Konfigurowanie i używanie certyfikatów PKCS w usłudze Intune

Microsoft Intune obsługuje używanie certyfikatów par kluczy prywatnych i publicznych (PKCS). W tym artykule przedstawiono wymagania dotyczące używania certyfikatów PKCS w usłudze Intune, w tym eksport certyfikatu PKCS, a następnie dodanie go do profilu konfiguracji urządzenia usługi Intune.

Microsoft Intune zawiera wbudowane ustawienia umożliwiające korzystanie z certyfikatów PKCS na potrzeby dostępu i uwierzytelniania do zasobów organizacji. Certyfikaty uwierzytelniają i zabezpieczają dostęp do zasobów firmowych, takich jak sieć VPN lub sieć Wi-Fi. Te ustawienia są wdrażane na urządzeniach przy użyciu profilów konfiguracji urządzeń w usłudze Intune.

Aby uzyskać informacje na temat używania zaimportowanych certyfikatów PKCS, zobacz Importowane certyfikaty PFX.

Porada

Profile certyfikatów PKCS są obsługiwane w przypadku pulpitów zdalnych z wieloma sesjami systemu Windows Enterprise.

Wymagania

Do korzystania z certyfikatów PKCS w usłudze Intune potrzebna jest następująca infrastruktura:

• Domena usługi Active Directory:
  Wszystkie serwery wymienione w tej sekcji muszą być przyłączone do domeny usługi Active Directory.

  Aby uzyskać więcej informacji na temat instalowania i konfigurowania Active Directory Domain Services (AD DS), zobacz Projektowanie i planowanie usług AD DS.

• Urząd certyfikacji:
  Urząd certyfikacji przedsiębiorstwa (CA).

  Aby uzyskać informacje na temat instalowania i konfigurowania usług certyfikatów Active Directory (AD CS), zobacz Przewodnik krok po kroku dotyczący usług certyfikatów Active Directory.

  Ostrzeżenie

  Usługa Intune wymaga uruchomienia usługi AD CS z urzędem certyfikacji przedsiębiorstwa (CA), a nie autonomicznym urzędem certyfikacji.

• Klient:
  Aby nawiązać połączenie z urzędem certyfikacji przedsiębiorstwa.

• Certyfikat główny:
  Wyeksportowana kopia certyfikatu głównego z urzędu certyfikacji przedsiębiorstwa.

• Łącznik certyfikatów dla Microsoft Intune:

  Aby uzyskać informacje o łączniku certyfikatów, zobacz:

  • Omówienie łącznika certyfikatów dla Microsoft Intune.
  • Wymagania wstępne.
  • Instalacja i konfiguracja.

Eksportowanie certyfikatu głównego z urzędu certyfikacji przedsiębiorstwa

Aby uwierzytelnić urządzenie przy użyciu sieci VPN, sieci Wi-Fi lub innych zasobów, urządzenie wymaga certyfikatu głównego lub pośredniego urzędu certyfikacji. W poniższych krokach wyjaśniono, jak uzyskać wymagany certyfikat z urzędu certyfikacji przedsiębiorstwa.

Użyj wiersza polecenia:

1. Zaloguj się do głównego serwera urzędu certyfikacji przy użyciu konta administratora.

2. Przejdź do pozycji Rozpocznij>uruchamianie, a następnie wprowadź polecenie Cmd , aby otworzyć wiersz polecenia.

3. Określ ca_name.cer certutil -ca.cert , aby wyeksportować certyfikat główny jako plik o nazwie ca_name.cer.

Konfigurowanie szablonów certyfikatów w urzędzie certyfikacji

1. Zaloguj się do urzędu certyfikacji przedsiębiorstwa przy użyciu konta z uprawnieniami administracyjnymi.

2. Otwórz konsolę Urząd certyfikacji , kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów i wybierz pozycję Zarządzaj.

3. Znajdź szablon certyfikatu użytkownika , kliknij go prawym przyciskiem myszy, a następnie wybierz pozycję Duplikuj szablon , aby otworzyć pozycję Właściwości nowego szablonu.

