Używanie poświadczeń pochodnych z Microsoft Intune

Ten artykuł dotyczy:

• W pełni zarządzane urządzenia z systemem Android Enterprise z wersją 7.0 lub nowszą
• iOS/iPadOS
• Windows 10/11

W środowisku, w którym karty inteligentne są wymagane do uwierzytelniania lub szyfrowania i podpisywania, możesz użyć usługi Intune do aprowizowania urządzeń przenośnych przy użyciu certyfikatu pochodzącego z karty inteligentnej użytkownika. Ten certyfikat jest nazywany pochodnym poświadczeniem. Usługa Intune obsługuje kilku wystawców pochodnych poświadczeń, chociaż jednocześnie można używać tylko jednego wystawcy na dzierżawę.

Pochodne poświadczenia są implementacją wytycznych Narodowego Instytutu Standardów i Technologii (NIST) dla pochodnych poświadczeń weryfikacji tożsamości osobistej (PIV) w ramach publikacji specjalnej (SP) 800-157(Link otwiera plik .pdf na nvlpubs.nist.gov).

Implementacja usługi Intune:

• Administrator usługi Intune konfiguruje dzierżawę do pracy z obsługiwanym wystawcą pochodnych poświadczeń. Nie musisz konfigurować żadnych ustawień specyficznych dla usługi Intune w systemie wystawcy pochodnych poświadczeń.

• Administrator usługi Intune określa pochodne poświadczenia jako metodę uwierzytelniania dla następujących obiektów:

  W przypadku w pełni zarządzanych urządzeń z systemem Android Enterprise:

  • Typowe typy profilów, takie jak Wi-Fi
  • Uwierzytelnianie aplikacji

  W przypadku systemu iOS/iPadOS:

  • Typowe typy profilów, takie jak sieć Wi-Fi, sieć VPN i Email, w tym natywna aplikacja poczty dla systemu iOS/iPadOS
  • Uwierzytelnianie aplikacji
  • Podpisywanie i szyfrowanie S/MIME

  W przypadku systemu Windows:

  • Typowe typy profilów, takie jak sieć Wi-Fi i sieć VPN

  Uwaga

  Obecnie pochodne poświadczenia jako metoda uwierzytelniania dla profilów sieci VPN nie działają zgodnie z oczekiwaniami na urządzeniach z systemem Windows. To zachowanie ma wpływ tylko na profile sieci VPN na urządzeniach z systemem Windows i zostanie naprawione w przyszłej wersji (bez eta).

• W przypadku systemów Android i iOS/iPadOS użytkownicy uzyskują pochodne poświadczenia przy użyciu karty inteligentnej na komputerze w celu uwierzytelnienia się u wystawcy pochodnych poświadczeń. Następnie wystawcy wystawia na urządzeniu przenośnym certyfikat pochodzący z karty inteligentnej. W przypadku systemu Windows użytkownicy instalują aplikację od dostawcy pochodnych poświadczeń, który instaluje certyfikat na urządzeniu do późniejszego użycia.

• Gdy urządzenie otrzyma pochodne poświadczenia, jest używane do uwierzytelniania oraz do podpisywania i szyfrowania S/MIME, gdy aplikacje lub profile dostępu do zasobów wymagają pochodnych poświadczeń.

Wymagania wstępne

Przed skonfigurowaniem dzierżawy do używania poświadczeń pochodnych przejrzyj następujące informacje.

Obsługiwane platformy

Usługa Intune obsługuje pochodne poświadczenia na następujących platformach:

• iOS/iPadOS
• Android Enterprise:
  • Urządzenia w pełni zarządzane (wersja 7.0 i nowsze)
  • profil służbowy Corporate-Owned
• Windows 10/11

Obsługiwali wystawcy

Usługa Intune obsługuje jednego wystawcę pochodnych poświadczeń na dzierżawę. Usługę Intune można skonfigurować do pracy z następującymi wystawcami:

• DISA Purebred: https://public.cyber.mil/pki-pke/purebred/
• Powierz: https://www.entrust.com/
• Intercede: https://www.intercede.com/

Aby uzyskać ważne informacje na temat korzystania z różnych wystawców, zapoznaj się ze wskazówkami dla tego wystawcy. Aby uzyskać więcej informacji, zobacz Planowanie pochodnych poświadczeń w tym artykule.

Ważna

Jeśli usuniesz wystawcę pochodnych poświadczeń z dzierżawy, pochodne poświadczenia skonfigurowane za pośrednictwem tego wystawcy nie będą już działać.

Zobacz Zmienianie wystawcy pochodnych poświadczeń w dalszej części tego artykułu.

Wymagane aplikacje

Zaplanuj wdrożenie odpowiedniej aplikacji dostępnej dla użytkownika na urządzeniach, które będą rejestrowane w celu uzyskania pochodnych poświadczeń. Użytkownicy urządzeń używają aplikacji do rozpoczęcia procesu rejestracji poświadczeń.

• Urządzenia z systemem iOS używają aplikacji Portal firmy. Zobacz Dodawanie aplikacji ze sklepu dla systemu iOS do Microsoft Intune.
• W pełni zarządzane i Corporate-Owned urządzenia z profilem służbowym systemu Android Enterprise korzystają z aplikacji usługi Intune. Zobacz Dodawanie aplikacji ze sklepu dla systemu Android do Microsoft Intune.

Planowanie poświadczeń pochodnych

Zapoznaj się z następującymi zagadnieniami przed skonfigurowaniem wystawcy pochodnych poświadczeń dla systemów Android i iOS/iPadOS.

W przypadku urządzeń z systemem Windows zobacz Pochodne poświadczenia dla systemu Windows w dalszej części tego artykułu.

1 — Przejrzyj dokumentację wybranego wystawcy pochodnych poświadczeń

Przed skonfigurowaniem wystawcy zapoznaj się z dokumentacją wystawcy, aby zrozumieć, w jaki sposób system dostarcza pochodne poświadczenia do urządzeń.

W zależności od wybranego wystawcy może być konieczne udostępnienie personelu w momencie rejestracji, aby ułatwić użytkownikom ukończenie procesu. Przejrzyj również bieżące konfiguracje usługi Intune, aby upewnić się, że nie blokują one dostępu niezbędnego do ukończenia żądania poświadczeń przez urządzenia lub użytkowników.

Na przykład możesz użyć dostępu warunkowego, aby zablokować dostęp do poczty e-mail dla niezgodnych urządzeń. Jeśli korzystasz z powiadomień e-mail, aby poinformować użytkownika o rozpoczęciu procesu rejestracji pochodnych poświadczeń, użytkownicy mogą nie otrzymać tych instrukcji, dopóki nie będą zgodni z zasadami.

Podobnie niektóre pochodne przepływy pracy żądań poświadczeń wymagają użycia aparatu urządzenia do skanowania kodu QR na ekranie. Ten kod łączy to urządzenie z żądaniem uwierzytelniania, które wystąpiło względem wystawcy pochodnych poświadczeń przy użyciu poświadczeń karty inteligentnej użytkownika. Jeśli zasady konfiguracji urządzenia blokują użycie aparatu, użytkownik nie może ukończyć żądania rejestracji pochodnych poświadczeń.

Informacje ogólne:

• Jednocześnie można skonfigurować tylko jednego wystawcę na dzierżawę, a wystawca jest dostępny dla wszystkich użytkowników i obsługiwanych urządzeń w dzierżawie.

• Użytkownicy nie są powiadamiani, że muszą zarejestrować się w celu uzyskania pochodnych poświadczeń, dopóki nie zostaną objęci zasadami, które wymagają pochodnych poświadczeń.

• Powiadomienie może być za pośrednictwem powiadomienia aplikacji dla Portal firmy, za pośrednictwem poczty e-mail lub obu tych elementów. Jeśli wybierzesz opcję korzystania z powiadomień e-mail i użyjesz włączonego dostępu warunkowego, użytkownicy mogą nie otrzymać powiadomienia e-mail, jeśli ich urządzenie nie jest zgodne.

  Ważna

  Aby zapewnić pomyślne odbieranie powiadomień związanych z poświadczeniami urządzenia przez użytkowników końcowych, należy włączyć powiadomienia aplikacji dla Portal firmy, powiadomień e-mail lub obu tych elementów.

2 — Przejrzyj przepływ pracy użytkownika końcowego dla wybranego wystawcy

Poniżej przedstawiono kluczowe zagadnienia dotyczące każdego obsługiwanego partnera. Zapoznaj się z tą informacją, aby upewnić się, że zasady i konfiguracje usługi Intune nie blokują użytkownikom i urządzeniom pomyślnego ukończenia rejestracji pochodnego poświadczenia od tego wystawcy.

DISA Purebred

Przejrzyj przepływ pracy użytkownika specyficzny dla platformy dla urządzeń, których będziesz używać z poświadczeniami pochodnymi.

• iOS i iPadOS
• Android Enterprise - Profil służbowy należący do firmy lub w pełni zarządzane urządzenia

Kluczowe wymagania obejmują:

• Użytkownicy muszą mieć dostęp do komputera lub kiosku, gdzie mogą używać karty inteligentnej do uwierzytelniania u wystawcy.

• Urządzenia z systemem iOS i iPadOS, które będą rejestrowane w celu uzyskania pochodnego poświadczenia, muszą zainstalować aplikację Intune — Portal firmy. Urządzenia z w pełni zarządzanymi i Corporate-Owned profilu służbowego systemu Android muszą zainstalować aplikację usługi Intune i korzystać z niej.

• Użyj usługi Intune, aby wdrożyć aplikację DISA Purebred na urządzeniach, które będą rejestrowane w celu uzyskania pochodnego poświadczenia. Ta aplikacja musi zostać wdrożona za pośrednictwem usługi Intune, aby była zarządzana, a następnie mogła pracować z aplikacją Intune — Portal firmy lub aplikacją usługi Intune, której użytkownicy urządzeń używają do ukończenia żądania pochodnego poświadczeń.

• Aby pobrać pochodne poświadczenia z aplikacji Purebred, urządzenie musi mieć dostęp do sieci lokalnej. Dostęp może być uzyskiwany za pośrednictwem firmowej Wi-Fi lub sieci VPN.

• Użytkownicy urządzeń muszą pracować z agentem na żywo podczas procesu rejestracji. Podczas rejestracji ograniczone czasowo jednorazowe kody dostępu są udostępniane użytkownikowi w miarę kontynuowania procesu rejestracji.

• Po wprowadzeniu zmian w zasadach korzystających z pochodnych poświadczeń, takich jak tworzenie nowego profilu Wi-Fi, użytkownicy systemów iOS i iPadOS są powiadamiani o otwarciu aplikacji Portal firmy.

• Użytkownicy są powiadamiani o otwarciu odpowiedniej aplikacji, gdy będą musieli odnowić swoje pochodne poświadczenia.

  Proces odnawiania odbywa się w następujący sposób:

  • Wystawca pochodnych poświadczeń musi wystawiać nowe lub zaktualizowane certyfikaty, zanim poprzednie certyfikaty będą w 80% przechodzić przez okres ważności.
  • Urządzenie jest zaewidencjonowywane w okresie odnawiania (ostatnie 20% okresu ważności).
  • Microsoft Intune powiadamia użytkownika za pośrednictwem poczty e-mail lub powiadomienia aplikacji o uruchomieniu Portal firmy.
  • Użytkownik uruchamia Portal firmy i naciska powiadomienie pochodne poświadczeń, a następnie pochodne certyfikaty poświadczeń są kopiowane do urządzenia.

Aby uzyskać informacje o pobieraniu i konfigurowaniu aplikacji DISA Purebred, zobacz Wdrażanie aplikacji DISA Purebred w dalszej części tego artykułu.

Powierzyć

Przejrzyj przepływ pracy użytkownika specyficzny dla platformy dla urządzeń, których będziesz używać z poświadczeniami pochodnymi.

