Używanie poświadczeń pochodnych z Microsoft Intune
Pochodne poświadczenia są implementacją wytycznych Narodowego Instytutu Standardów i Technologii (NIST) dla pochodnych poświadczeń weryfikacji tożsamości osobistej (PIV) w ramach publikacji specjalnej (SP) 800-157(Link otwiera plik .pdf na nvlpubs.nist.gov).
Ten artykuł dotyczy:
- W pełni zarządzane urządzenia z systemem Android Enterprise z wersją 7.0 lub nowszą
- iOS/iPadOS
- Windows 10
- Windows 11
Organizacje, które wymagają użycia kart inteligentnych do uwierzytelniania lub szyfrowania i podpisywania, mogą używać Intune do aprowizowania urządzeń przenośnych przy użyciu certyfikatu pochodzącego z karty inteligentnej użytkownika. Ten certyfikat jest nazywany pochodnym poświadczeniem. Intune obsługuje kilku wystawców pochodnych poświadczeń, ale używa tylko jednego wystawcy na dzierżawę.
Informacje o implementacji Intune
Aby używać poświadczeń pochodnych Intune, administrator Intune musi skonfigurować dzierżawę do pracy z obsługiwanym wystawcą pochodnych poświadczeń. Nie musisz konfigurować żadnych Intune określonych ustawień w systemie wystawcy pochodnych poświadczeń.
Administrator Intune określa pochodne poświadczenia jako metodę uwierzytelniania dla następujących obiektów:
W przypadku w pełni zarządzanych urządzeń z systemem Android Enterprise:
- Typowe typy profilów, takie jak Wi-Fi
- Uwierzytelnianie aplikacji
W przypadku systemu iOS/iPadOS:
- Typowe typy profilów, takie jak sieć Wi-Fi, sieć VPN i Email, w tym natywna aplikacja poczty dla systemu iOS/iPadOS
- Uwierzytelnianie aplikacji
- Podpisywanie i szyfrowanie S/MIME
W przypadku systemu Windows:
- Typowe typy profilów, takie jak sieć Wi-Fi i sieć VPN
Uwaga
Obecnie pochodne poświadczenia jako metoda uwierzytelniania dla profilów sieci VPN nie działają zgodnie z oczekiwaniami na urządzeniach z systemem Windows. To zachowanie ma wpływ tylko na profile sieci VPN na urządzeniach z systemem Windows i zostanie naprawione w przyszłej wersji (bez eta).
W przypadku systemów Android i iOS/iPadOS użytkownicy uzyskują pochodne poświadczenia przy użyciu karty inteligentnej na komputerze w celu uwierzytelnienia się u wystawcy pochodnych poświadczeń. Następnie wystawcy wystawia na urządzeniu przenośnym certyfikat pochodzący z karty inteligentnej. W przypadku systemu Windows użytkownicy instalują aplikację od dostawcy pochodnych poświadczeń, który instaluje certyfikat na urządzeniu do późniejszego użycia. a
Gdy urządzenie otrzyma pochodne poświadczenia, poświadczenia są używane do uwierzytelniania oraz do podpisywania i szyfrowania S/MIME, gdy aplikacje lub profile dostępu do zasobów są skonfigurowane tak, aby wymagały pochodnych poświadczeń.
Wymagania wstępne
Przed skonfigurowaniem dzierżawy do używania poświadczeń pochodnych przejrzyj następujące informacje.
Obsługiwane platformy
Intune obsługuje pochodne poświadczenia na następujących platformach:
- iOS/iPadOS
- Android Enterprise:
- Urządzenia w pełni zarządzane (wersja 7.0 i nowsze)
- profil służbowy Corporate-Owned
- Windows 10
- Windows 11
Obsługiwali wystawcy
Intune obsługuje jednego wystawcę pochodnych poświadczeń na dzierżawę. Obsługiwana jest następująca liczba wystawców:
- DISA Purebred: https://public.cyber.mil/pki-pke/purebred/
- Powierz: https://www.entrust.com/
- Intercede: https://www.intercede.com/
Aby uzyskać ważne informacje na temat korzystania z różnych wystawców, zapoznaj się ze wskazówkami dla tego wystawcy. Aby uzyskać więcej informacji, zobacz Planowanie pochodnych poświadczeń w tym artykule.
Ważna
Jeśli usuniesz wystawcę pochodnych poświadczeń z dzierżawy, pochodne poświadczenia skonfigurowane za pośrednictwem tego wystawcy nie będą już działać.
Zobacz Zmienianie wystawcy pochodnych poświadczeń w dalszej części tego artykułu.
Wymagane aplikacje
Zaplanuj wdrożenie odpowiedniej aplikacji dostępnej dla użytkownika na urządzeniach, które rejestrują się w celu uzyskania pochodnego poświadczenia. Użytkownicy urządzeń używają aplikacji do rozpoczęcia procesu rejestracji poświadczeń.
- Urządzenia z systemem iOS używają aplikacji Portal firmy. Zobacz Dodawanie aplikacji ze sklepu dla systemu iOS do Microsoft Intune.
- Urządzenia z w pełni zarządzanymi i Corporate-Owned profilami służbowymi systemu Android Enterprise korzystają z aplikacji Intune. Zobacz Dodawanie aplikacji ze sklepu dla systemu Android do Microsoft Intune.
Planowanie poświadczeń pochodnych
Zapoznaj się z następującymi zagadnieniami przed skonfigurowaniem wystawcy pochodnych poświadczeń dla systemów Android i iOS/iPadOS.
W przypadku urządzeń z systemem Windows zobacz Pochodne poświadczenia dla systemu Windows w dalszej części tego artykułu.
1 — Przejrzyj dokumentację wybranego wystawcy pochodnych poświadczeń
Przed skonfigurowaniem wystawcy zapoznaj się z dokumentacją wystawcy, aby zrozumieć, w jaki sposób system dostarcza pochodne poświadczenia do urządzeń.
W zależności od wybranego wystawcy może być konieczne udostępnienie personelu w momencie rejestracji, aby ułatwić użytkownikom ukończenie procesu. Przejrzyj również bieżące konfiguracje Intune, aby upewnić się, że nie blokują one dostępu niezbędnego do ukończenia żądania poświadczeń przez urządzenia lub użytkowników.
Na przykład możesz użyć dostępu warunkowego, aby zablokować dostęp do poczty e-mail dla niezgodnych urządzeń. Jeśli korzystasz z powiadomień e-mail, aby poinformować użytkownika o rozpoczęciu procesu rejestracji pochodnych poświadczeń, użytkownicy mogą nie otrzymać tych instrukcji, dopóki nie będą zgodni z zasadami.
Podobnie niektóre pochodne przepływy pracy żądań poświadczeń wymagają użycia aparatu urządzenia do skanowania kodu QR na ekranie. Ten kod łączy to urządzenie z żądaniem uwierzytelniania, które wystąpiło względem wystawcy pochodnych poświadczeń przy użyciu poświadczeń karty inteligentnej użytkownika. Jeśli zasady konfiguracji urządzenia blokują korzystanie z aparatu, użytkownik nie może ukończyć żądania rejestracji pochodnych poświadczeń.
Informacje ogólne:
Jednocześnie można skonfigurować tylko jednego wystawcę na dzierżawę, a wystawca jest dostępny dla wszystkich użytkowników i obsługiwanych urządzeń w dzierżawie.
Użytkownicy nie są powiadamiani, że muszą zarejestrować się w celu uzyskania pochodnych poświadczeń, dopóki nie zostaną objęci zasadami, które wymagają pochodnych poświadczeń.
Powiadomienie może być za pośrednictwem powiadomienia aplikacji dla Portal firmy, za pośrednictwem poczty e-mail lub obu tych elementów. Jeśli wybierzesz opcję korzystania z powiadomień e-mail i użyjesz włączonego dostępu warunkowego, użytkownicy mogą nie otrzymać powiadomienia e-mail, jeśli ich urządzenie nie jest zgodne.