   Uwaga

   W przypadku scenariuszy podpisywania i szyfrowania wiadomości e-mail S/MIME wielu administratorów używa oddzielnych certyfikatów do podpisywania i szyfrowania. Jeśli używasz usług certyfikatów usługi Microsoft Active Directory, możesz użyć szablonu Tylko podpis programu Exchange dla certyfikatów podpisywania wiadomości e-mail S/MIME i szablonu użytkownika programu Exchange dla certyfikatów szyfrowania S/MIME. Jeśli używasz urzędu certyfikacji innej firmy, zaleca się zapoznanie się z ich wskazówkami dotyczącymi konfigurowania szablonów podpisywania i szyfrowania.

4. Na karcie Zgodność :

   • Ustaw urząd certyfikacji na windows server 2008 R2
   • Ustaw adresata certyfikatu na Windows 7 / Server 2008 R2

5. Na karcie Ogólne :

   • Ustaw nazwę wyświetlaną szablonu na coś zrozumiałego dla Ciebie.
   • Usuń zaznaczenie pola wyboru Publikuj certyfikat w usłudze Active Directory.

   Ostrzeżenie

   Domyślnie nazwa szablonu jest taka sama jak nazwa wyświetlana szablonubez spacji. Zanotuj nazwę szablonu, która będzie potrzebna później.

6. W obszarze Obsługa żądań wybierz pozycję Zezwalaj na eksportowanie klucza prywatnego.

   Uwaga

   W przeciwieństwie do protokołu SCEP, przy użyciu protokołu PKCS klucz prywatny certyfikatu jest generowany na serwerze, na którym jest zainstalowany łącznik certyfikatów, a nie na urządzeniu. Szablon certyfikatu musi zezwalać na eksportowanie klucza prywatnego, aby łącznik mógł wyeksportować certyfikat PFX i wysłać go do urządzenia.

   Podczas instalowania certyfikatów na samym urządzeniu klucz prywatny jest oznaczony jako nie można eksportować.

7. W obszarze Kryptografia upewnij się, że minimalny rozmiar klucza jest ustawiony na 2048.

   Urządzenia z systemem Windows i Android obsługują użycie 4096-bitowego rozmiaru klucza z profilem certyfikatu PKCS. Aby użyć tego rozmiaru klucza, określ wartość 4096 jako minimalny rozmiar klucza.

   Uwaga

   W przypadku urządzeń z systemem Windows 4096-bitowy magazyn kluczy jest obsługiwany tylko w dostawcy magazynu kluczy oprogramowania (KSP). Następujące elementy nie obsługują przechowywania kluczy o tym rozmiarze:

   • Sprzętowy moduł TPM (Moduł zaufanej platformy). Aby obejść ten problem, możesz użyć dostawcy KSP oprogramowania do przechowywania kluczy.
   • Windows Hello dla firm. Obecnie nie ma obejścia dla Windows Hello dla firm.

8. W polu Nazwa podmiotu wybierz pozycję Podaj w żądaniu.

9. W obszarze Rozszerzenia upewnij się, że w obszarze Zasady aplikacji są widoczne pozycje Szyfrowanie systemu plików, Bezpieczny Email i Uwierzytelnianie klienta.

   Ważna

   W przypadku szablonów certyfikatów systemu iOS/iPadOS przejdź do karty Rozszerzenia , zaktualizuj użycie klucza i upewnij się, że nie wybrano opcji Podpis jest dowodem pochodzenia .

10. W obszarze Zabezpieczenia:

    1. (Wymagane): dodaj konto komputera dla serwera, na którym jest instalowany łącznik certyfikatów dla Microsoft Intune. Zezwalaj na uprawnienia odczytu i rejestracji tego konta.
    2. (Opcjonalne, ale zalecane): usuń grupę Użytkownicy domeny z listy grup lub nazw użytkowników dozwolonych uprawnień w tym szablonie, wybierając grupę Użytkownicy domeny i wybierz pozycję Usuń. Przejrzyj inne wpisy w obszarze Grupy lub nazwy użytkowników , aby uzyskać uprawnienia i zastosowanie do środowiska.

11. Wybierz pozycję Zastosuj>OK , aby zapisać szablon certyfikatu. Zamknij konsolę Szablony certyfikatów.

12. W konsoli Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów>Nowy>szablon certyfikatu do wystawienia. Wybierz szablon utworzony w poprzednich krokach. Wybierz przycisk OK.

