Delen via


Vertrouwde basiscertificaatprofielen voor Microsoft Intune

Wanneer u Intune gebruikt om apparaten in te richten met certificaten voor toegang tot uw bedrijfsresources en netwerk, gebruikt u een vertrouwd certificaatprofiel om het vertrouwde basiscertificaat op die apparaten te implementeren. Vertrouwde basiscertificaten zorgen voor een vertrouwensrelatie van het apparaat naar uw basis- of tussenliggende (verlenende) CA van waaruit de andere certificaten worden uitgegeven.

U implementeert het vertrouwde certificaatprofiel op dezelfde apparaten en gebruikers die de certificaatprofielen voor Simple Certificate Enrollment Protocol (SCEP), PUBLIC Key Cryptography Standards (PKCS) en geïmporteerde PKCS ontvangen.

Tip

Vertrouwde certificaatprofielen worden ondersteund voor externe bureaubladen met meerdere sessies in Windows Enterprise.

Het vertrouwde basis-CA-certificaat exporteren

Als u geïmporteerde PKCS-, SCEP- en PKCS-certificaten wilt gebruiken, moeten apparaten uw basiscertificeringsinstantie vertrouwen. Als u een vertrouwensrelatie wilt instellen, exporteert u het vertrouwde basis-CA-certificaat en eventuele tussenliggende of verlenende certificeringsinstantiecertificaten als een openbaar certificaat (.cer). U kunt deze certificaten verkrijgen van de verlenende CA of van elk apparaat dat uw verlenende CA vertrouwt.

Raadpleeg de documentatie voor uw certificeringsinstantie om het certificaat te exporteren. U moet het openbare certificaat exporteren als een bestand met DER-codering .cer . Exporteer niet de persoonlijke sleutel, een .pfx bestand.

U gebruikt dit .cer bestand wanneer u vertrouwde certificaatprofielen maakt om dat certificaat op uw apparaten te implementeren.

Vertrouwde certificaatprofielen maken

Voordat u een geïmporteerd SCEP-, PKCS- of PKCS-certificaatprofiel maakt, maakt en implementeert u een vertrouwd certificaatprofiel. Implementeer het vertrouwde certificaatprofiel in dezelfde groepen die de andere certificaatprofieltypen ontvangen. Deze stap zorgt ervoor dat elk apparaat de legitimiteit van uw CA kan herkennen, inclusief profielen VPN, Wi-Fi en e-mailprofielen.

SCEP-certificaatprofielen verwijzen rechtstreeks naar een vertrouwd certificaatprofiel. PKCS-certificaatprofielen verwijzen niet rechtstreeks naar het vertrouwde certificaatprofiel, maar verwijzen rechtstreeks naar de server die als host fungeert voor uw CA. Geïmporteerde PKCS-certificaatprofielen verwijzen niet rechtstreeks naar het vertrouwde certificaatprofiel, maar kunnen dit op het apparaat gebruiken. Als u een vertrouwd certificaatprofiel implementeert op apparaten, zorgt u ervoor dat deze vertrouwensrelatie tot stand wordt gebracht. Wanneer een apparaat de basis-CA niet vertrouwt, mislukt het SCEP- of PKCS-certificaatprofielbeleid.

Maak een afzonderlijk vertrouwd certificaatprofiel voor elk apparaatplatform dat u wilt ondersteunen, net als voor geïmporteerde SCEP-, PKCS- en PKCS-certificaatprofielen.

Belangrijk

Vertrouwde basisprofielen die u maakt voor het platform Windows 10 en hoger, worden weergegeven in het Microsoft Intune-beheercentrum als profielen voor het platform Windows 8.1 en hoger.

Dit is een bekend probleem met de presentatie van het platform voor vertrouwde certificaatprofielen. Hoewel het profiel een platform van Windows 8.1 en hoger weergeeft, is het functioneel voor Windows 10/11.

Opmerking

Het profiel Vertrouwd certificaat in Intune kan alleen worden gebruikt om basis- of tussenliggende certificaten te leveren. Het doel van het implementeren van dergelijke certificaten is het tot stand brengen van een vertrouwensketen. Het gebruik van het vertrouwde certificaatprofiel voor het leveren van andere certificaten dan basis- of tussenliggende certificaten wordt niet ondersteund door Microsoft. U kunt mogelijk geen certificaten importeren die niet worden beschouwd als basis- of tussenliggende certificaten wanneer u het vertrouwde certificaatprofiel selecteert in het Microsoft Intune-beheercentrum. Zelfs als u een certificaat kunt importeren en implementeren dat geen basis- of tussencertificaat is met behulp van dit profieltype, krijgt u waarschijnlijk onverwachte resultaten tussen verschillende platforms, zoals iOS en Android.

Vertrouwde certificaatprofielen voor Android-apparaatbeheerder

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Deze functie is van toepassing op:

  • Android 10 en eerder op niet-KNOX-apparaten
  • Android 12 en eerder op Samsung KNOX-apparaten

Omdat SCEP-certificaatprofielen vereisen dat zowel het vertrouwde basiscertificaat op een apparaat wordt geïnstalleerd en moet verwijzen naar een vertrouwd certificaatprofiel dat op zijn beurt naar dat certificaat verwijst, gebruikt u de volgende stappen om deze beperking te omzeilen:

  1. Het apparaat handmatig inrichten met het vertrouwde basiscertificaat. Zie de volgende sectie voor voorbeeldrichtlijnen.

  2. Implementeer op het apparaat een vertrouwd basiscertificaatprofiel dat verwijst naar het vertrouwde basiscertificaat dat u op het apparaat hebt geïnstalleerd.

