Профили доверенных корневых сертификатов для Microsoft Intune

При использовании Intune для подготовки устройств с сертификатами для доступа к корпоративным ресурсам и сети используйте профиль доверенного сертификата для развертывания доверенного корневого сертификата на этих устройствах. Доверенный корневой сертификат устанавливает отношение доверия между устройством и корневым или промежуточным (выдающим) ЦС, который выдает другие сертификаты.

Профиль доверенного сертификата разворачивается для тех же устройств и пользователей, которые получают профили сертификатов для SCEP, стандартов шифрования с открытым ключом (PKCS) и импортированных PKCS.

Совет

Профили доверенных сертификатов поддерживаются для удаленных рабочих столов под управлением Windows Корпоративная с поддержкой многосеансового режима.

Экспорт доверенного корневого сертификата ЦС

Чтобы использовать импортированные сертификаты PKCS, SCEP и PKCS, устройства должны доверять корневому центру сертификации. Чтобы установить доверие, экспортируйте доверенный корневой сертификат ЦС, а также все промежуточные или выдаваемые сертификаты центра сертификации в качестве общедоступного сертификата (CER-файла). Эти сертификаты можно получить из выдающего ЦС или с любого устройства, которое доверяет выдающему ЦС.

Чтобы экспортировать сертификат, обратитесь к документации по своему центру сертификации. Вам потребуется экспортировать открытый сертификат в виде CER-файла с кодировкой DER. Не экспортируйте закрытый ключ, PFX-файл.

Этот CER-файл будет использоваться при создании профилей доверенных сертификатов для развертывания этого сертификата на устройствах.

Создание профилей доверенных сертификатов

Перед созданием профиля сертификата SCEP, PKCS или импортированного сертификата PKCS создайте и разверните профиль доверенного сертификата. Развертывание профиля доверенного сертификата в тех же группах, которые получают другие типы профилей сертификатов, гарантирует, что каждое устройство сможет распознать подлинность вашего ЦС. Сюда входят такие профили, как профили для VPN, Wi-Fi и электронной почты.

Профили сертификатов SCEP непосредственно ссылаются на профиль доверенного сертификата. Профили сертификатов PKCS не ссылаются напрямую на профиль доверенного сертификата, но напрямую ссылаются на сервер, на котором размещен ваш ЦС. Профили импортированных сертификатов PKCS не ссылаются напрямую на профиль доверенного сертификата, но могут использовать его на устройстве. Развертывание профиля доверенного сертификата на устройствах гарантирует, что доверие будет установлено. Если устройство не доверяет корневому ЦС, политика профиля сертификата SCEP или PKCS сообщит об ошибке.

Создайте отдельный профиль доверенного сертификата для каждой платформы устройства, которую вы хотите поддерживать, точно так же, как это делается для профилей сертификатов SCEP, стандартов шифрования с открытым ключом или импортированного сертификата PKCS.

Важно!

Доверенные корневые профили, создаваемые для платформы Windows 10 и более поздних версий, отображаются в Центре администрирования Microsoft Intune как профили для платформы Windows 8.1 и более поздних версий.

Это известная проблема, связанная с особенностями отображения на платформе для профилей доверенных сертификатов. Хотя профиль отображается как предназначенный для платформы Windows 8.1 и более поздней версии, он поддерживается платформой Windows 10/11.

Примечание.

Профиль Доверенный сертификат в Intune можно использовать только для предоставления корневых или промежуточных сертификатов. Целью развертывания таких сертификатов является создание цепочки доверия. Майкрософт не поддерживает использование профиля доверенного сертификата для предоставления сертификатов, отличных от корневых или промежуточных сертификатов. При выборе профиля доверенного сертификата в Центре администрирования Microsoft Intune может быть заблокирован импорт сертификатов, которые не считаются корневыми или промежуточными сертификатами. Даже если вы можете импортировать и развернуть сертификат, который не является корневым или промежуточным, с помощью этого типа профиля, скорее всего, вы получите непредвиденные результаты на различных платформах, таких как iOS и Android.

Профили доверенных сертификатов для администратора устройств Android

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

Начиная с Android 11 вы больше не можете использовать профиль доверенного сертификата для развертывания доверенного корневого сертификата на устройствах, зарегистрированных в качестве администратора устройства Android. Это ограничение не распространяется на Samsung Knox.

Так как для профилей сертификатов SCEP требуется, чтобы доверенный корневой сертификат был установлен на устройстве и ссылался на профиль доверенного сертификата, который, в свою очередь, ссылается на этот сертификат, выполните следующие действия, чтобы обойти это ограничение:

1. Вручную подготовьте устройство с доверенным корневым сертификатом. Пример руководства см. в следующем разделе.