13. Aby serwer zarządzał certyfikatami dla zarejestrowanych urządzeń i użytkowników, wykonaj następujące kroki:

    1. Kliknij prawym przyciskiem myszy urząd certyfikacji, wybierz pozycję Właściwości.
    2. Na karcie Zabezpieczenia dodaj konto Komputera serwera, na którym jest uruchamiany łącznik.
    3. Udziel uprawnień wystawiania certyfikatów iżądania certyfikatów oraz zarządzaj nimi, zezwalaj na uprawnienia do konta komputera.

14. Wyloguj się z urzędu certyfikacji przedsiębiorstwa.

Pobieranie, instalowanie i konfigurowanie łącznika certyfikatów dla Microsoft Intune

Aby uzyskać wskazówki, zobacz Instalowanie i konfigurowanie łącznika certyfikatów dla Microsoft Intune.

Tworzenie profilu zaufanego certyfikatu

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz i przejdź do pozycjiUtwórzkonfigurację>urządzeń>.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę urządzeń, które otrzymają ten profil.
     • Administratora urządzenia z systemem Android
     • Android Enterprise:
       • W pełni zarządzane
       • Dedykowany
       • profil służbowy Corporate-Owned
       • profil służbowy Personally-Owned
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Profil: wybierz pozycję Zaufany certyfikat. Lub wybierz pozycję Szablony>Zaufany certyfikat.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to Profil zaufanego certyfikatu dla całej firmy.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji określ plik .cer dla wcześniej wyeksportowanego certyfikatu głównego urzędu certyfikacji.

   Uwaga

   W zależności od platformy wybranej w kroku 3 możesz lub nie możesz mieć opcji wyboru magazynu docelowego dla certyfikatu.

   

8. Wybierz pozycję Dalej.

9. W obszarze Przypisania wybierz użytkownika lub grupy urządzeń, do których zostanie przypisany profil. Aby uzyskać większy stopień szczegółowości, zobacz Tworzenie filtrów w Microsoft Intune i stosowanie ich przez wybranie pozycji Edytuj filtr.

   Zaplanuj wdrożenie tego profilu certyfikatu w tych samych grupach, które otrzymują profil certyfikatu PKCS i które otrzymują profil konfiguracji, taki jak profil Wi-Fi, który korzysta z certyfikatu. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Wybierz pozycję Dalej.

10. (Dotyczy tylko Windows 10/11) W obszarze Reguły stosowania określ reguły stosowania, aby uściślić przypisanie tego profilu. Profil można przypisać lub nie przypisywać na podstawie wersji lub wersji systemu operacyjnego urządzenia.

    Aby uzyskać więcej informacji, zobacz Reguły stosowania w temacie Tworzenie profilu urządzenia w Microsoft Intune.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Tworzenie profilu certyfikatu PKCS

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz i przejdź do pozycjiUtwórzkonfigurację>urządzeń>.

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę urządzeń. Dostępne opcje:
     • Administratora urządzenia z systemem Android
     • Android Enterprise:
       • W pełni zarządzane
       • Dedykowany
       • profil służbowy Corporate-Owned
       • profil służbowy Personally-Owned
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Profil: wybierz pozycję Certyfikat PKCS. Możesz też wybrać pozycję Szablony>certyfikatu PKCS.

   Uwaga

   Na urządzeniach z profilem systemu Android Enterprise certyfikaty zainstalowane przy użyciu profilu certyfikatu PKCS nie są widoczne na urządzeniu. Aby potwierdzić pomyślne wdrożenie certyfikatu, sprawdź stan profilu w centrum administracyjnym usługi Intune.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobrą nazwą profilu jest profil PKCS dla całej firmy.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. Ustawienia, które można skonfigurować w obszarze Ustawienia konfiguracji, różnią się w zależności od wybranej platformy. Wybierz platformę, aby uzyskać szczegółowe ustawienia:

   • Administratora urządzenia z systemem Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10/11

