Udostępnij za pośrednictwem

Usuwanie certyfikatów SCEP i PKCS w usłudze Microsoft Intune

  • Artykuł

W usłudze Microsoft Intune można używać profilów certyfikatów SCEP (Simple Certificate Enrollment Protocol) i Public Key Cryptography Standards (PKCS) w celu dodawania certyfikatów do urządzeń.

Te certyfikaty można usunąć po wyczyszczeniu lub wycofaniu urządzenia. Certyfikaty aprowizowane przez usługę Intune są również usuwane, gdy profil aprowizowany certyfikat nie jest już przeznaczony dla urządzenia lub użytkownika. Istnieją inne scenariusze, w których certyfikaty są automatycznie usuwane, oraz scenariusze, w których certyfikaty pozostają na urządzeniu. W tym artykule wymieniono niektóre typowe scenariusze i ich wpływ na certyfikaty PKCS i SCEP.

Uwaga

Aby usunąć i odwołać certyfikaty dla użytkownika, który jest usuwany z lokalnej usługi Active Directory lub identyfikatora Microsoft Entra, wykonaj następujące kroki w następującej kolejności:

  1. Wyczyść lub wycofaj urządzenie użytkownika.
  2. Usuń użytkownika z lokalnej usługi Active Directory lub identyfikatora Microsoft Entra.

Większość tego artykułu dotyczy profilów certyfikatów SCEP i PKCS, ale nie do zaimportowanych certyfikatów PKCS. Zaimportowane certyfikaty PKCS są usuwane przez usługę Intune po usunięciu danych firmy z urządzenia lub wyrejestrowaniu urządzenia z zarządzania.

Ręcznie usunięte certyfikaty

Ręczne usuwanie certyfikatu to scenariusz, który ma zastosowanie na różnych platformach i certyfikatach aprowizowanych przez profile certyfikatów SCEP lub PKCS. Na przykład użytkownik może usunąć certyfikat z urządzenia, gdy urządzenie pozostanie objęte zasadami certyfikatu.

W tym scenariuszu po usunięciu certyfikatu następnym razem, gdy urządzenie zostanie zaewidencjonowane w usłudze Intune, okaże się, że jest niezgodne, ponieważ brakuje oczekiwanego certyfikatu. Następnie usługa Intune wystawia nowy certyfikat w celu przywrócenia zgodności urządzenia. Do przywrócenia certyfikatu nie jest wymagana żadna inna akcja.

Uwaga

Certyfikaty SCEP są usuwane, ale nie są odwoływane podczas korzystania z urzędu certyfikacji innej firmy.

Urządzenia z systemem Windows

Certyfikaty SCEP

Certyfikat SCEP jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .
  • Urządzenie zostanie usunięte z grupy Microsoft Entra.
  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikat SCEP jest odwoływany, gdy:

  • Administrator zmienia lub aktualizuje profil SCEP.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .
  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikaty SCEP pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję usługi Intune.
  • Administrator wycofuje licencję usługi Intune.
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.

Certyfikaty PKCS

Certyfikat PKCS jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikat PKCS jest usuwany, gdy:

  • Profil certyfikatu PKCS nie jest już przeznaczony dla urządzenia lub użytkownika.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty PKCS pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję usługi Intune.
  • Administrator wycofuje licencję usługi Intune.
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil PKCS.

Urządzenia z systemem iOS

Certyfikaty SCEP

Certyfikat SCEP jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .
  • Urządzenie zostanie usunięte z grupy Microsoft Entra.
  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikat SCEP jest odwoływany, gdy:

  • Administrator zmienia lub aktualizuje profil SCEP.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty SCEP pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję usługi Intune.
  • Administrator wycofuje licencję usługi Intune.
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.

Certyfikaty PKCS

Certyfikat PKCS jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikat PKCS jest usuwany, gdy:

  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty PKCS pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję usługi Intune.
  • Administrator wycofuje licencję usługi Intune.
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil PKCS.

Urządzenia z systemem Android KNOX

Certyfikaty SCEP

Certyfikat SCEP jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .

Certyfikat SCEP jest odwoływany, gdy:

  • Administrator uruchamia akcję wycofania .
  • Urządzenie zostanie usunięte z grupy Microsoft Entra.
  • Profil certyfikatu jest usuwany z przypisania grupy.
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil SCEP.

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty SCEP pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję usługi Intune.
  • Administrator wycofuje licencję usługi Intune.
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.

Certyfikaty PKCS

Certyfikat PKCS jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję czyszczenia .
  • Administrator uruchamia akcję wycofania .

Certyfikaty PKCS pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję usługi Intune.
  • Administrator wycofuje licencję usługi Intune.
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil PKCS.
  • Profil certyfikatu jest usuwany z przypisania grupy.

Uwaga

Urządzenia z programem Android for Work nie są weryfikowane w poprzednich scenariuszach. Starsze urządzenia z systemem Android (wszystkie urządzenia z profilem innym niż Samsung i inne niż służbowe) nie są włączone do usuwania certyfikatów.

Certyfikaty systemu macOS

Certyfikaty SCEP

Certyfikat SCEP jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję wycofania .
  • Urządzenie zostanie usunięte z grupy Microsoft Entra.
  • Profil certyfikatu jest usuwany z przypisania grupy.

Certyfikat SCEP jest odwoływany, gdy:

  • Administrator zmienia lub aktualizuje profil SCEP.

Certyfikaty SCEP pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję usługi Intune.
  • Administrator wycofuje licencję usługi Intune.
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.

Uwaga

Używanie akcji czyszczenia do resetowania ustawień fabrycznych urządzeń z systemem macOS nie jest obsługiwane.

Certyfikaty PKCS

Certyfikat PKCS jest odwoływany i usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję wycofania .

Certyfikat główny jest usuwany, gdy:

  • Użytkownik wyrejestruje się.
  • Administrator uruchamia akcję wycofania .

Certyfikaty PKCS pozostają na urządzeniu (certyfikaty nie są odwoływane ani usuwane), gdy:

  • Użytkownik traci licencję usługi Intune.
  • Administrator wycofuje licencję usługi Intune.
  • Profil certyfikatu jest usuwany z przypisania grupy. (Profil został usunięty).
  • Administrator usuwa użytkownika lub grupę z identyfikatora Microsoft Entra.
  • Administrator zmienia lub aktualizuje profil PKCS.

Następne kroki

Używanie certyfikatów do uwierzytelniania