• iOS i iPadOS
• Android Enterprise- Profil służbowy należący do firmy lub w pełni zarządzane urządzenia

Kluczowe wymagania obejmują:

• Użytkownicy muszą mieć dostęp do komputera lub kiosku, gdzie mogą używać karty inteligentnej do uwierzytelniania u wystawcy.

• Urządzenia z systemem iOS i iPadOS, które będą rejestrowane w celu uzyskania pochodnego poświadczenia, muszą zainstalować aplikację Intune — Portal firmy. Urządzenia z w pełni zarządzanymi i Corporate-Owned profilu służbowego systemu Android muszą zainstalować aplikację usługi Intune i korzystać z niej.

• Użyj aparatu urządzenia do skanowania kodu QR, który łączy żądanie uwierzytelniania z żądaniem pochodnym poświadczenia z urządzenia przenośnego.

• Użytkownicy są monitowane przez aplikację Portal firmy lub za pośrednictwem poczty e-mail o zarejestrowanie się w celu uzyskania pochodnych poświadczeń.

• Po wprowadzeniu zmian w zasadach korzystających z pochodnych poświadczeń, takich jak tworzenie nowego profilu Wi-Fi:

  • iOS i iPadOS — użytkownicy są powiadamiani o otwarciu aplikacji Portal firmy.
  • Profil służbowy firmy systemu Android Enterprise lub w pełni zarządzane urządzenia — aplikacja Portal firmy nie musi być otwierana.

• Użytkownicy są powiadamiani o otwarciu odpowiedniej aplikacji, gdy będą musieli odnowić swoje pochodne poświadczenia.

  Proces odnawiania odbywa się w następujący sposób:

  • Wystawca pochodnych poświadczeń musi wystawiać nowe lub zaktualizowane certyfikaty, zanim poprzednie certyfikaty będą w 80% przechodzić przez okres ważności.
  • Urządzenie jest zaewidencjonowywane w okresie odnawiania (ostatnie 20% okresu ważności).
  • Microsoft Intune powiadamia użytkownika za pośrednictwem poczty e-mail lub powiadomienia aplikacji o uruchomieniu Portal firmy.
  • Użytkownik uruchamia Portal firmy i naciska powiadomienie o pochodnych poświadczeniach, a następnie pochodne certyfikaty poświadczeń są kopiowane do urządzenia

Wstawiam

Przejrzyj przepływ pracy użytkownika specyficzny dla platformy dla urządzeń, których będziesz używać z poświadczeniami pochodnymi.

• iOS i iPadOS
• Android Enterprise - Profil służbowy należący do firmy lub w pełni zarządzane urządzenia

Kluczowe wymagania obejmują:

• Użytkownicy muszą mieć dostęp do komputera lub kiosku, gdzie mogą używać karty inteligentnej do uwierzytelniania u wystawcy.

• Urządzenia z systemem iOS i iPadOS, które będą rejestrowane w celu uzyskania pochodnego poświadczenia, muszą zainstalować aplikację Intune — Portal firmy. Urządzenia z w pełni zarządzanymi i Corporate-Owned profilu służbowego systemu Android muszą zainstalować aplikację usługi Intune i korzystać z niej.

• Użyj aparatu urządzenia do skanowania kodu QR, który łączy żądanie uwierzytelniania z żądaniem pochodnym poświadczenia z urządzenia przenośnego.

• Użytkownicy są monitowane przez aplikację Portal firmy lub za pośrednictwem poczty e-mail o zarejestrowanie się w celu uzyskania pochodnych poświadczeń.

• Po wprowadzeniu zmian w zasadach korzystających z pochodnych poświadczeń, takich jak tworzenie nowego profilu Wi-Fi:

  • iOS i iPadOS — użytkownicy są powiadamiani o otwarciu aplikacji Portal firmy.
  • Profil służbowy firmy systemu Android Enterprise lub w pełni zarządzane urządzenia — aplikacja Portal firmy nie musi być otwierana.

• Użytkownicy są powiadamiani o otwarciu odpowiedniej aplikacji, gdy będą musieli odnowić swoje pochodne poświadczenia.

  Proces odnawiania odbywa się w następujący sposób:

  • Wystawca pochodnych poświadczeń musi wystawiać nowe lub zaktualizowane certyfikaty, zanim poprzednie certyfikaty będą w 80% przechodzić przez okres ważności.
  • Urządzenie jest zaewidencjonowywane w okresie odnawiania (ostatnie 20% okresu ważności).
  • Microsoft Intune powiadamia użytkownika za pośrednictwem poczty e-mail lub powiadomienia aplikacji o uruchomieniu Portal firmy.
  • Użytkownik uruchamia Portal firmy i naciska powiadomienie o pochodnych poświadczeniach, a następnie pochodne certyfikaty poświadczeń są kopiowane do urządzenia

3 — Wdrażanie zaufanego certyfikatu głównego na urządzeniach

Zaufany certyfikat główny jest używany z pochodnymi poświadczeniami w celu sprawdzenia, czy łańcuch pochodnych certyfikatów poświadczeń jest prawidłowy i zaufany. Nawet jeśli zasady nie odwołują się bezpośrednio do zasad, wymagany jest zaufany certyfikat główny. Zobacz Konfigurowanie profilu certyfikatu dla urządzeń w Microsoft Intune.

4 — Podaj instrukcje użytkownika końcowego dotyczące uzyskiwania pochodnego poświadczenia

Utwórz i podaj użytkownikom wskazówki dotyczące uruchamiania procesu rejestracji pochodnych poświadczeń oraz przechodzenia do przepływu pracy rejestracji pochodnych poświadczeń dla wybranego wystawcy.

Zalecamy podanie adresu URL hostującego wskazówki. Ten adres URL jest określany podczas konfigurowania wystawcy pochodnych poświadczeń dla dzierżawy, a ten adres URL jest udostępniany z poziomu aplikacji Portal firmy. Jeśli nie określisz własnego adresu URL, usługa Intune udostępnia link do ogólnych szczegółów. Te szczegóły nie mogą obejmować wszystkich scenariuszy i mogą nie być poprawne dla danego środowiska.

5 — Wdrażanie zasad usługi Intune, które wymagają pochodnych poświadczeń

Utwórz nowe zasady lub edytuj istniejące zasady, aby używać pochodnych poświadczeń. Pochodne poświadczenia zastępują inne metody uwierzytelniania dla następujących obiektów:

• Uwierzytelnianie aplikacji
• Wi-Fi
• Sieć VPN
• Email (tylko system iOS)
• Podpisywanie i szyfrowanie S/MIME, w tym program Outlook (tylko system iOS)

Unikaj używania pochodnego poświadczenia w celu uzyskania dostępu do procesu, który będzie używany w ramach procesu w celu uzyskania pochodnego poświadczenia, ponieważ może to uniemożliwić użytkownikom ukończenie żądania.

Konfigurowanie wystawcy pochodnych poświadczeń

Przed utworzeniem zasad, które wymagają użycia pochodnego poświadczenia, skonfiguruj wystawcę poświadczeń w centrum administracyjnym Microsoft Intune. Wystawca pochodnych poświadczeń jest ustawieniem dla całej dzierżawy. Dzierżawy obsługują jednocześnie tylko jednego wystawcę.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycję Łączniki administracji>dzierżawy i tokeny>Pochodne poświadczenia.

   

3. Określ przyjazną nazwę wyświetlaną dla zasad wystawcy poświadczeń pochodnych. Ta nazwa nie jest wyświetlana użytkownikom urządzenia.

4. W polu Wystawca pochodnych poświadczeń wybierz wystawcę pochodnych poświadczeń wybranego dla dzierżawy:

   • DISA Purebred (tylko system iOS)
   • Powierzyć
   • Wstawiam

5. Określ adres URL pomocy dotyczącej pochodnych poświadczeń , aby udostępnić link do lokalizacji zawierającej instrukcje niestandardowe ułatwiające użytkownikom uzyskanie pochodnych poświadczeń dla organizacji. Instrukcje powinny być specyficzne dla Twojej organizacji i przepływu pracy, który jest niezbędny do uzyskania poświadczeń od wybranego wystawcy. Link jest wyświetlany w aplikacji Portal firmy i powinien być dostępny z urządzenia.

   Jeśli nie określisz własnego adresu URL, usługa Intune udostępnia link do ogólnych szczegółów, które nie mogą obejmować wszystkich scenariuszy. Te ogólne wskazówki mogą nie być poprawne dla danego środowiska.

6. Wybierz co najmniej jedną opcję typu powiadomienia. Typy powiadomień to metody, których używasz do informowania użytkowników o następujących scenariuszach:

   • Zarejestruj urządzenie u wystawcy, aby uzyskać nowe poświadczenia pochodne.
   • Pobierz nowe poświadczenia pochodne, gdy bieżące poświadczenie jest bliskie wygaśnięcia.
   • Użyj pochodnego poświadczenia z obsługiwanym obiektem.

7. Gdy wszystko będzie gotowe, wybierz pozycję Zapisz , aby ukończyć konfigurację wystawcy pochodnych poświadczeń.

Po zapisaniu konfiguracji można wprowadzić zmiany we wszystkich polach z wyjątkiem wystawcy pochodnych poświadczeń. Aby zmienić wystawcę, zobacz Zmienianie wystawcy pochodnych poświadczeń.

Wdrażanie aplikacji DISA Purebred

Ta sekcja ma zastosowanie tylko wtedy, gdy używasz narzędzia DISA Purebred.

Aby użyć narzędzia DISA Purebred jako wystawcy pochodnych poświadczeń dla usługi Intune, musisz pobrać aplikację DISA Purebred, a następnie wdrożyć aplikację na urządzeniach za pomocą usługi Intune. Następnie użytkownicy żądają pochodnego poświadczenia od disa Purebred przy użyciu aplikacji Portal firmy na urządzeniu z systemem iOS/iPadOS lub aplikacji usługi Intune na swoich urządzeniach z systemem Android.

Oprócz wdrażania aplikacji DISA Purebred w usłudze Intune urządzenie musi mieć dostęp do sieci lokalnej. Aby zapewnić ten dostęp, rozważ użycie sieci VPN lub firmowej sieci Wi-Fi.

Wykonaj następujące zadania:

1. Pobierz aplikację DISA Purebred: https://cyber.mil/pki-pke/purebred/.

2. Wdróż aplikację DISA Purebred w usłudze Intune.

   • Zobacz Dodawanie aplikacji biznesowej systemu iOS do Microsoft Intune.
   • Zobacz Dodawanie aplikacji biznesowej systemu Android do Microsoft Intune

   Dodatkowe ustawienia aplikacji Purebred mogą być wymagane. Porozmawiaj ze swoim agentem Purebred, aby zrozumieć, które wartości powinny zostać uwzględnione w zasadach, lub jeśli masz kartę Common Access Card (CAC) wydaną przez doD, możesz uzyskać dostęp do dokumentacji purebred online pod adresem https://cyber.mil/pki-pke/purebred/.

3. Jeśli zdecydujesz się użyć sieci VPN dla aplikacji DISA Purebred, zobacz Tworzenie sieci VPN dla aplikacji.

Używanie pochodnych poświadczeń do uwierzytelniania oraz podpisywania i szyfrowania S/MIME

Poświadczenie pochodne można określić dla następujących typów profilów i celów:

• Aplikacje

• Email:

  • iOS i iPadOS
  • Android Enterprise

• VPN:

  • iOS i iPadOS

• Podpisywanie i szyfrowanie S/MIME

• Sieć Wi-Fi:

  • iOS i iPadOS
  • Android Enterprise

  W przypadku profilów Wi-Fi metoda uwierzytelniania jest dostępna tylko wtedy, gdy typ protokołu EAP jest ustawiony na jedną z następujących wartości:

  • EAP — protokół TLS
  • EAP-TTLS
  • PEAP

Używanie pochodnych poświadczeń do uwierzytelniania aplikacji

Użyj pochodnych poświadczeń do uwierzytelniania opartego na certyfikatach w witrynach internetowych i aplikacjach. Aby dostarczyć pochodne poświadczenia na potrzeby uwierzytelniania aplikacji:

