Usuwanie certyfikatów SCEP i PKCS w Microsoft Intune

  • Artykuł

W Microsoft Intune do dodawania certyfikatów do urządzeń można używać profilów certyfikatów SCEP (Simple Certificate Enrollment Protocol) i Public Key Cryptography Standards (PKCS).

Te certyfikaty można usunąć po wyczyszczeniu lub wycofaniu urządzenia. Certyfikaty aprowizowane przez Intune są również usuwane, gdy profil aprowizowany certyfikat nie jest już przeznaczony dla urządzenia lub użytkownika. Istnieją inne scenariusze, w których certyfikaty są automatycznie usuwane, oraz scenariusze, w których certyfikaty pozostają na urządzeniu. W tym artykule wymieniono niektóre typowe scenariusze i ich wpływ na certyfikaty PKCS i SCEP.

Uwaga

Aby usunąć i odwołać certyfikaty dla użytkownika, który jest usuwany z lokalna usługa Active Directory lub Tożsamość Microsoft Entra, wykonaj następujące kroki w celu:

  1. Wyczyść lub wycofaj urządzenie użytkownika.
  2. Usuń użytkownika z lokalna usługa Active Directory lub Tożsamość Microsoft Entra.

Większość tego artykułu dotyczy profilów certyfikatów SCEP i PKCS, ale nie do zaimportowanych certyfikatów PKCS. Zaimportowane certyfikaty PKCS są usuwane przez Intune w przypadku usunięcia danych firmowych z urządzenia lub wyrejestrowania urządzenia z zarządzania.

Ręcznie usunięte certyfikaty

Ręczne usuwanie certyfikatu to scenariusz, który ma zastosowanie na różnych platformach i certyfikatach aprowizowanych przez profile certyfikatów SCEP lub PKCS. Na przykład użytkownik może usunąć certyfikat z urządzenia, gdy urządzenie pozostanie objęte zasadami certyfikatu.

W tym scenariuszu po usunięciu certyfikatu następnym razem, gdy urządzenie zaewidencjonuje Intune okaże się, że jest niezgodne, ponieważ brakuje oczekiwanego certyfikatu. Intune następnie wystawia nowy certyfikat w celu przywrócenia zgodności urządzenia. Do przywrócenia certyfikatu nie jest wymagana żadna inna akcja.

Uwaga

Certyfikaty SCEP są usuwane, ale nie są odwoływane podczas korzystania z urzędu certyfikacji innej firmy.

Urządzenia z systemem Windows

Certyfikaty SCEP

Certyfikat SCEP jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .
  • Urządzenie zostanie usunięte z grupy Microsoft Entra.
  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikat SCEP jest odwoływany, gdy:

  • Administrator zmienia lub aktualizuje profil SCEP.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .
  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikaty SCEP pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję Intune.
  • Administrator wycofuje licencję Intune.
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.

Certyfikaty PKCS

Certyfikat PKCS jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikat PKCS jest usuwany, gdy:

  • Profil certyfikatu PKCS nie jest już przeznaczony dla urządzenia lub użytkownika.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty PKCS pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję Intune.
  • Administrator wycofuje licencję Intune.
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil PKCS.

Urządzenia z systemem iOS

Certyfikaty SCEP

Certyfikat SCEP jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .
  • Urządzenie zostanie usunięte z grupy Microsoft Entra.
  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikat SCEP jest odwoływany, gdy:

  • Administrator zmienia lub aktualizuje profil SCEP.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty SCEP pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję Intune.
  • Administrator wycofuje licencję Intune.
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.

Certyfikaty PKCS

Certyfikat PKCS jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikat PKCS jest usuwany, gdy:

  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty PKCS pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję Intune.
  • Administrator wycofuje licencję Intune.
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil PKCS.

Urządzenia z systemem Android KNOX

Certyfikaty SCEP

Certyfikat SCEP jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .

Certyfikat SCEP jest odwoływany, gdy:

  • Administrator uruchamia akcję wycofania .
  • Urządzenie zostanie usunięte z grupy Microsoft Entra.
  • Profil certyfikatu jest usuwany z przypisania grupy.
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil SCEP.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty SCEP pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję Intune.
  • Administrator wycofuje licencję Intune.
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.

Certyfikaty PKCS

Certyfikat PKCS jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty PKCS pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję Intune.
  • Administrator wycofuje licencję Intune.
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil PKCS.
  • Profil certyfikatu jest usuwany z przypisania grupy.

Uwaga

Urządzenia z programem Android for Work nie są weryfikowane w poprzednich scenariuszach. Starsze urządzenia z systemem Android (wszystkie urządzenia z profilem innym niż Samsung i inne niż służbowe) nie są włączone do usuwania certyfikatów.

Certyfikaty systemu macOS

Certyfikaty SCEP

Certyfikat SCEP jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję wycofania .
  • Urządzenie zostanie usunięte z grupy Microsoft Entra.
  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikat SCEP jest odwoływany, gdy:

  • Administrator zmienia lub aktualizuje profil SCEP.

Certyfikaty SCEP pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję Intune.
  • Administrator wycofuje licencję Intune.
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.

Uwaga

Używanie akcji czyszczenia do resetowania ustawień fabrycznych urządzeń z systemem macOS nie jest obsługiwane.

Certyfikaty PKCS

Certyfikat PKCS jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję wycofania .

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję wycofania .

Certyfikaty PKCS pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję Intune.
  • Administrator wycofuje licencję Intune.
  • Profil certyfikatu jest usuwany z przypisania grupy. (Profil został usunięty).
  • Administrator usuwa użytkownika lub grupę z Tożsamość Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil PKCS.

Następne kroki

Używanie certyfikatów do uwierzytelniania