Ważna
Aby zapewnić pomyślne odbieranie powiadomień związanych z poświadczeniami urządzenia przez użytkowników końcowych, należy włączyć powiadomienia aplikacji dla Portal firmy, powiadomień e-mail lub obu tych elementów.
2 — Przejrzyj przepływ pracy użytkownika końcowego dla wybranego wystawcy
Poniżej przedstawiono kluczowe zagadnienia dotyczące każdego obsługiwanego partnera. Zapoznaj się z tą informacją, aby upewnić się, że zasady i konfiguracje Intune nie blokują użytkownikom i urządzeniom pomyślnego ukończenia rejestracji pochodnego poświadczenia od tego wystawcy.
DISA Purebred
Przejrzyj przepływ pracy użytkownika specyficzny dla platformy dla urządzeń, których będziesz używać z poświadczeniami pochodnymi.
- iOS i iPadOS
- Android Enterprise - Profil służbowy należący do firmy lub w pełni zarządzane urządzenia
Kluczowe wymagania obejmują:
Użytkownicy muszą mieć dostęp do komputera lub kiosku, gdzie mogą używać karty inteligentnej do uwierzytelniania u wystawcy.
Urządzenia z systemem iOS i iPadOS, które będą rejestrowane w celu uzyskania pochodnego poświadczenia, muszą zainstalować aplikację Intune — Portal firmy. Urządzenia z w pełni zarządzanymi i Corporate-Owned profilami służbowymi systemu Android muszą zainstalować aplikację Intune i korzystać z niej.
Użyj Intune, aby wdrożyć aplikację DISA Purebred na urządzeniach, które będą rejestrowane w celu uzyskania pochodnego poświadczenia. Ta aplikacja musi zostać wdrożona za pośrednictwem Intune, aby była zarządzana, a następnie mogła pracować z aplikacją Intune — Portal firmy lub aplikacją Intune, której użytkownicy urządzeń używają do ukończenia żądania pochodnych poświadczeń.
Aby pobrać pochodne poświadczenia z aplikacji Purebred, urządzenie musi mieć dostęp do sieci lokalnej. Dostęp może być uzyskiwany za pośrednictwem firmowej Wi-Fi lub sieci VPN.
Użytkownicy urządzeń muszą pracować z agentem na żywo podczas procesu rejestracji. Podczas rejestracji ograniczone czasowo jednorazowe kody dostępu są udostępniane użytkownikowi w miarę kontynuowania procesu rejestracji.
Po wprowadzeniu zmian w zasadach korzystających z pochodnych poświadczeń, takich jak tworzenie nowego profilu Wi-Fi, użytkownicy systemów iOS i iPadOS są powiadamiani o otwarciu aplikacji Portal firmy.
Użytkownicy są powiadamiani o otwarciu odpowiedniej aplikacji, gdy będą musieli odnowić swoje pochodne poświadczenia.
Proces odnawiania odbywa się w następujący sposób:
- Wystawca pochodnych poświadczeń musi wystawiać nowe lub zaktualizowane certyfikaty, zanim poprzednie certyfikaty będą w 80% przechodzić przez okres ważności.
- Urządzenie jest zaewidencjonowywane w okresie odnawiania (ostatnie 20% okresu ważności).
- Microsoft Intune powiadamia użytkownika za pośrednictwem poczty e-mail lub powiadomienia aplikacji o uruchomieniu Portal firmy.
- Użytkownik uruchamia Portal firmy i naciska powiadomienie pochodne poświadczeń, a następnie pochodne certyfikaty poświadczeń są kopiowane do urządzenia.
Aby uzyskać informacje o pobieraniu i konfigurowaniu aplikacji DISA Purebred, zobacz Wdrażanie aplikacji DISA Purebred w dalszej części tego artykułu.
Powierzyć
Przejrzyj przepływ pracy użytkownika specyficzny dla platformy dla urządzeń, których będziesz używać z poświadczeniami pochodnymi.
- iOS i iPadOS
- Android Enterprise- Profil służbowy należący do firmy lub w pełni zarządzane urządzenia
Kluczowe wymagania obejmują:
Użytkownicy muszą mieć dostęp do komputera lub kiosku, gdzie mogą używać karty inteligentnej do uwierzytelniania u wystawcy.
Urządzenia z systemem iOS i iPadOS, które będą rejestrowane w celu uzyskania pochodnego poświadczenia, muszą zainstalować aplikację Intune — Portal firmy. Urządzenia z w pełni zarządzanymi i Corporate-Owned profilami służbowymi systemu Android muszą zainstalować aplikację Intune i korzystać z niej.
Użyj aparatu urządzenia do skanowania kodu QR, który łączy żądanie uwierzytelniania z żądaniem pochodnym poświadczenia z urządzenia przenośnego.
Użytkownicy są monitowane przez aplikację Portal firmy lub za pośrednictwem poczty e-mail o zarejestrowanie się w celu uzyskania pochodnych poświadczeń.
Po wprowadzeniu zmian w zasadach korzystających z pochodnych poświadczeń, takich jak tworzenie nowego profilu Wi-Fi:
- iOS i iPadOS — użytkownicy są powiadamiani o otwarciu aplikacji Portal firmy.
- Profil służbowy firmy systemu Android Enterprise lub w pełni zarządzane urządzenia — aplikacja Portal firmy nie musi być otwierana.
Użytkownicy są powiadamiani o otwarciu odpowiedniej aplikacji, gdy będą musieli odnowić swoje pochodne poświadczenia.
Proces odnawiania odbywa się w następujący sposób:
- Wystawca pochodnych poświadczeń musi wystawiać nowe lub zaktualizowane certyfikaty, zanim poprzednie certyfikaty będą w 80% przechodzić przez okres ważności.
- Urządzenie jest zaewidencjonowywane w okresie odnawiania (ostatnie 20% okresu ważności).
- Microsoft Intune powiadamia użytkownika za pośrednictwem poczty e-mail lub powiadomienia aplikacji o uruchomieniu Portal firmy.
- Użytkownik uruchamia Portal firmy i naciska powiadomienie o pochodnych poświadczeniach, a następnie pochodne certyfikaty poświadczeń są kopiowane do urządzenia
Wstawiam
Przejrzyj przepływ pracy użytkownika specyficzny dla platformy dla urządzeń, których będziesz używać z poświadczeniami pochodnymi.
- iOS i iPadOS
- Android Enterprise - Profil służbowy należący do firmy lub w pełni zarządzane urządzenia
Kluczowe wymagania obejmują:
Użytkownicy muszą mieć dostęp do komputera lub kiosku, gdzie mogą używać karty inteligentnej do uwierzytelniania u wystawcy.
Urządzenia z systemem iOS i iPadOS, które będą rejestrowane w celu uzyskania pochodnego poświadczenia, muszą zainstalować aplikację Intune — Portal firmy. Urządzenia z w pełni zarządzanymi i Corporate-Owned profilami służbowymi systemu Android muszą zainstalować aplikację Intune i korzystać z niej.
Użyj aparatu urządzenia do skanowania kodu QR, który łączy żądanie uwierzytelniania z żądaniem pochodnym poświadczenia z urządzenia przenośnego.
Użytkownicy są monitowane przez aplikację Portal firmy lub za pośrednictwem poczty e-mail o zarejestrowanie się w celu uzyskania pochodnych poświadczeń.
Po wprowadzeniu zmian w zasadach korzystających z pochodnych poświadczeń, takich jak tworzenie nowego profilu Wi-Fi:
- iOS i iPadOS — użytkownicy są powiadamiani o otwarciu aplikacji Portal firmy.
- Profil służbowy firmy systemu Android Enterprise lub w pełni zarządzane urządzenia — aplikacja Portal firmy nie musi być otwierana.