1. Zaloguj się do centrum administracyjnego Microsoft Intune.

2. Wybierz pozycjęKonfiguracja>urządzeń> Na karcie Zasady wybierz pozycję + Utwórz.

3. Użyj następujących ustawień:

   W przypadku systemów iOS i iPadOS:

   • Dla platformy. wybierz pozycję iOS/iPadOS, a następnie w polu Typ profilu wybierz pozycję Szablony > Pochodne poświadczenia. Wybierz pozycję Utwórz , aby kontynuować.
   • W polu Nazwa wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to Pochodne poświadczenia dla profilu urządzeń z systemem iOS.
   • W polu Opis wprowadź opis, który zawiera omówienie ustawienia i wszelkie inne ważne szczegóły.

   W przypadku systemu Android Enterprise:

   • Dla platformy. wybierz pozycję Android Enterprise, a następnie w obszarze Typ profilu w obszarze W pełni zarządzane, Dedykowane i Corporate-Owned Profilu służbowego wybierz pozycję Pochodne poświadczenia**. Wybierz pozycję Utwórz , aby kontynuować.
   • W polu Nazwa wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to Pochodne poświadczenia dla profilu urządzeń z systemem Android Enterprise.
   • W polu Opis wprowadź opis, który zawiera omówienie ustawienia i wszelkie inne ważne szczegóły.
   • Na stronie Aplikacje skonfiguruj dostęp do certyfikatu , aby zarządzać sposobem przyznawania dostępu do certyfikatów aplikacjom. Wybierz jedną z następujących opcji:
     • Wymagaj zatwierdzenia przez użytkownika dla aplikacji(ustawienie domyślne) — użytkownicy muszą zatwierdzić użycie certyfikatu przez wszystkie aplikacje.
     • Udzielaj dyskretnie określonych aplikacji (wymagaj zatwierdzenia przez użytkownika dla innych aplikacji) — w tej opcji wybierz pozycję Dodaj aplikacje, a następnie wybierz co najmniej jedną aplikację, która będzie używać certyfikatu w trybie dyskretnym bez interakcji z użytkownikiem.

4. Na stronie Przypisania wybierz grupy, które powinny otrzymać zasady.

5. Po zakończeniu wybierz pozycję Utwórz , aby utworzyć profil usługi Intune. Po zakończeniu profil zostanie wyświetlony na liście Urządzenia — profile konfiguracji .

Użytkownicy otrzymują aplikację lub powiadomienie e-mail w zależności od ustawień określonych podczas konfigurowania wystawcy pochodnych poświadczeń. Powiadomienie informuje użytkownika o uruchomieniu Portal firmy, aby można było przetworzyć pochodne zasady poświadczeń.

Pochodne poświadczenia dla systemu Windows

Certyfikatów pochodnych można używać jako metody uwierzytelniania dla profilów Wi-Fi i sieci VPN na urządzeniach z systemem Windows. Tych samych dostawców, którzy są obsługiwane przez urządzenia z systemem Android i iOS/iPadOS są obsługiwane jako dostawcy dla systemu Windows:

• DISA Purebred
• Powierzyć
• Wstawiam

Uwaga

Obecnie pochodne poświadczenia jako metoda uwierzytelniania dla profilów sieci VPN nie działają zgodnie z oczekiwaniami na urządzeniach z systemem Windows. To zachowanie ma wpływ tylko na profile sieci VPN na urządzeniach z systemem Windows i zostanie naprawione w przyszłej wersji (bez eta).

W przypadku systemu Windows użytkownicy nie pracują w procesie rejestracji karty inteligentnej w celu uzyskania certyfikatu do użycia jako pochodne poświadczenia. Zamiast tego użytkownik musi zainstalować aplikację dla systemu Windows, która jest uzyskiwana od dostawcy pochodnych poświadczeń. Aby użyć pochodnych poświadczeń w systemie Windows, wykonaj następujące konfiguracje:

1. Zainstaluj aplikację od dostawców pochodnych poświadczeń na urządzeniu z systemem Windows.

   Podczas instalowania aplikacji systemu Windows od dostawcy pochodnych poświadczeń na urządzeniu z systemem Windows pochodny certyfikat jest dodawany do magazynu certyfikatów systemu Windows tego urządzenia. Po dodaniu certyfikatu do urządzenia staje się on dostępny do użycia pochodnej metody uwierzytelniania poświadczeń.

   Po pobraniu aplikacji od wybranego dostawcy aplikacja może zostać wdrożona dla użytkowników lub bezpośrednio zainstalowana przez użytkownika urządzenia.

2. Skonfiguruj profile Wi-Fi i sieci VPN, aby używać pochodnych poświadczeń jako metody uwierzytelniania.

   Podczas konfigurowania profilu systemu Windows dla Wi-Fi lub sieci VPN wybierz pozycję Pochodne poświadczenia dla metody uwierzytelniania. W przypadku tej konfiguracji profil używa certyfikatu instalowanego na urządzeniu podczas instalowania aplikacji dostawcy.

Odnawianie pochodnego poświadczenia

Pochodnych poświadczeń dla urządzeń z systemem Android lub iOS/iPadOS nie można rozszerzyć ani odnowić. Zamiast tego użytkownicy muszą użyć przepływu pracy żądania poświadczeń, aby zażądać nowego pochodnego poświadczenia dla swojego urządzenia. W przypadku urządzeń z systemem Windows zapoznaj się z dokumentacją aplikacji od dostawcy pochodnych poświadczeń.

W przypadku skonfigurowania co najmniej jednej metody dla typu powiadomienia usługa Intune automatycznie powiadamia użytkowników, gdy bieżące pochodne poświadczenia osiągną 80% jego okresu życia. Powiadomienie umożliwia użytkownikom przejście przez proces żądania poświadczeń w celu uzyskania nowego pochodnego poświadczenia.

Gdy urządzenie otrzyma nowe pochodne poświadczenie, zasady korzystające z pochodnych poświadczeń zostać ponownie wdrożone na tym urządzeniu.

Zmienianie wystawcy pochodnych poświadczeń

Na poziomie dzierżawy możesz zmienić wystawcę poświadczeń, chociaż tylko jeden wystawca jest jednocześnie obsługiwany przez dzierżawę.

Po zmianie wystawcy użytkownikom zostanie wyświetlony monit o uzyskanie nowego pochodnego poświadczenia od nowego wystawcy. Muszą to zrobić, zanim będą mogli użyć pochodnego poświadczenia do uwierzytelniania.

Zmienianie wystawcy dla dzierżawy

Ważna

Jeśli usuniesz wystawcę i natychmiast ponownie skonfigurujesz tego samego wystawcę, nadal musisz zaktualizować profile i urządzenia, aby używać pochodnych poświadczeń od tego wystawcy. Pochodne poświadczenia uzyskane przed usunięciem wystawcy nie są już prawidłowe.

1. Zaloguj się do centrum administracyjnego Microsoft Intune.
2. Wybierz pozycję Łączniki administracji>dzierżawy i tokeny>Pochodne poświadczenia.
3. Wybierz pozycję Usuń , aby usunąć bieżącego wystawcę pochodnych poświadczeń.
4. Skonfiguruj nowego wystawcę.

Aktualizowanie profilów korzystających z poświadczeń pochodnych

Po usunięciu wystawcy, a następnie dodaniu nowego, edytuj każdy profil, który używa pochodnych poświadczeń. Ta reguła ma zastosowanie nawet w przypadku przywrócenia poprzedniego wystawcy. Każda edycja profilu wyzwala aktualizację, w tym prostą edycję opisu profilu.

Aktualizowanie pochodnych poświadczeń na urządzeniach

Po usunięciu wystawcy, a następnie dodaniu nowego, użytkownicy urządzeń muszą zażądać nowego pochodnego poświadczenia. Ta reguła ma zastosowanie nawet po dodaniu tego samego wystawcy, który został usunięty. Proces żądania nowego poświadczenia pochodnego jest taki sam jak w przypadku rejestrowania nowego urządzenia lub odnawiania istniejącego poświadczenia.

Następne kroki

Tworzenie profilów konfiguracji urządzeń.