Udostępnij za pośrednictwem

Rejestrowanie kart inteligentnych dla osób niebędących administratorami

Jeśli użytkownik nie jest administratorem lokalnym na swoim komputerze, nie będzie mógł domyślnie zarejestrować karty inteligentnej na swoich komputerach. Poniższa procedura umożliwia obejście tego ograniczenia.

Włączanie odnawiania karty inteligentnej dla osób niebędących administratorami w Menedżerze certyfikatów programu MIM 2016

  1. Rozpakowywanie pliku appx

    Uzyskaj certyfikat podpisywania. Postępuj zgodnie z instrukcjami , aby podpisać aplikacje systemu Windows 8 przy użyciu wewnętrznej infrastruktury kluczy publicznych. Zatrzymaj się, gdy zostanie wyświetlony komunikat "Podpisz aplikację". Nadaj wyeksportowany plik pfx nazwę. Wyeksportuj również do pliku .cer i zaimportuj go do klienta używając pliku .cer nowego certyfikatu podpisywania.

    Uruchom następujące polecenie, aby rozpakować plik appx:

    makeappx unpack /l /p <app package name>.appx /d ./appx

    ren <app package name>.appx <app package name>.appx.old

    cd appx

  2. Modyfikowanie pliku konfiguracji

    Zmień nazwę pliku o nazwie CustomDataExample.xml custom.data. Aplikacja CM będzie wyszukiwać tej nazwy pliku.

    Edytuj plik custom.data i zmodyfikuj następujące elementy:

    1. W elemecie <NonAdmin> zmień wartość atrybutu Value na "True"

    2. Zapisywanie pliku i zamykanie edytora

    3. Usuń plik o nazwie AppxSignature.p7x

    4. Edytowanie pliku o nazwie AppxManifest.xml

    5. W elemencie <Identity> zmodyfikuj wartość atrybutu Publisher na podmiot swojego certyfikatu podpisującego, np. "CN=ABCD"

      Temat powinien być taki sam jak temat w certyfikacie podpisywania używanym do podpisywania aplikacji.

    6. Zapisz plik i zamknij edytor.

  3. Ponowne pakowanie i podpisywanie pakietu aplikacji (plik appx)

    Uruchom następujące polecenie, aby spakować i podpisać plik appx:

    cd ..

    makeappx pack /l /d .\appx /p <app package name>.appx

    signtool sign /f <path\>mysign.pfx /p <pfx password> /fd "sha256" <app package name>.appx

  4. Zduplikuj szablon profilu i dodaj początkowy klucz administratora, aby skonfigurować serwer programu MIM:

    1. Zaloguj się do portalu cm jako użytkownik z uprawnieniami administracyjnymi.

    2. Przejdź do obszaru Administracja>Zarządzaj szablonami profilów i upewnij się, że pole wyboru jest zaznaczone obok utworzonego szablonu profilu, a następnie kliknij pozycję Kopiuj wybrany szablon profilu.

    3. Wpisz nazwę szablonu profilu, dodaj ciąg "nonAdmin" i kliknij OK.

    4. Po wyświetleniu ustawień ogólnych szablonu profilu przewiń w dół i w obszarze Konfiguracja karty inteligentnej kliknij pozycję Zmień ustawienia.

    5. W obszarze Wartość początkowa klucza administracyjnego (szesnastkowy) wprowadź domyślny klucz administratora: "010203040506070801020304050607080102030405060708"

    6. Przewiń w dół i kliknij przycisk OK.

  5. Tworzenie konta innego niż administrator na komputerze klienckim

    Użytkownicy niebędący administratorami nie mogą utworzyć wirtualnej karty inteligentnej w module TPM, więc musisz utworzyć ją dla nich.

  6. Tworzenie wirtualnej karty inteligentnej przy użyciu programu TpmVscMgr

    Wykonaj następujące czynności (nadal jako administrator), aby utworzyć pustą wirtualną kartę inteligentną na maszynie. Można to zrobić za pomocą usługi Intune, programu SCCM lub zasad grupy.

    TpmVscMgr create /name MyVSC /pin default /adminkey default /generate

  7. Instalowanie aplikacji cm na koncie niebędącym administratorem

  8. Uruchamianie aplikacji cm i rejestrowanie wirtualnej karty inteligentnej