   Ustawienie	Platforma	Szczegóły
   Próg odnowienia (%)	Wszystkie	Zalecana wartość to 20%
   Okres ważności certyfikatu	Wszystkie	Jeśli szablon certyfikatu nie został zmieniony, ta opcja może zostać ustawiona na jeden rok. Użyj okresu ważności wynoszącego pięć dni lub do 24 miesięcy. Gdy okres ważności jest krótszy niż pięć dni, istnieje duże prawdopodobieństwo, że certyfikat przejdzie w stan bliski wygaśnięcia lub wygaśnięcia, co może spowodować odrzucenie certyfikatu przez agenta MDM na urządzeniach przed jego zainstalowaniem.
   Dostawca magazynu kluczy (KSP)	Windows 10/11	W przypadku systemu Windows wybierz miejsce przechowywania kluczy na urządzeniu.
   Urząd certyfikacji	Wszystkie	Wyświetla wewnętrzną w pełni kwalifikowaną nazwę domeny (FQDN) urzędu certyfikacji przedsiębiorstwa.
   Nazwa urzędu certyfikacji	Wszystkie	Listy nazwę urzędu certyfikacji przedsiębiorstwa, taką jak "Urząd certyfikacji firmy Contoso".
   Nazwa szablonu certyfikatu	Wszystkie	Listy nazwę szablonu certyfikatu.
   Typ certyfikatu	Android Enterprise (profil służbowy należący do firmy i Personally-Owned) iOS macOS Windows 10/11	Wybierz typ: Certyfikaty użytkownika mogą zawierać atrybuty użytkownika i urządzenia w alternatywnej nazwie podmiotu i podmiotu (SAN) certyfikatu. Certyfikaty urządzeń mogą zawierać tylko atrybuty urządzenia w temacie i w sieci SAN certyfikatu. Użyj urządzenia w scenariuszach takich jak urządzenia bez użytkownika, takie jak kioski lub inne urządzenia udostępnione. Ten wybór ma wpływ na format nazwy podmiotu.
   Format nazwy podmiotu	Wszystkie	Aby uzyskać szczegółowe informacje na temat konfigurowania formatu nazwy podmiotu, zobacz Format nazwy podmiotu w dalszej części tego artykułu. W przypadku następujących platform format nazwy podmiotu jest określany przez typ certyfikatu: Android Enterprise (profil służbowy) iOS macOS Windows 10/11
   Alternatywna nazwa podmiotu	Wszystkie	W obszarze Atrybut wybierz pozycję Główna nazwa użytkownika (UPN), chyba że jest to wymagane inaczej, skonfiguruj odpowiednią wartość, a następnie wybierz pozycję Dodaj. Zmiennych lub tekstu statycznego można użyć dla sieci SAN obu typów certyfikatów. Użycie zmiennej nie jest wymagane. Aby uzyskać więcej informacji, zobacz Format nazwy podmiotu w dalszej części tego artykułu.
   Rozszerzone użycie klucza	Administratora urządzenia z systemem Android Android Enterprise (właściciel urządzenia, należący do firmy i profil służbowy Personally-Owned) Windows 10/11	Certyfikaty zwykle wymagają uwierzytelniania klienta , aby użytkownik lub urządzenie mogły uwierzytelniać się na serwerze.
   Zezwalaj wszystkim aplikacjom na dostęp do klucza prywatnego	macOS	Ustaw wartość Włącz , aby zapewnić aplikacjom skonfigurowanym dla skojarzonego urządzenia mac dostęp do klucza prywatnego certyfikatu PKCS. Aby uzyskać więcej informacji na temat tego ustawienia, zobacz AllowAllAppsAccess w sekcji Ładunek certyfikatu dokumentacji profilu konfiguracji w dokumentacji dla deweloperów firmy Apple.
   Certyfikat główny	Administratora urządzenia z systemem Android Android Enterprise (właściciel urządzenia, należący do firmy i profil służbowy Personally-Owned)	Wybierz profil certyfikatu głównego urzędu certyfikacji, który został wcześniej przypisany.

8. Ten krok dotyczy tylko profilów urządzeń z systemem Android Enterprise dla w pełni zarządzanych, dedykowanych i Corporate-Owned profilu służbowego.