  3. Implementeer een SCEP-certificaatprofiel op het apparaat dat verwijst naar het vertrouwde basiscertificaatprofiel.

Dit probleem is niet beperkt tot SCEP-certificaatprofielen. Plan daarom om het vertrouwde basiscertificaat handmatig te installeren op toepasselijke apparaten als uw gebruik van PKCS-certificaatprofielen of geïmporteerde PKCS-certificaatprofielen dit vereist.

Meer informatie over wijzigingen in de ondersteuning voor Android-apparaatbeheerder vindt u in techcommunity.microsoft.com.

Een apparaat handmatig inrichten met het vertrouwde basiscertificaat

De volgende richtlijnen kunnen u helpen bij het handmatig inrichten van apparaten met een vertrouwd basiscertificaat.

  1. Download of draag het vertrouwde basiscertificaat over naar het Android-apparaat. U kunt bijvoorbeeld e-mail gebruiken om het certificaat te distribueren naar apparaatgebruikers of gebruikers het laten downloaden vanaf een veilige locatie. Nadat het certificaat zich op het apparaat bevindt, moet het worden geopend, benoemd en opgeslagen. Als u het certificaat opslaat, wordt het toegevoegd aan het certificaatarchief Gebruiker op het apparaat.

    1. Als u het certificaat op het apparaat wilt openen, moet een gebruiker het certificaat zoeken en erop tikken (openen). Na het verzenden van het certificaat per e-mail kan een apparaatgebruiker bijvoorbeeld op de certificaatbijlage tikken of openen.
    2. Wanneer het certificaat wordt geopend, moet de gebruiker de pincode opgeven of anderszins verifiëren bij het apparaat voordat hij of zij het certificaat kan beheren.
  2. Na verificatie wordt het certificaat geopend en moet het een naam hebben voordat het kan worden opgeslagen in het certificaatarchief Gebruikers. De certificaatnaam moet overeenkomen met de certificaatnaam in het profiel vertrouwd basiscertificaat dat naar het apparaat wordt verzonden. Nadat u het certificaat een naam hebt genoemd, kan het worden opgeslagen.

  3. Nadat het certificaat is opgeslagen, is het klaar voor gebruik. Een gebruiker kan bevestigen dat het certificaat zich op de juiste locatie op het apparaat bevindt:

    1. Open Instellingen>Vertrouwde referenties voorbeveiliging>. Het werkelijke pad naar vertrouwde referenties kan per apparaat verschillen.
    2. Open het tabblad Gebruiker en zoek het certificaat.
    3. Als het certificaat aanwezig is in de lijst met gebruikerscertificaten, wordt het certificaat correct geïnstalleerd.
  4. Als een basiscertificaat op een apparaat is geïnstalleerd, moet u nog steeds het volgende implementeren om de SCEP- of PKCS-certificaten in te richten:

    • Een vertrouwd certificaatprofiel dat verwijst naar dat certificaat
    • Het SCEP- of PKCS-profiel dat verwijst naar het certificaatprofiel om de SCEP- of PKCS-certificaten in te richten.

Een vertrouwd certificaatprofiel maken

  1. Meld je aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer en ga naar Apparaten>Apparaten beheren>Configuratie>maken.

    Navigeer naar Intune en maak een nieuw profiel voor een vertrouwd certificaat

  3. Geef de volgende eigenschappen op:

    • Platform: kies het platform van de apparaten die dit profiel moeten ontvangen.
    • Profiel: Afhankelijk van het gekozen platform selecteert u Vertrouwd certificaat of selecteert u Sjablonen>Vertrouwd certificaat.

    Belangrijk

    Op 22 oktober 2022 Microsoft Intune de ondersteuning beëindigd voor apparaten met Windows 8.1. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.

    Als je momenteel Windows 8.1 gebruikt, ga je naar Windows 10/11-apparaten. Microsoft Intune heeft ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.

  4. Selecteer Maken.

  5. Voer in Basisinformatie de volgende eigenschappen in:

    • Naam: een unieke beschrijvende naam voor het beleid. Geef uw profielen een naam zodat u ze later gemakkelijk kunt identificeren. Een goede profielnaam is bijvoorbeeld Vertrouwd certificaatprofiel voor het hele bedrijf.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.
  6. Selecteer Volgende.

  7. Geef in Configuratie-instellingen het .cer bestand op voor het vertrouwde basis-CA-certificaat dat u eerder hebt geëxporteerd.

    Alleen voor Windows 8.1- en Windows 10/11-apparaten selecteert u het doelarchief voor het vertrouwde certificaat uit:

    • Computercertificaatarchief - hoofdmap
    • Computercertificaatarchief - tussenliggend
    • Gebruikerscertificaatarchief - tussenliggend

    Een profiel maken en een vertrouwd certificaat uploaden

  8. Selecteer Volgende.

  9. Selecteer in Toewijzingen de gebruiker of groepen die uw profiel moeten ontvangen. Raadpleeg Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Selecteer Volgende.

  10. (Alleen van toepassing op Windows 10/11) Geef in Toepasbaarheidsregels toepasselijkheidsregels op om de toewijzing van dit profiel te verfijnen. U kunt ervoor kiezen om het profiel al dan niet toe te wijzen op basis van de editie of versie van het besturingssysteem van een apparaat.

    Zie Toepasselijkheidsregels in Een apparaatprofiel maken in Microsoft Intune voor meer informatie.

  11. Controleer uw instellingen in Controleren en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

Volgende stappen

Certificaatprofielen maken: