en SHA-2 wordt in plaats daarvan gebruikt.
Basiscertificaat:
Selecteer het vertrouwde certificaatprofiel dat u eerder hebt geconfigureerd en toegewezen aan toepasselijke gebruikers en apparaten voor dit SCEP-certificaatprofiel. Het vertrouwde certificaatprofiel wordt gebruikt om gebruikers en apparaten in te richten met het vertrouwde basis-CA-certificaat. Zie Uw vertrouwde basis-CA-certificaat exporteren en Vertrouwde certificaatprofielen maken in Certificaten gebruiken voor verificatie in Intune voor meer informatie over het vertrouwde certificaatprofiel.
Opmerking
Als u een PKI-infastructure met meerdere niveaus hebt, zoals een basiscertificeringsinstantie en een verlenende certificeringsinstantie, selecteert u het profiel van het vertrouwde basiscertificaat op het hoogste niveau waarmee de verlenende certificeringsinstantie wordt gevalideerd.
Uitgebreid sleutelgebruik:
Voeg waarden toe voor het beoogde doel van het certificaat. In de meeste gevallen vereist het certificaat clientverificatie , zodat de gebruiker of het apparaat zich kan verifiëren bij een server. U kunt indien nodig extra sleutelgebruiken toevoegen.
Drempelwaarde voor verlenging (%):
Voer het percentage van de levensduur van het certificaat in dat overblijft voordat het apparaat verlenging van het certificaat aanvraagt. Als u bijvoorbeeld 20 invoert, wordt geprobeerd het certificaat te verlengen wanneer het certificaat voor 80% is verlopen. Verlengingspogingen worden voortgezet totdat de verlenging is voltooid. Vernieuwen genereert een nieuw certificaat, wat resulteert in een nieuw openbaar/persoonlijk sleutelpaar.
Opmerking
Vernieuwingsgedrag op iOS/iPadOS en macOS: certificaten kunnen alleen worden vernieuwd tijdens de verlengingsdrempelfase. Bovendien moet het apparaat worden ontgrendeld tijdens het synchroniseren met Intune. Als de verlenging niet is gelukt, blijft het verlopen certificaat op het apparaat staan en activeert Intune geen verlenging meer. Bovendien biedt Intune geen optie om verlopen certificaten opnieuw te implementeren. Betrokken apparaten moeten tijdelijk worden uitgesloten van het SCEP-profiel om het verlopen certificaat te verwijderen en een nieuw certificaat aan te vragen.
URL's van SCEP-server:
Voer een of meer URL's in voor de NDES-servers die certificaten uitgeven via SCEP. Voer bijvoorbeeld iets in als
https://ndes.contoso.com/certsrv/mscep/mscep.dll
.Als u wilt toestaan dat apparaten op internet certificaten ophalen, moet u de NDES-URL opgeven die extern is voor uw bedrijfsnetwerk.
De URL kan HTTP of HTTPS zijn. Voor de ondersteuning van de volgende apparaten moet de URL van de SCEP-server https gebruiken:- Android apparaatbeheerder
- Android Enterprise-apparaateigenaar
- Android Enterprise-werkprofiel in bedrijfseigendom
- Android Enterprise-werkprofiel in persoonlijk eigendom
U kunt indien nodig extra SCEP-URL's voor taakverdeling toevoegen. Apparaten voeren drie afzonderlijke aanroepen naar de NDES-server. De eerste is om de servermogelijkheden op te halen, de volgende om een openbare sleutel op te halen en vervolgens een ondertekeningsaanvraag in te dienen. Wanneer u meerdere URL's gebruikt, is het mogelijk dat taakverdeling ertoe leidt dat een andere URL wordt gebruikt voor volgende aanroepen naar een NDES-server. Als tijdens dezelfde aanvraag contact wordt opgenomen met een andere server voor een volgende aanroep, mislukt de aanvraag.
Het gedrag voor het beheren van de NDES-server-URL is specifiek voor elk apparaatplatform:
- Android: het apparaat randomiseert de lijst met URL's die zijn ontvangen in het SCEP-beleid en doorloopt vervolgens de lijst totdat een toegankelijke NDES-server is gevonden. Het apparaat blijft vervolgens dezelfde URL en server gebruiken gedurende het hele proces. Als het apparaat geen toegang heeft tot een van de NDES-servers, mislukt het proces.
- iOS/iPadOS: Intune willekeurig de URL's en biedt één URL naar een apparaat. Als het apparaat geen toegang heeft tot de NDES-server, mislukt de SCEP-aanvraag.
- Windows: De lijst met NDES-URL's wordt gerandomiseerd en vervolgens doorgegeven aan het Windows-apparaat, dat ze vervolgens in de ontvangen volgorde probeert, totdat er een beschikbaar is gevonden. Als het apparaat geen toegang heeft tot een van de NDES-servers, mislukt het proces.
Als een apparaat dezelfde NDES-server niet kan bereiken tijdens een van de drie aanroepen naar de NDES-server, mislukt de SCEP-aanvraag. Dit kan bijvoorbeeld gebeuren wanneer een oplossing voor taakverdeling een andere URL biedt voor de tweede of derde aanroep naar de NDES-server of een andere werkelijke NDES-server biedt op basis van een gevirtualiseerde URL voor NDES. Na een mislukte aanvraag probeert een apparaat het proces opnieuw uit te voeren in de volgende beleidscyclus, te beginnen met de gerandomiseerde lijst met NDES-URL's (of één URL voor iOS/iPadOS).
Deze stap is alleen van toepassing op Android Enterprise-apparaatprofielen voor volledig beheerd, toegewezen en Corporate-Owned werkprofiel.
Configureer in Appscertificaattoegang om te beheren hoe certificaattoegang wordt verleend aan toepassingen. Kies uit:
- Goedkeuring van de gebruiker vereisen voor apps(standaard): gebruikers moeten het gebruik van een certificaat door alle toepassingen goedkeuren.
- Op de achtergrond verlenen voor specifieke apps (goedkeuring van de gebruiker vereisen voor andere apps): selecteer met deze optie Apps toevoegen en selecteer vervolgens een of meer apps die het certificaat op de achtergrond gebruiken zonder tussenkomst van de gebruiker.
Selecteer Volgende.
Selecteer in Toewijzingen de gebruiker of groepen die uw profiel ontvangen. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.
Selecteer Volgende.
(Alleen van toepassing op Windows 10/11) Geef in Toepasbaarheidsregels toepasselijkheidsregels op om de toewijzing van dit profiel te verfijnen. U kunt ervoor kiezen om het profiel al dan niet toe te wijzen op basis van de editie of versie van het besturingssysteem van een apparaat.
Zie Toepasselijkheidsregels in Een apparaatprofiel maken in Microsoft Intune voor meer informatie.
Controleer uw instellingen in Controleren en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.
Aanvragen voor certificaatondertekening met speciale tekens met escape-tekens voorkomen
Er is een bekend probleem voor SCEP- en PKCS-certificaataanvragen die een onderwerpnaam (CN) bevatten met een of meer van de volgende speciale tekens als een escaped-teken. Onderwerpnamen die een van de speciale tekens als een escaped-teken bevatten, resulteren in een CSR met een onjuiste onderwerpnaam. Een onjuiste onderwerpnaam resulteert in de validatie van de Intune SCEP-uitdaging mislukt en er geen certificaat is uitgegeven.
De speciale tekens zijn:
- +
- ,
- ;
- =
Wanneer uw onderwerpnaam een van de speciale tekens bevat, gebruikt u een van de volgende opties om deze beperking te omzeilen:
- De CN-waarde met het speciale teken met aanhalingstekens inkapselen.
- Verwijder het speciale teken uit de CN-waarde.
U hebt bijvoorbeeld een onderwerpnaam die wordt weergegeven als Testgebruiker (TestCompany, LLC). Een CSR met een CN met de komma tussen TestCompany en LLC vormt een probleem. Het probleem kan worden voorkomen door aanhalingstekens rond de hele CN te plaatsen of door de komma tussen TestCompany en LLC te verwijderen:
- Aanhalingstekens toevoegen: CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
- De komma verwijderen: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com
Pogingen om de komma te laten ontsnappen met behulp van een backslash-teken mislukken echter met een fout in de CRP-logboeken:
- Escape-komma: CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com
De fout is vergelijkbaar met de volgende fout:
Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match
Exception: System.ArgumentException: Subject Name in CSR and challenge do not match
at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)
Exception: at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)
at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value
Het certificaatprofiel toewijzen
Wijs SCEP-certificaatprofielen toe op dezelfde manier als u apparaatprofielen voor andere doeleinden implementeert.
Belangrijk
Als u een SCEP-certificaatprofiel wilt gebruiken, moet een apparaat ook het vertrouwde certificaatprofiel hebben ontvangen dat het indeelt met uw vertrouwde basis-CA-certificaat. U wordt aangeraden zowel het vertrouwde basiscertificaatprofiel als het SCEP-certificaatprofiel in dezelfde groepen te implementeren.
Houd rekening met het volgende voordat u doorgaat:
Wanneer u SCEP-certificaatprofielen toewijst aan groepen, wordt het vertrouwde basis-CA-certificaatbestand (zoals opgegeven in het vertrouwde certificaatprofiel) op het apparaat geïnstalleerd. Het apparaat gebruikt het SCEP-certificaatprofiel om een certificaataanvraag te maken voor dat vertrouwde basis-CA-certificaat.
Het SCEP-certificaatprofiel wordt alleen geïnstalleerd op apparaten waarop het platform wordt uitgevoerd dat u hebt opgegeven bij het maken van het certificaatprofiel.
U kunt certificaatprofielen toewijzen aan gebruikersverzamelingen of apparaatverzamelingen.
Als u snel een certificaat wilt publiceren naar een apparaat nadat het apparaat is ingeschreven, wijst u het certificaatprofiel toe aan een gebruikersgroep in plaats van aan een apparaatgroep. Als u toewijst aan een apparaatgroep, is een volledige apparaatregistratie vereist voordat het apparaat beleidsregels ontvangt.
Als u co-beheer gebruikt voor Intune en Configuration Manager, stelt u in Configuration Manager de werkbelastingschuifregelaar voor Beleid voor resourcetoegang in op Intune of Test Intune. Met deze instelling kunnen Windows 10/11-clients het proces voor het aanvragen van het certificaat starten.
Opmerking
- Wanneer op iOS-/iPadOS- en macOS-apparaten een SCEP-certificaatprofiel of een PKCS-certificaatprofiel is gekoppeld aan een extra profiel, zoals een Wi-Fi of VPN-profiel, ontvangt het apparaat een certificaat voor elk van deze extra profielen. Dit heeft tot gevolg dat het apparaat meerdere certificaten heeft die zijn geleverd door de SCEP- of PKCS-certificaataanvraag.
- Certificaten die door SCEP worden geleverd, zijn elk uniek. Certificaten die door PKCS worden geleverd, zijn hetzelfde certificaat, maar worden anders weergegeven omdat elk profielexemplaren worden vertegenwoordigd door een afzonderlijke regel in het beheerprofiel.
- Op iOS 13 en macOS 10.15 zijn er aanvullende beveiligingsvereisten die door Apple worden gedocumenteerd om rekening mee te houden.
Volgende stappen
Problemen met de implementatie van SCEP-certificaatprofielen oplossen