2. Разверните на устройстве профиль доверенного корневого сертификата, который ссылается на доверенный корневой сертификат, установленный на устройстве.

3. Разверните на устройстве профиль сертификата SCEP, который ссылается на профиль доверенного корневого сертификата.

Эта проблема затрагивает не только профили сертификатов SCEP. Поэтому запланируйте ручную установку доверенного корневого сертификата на соответствующих устройствах, если вы используете профили сертификатов стандартов шифрования с открытым ключом (PKCS) или этого требуют импортированные профили сертификатов PKCS.

Дополнительные сведения об изменениях в поддержке функции администратора устройств Android см. на сайте techcommunity.microsoft.com.

Подготовка устройства с доверенным корневым сертификатом вручную

Следующие рекомендации помогут вам вручную подготавливать устройства с помощью доверенного корневого сертификата.

1. Скачайте или перенесите доверенный корневой сертификат на устройство Android. Например, можно разослать сертификат пользователям устройств по электронной почте или предложить им загрузить его из безопасного расположения. После того как сертификат окажется на устройстве, его нужно будет открыть, присвоить ему имя и сохранить. При сохранении сертификат добавляется в хранилище сертификатов пользователя на устройстве.

   1. Чтобы открыть сертификат на устройстве, пользователь должен найти и открыть этот сертификат. Например, после отправки сертификата по электронной почте пользователь устройства может открыть вложение с сертификатом.
   2. Когда сертификат откроется, пользователь должен будет ввести ПИН-код или выполнить проверку подлинности на устройстве. После этого он сможет управлять сертификатом.

2. После проверки подлинности сертификат открывается — ему нужно будет присвоить имя и сохранить его в хранилище сертификатов пользователей. Имя сертификата должно совпадать с именем сертификата, указанным в профиле доверенного корневого сертификата, который будет отправлен на устройство. После присвоения имени сертификат можно сохранить.

3. После сохранения сертификат будет готов к использованию. Пользователь может проверить, правильно ли выбрано место хранения сертификата на устройстве:

   1. Откройте Параметры>Безопасность>Доверенные учетные данные. Фактический путь к доверенным учетным данным зависит от устройства.
   2. Откройте вкладку Пользователь и найдите сертификат.
   3. Если сертификат есть в списке сертификатов пользователей, значит, он установлен правильно.

4. Установив корневой сертификат на устройстве, необходимо развернуть следующие компоненты для инициализации сертификатов SCEP или PKCS:

   • Профиль доверенного сертификата, который ссылается на этот сертификат.
   • Профиль SCEP или PKCS, который ссылается на профиль сертификата, для подготовки сертификатов SCEP или PKCS.

Создание профиля доверенного сертификата

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите и перейдите в разделСоздание конфигурации>устройств>.

   

3. Укажите следующие свойства:

   • Платформа. Выберите платформу устройств, которые будут принимать этот профиль.
   • Профиль. В зависимости от выбранной платформы выберите Доверенный сертификат или Шаблоны>Доверенный сертификат.

   Важно!

   22 октября 2022 г. Microsoft Intune прекращена поддержка устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

   Если в настоящее время вы используете Windows 8.1, рекомендуется перейти на устройства Windows 10/11. Microsoft Intune имеет встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Профиль для доверенного сертификата для всей компании.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В Параметрах конфигурации укажите CER-файл ранее экспортированного доверенного сертификата корневого ЦС.

   Выберите конечное хранилище для доверенного сертификата из следующих вариантов расположений (это касается только устройств Windows 8.1 и Windows 10/11):

   • хранилище сертификатов на компьютере — корневое;
   • хранилище сертификатов на компьютере — промежуточное;
   • хранилище сертификатов пользователей — промежуточное.

   

8. Нажмите кнопку Далее.

9. В разделе Назначения выберите пользователей или группы, которые будут принимать ваш профиль. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

   Нажмите кнопку Далее.

10. (Применимо только к Windows 10/11.) В разделе Правила применимости укажите правила применимости, чтобы уточнить назначение этого профиля. Вы можете как назначить, так и не назначать профиль на основе выпуска ОС или версии устройства.

    Сведения о правилах применимости см. в руководстве по созданию профиля устройства в Microsoft Intune.

11. В окне Проверка и создание проверьте параметры. При выборе "Создать" внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Дальнейшие действия

Создание профилей сертификатов:

• Настройка инфраструктуры для поддержки сертификатов SCEP с помощью Intune
• Настройка инфраструктуры сертификатов Microsoft Intune для стандартов шифрования с открытым ключом (PKCS)
• Создание профиля импортированного сертификата PKCS