   W obszarze Aplikacje skonfiguruj dostęp do certyfikatu , aby zarządzać sposobem przyznawania dostępu do certyfikatów aplikacjom. Wybierz jedną z następujących opcji:

   • Wymagaj zatwierdzenia przez użytkownika dla aplikacji(ustawienie domyślne) — użytkownicy muszą zatwierdzić użycie certyfikatu przez wszystkie aplikacje.
   • Udzielaj dyskretnie określonych aplikacji (wymagaj zatwierdzenia przez użytkownika dla innych aplikacji) — w tej opcji wybierz pozycję Dodaj aplikacje, a następnie wybierz co najmniej jedną aplikację, która będzie używać certyfikatu w trybie dyskretnym bez interakcji z użytkownikiem.

9. Wybierz pozycję Dalej.

10. W obszarze Przypisania wybierz użytkownika lub grupy, które otrzymają Twój profil. Zaplanuj wdrożenie tego profilu certyfikatu w tych samych grupach, które odbierają profil zaufanego certyfikatu i które otrzymują profil konfiguracji, taki jak profil Wi-Fi, który korzysta z certyfikatu. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

    Wybierz pozycję Dalej.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Format nazwy podmiotu

Podczas tworzenia profilu certyfikatu PKCS dla następujących platform opcje formatu nazwy podmiotu zależą od wybranego typu certyfikatu użytkownika luburządzenia.

Platformy:

• Android Enterprise (profil służbowy należący do firmy i Personally-Owned)
• iOS
• macOS
• Windows 10/11

Uwaga

Istnieje znany problem z używaniem PKCS do pobierania certyfikatów , który jest tym samym problemem, co w przypadku protokołu SCEP , gdy nazwa podmiotu w wynikowym żądaniu podpisania certyfikatu (CSR) zawiera jeden z następujących znaków jako znak ucieczki (kontynuowany ukośnik odwrotny \):

• +
• ;
• ,
• =

Uwaga

Począwszy od systemu Android 12, system Android nie obsługuje już używania następujących identyfikatorów sprzętu dla urządzeń z profilem służbowym należących do użytkownika :

• Numer seryjny
• Numer IMEI
• MEID

Profile certyfikatów usługi Intune dla urządzeń z profilem służbowym należących do użytkownika, które korzystają z tych zmiennych w nazwie podmiotu lub sieci SAN, nie będą aprowizować certyfikatu na urządzeniach z systemem Android 12 lub nowszym w momencie zarejestrowania urządzenia w usłudze Intune. Urządzenia zarejestrowane przed uaktualnieniem do systemu Android 12 nadal mogą otrzymywać certyfikaty, o ile usługa Intune uzyskała wcześniej identyfikatory sprzętu urządzeń.

Aby uzyskać więcej informacji na ten temat i inne zmiany wprowadzone w systemie Android 12, zobacz wpis w blogu Android Day Zero Support for Microsoft Endpoint Manager (Android Day Zero Support for Microsoft Endpoint Manager ).

• Typ certyfikatu użytkownika
  Opcje formatowania formatu nazwy podmiotu obejmują dwie zmienne: Nazwa pospolita (CN) i Email (E). Email (E) zwykle jest ustawiana ze zmienną {{EmailAddress}}. Na przykład: E={{EmailAddress}}

  Nazwę pospolitą (CN) można ustawić na dowolną z następujących zmiennych:

  • CN={{UserName}}: nazwa użytkownika, taka jak Jane Doe.

  • CN={{UserPrincipalName}}: główna nazwa użytkownika, taka jak janedoe@contoso.com.

  • CN={{AAD_Device_ID}}: identyfikator przypisany podczas rejestrowania urządzenia w Tożsamość Microsoft Entra. Ten identyfikator jest zwykle używany do uwierzytelniania przy użyciu Tożsamość Microsoft Entra.

  • CN={{DeviceId}}: identyfikator przypisany podczas rejestrowania urządzenia w usłudze Intune.

  • CN={{SERIALNUMBER}}: unikatowy numer seryjny (SN) zwykle używany przez producenta do identyfikowania urządzenia.

  • CN={{IMEINumber}}: Unikatowy numer tożsamości międzynarodowego sprzętu przenośnego (IMEI) używany do identyfikowania telefonu komórkowego.