Użytkownicy są powiadamiani o otwarciu odpowiedniej aplikacji, gdy będą musieli odnowić swoje pochodne poświadczenia.
Proces odnawiania odbywa się w następujący sposób:
- Wystawca pochodnych poświadczeń musi wystawiać nowe lub zaktualizowane certyfikaty, zanim poprzednie certyfikaty będą w 80% przechodzić przez okres ważności.
- Urządzenie jest zaewidencjonowywane w okresie odnawiania (ostatnie 20% okresu ważności).
- Microsoft Intune powiadamia użytkownika za pośrednictwem poczty e-mail lub powiadomienia aplikacji o uruchomieniu Portal firmy.
- Użytkownik uruchamia Portal firmy i naciska powiadomienie o pochodnych poświadczeniach, a następnie pochodne certyfikaty poświadczeń są kopiowane do urządzenia
3 — Wdrażanie zaufanego certyfikatu głównego na urządzeniach
Zaufany certyfikat główny jest używany z pochodnymi poświadczeniami w celu sprawdzenia, czy łańcuch pochodnych certyfikatów poświadczeń jest prawidłowy i zaufany. Nawet jeśli zasady nie odwołują się bezpośrednio do zasad, wymagany jest zaufany certyfikat główny. Zobacz Konfigurowanie profilu certyfikatu dla urządzeń w Microsoft Intune.
4 — Podaj instrukcje użytkownika końcowego dotyczące uzyskiwania pochodnego poświadczenia
Utwórz i podaj użytkownikom wskazówki dotyczące uruchamiania procesu rejestracji pochodnych poświadczeń oraz przechodzenia do przepływu pracy rejestracji pochodnych poświadczeń dla wybranego wystawcy.
Zalecamy podanie adresu URL hostującego wskazówki. Ten adres URL jest określany podczas konfigurowania wystawcy pochodnych poświadczeń dla dzierżawy, a ten adres URL jest udostępniany z poziomu aplikacji Portal firmy. Jeśli nie określisz własnego adresu URL, Intune udostępnia link do ogólnych szczegółów. Te szczegóły nie mogą obejmować wszystkich scenariuszy i mogą nie być poprawne dla danego środowiska.
5 — Wdrażanie zasad Intune, które wymagają pochodnych poświadczeń
Utwórz nowe zasady lub edytuj istniejące zasady, aby używać pochodnych poświadczeń. Pochodne poświadczenia zastępują inne metody uwierzytelniania dla następujących obiektów:
- Uwierzytelnianie aplikacji
- Wi-Fi
- Sieć VPN
- Email (tylko system iOS)
- Podpisywanie i szyfrowanie S/MIME, w tym program Outlook (tylko system iOS)
Unikaj używania pochodnego poświadczenia w celu uzyskania dostępu do procesu, który będzie używany w ramach procesu w celu uzyskania pochodnego poświadczenia, ponieważ może to uniemożliwić użytkownikom ukończenie żądania.
Konfigurowanie wystawcy pochodnych poświadczeń
Przed utworzeniem zasad, które wymagają użycia pochodnego poświadczenia, skonfiguruj wystawcę poświadczeń w centrum administracyjnym Microsoft Intune. Wystawca pochodnych poświadczeń jest ustawieniem dla całej dzierżawy. Dzierżawy obsługują jednocześnie tylko jednego wystawcę.
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Wybierz pozycję Łączniki administracji>dzierżawy i tokeny>Pochodne poświadczenia.
Określ przyjazną nazwę wyświetlaną dla zasad wystawcy poświadczeń pochodnych. Ta nazwa nie jest wyświetlana użytkownikom urządzenia.
W polu Wystawca pochodnych poświadczeń wybierz wystawcę pochodnych poświadczeń wybranego dla dzierżawy:
- DISA Purebred (tylko system iOS)
- Powierzyć
- Wstawiam
Określ adres URL pomocy dotyczącej pochodnych poświadczeń , aby udostępnić link do lokalizacji zawierającej instrukcje niestandardowe ułatwiające użytkownikom uzyskanie pochodnych poświadczeń dla organizacji. Instrukcje powinny być specyficzne dla Twojej organizacji i przepływu pracy, który jest niezbędny do uzyskania poświadczeń od wybranego wystawcy. Link jest wyświetlany w aplikacji Portal firmy i powinien być dostępny z urządzenia.
Jeśli nie określisz własnego adresu URL, Intune udostępnia link do ogólnych szczegółów, które nie mogą obejmować wszystkich scenariuszy. Te ogólne wskazówki mogą nie być poprawne dla danego środowiska.
Wybierz co najmniej jedną opcję typu powiadomienia. Typy powiadomień to metody, których używasz do informowania użytkowników o następujących scenariuszach:
- Zarejestruj urządzenie u wystawcy, aby uzyskać nowe poświadczenia pochodne.
- Pobierz nowe poświadczenia pochodne, gdy bieżące poświadczenie jest bliskie wygaśnięcia.
- Użyj pochodnego poświadczenia z obsługiwanym obiektem.
Gdy wszystko będzie gotowe, wybierz pozycję Zapisz , aby ukończyć konfigurację wystawcy pochodnych poświadczeń.
Po zapisaniu konfiguracji można wprowadzić zmiany we wszystkich polach z wyjątkiem wystawcy pochodnych poświadczeń. Aby zmienić wystawcę, zobacz Zmienianie wystawcy pochodnych poświadczeń.
Wdrażanie aplikacji DISA Purebred
Ta sekcja ma zastosowanie tylko wtedy, gdy używasz narzędzia DISA Purebred.
Aby używać aplikacji DISA Purebred jako wystawcy pochodnych poświadczeń dla Intune, musisz pobrać aplikację DISA Purebred, a następnie użyć Intune do wdrożenia aplikacji na urządzeniach. Następnie użytkownicy żądają pochodnego poświadczenia od disa Purebred przy użyciu aplikacji Portal firmy na urządzeniu z systemem iOS/iPadOS lub aplikacji Intune na swoich urządzeniach z systemem Android.
Oprócz wdrażania aplikacji DISA Purebred z Intune urządzenie musi mieć dostęp do sieci lokalnej. Aby zapewnić ten dostęp, rozważ użycie sieci VPN lub firmowej sieci Wi-Fi.
Wykonaj następujące zadania:
Pobierz aplikację DISA Purebred: https://cyber.mil/pki-pke/purebred/.
Wdróż aplikację DISA Purebred w Intune.
- Zobacz Dodawanie aplikacji biznesowej systemu iOS do Microsoft Intune.
- Zobacz Dodawanie aplikacji biznesowej systemu Android do Microsoft Intune
Dodatkowe ustawienia aplikacji Purebred mogą być wymagane. Porozmawiaj ze swoim agentem Purebred, aby zrozumieć, które wartości powinny zostać uwzględnione w zasadach, lub jeśli masz kartę Common Access Card (CAC) wydaną przez doD, możesz uzyskać dostęp do dokumentacji purebred online pod adresem https://cyber.mil/pki-pke/purebred/.
Jeśli zdecydujesz się użyć sieci VPN dla aplikacji DISA Purebred, zobacz Tworzenie sieci VPN dla aplikacji.
Używanie pochodnych poświadczeń do uwierzytelniania oraz podpisywania i szyfrowania S/MIME
Poświadczenie pochodne można określić dla następujących typów profilów i celów:
Email:
VPN:
Sieć Wi-Fi:
W przypadku profilów Wi-Fi metoda uwierzytelniania jest dostępna tylko wtedy, gdy typ protokołu EAP jest ustawiony na jedną z następujących wartości:
- EAP — protokół TLS
- EAP-TTLS
- PEAP
Używanie pochodnych poświadczeń do uwierzytelniania aplikacji
Użyj pochodnych poświadczeń do uwierzytelniania opartego na certyfikatach w witrynach internetowych i aplikacjach. Aby dostarczyć pochodne poświadczenia na potrzeby uwierzytelniania aplikacji:
Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
Wybierz pozycję Urządzenia>Zarządzajkonfiguracją> urządzeń > Na karcie Zasady wybierz pozycję + Utwórz.
