Profile zaufanego certyfikatu głównego dla usługi Microsoft Intune

W przypadku aprowizowania urządzeń z certyfikatami w celu uzyskania dostępu do zasobów firmowych i sieci przy użyciu usługi Intune użyj profilu zaufanego certyfikatu , aby wdrożyć zaufany certyfikat główny na tych urządzeniach. Zaufane certyfikaty główne ustanawiają relację zaufania z urządzenia do głównego lub pośredniego (wystawiającego) urzędu certyfikacji, z którego są wystawiane inne certyfikaty.

Profil zaufanego certyfikatu można wdrożyć na tych samych urządzeniach i na tych samych urządzeniach, którzy otrzymują profile certyfikatów dla protokołu SCEP (Simple Certificate Enrollment Protocol), standardów kryptografii klucza publicznego (PKCS) i zaimportowanych PKCS.

Porada

Profile zaufanych certyfikatów są obsługiwane w przypadku pulpitów zdalnych z wieloma sesjami systemu Windows Enterprise.

Eksportowanie zaufanego certyfikatu głównego urzędu certyfikacji

Aby używać zaimportowanych certyfikatów PKCS, SCEP i PKCS, urządzenia muszą ufać głównemu urzędowi certyfikacji. Aby ustanowić zaufanie, wyeksportuj certyfikat zaufanego głównego urzędu certyfikacji oraz wszelkie pośrednie lub wystawiające certyfikaty urzędu certyfikacji jako certyfikat publiczny (.cer). Te certyfikaty można pobrać z urzędu wystawiającego certyfikaty lub z dowolnego urządzenia, które ufa twojemu wystawiającemu urzędu certyfikacji.

Aby wyeksportować certyfikat, zapoznaj się z dokumentacją urzędu certyfikacji. Musisz wyeksportować certyfikat publiczny jako plik .cer zakodowany w formacie DER. Nie eksportuj klucza prywatnego, pliku pfx.

Ten plik .cer będzie używany podczas tworzenia profilów zaufanych certyfikatów w celu wdrożenia tego certyfikatu na urządzeniach.

Tworzenie profilów zaufanych certyfikatów

Zanim utworzysz profil certyfikatu SCEP, PKCS lub zaimportowanego certyfikatu PKCS, utwórz i wdróż profil certyfikatu zaufanego. Wdrożenie profilu zaufanego certyfikatu w tych samych grupach, które odbierają inne typy profilów certyfikatów, gwarantuje, że każde urządzenie może rozpoznać zasadność urzędu certyfikacji. Obejmuje to profile, takie jak te dotyczące sieci VPN, sieci Wi-Fi i poczty e-mail.

Profile certyfikatów SCEP bezpośrednio odwołują się do profilu zaufanego certyfikatu. Profile certyfikatów PKCS nie odwołują się bezpośrednio do profilu zaufanego certyfikatu, ale bezpośrednio odwołują się do serwera hostującego urząd certyfikacji. Profile zaimportowanych certyfikatów PKCS nie odwołują się bezpośrednio do profilu zaufanego certyfikatu, ale mogą go używać na urządzeniu. Wdrożenie profilu zaufanego certyfikatu na urządzeniach gwarantuje ustanowienie tego zaufania. Jeśli urządzenie nie ufa głównemu urzędowi certyfikacji, zasady profilu certyfikatu SCEP lub PKCS nie powiedzie się.

Utwórz oddzielny profil zaufanego certyfikatu dla każdej platformy urządzeń, którą chcesz obsługiwać, tak jak w przypadku profilów certyfikatów zaimportowanych przez protokół SCEP, PKCS i PKCS.

Ważna

Zaufane profile główne utworzone dla platformy Windows 10 i nowsze, wyświetlane w centrum administracyjnym usługi Microsoft Intune jako profile dla platformy Windows 8.1 lub nowszej.

Jest to znany problem z prezentacją platformy dla profilów zaufanych certyfikatów. Profil wyświetla platformę systemu Windows 8.1 lub nowszego, ale działa w systemie Windows 10/11.

Uwaga

Profil zaufanego certyfikatu w usłudze Intune może służyć tylko do dostarczania certyfikatów głównych lub pośrednich. Celem wdrażania takich certyfikatów jest ustanowienie łańcucha zaufania. Używanie profilu zaufanego certyfikatu do dostarczania certyfikatów innych niż certyfikaty główne lub pośrednie nie jest obsługiwane przez firmę Microsoft. Podczas wybierania profilu zaufanego certyfikatu w centrum administracyjnym usługi Microsoft Intune może zostać zablokowana możliwość importowania certyfikatów, które nie są uważane za certyfikaty główne lub pośrednie. Nawet jeśli możesz zaimportować i wdrożyć certyfikat, który nie jest certyfikatem głównym lub pośrednim przy użyciu tego typu profilu, prawdopodobnie wystąpią nieoczekiwane wyniki między różnymi platformami, takimi jak iOS i Android.

Profile zaufanych certyfikatów dla administratora urządzeń z systemem Android

Ważna

Usługa Microsoft Intune kończy obsługę zarządzania urządzeniami z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Począwszy od systemu Android 11, nie można już używać profilu zaufanego certyfikatu do wdrażania zaufanego certyfikatu głównego na urządzeniach zarejestrowanych jako administrator urządzeń z systemem Android. To ograniczenie nie ma zastosowania do rozwiązania Samsung Knox.

Ponieważ profile certyfikatów SCEP wymagają zainstalowania zaufanego certyfikatu głównego na urządzeniu i muszą odwoływać się do profilu zaufanego certyfikatu, który z kolei odwołuje się do tego certyfikatu, wykonaj następujące kroki, aby obejść to ograniczenie:

1. Ręczne aprowizowanie urządzenia przy użyciu zaufanego certyfikatu głównego. Aby uzyskać przykładowe wskazówki, zobacz następującą sekcję.

2. Wdróż na urządzeniu profil zaufanego certyfikatu głównego, który odwołuje się do zaufanego certyfikatu głównego zainstalowanego na urządzeniu.

3. Wdróż profil certyfikatu SCEP na urządzeniu, które odwołuje się do profilu zaufanego certyfikatu głównego.

Ten problem nie jest ograniczony do profilów certyfikatów SCEP. W związku z tym zaplanuj ręczne zainstalowanie zaufanego certyfikatu głównego na odpowiednich urządzeniach, jeśli wymagane jest użycie profilów certyfikatów PKCS lub profilów zaimportowanych certyfikatów PKCS.

Dowiedz się więcej o zmianach w obsłudze administratora urządzeń z systemem Android z techcommunity.microsoft.com.

Ręczne aprowizowanie urządzenia przy użyciu zaufanego certyfikatu głównego

Poniższe wskazówki mogą ułatwić ręczne aprowizowanie urządzeń z zaufanym certyfikatem głównym.

1. Pobierz lub przenieś zaufany certyfikat główny na urządzenie z systemem Android. Na przykład możesz użyć poczty e-mail do dystrybucji certyfikatu wśród użytkowników urządzeń lub zezwolić użytkownikom na pobranie go z bezpiecznej lokalizacji. Gdy certyfikat znajduje się na urządzeniu, musi zostać otwarty, nazwany i zapisany. Zapisanie certyfikatu powoduje dodanie go do magazynu certyfikatów użytkownika na urządzeniu.

   1. Aby otworzyć certyfikat na urządzeniu, użytkownik musi zlokalizować i nacisnąć (otworzyć) certyfikat. Na przykład po wysłaniu certyfikatu pocztą e-mail użytkownik urządzenia może nacisnąć lub otworzyć załącznik certyfikatu.
   2. Po otwarciu certyfikatu użytkownik musi podać swój numer PIN lub w inny sposób uwierzytelnić się na urządzeniu, zanim będzie mógł zarządzać certyfikatem.

2. Po uwierzytelnieniu certyfikat zostanie otwarty i musi być nazwany, zanim będzie można go zapisać w magazynie certyfikatów Użytkownicy. Nazwa certyfikatu musi być zgodna z nazwą certyfikatu określoną w profilu zaufanego certyfikatu głównego, który zostanie wysłany do urządzenia. Po nazewnictwie certyfikatu można go zapisać.

3. Po zapisaniu certyfikat jest gotowy do użycia. Użytkownik może potwierdzić, że certyfikat znajduje się w prawidłowej lokalizacji na urządzeniu:

   1. Otwórz pozycję Ustawienia>Zaufane poświadczeniazabezpieczeń>. Rzeczywista ścieżka do zaufanych poświadczeń może się różnić w zależności od urządzenia.
   2. Otwórz kartę Użytkownik i znajdź certyfikat.
   3. Jeśli znajduje się na liście certyfikatów użytkownika, certyfikat jest zainstalowany poprawnie.

4. W przypadku certyfikatu głównego zainstalowanego na urządzeniu należy wdrożyć następujące elementy, aby aprowizować certyfikaty SCEP lub PKCS:

   • Profil zaufanego certyfikatu odwołujące się do tego certyfikatu
   • Profil SCEP lub PKCS, który odwołuje się do profilu certyfikatu w celu aprowizacji certyfikatów SCEP lub PKCS.

Aby utworzyć profil zaufanego certyfikatu

1. Zaloguj się do centrum administracyjnego usługi Microsoft Intune.

2. Wybierz i przejdź do pozycji Urządzenia>Zarządzaj urządzeniami>Utwórz konfigurację>.

   

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę urządzeń, które otrzymają ten profil.
   • Profil: w zależności od wybranej platformy wybierz pozycję Zaufany certyfikat lub wybierz pozycję Szablony>Zaufany certyfikat.

   Ważna

   22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.

   Jeśli obecnie używasz systemu Windows 8.1, przejdź na urządzenia z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to Profil zaufanego certyfikatu dla całej firmy.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji określ plik .cer dla wcześniej wyeksportowanego zaufanego certyfikatu głównego urzędu certyfikacji.

   W przypadku urządzeń z systemami Windows 8.1 i Windows 10/11 wybierz magazyn docelowy dla zaufanego certyfikatu:

   • Magazyn certyfikatów komputera — główny
   • Magazyn certyfikatów komputera — pośredni
   • Magazyn certyfikatów użytkownika — pośredni

   

8. Wybierz pozycję Dalej.

9. W obszarze Przypisania wybierz użytkowników lub grupy, które otrzymają Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Wybierz pozycję Dalej.

10. (Dotyczy tylko systemu Windows 10/11) W obszarze Reguły stosowania określ reguły stosowania, aby uściślić przypisanie tego profilu. Profil można przypisać lub nie przypisywać na podstawie wersji lub wersji systemu operacyjnego urządzenia.

    Aby uzyskać więcej informacji, zobacz Reguły stosowania w temacie Tworzenie profilu urządzenia w usłudze Microsoft Intune.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Następne kroki

Tworzenie profilów certyfikatów:

• Konfigurowanie infrastruktury do obsługi certyfikatów protokołu SCEP w usłudze Intune
• Konfigurowanie certyfikatów PKCS i zarządzanie nimi za pomocą usługi Intune
• Tworzenie profilu zaimportowanego certyfikatu PKCS