  • CN={{OnPrem_Distinguished_Name}}: sekwencja względnych nazw wyróżniających rozdzielonych przecinkami, takich jak CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

    Aby użyć zmiennej {{OnPrem_Distinguished_Name}}, zsynchronizuj atrybut użytkownika onpremisesdistinguishedname przy użyciu Microsoft Entra Połącz z Tożsamość Microsoft Entra.

  • CN={{onPremisesSamAccountName}}: Administratorzy mogą zsynchronizować atrybut samAccountName z usługi Active Directory do Tożsamość Microsoft Entra przy użyciu Microsoft Entra Connect do atrybutu o nazwie onPremisesSamAccountName. Usługa Intune może zastąpić tę zmienną jako część żądania wystawienia certyfikatu w temacie certyfikatu. Atrybut samAccountName to nazwa logowania użytkownika używana do obsługi klientów i serwerów z poprzedniej wersji systemu Windows (przed systemem Windows 2000). Format nazwy logowania użytkownika to : DomainName\testUser lub tylko testUser.

    Aby użyć zmiennej {{onPremisesSamAccountName}}, należy zsynchronizować atrybut użytkownika onPremisesSamAccountName przy użyciu Microsoft Entra Połącz z Tożsamość Microsoft Entra.

  Wszystkie zmienne urządzenia wymienione w poniższej sekcji Typ certyfikatu urządzenia mogą być również używane w nazwach podmiotów certyfikatów użytkownika.

  Używając kombinacji jednej lub wielu z tych zmiennych i statycznych ciągów tekstowych, można utworzyć niestandardowy format nazwy podmiotu, taki jak: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

  Ten przykład zawiera format nazwy podmiotu, który używa zmiennych CN i E oraz ciągów dla wartości jednostki organizacyjnej, organizacji, lokalizacji, stanu i kraju. Funkcja CertStrToName opisuje tę funkcję i jej obsługiwane ciągi.

  Atrybuty użytkownika nie są obsługiwane w przypadku urządzeń, które nie mają skojarzeń użytkowników, takich jak urządzenia zarejestrowane jako dedykowane dla systemu Android Enterprise. Na przykład profil używający nazwy CN={{UserPrincipalName}} w temacie lub sieci SAN nie może uzyskać głównej nazwy użytkownika, gdy na urządzeniu nie ma użytkownika.

• Typ certyfikatu urządzenia
  Opcje formatowania formatu nazwy podmiotu obejmują następujące zmienne:

  • {{AAD_Device_ID}}
  • {{DeviceId}} — jest to identyfikator urządzenia usługi Intune
  • {{Device_Serial}}
  • {{Device_IMEI}}
  • {{Liczba seryjna}}
  • {{IMEINumber}}
  • {{AzureADDeviceId}}
  • {{WiFiMacAddress}}
  • {{IMEI}}
  • {{DeviceName}}
  • {{FullyQualifiedDomainName}}(Dotyczy tylko urządzeń z systemem Windows i urządzeń przyłączonych do domeny)
  • {{MEID}}

  Możesz określić te zmienne, a następnie tekst zmiennej w polu tekstowym. Na przykład nazwę pospolitą urządzenia o nazwie Device1 można dodać jako CN={{DeviceName}}Device1.

  Ważna

  • Po określeniu zmiennej należy ująć nazwę zmiennej w nawiasy klamrowe { } jak pokazano w przykładzie, aby uniknąć błędu.
  • Właściwości urządzenia używane w temacie lub sieci SAN certyfikatu urządzenia, takie jak IMEI, SerialNumber i FullyQualifiedDomainName, są właściwościami, które mogą zostać sfałszowane przez osobę z dostępem do urządzenia.
  • Urządzenie musi obsługiwać wszystkie zmienne określone w profilu certyfikatu, aby ten profil był instalowany na tym urządzeniu. Na przykład jeśli {{IMEI}} jest używany w nazwie podmiotu profilu SCEP i jest przypisany do urządzenia, które nie ma numeru IMEI, nie można zainstalować profilu.

Następne kroki

• Używanie protokołu SCEP dla certyfikatów
• Wystawianie certyfikatów PKCS z usługi internetowej menedżera PKI firmy Symantec.
• Rozwiązywanie problemów z profilami certyfikatów PKCS