Użyj następujących ustawień:
W przypadku systemów iOS i iPadOS:
- Dla platformy. wybierz pozycję iOS/iPadOS, a następnie w polu Typ profilu wybierz pozycję Szablony > Pochodne poświadczenia. Wybierz pozycję Utwórz , aby kontynuować.
- W polu Nazwa wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to Pochodne poświadczenia dla profilu urządzeń z systemem iOS.
- W polu Opis wprowadź opis, który zawiera omówienie ustawienia i wszelkie inne ważne szczegóły.
W przypadku systemu Android Enterprise:
- Dla platformy. wybierz pozycję Android Enterprise, a następnie w obszarze Typ profilu w obszarze W pełni zarządzane, Dedykowane i Corporate-Owned Profilu służbowego wybierz pozycję Pochodne poświadczenia. Wybierz pozycję Utwórz , aby kontynuować.
- W polu Nazwa wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to Pochodne poświadczenia dla profilu urządzeń z systemem Android Enterprise.
- W polu Opis wprowadź opis, który zawiera omówienie ustawienia i wszelkie inne ważne szczegóły.
- Na stronie Aplikacje skonfiguruj dostęp do certyfikatu , aby zarządzać sposobem przyznawania dostępu do certyfikatów aplikacjom. Wybierz jedną z następujących opcji:
- Wymagaj zatwierdzenia przez użytkownika dla aplikacji(ustawienie domyślne) — użytkownicy muszą zatwierdzić użycie certyfikatu przez wszystkie aplikacje.
- Udzielaj dyskretnie określonych aplikacji (wymagaj zatwierdzenia przez użytkownika dla innych aplikacji) — w tej opcji wybierz pozycję Dodaj aplikacje, a następnie wybierz co najmniej jedną aplikację, która będzie używać certyfikatu w trybie dyskretnym bez interakcji z użytkownikiem.
Na stronie Przypisania wybierz grupy, które powinny otrzymać zasady.
Po zakończeniu wybierz pozycję Utwórz, aby utworzyć profil Intune. Po zakończeniu profil zostanie wyświetlony na liście Urządzenia — profile konfiguracji .
Użytkownicy otrzymują aplikację lub powiadomienie e-mail w zależności od ustawień określonych podczas konfigurowania wystawcy pochodnych poświadczeń. Powiadomienie informuje użytkownika o uruchomieniu Portal firmy, aby można było przetworzyć pochodne zasady poświadczeń.
Pochodne poświadczenia dla systemu Windows
Certyfikatów pochodnych można używać jako metody uwierzytelniania dla profilów Wi-Fi i sieci VPN na urządzeniach z systemem Windows. Tych samych dostawców, którzy są obsługiwane przez urządzenia z systemem Android i iOS/iPadOS są obsługiwane jako dostawcy dla systemu Windows:
- DISA Purebred
- Powierzyć
- Wstawiam
Uwaga
Obecnie pochodne poświadczenia jako metoda uwierzytelniania dla profilów sieci VPN nie działają zgodnie z oczekiwaniami na urządzeniach z systemem Windows. To zachowanie ma wpływ tylko na profile sieci VPN na urządzeniach z systemem Windows i zostanie naprawione w przyszłej wersji (bez eta).
W przypadku systemu Windows użytkownicy nie pracują w procesie rejestracji karty inteligentnej w celu uzyskania certyfikatu do użycia jako pochodne poświadczenia. Zamiast tego użytkownik musi zainstalować aplikację dla systemu Windows, która jest uzyskiwana od dostawcy pochodnych poświadczeń. Aby użyć pochodnych poświadczeń w systemie Windows, wykonaj następujące konfiguracje:
Zainstaluj aplikację od dostawców pochodnych poświadczeń na urządzeniu z systemem Windows.
Podczas instalowania aplikacji systemu Windows od dostawcy pochodnych poświadczeń na urządzeniu z systemem Windows pochodny certyfikat jest dodawany do magazynu certyfikatów systemu Windows tego urządzenia. Po dodaniu certyfikatu do urządzenia staje się on dostępny do użycia pochodnej metody uwierzytelniania poświadczeń.
Po pobraniu aplikacji od wybranego dostawcy aplikacja może zostać wdrożona dla użytkowników lub bezpośrednio zainstalowana przez użytkownika urządzenia.
Skonfiguruj profile Wi-Fi i sieci VPN, aby używać pochodnych poświadczeń jako metody uwierzytelniania.
Podczas konfigurowania profilu systemu Windows dla Wi-Fi lub sieci VPN wybierz pozycję Pochodne poświadczenia dla metody uwierzytelniania. W przypadku tej konfiguracji profil używa certyfikatu instalowanego na urządzeniu podczas instalowania aplikacji dostawcy.
Odnawianie pochodnego poświadczenia
Pochodnych poświadczeń dla urządzeń z systemem Android lub iOS/iPadOS nie można rozszerzyć ani odnowić. Zamiast tego użytkownicy muszą użyć przepływu pracy żądania poświadczeń, aby zażądać nowego pochodnego poświadczenia dla swojego urządzenia. W przypadku urządzeń z systemem Windows zapoznaj się z dokumentacją aplikacji od dostawcy pochodnych poświadczeń.
Jeśli skonfigurujesz jedną lub więcej metod dla typu powiadomienia, Intune automatycznie powiadamia użytkowników, gdy bieżące pochodne poświadczenia osiągną 80% jego okresu życia. Powiadomienie umożliwia użytkownikom przejście przez proces żądania poświadczeń w celu uzyskania nowego pochodnego poświadczenia.
Gdy urządzenie otrzyma nowe pochodne poświadczenie, zasady korzystające z pochodnych poświadczeń zostać ponownie wdrożone na tym urządzeniu.
Zmienianie wystawcy pochodnych poświadczeń
Na poziomie dzierżawy możesz zmienić wystawcę poświadczeń, chociaż tylko jeden wystawca jest jednocześnie obsługiwany przez dzierżawę.
Po zmianie wystawcy użytkownikom zostanie wyświetlony monit o uzyskanie nowego pochodnego poświadczenia od nowego wystawcy. Muszą to zrobić, zanim będą mogli użyć pochodnego poświadczenia do uwierzytelniania.
Zmienianie wystawcy dla dzierżawy
Ważna
Jeśli usuniesz wystawcę i natychmiast ponownie skonfigurujesz tego samego wystawcę, nadal musisz zaktualizować profile i urządzenia, aby używać pochodnych poświadczeń od tego wystawcy. Pochodne poświadczenia uzyskane przed usunięciem wystawcy nie są już prawidłowe.
- Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.
- Wybierz pozycję Łączniki administracji>dzierżawy i tokeny>Pochodne poświadczenia.
- Wybierz pozycję Usuń , aby usunąć bieżącego wystawcę pochodnych poświadczeń.
- Skonfiguruj nowego wystawcę.
Aktualizowanie profilów korzystających z poświadczeń pochodnych
Po usunięciu wystawcy, a następnie dodaniu nowego, edytuj każdy profil, który używa pochodnych poświadczeń. Ta reguła ma zastosowanie nawet w przypadku przywrócenia poprzedniego wystawcy. Każda edycja profilu wyzwala aktualizację, w tym prostą edycję opisu profilu.
Aktualizowanie pochodnych poświadczeń na urządzeniach
Po usunięciu wystawcy, a następnie dodaniu nowego, użytkownicy urządzeń muszą zażądać nowego pochodnego poświadczenia. Ta reguła ma zastosowanie nawet po dodaniu tego samego wystawcy, który został usunięty. Proces żądania nowego poświadczenia pochodnego jest taki sam jak w przypadku rejestrowania nowego urządzenia lub odnawiania istniejącego poświadczenia.