Wprowadzenie do profilów certyfikatów w Configuration Manager
Dotyczy: programu Configuration Manager (bieżąca gałąź)
Ważna
Począwszy od wersji 2203, ta funkcja dostępu do zasobów firmy nie jest już obsługiwana. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.
Profile certyfikatów współpracują z usługami certyfikatów Active Directory i rolą usługi rejestracji urządzeń sieciowych (NDES). Utwórz i wdróż certyfikaty uwierzytelniania dla urządzeń zarządzanych, aby użytkownicy mogli łatwo uzyskiwać dostęp do zasobów organizacji. Można na przykład tworzyć i wdrażać profile certyfikatów, aby zapewnić użytkownikom niezbędne certyfikaty do nawiązywania połączenia z siecią VPN i połączeniami bezprzewodowymi.
Profile certyfikatów mogą automatycznie konfigurować urządzenia użytkowników pod kątem dostępu do zasobów organizacji, takich jak sieci Wi-Fi i serwery sieci VPN. Użytkownicy mogą uzyskiwać dostęp do tych zasobów bez ręcznego instalowania certyfikatów lub korzystania z procesu poza pasmem. Profile certyfikatów ułatwiają zabezpieczanie zasobów, ponieważ można użyć bezpieczniejszych ustawień obsługiwanych przez infrastrukturę kluczy publicznych (PKI). Na przykład wymagaj uwierzytelniania serwera dla wszystkich połączeń Wi-Fi i sieci VPN, ponieważ na zarządzanych urządzeniach wdrożono wymagane certyfikaty.
Profile certyfikatów zapewniają następujące możliwości zarządzania:
Rejestrowanie i odnawianie certyfikatów z urzędu certyfikacji (CA) dla urządzeń z różnymi typami i wersjami systemu operacyjnego. Te certyfikaty mogą być następnie używane do Wi-Fi i połączeń sieci VPN.
Wdrażanie zaufanych certyfikatów głównego urzędu certyfikacji i certyfikatów pośredniego urzędu certyfikacji. Te certyfikaty konfigurują łańcuch zaufania na urządzeniach dla połączeń sieci VPN i Wi-Fi, gdy wymagane jest uwierzytelnianie serwera.
Monitorowanie i raportowanie zainstalowanych certyfikatów.
Przykład 1: Wszyscy pracownicy muszą łączyć się z Wi-Fi hotspotami w wielu lokalizacjach biurowych. Aby włączyć łatwe połączenie z użytkownikiem, najpierw wdróż certyfikaty potrzebne do nawiązania połączenia z siecią Wi-Fi. Następnie wdróż profile Wi-Fi odwołujące się do certyfikatu.
Przykład 2: Masz infrastrukturę kluczy publicznych. Chcesz przejść do bardziej elastycznej i bezpiecznej metody wdrażania certyfikatów. Użytkownicy muszą uzyskiwać dostęp do zasobów organizacji z urządzeń osobistych bez naruszania zabezpieczeń. Skonfiguruj profile certyfikatów przy użyciu ustawień i protokołów obsługiwanych dla określonej platformy urządzeń. Następnie urządzenia mogą automatycznie żądać tych certyfikatów z internetowego serwera rejestracji. Następnie skonfiguruj profile sieci VPN tak, aby używały tych certyfikatów, aby umożliwić urządzeniu dostęp do zasobów organizacji.
Typy
Istnieją trzy typy profilów certyfikatów:
Zaufany certyfikat urzędu certyfikacji: wdrażanie zaufanego głównego urzędu certyfikacji lub pośredniego certyfikatu urzędu certyfikacji. Te certyfikaty tworzą łańcuch zaufania, gdy urządzenie musi uwierzytelnić serwer.
Simple Certificate Enrollment Protocol (SCEP): Żądanie certyfikatu dla urządzenia lub użytkownika przy użyciu protokołu SCEP. Ten typ wymaga roli usługi rejestracji urządzeń sieciowych (NDES) na serwerze z systemem Windows Server 2012 R2 lub nowszym.
Aby utworzyć profil certyfikatu protokołu Simple Certificate Enrollment Protocol (SCEP), najpierw utwórz profil certyfikatu zaufanego urzędu certyfikacji .
Wymiana informacji osobistych (pfx): zażądaj certyfikatu pfx (znanego również jako PKCS #12) dla urządzenia lub użytkownika. Istnieją dwie metody tworzenia profilów certyfikatów PFX:
- Importowanie poświadczeń z istniejących certyfikatów
- Definiowanie urzędu certyfikacji do przetwarzania żądań
Uwaga
Configuration Manager domyślnie nie włącza tej opcjonalnej funkcji. Należy włączyć tę funkcję przed jej użyciem. Aby uzyskać więcej informacji, zobacz Włączanie opcjonalnych funkcji z aktualizacji.
Do wymiany danych osobowych (pfx) można używać Microsoft lub Entrust jako urzędów certyfikacji.
Wymagania
Aby wdrożyć profile certyfikatów korzystające z protokołu SCEP, zainstaluj punkt rejestracji certyfikatu na serwerze systemu lokacji. Zainstaluj również moduł zasad dla usługi NDES, modułu zasad Configuration Manager, na serwerze z systemem Windows Server 2012 R2 lub nowszym. Ten serwer wymaga roli usług certyfikatów Active Directory. Wymaga to również działającej usługi NDES dostępnej dla urządzeń, które wymagają certyfikatów. Jeśli urządzenia muszą rejestrować certyfikaty z Internetu, serwer usługi NDES musi być dostępny z Internetu. Aby na przykład bezpiecznie włączyć ruch do serwera usługi NDES z Internetu, można użyć serwera proxy aplikacja systemu Azure.
Certyfikaty PFX wymagają również punktu rejestracji certyfikatu. Określ również urząd certyfikacji dla certyfikatu i odpowiednie poświadczenia dostępu. Możesz określić Microsoft lub Entrust jako urzędy certyfikacji.
Aby uzyskać więcej informacji na temat obsługi modułu zasad przez usługę NDES, aby Configuration Manager mógł wdrażać certyfikaty, zobacz Using a Policy Module with the Network Device Enrollment Service (Używanie modułu zasad z usługą rejestracji urządzeń sieciowych).
W zależności od wymagań Configuration Manager obsługuje wdrażanie certyfikatów w różnych magazynach certyfikatów w różnych typach urządzeń i systemach operacyjnych. Obsługiwane są następujące urządzenia i systemy operacyjne:
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Uwaga
Zarządzanie Windows Phone 8.1 i Windows 10 Mobile przy użyciu lokalnego rozwiązania MDM Configuration Manager. Aby uzyskać więcej informacji, zobacz Lokalne zarządzanie urządzeniami przenośnymi.
Typowym scenariuszem dla Configuration Manager jest zainstalowanie zaufanych certyfikatów głównego urzędu certyfikacji w celu uwierzytelniania serwerów Wi-Fi i sieci VPN. Typowe połączenia używają następujących protokołów:
- Protokoły uwierzytelniania: EAP-TLS, EAP-TTLS i PEAP
- Protokoły tunelowania sieci VPN: IKEv2, L2TP/IPsec i Cisco IPsec
Certyfikat głównego urzędu certyfikacji przedsiębiorstwa musi być zainstalowany na urządzeniu, zanim urządzenie będzie mógł żądać certyfikatów przy użyciu profilu certyfikatu SCEP.
Możesz określić ustawienia w profilu certyfikatu protokołu SCEP, aby zażądać dostosowanych certyfikatów dla różnych środowisk lub wymagań dotyczących łączności. Kreator tworzenia profilu certyfikatu ma dwie strony parametrów rejestracji. Pierwsza z nich, rejestracja SCEP, zawiera ustawienia żądania rejestracji i miejsca instalacji certyfikatu. Drugi, Właściwości certyfikatu, opisuje sam żądany certyfikat.
Wdrażanie
Podczas wdrażania profilu certyfikatu protokołu SCEP klient Configuration Manager przetwarza zasady. Następnie żąda hasła wyzwania SCEP z punktu zarządzania. Urządzenie tworzy parę kluczy publicznych/prywatnych i generuje żądanie podpisania certyfikatu (CSR). Wysyła to żądanie do serwera usługi NDES. Serwer usługi NDES przekazuje żądanie do systemu lokacji punktu rejestracji certyfikatu za pośrednictwem modułu zasad usługi NDES. Punkt rejestracji certyfikatu weryfikuje żądanie, sprawdza hasło wyzwania SCEP i sprawdza, czy żądanie nie zostało naruszone. Następnie zatwierdza lub odrzuca żądanie. Po zatwierdzeniu serwer usługi NDES wysyła żądanie podpisania do połączonego urzędu certyfikacji w celu podpisania. Urząd certyfikacji podpisuje żądanie, a następnie zwraca certyfikat do urządzenia żądającego.
Wdrażanie profilów certyfikatów w kolekcjach użytkowników lub urządzeń. Dla każdego certyfikatu można określić magazyn docelowy. Reguły stosowania określają, czy urządzenie może zainstalować certyfikat.
Podczas wdrażania profilu certyfikatu w kolekcji użytkowników koligacja urządzenia użytkownika określa, które urządzenia użytkowników instalują certyfikaty. Podczas wdrażania profilu certyfikatu z certyfikatem użytkownika w kolekcji urządzeń domyślnie każde z urządzeń podstawowych użytkowników instaluje certyfikaty. Aby zainstalować certyfikat na dowolnym urządzeniu użytkowników, zmień to zachowanie na stronie Rejestrowanie SCEPKreatora tworzenia profilu certyfikatu. Jeśli urządzenia znajdują się w grupie roboczej, Configuration Manager nie wdraża certyfikatów użytkowników.
Monitorowanie
Wdrożenia profilów certyfikatów można monitorować, wyświetlając wyniki lub raporty zgodności. Aby uzyskać więcej informacji, zobacz Jak monitorować profile certyfikatów.
Automatyczne odwoływanie
Configuration Manager automatycznie odwołuje certyfikaty użytkowników i komputerów wdrożone przy użyciu profilów certyfikatów w następujących okolicznościach:
Urządzenie zostało wycofane z zarządzania Configuration Manager.
Urządzenie jest blokowane w hierarchii Configuration Manager.
Aby odwołać certyfikaty, serwer lokacji wysyła polecenie odwołania do urzędu wystawiającego certyfikaty. Przyczyną odwołania jest zaprzestanie działania.
Uwaga
Aby prawidłowo odwołać certyfikat, konto komputera lokacji najwyższego poziomu w hierarchii wymaga uprawnienia do wystawiania certyfikatów i zarządzania nimi w urzędzie certyfikacji.
W celu zwiększenia bezpieczeństwa można również ograniczyć menedżerów urzędu certyfikacji w urzędzie certyfikacji. Następnie nadaj temu kontu uprawnienia tylko do określonego szablonu certyfikatu używanego dla profilów protokołu SCEP w witrynie.
Następne kroki
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla