Skapa och tilldela SCEP-certifikatprofiler i Intune

Viktigt

För att stödja Windows-krav för stark mappning av SCEP-certifikat som introducerades och tillkännagavs i KB5014754 från den 10 maj 2022 har vi gjort ändringar i Intune SCEP-certifikatutfärdande för nya och förnyade SCEP-certifikat. Med dessa ändringar innehåller nya eller förnyade Intune SCEP-certifikat för iOS/iPadOS, macOS och Windows nu följande tagg i fältet Alternativt namn för certifikatmottagare (SAN) för certifikatet:URL=tag:microsoft.com,2022-09-14:sid:<value> 

Den här taggen används av stark mappning för att koppla ett certifikat till en specifik enhet eller användar-SID från Entra-ID. Med den här ändringen och kravet på att mappa ett SID från Entra-ID:

• Enhetscertifikat stöds för Hybrid-anslutna Windows-enheter när enheten har ett SID i Entra-ID som har synkroniserats från en lokal Active Directory.
• Användarcertifikat använder användarens SID från Etttra-ID, synkroniserat från lokal Active Directory.

Certifikatutfärdare som inte stöder URL-taggen i SAN kan misslyckas med att utfärda certifikat. Microsoft Active Directory Certificate Services-servrar som installerade uppdateringen från KB5014754 stöder användningen av den här taggen. Om du använder en tredjeparts-CA kontrollerar du med din CA-leverantör att de stöder det här formatet, eller hur och när den här supporten kommer att läggas till.

Mer information finns i Supporttips: Implementera stark mappning i Microsoft Intune certifikat – Microsoft Community Hub.

När du har konfigurerat infrastrukturen för att stödja SCEP-certifikat (Simple Certificate Enrollment Protocol) kan du skapa och sedan tilldela SCEP-certifikatprofiler till användare och enheter i Intune.

För att enheter ska kunna använda en SCEP-certifikatprofil måste de lita på din betrodda rotcertifikatutfärdare (CA). Förtroende för rotcertifikatutfärdare upprättas bäst genom att distribuera en betrodd certifikatprofil till samma grupp som tar emot SCEP-certifikatprofilen. Betrodda certifikatprofiler etablerar certifikatet för betrodd rotcertifikatutfärdare.

Enheter som kör Android Enterprise kan kräva en PIN-kod innan SCEP kan etablera dem med ett certifikat. Mer information finns i PIN-krav för Android Enterprise.

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 30 augusti 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Obs!

Från och med Android 11 kan betrodda certifikatprofiler inte längre installera det betrodda rotcertifikatet på enheter som har registrerats som Android-enhetsadministratör. Den här begränsningen gäller inte för Samsung Knox.

Mer information om den här begränsningen finns i Betrodda certifikatprofiler för Android-enhetsadministratör.

Viktigt

Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.

Om du använder Windows 8.1 rekommenderar vi att du flyttar till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.

Tips

SCEP-certifikatprofiler stöds för Fjärrskrivbord med flera sessioner i Windows Enterprise.

Skapa en SCEP-certifikatprofil

1. Logga in på Microsoft Intune administrationscenter.

2. Välj och gå till Enhetskonfiguration>>Skapa.

3. Ange följande egenskaper:

   • Plattform: Välj plattform för dina enheter.

   • Profil: Välj SCEP-certifikat. Eller välj Mallar>SCEP-certifikat.

     För Android Enterprise är profiltypen uppdelad i två kategorier, fullständigt hanterad, dedikerad och Corporate-Owned arbetsprofil och personligt ägd arbetsprofil. Se till att välja rätt SCEP-certifikatprofil för de enheter som du hanterar.

     SCEP-certifikatprofiler för profilen Fullständigt hanterad, Dedikerad och Corporate-Owned Arbetsprofil har följande begränsningar:

     1. Under Övervakning är certifikatrapportering inte tillgängligt för SCEP-certifikatprofiler för enhetsägare .
     2. Du kan inte använda Intune för att återkalla certifikat som har etablerats av SCEP-certifikatprofiler för enhetsägare. Du kan hantera återkallning via en extern process eller direkt med certifikatutfärdare.
     3. För dedikerade Android Enterprise-enheter stöds SCEP-certifikatprofiler för Wi-Fi nätverkskonfiguration, VPN och autentisering. SCEP-certifikatprofiler på dedikerade Android Enterprise-enheter stöds inte för appautentisering.

     För Android (AOSP) gäller följande begränsningar:

     1. Under Övervakning är certifikatrapportering inte tillgängligt för SCEP-certifikatprofiler för enhetsägare .
     2. Du kan inte använda Intune för att återkalla certifikat som har etablerats av SCEP-certifikatprofiler för enhetsägare. Du kan hantera återkallning via en extern process eller direkt med certifikatutfärdare.
     3. SCEP-certifikatprofiler stöds för Wi-Fi nätverkskonfiguration. Stöd för VPN-konfigurationsprofil är inte tillgängligt. En framtida uppdatering kan innehålla stöd för VPN-konfigurationsprofiler.
     4. Följande tre variabler är inte tillgängliga för användning på ScEP-certifikatprofiler för Android (AOSP). Stöd för dessa variabler kommer i en framtida uppdatering.
        • onPremisesSamAccountName
        • OnPrem_Distinguished_Name
        • Department

     Obs!

     Enhetsägare motsvarar företagsägda enheter. Följande betraktas som enhetsägare:

     • Android Enterprise – fullständigt hanterad, dedikerad och Corporate-Owned arbetsprofil
     • Android AOSP
       • Användartillhörighet
       • Användarlös

4. Välj Skapa.

5. Ange följande egenskaper i Grundinställningar:

   • Namn: Ange ett beskrivande namn på profilen. Namnge dina profiler så att du enkelt kan identifiera dem senare. Ett bra profilnamn är till exempel SCEP-profil för hela företaget.
   • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.

6. Välj Nästa.

7. Slutför följande konfigurationer i Konfigurationsinställningar:

   • Certifikattyp:

     (Gäller för: Android, Android Enterprise, Android (AOSP), iOS/iPadOS, macOS, Windows 8.1 och Windows 10/11)

     Välj en typ beroende på hur du ska använda certifikatprofilen:

     • Användare: Användarcertifikat kan innehålla både användar- och enhetsattribut i certifikatets ämne och SAN.

     • Enhet: Enhetscertifikat kan bara innehålla enhetsattribut i certifikatets ämne och SAN.

       Använd Enhet för scenarier som användarlösa enheter, t.ex. helskärmslägen eller För Windows-enheter. På Windows-enheter placeras certifikatet i certifikatarkivet Lokal dator.

     Obs!

     Lagring av certifikat som etablerats av SCEP:

     • macOS – Certifikat som du etablerar med SCEP placeras alltid i enhetens systemnyckelkedja (systemarkiv).

     • Android – Enheter har både ett CERTIFIKATarkiv för VPN och appar och ett WIFI-certifikatarkiv . Intune lagrar alltid SCEP-certifikat i VPN- och appbutiken på en enhet. Användning av VPN- och appbutiken gör certifikatet tillgängligt för användning av andra appar.

       Men när ett SCEP-certifikat också är associerat med en Wi-Fi profil installerar Intune även certifikatet i det Wi-Fi arkivet.

       När det konfigureras för VPN-appar uppmanas användaren att välja rätt certifikat. Tyst certifikatgodkännande för fullständigt hanterade (eller BYOD-scenarier) stöds inte. Om allt är korrekt konfigurerat bör rätt certifikat redan vara förvalt i dialogrutan.

   • Format för ämnesnamn:

     Ange text för att berätta för Intune hur du automatiskt skapar ämnesnamnet i certifikatbegäran. Alternativen för ämnesnamnsformatet beror på vilken certifikattyp du väljer, antingen Användare eller Enhet.

     Tips

     Om namnlängden för certifikatmottagaren överskrider 64 tecken kan du behöva inaktivera tvingande namnlängd på din interna certifikatutfärdare. Mer information finns i Inaktivera tillämpning av DN-längd

     Obs!

     Det finns ett känt problem med att använda SCEP för att hämta certifikat när ämnesnamnet i den resulterande certifikatsigneringsbegäran (CSR) innehåller något av följande tecken som ett undantaget tecken (fortsätter med ett omvänt snedstreck \):

     • +
     • ;
     • ,
     • =

     Obs!

     Från och med Android 12 stöder Android inte längre användning av följande maskinvaruidentifierare för personligt ägda arbetsprofilenheter :

     • Serienummer
     • IMEI
     • MEID

     Intune certifikatprofiler för personligt ägda arbetsprofilenheter som förlitar sig på dessa variabler i ämnesnamnet eller SAN kan inte etablera ett certifikat på enheter som kör Android 12 eller senare vid den tidpunkt då enheten registrerades med Intune. Enheter som registrerades före uppgraderingen till Android 12 kan fortfarande ta emot certifikat så länge Intune tidigare fått enheternas maskinvaruidentifierare.

     Mer information om detta och andra ändringar som introducerats med Android 12 finns i blogginlägget Android Day Zero Support för Microsoft Endpoint Manager .

     • Typ av användarcertifikat

       Använd textrutan för att ange ett anpassat format för ämnesnamn, inklusive statisk text och variabler. Två variabelalternativ stöds: Eget namn (CN) och Email (E).

       Email (E) anges vanligtvis med variabeln {{EmailAddress}}. Exempel: E={{EmailAddress}}

       Eget namn (CN) kan anges till någon av följande variabler:

       • CN={{UserName}}: Användarens användarnamn, till exempel janedoe.
       • CN={{UserPrincipalName}}: Användarens huvudnamn, till exempel janedoe@contoso.com.
       • CN={{AAD_Device_ID}}: Ett ID som tilldelas när du registrerar en enhet i Microsoft Entra ID. Det här ID:t används vanligtvis för att autentisera med Microsoft Entra ID.
       • CN={{DeviceId}}: Ett ID som tilldelas när du registrerar en enhet i Intune.

       Obs!

       Undvik att använda {{DeviceId}} som ämnesnamn på Windows-enheter. I vissa fall gör certifikat som genereras med det här ämnesnamnet att synkronisering med Intune misslyckas.

       • CN={{SERIALNUMBER}}: Det unika serienumret (SN) som vanligtvis används av tillverkaren för att identifiera en enhet.

       • CN={{IMEINumber}}: Det unika IMEI-nummer (International Mobile Equipment Identity) som används för att identifiera en mobiltelefon.

       • CN={{OnPrem_Distinguished_Name}}: En sekvens med relativa unika namn avgränsade med kommatecken, till exempel CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

         Så här använder du variabeln {{OnPrem_Distinguished_Name}} :

         • Se till att synkronisera användarattributet onpremisesdistinguishedname med hjälp av Microsoft Entra Anslut till din Microsoft Entra ID.
         • Om CN-värdet innehåller ett kommatecken måste formatet Ämnesnamn vara inom citattecken. Exempel: CN="{{OnPrem_Distinguished_Name}}"

       • CN={{OnPremisesSamAccountName}}: Administratörer kan synkronisera samAccountName-attributet från Active Directory för att Microsoft Entra ID med hjälp av Microsoft Entra Connect till ett attribut som heter onPremisesSamAccountName. Intune kan ersätta variabeln som en del av en certifikatutfärdarbegäran i ämnet för ett certifikat. Attributet samAccountName är användarens inloggningsnamn som används för att stödja klienter och servrar från en tidigare version av Windows (före Windows 2000). Formatet för användarens inloggningsnamn är: DomainName\testUser eller endast testUser.

         Om du vill använda variabeln {{OnPremisesSamAccountName}} måste du synkronisera användarattributet OnPremisesSamAccountName med hjälp av Microsoft Entra Anslut till din Microsoft Entra ID.

       Alla enhetsvariabler som anges i följande avsnitt enhetscertifikattyp kan också användas i användarcertifikatets ämnesnamn.

       Genom att använda en kombination av en eller flera av dessa variabler och statiska textsträngar kan du skapa ett anpassat format för ämnesnamn, till exempel: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

       Det exemplet innehåller ett format för ämnesnamn som använder variablerna CN och E och strängar för värden för organisationsenhet, organisation, plats, delstat och land. Funktionen CertStrToName beskriver den här funktionen och dess strängar som stöds.

       Användarattribut stöds inte för enheter som inte har användarassociationer, till exempel enheter som har registrerats som Dedikerade Android Enterprise. En profil som till exempel använder CN={{UserPrincipalName}} i ämnet eller SAN kan inte hämta användarens huvudnamn när det inte finns någon användare på enheten.

     • Typ av enhetscertifikat

       Formatalternativen för formatet Ämnesnamn innehåller följande variabler:

       • {{AAD_Device_ID}} eller {{AzureADDeviceId}} – Variabeln kan användas för att identifiera en enhet med hjälp av dess Microsoft Entra ID.
       • {{DeviceId}} – Intune enhets-ID
       • {{Device_Serial}}
       • {{Device_IMEI}}
       • {{SerialNumber}}
       • {{IMEINumber}}
       • {{WiFiMacAddress}}
       • {{IMEI}}
       • {{DeviceName}}
       • {{FullyQualifiedDomainName}}(Gäller endast för Windows- och domänanslutna enheter)
       • {{MEID}}

       Du kan ange dessa variabler och statisk text i textrutan. Till exempel kan det gemensamma namnet för en enhet med namnet Device1 läggas till som CN={{DeviceName}}Device1.

       Viktigt

       • När du anger en variabel omger du variabelnamnet inom dubbla klammerparenteser {{ }} som du ser i exemplet för att undvika ett fel.
       • Enhetsegenskaper som används i ämnet eller SAN för ett enhetscertifikat, till exempel IMEI, SerialNumber och FullyQualifiedDomainName, är egenskaper som kan förfalskas av en person med åtkomst till enheten.
       • En enhet måste ha stöd för alla variabler som anges i en certifikatprofil för att profilen ska kunna installeras på den enheten. Om till exempel {{IMEI}} används i ämnesnamnet för en SCEP-profil och tilldelas till en enhet som inte har ett IMEI-nummer kan profilen inte installeras.

   • Alternativt namn på certifikatmottagare:
     Välj hur Intune automatiskt skapar det alternativa ämnesnamnet (SAN) i certifikatbegäran. Du kan ange flera alternativa ämnesnamn. För var och en kan du välja bland fyra SAN-attribut och ange ett textvärde för det attributet. Textvärdet kan innehålla variabler och statisk text för attributet.

     Obs!

      Följande Android Enterprise-profiler stöder inte användning av variabeln {{UserName}} för SAN:

     • Fullständigt hanterad, dedikerad och Corporate-Owned arbetsprofil

     Välj bland de tillgängliga SAN-attributen:

     • E-postadress
     • Användarens huvudnamn (UPN)
     • DNS
     • URI (Uniform Resource Identifier)

     Vilka variabler som är tillgängliga för SAN-värdet beror på vilken certifikattyp du har valt. antingen Användare eller Enhet.

     Obs!

     Från och med Android 12 stöder Android inte längre användning av följande maskinvaruidentifierare för personligt ägda arbetsprofilenheter :

     • Serienummer
     • IMEI
     • MEID

     Intune certifikatprofiler för personligt ägda arbetsprofilenheter som förlitar sig på dessa variabler i ämnesnamnet eller SAN kan inte etablera ett certifikat på enheter som kör Android 12 eller senare vid den tidpunkt då enheten registrerades med Intune. Enheter som registrerades före uppgraderingen till Android 12 kan fortfarande ta emot certifikat så länge Intune tidigare fått enheternas maskinvaruidentifierare.

     Mer information om detta och andra ändringar som introducerats med Android 12 finns i blogginlägget Android Day Zero Support för Microsoft Endpoint Manager .

     • Typ av användarcertifikat

       Med certifikattypen Användare kan du använda någon av de variabler för användar- eller enhetscertifikat som beskrivs ovan i avsnittet Ämnesnamn.

       Användarcertifikattyper kan till exempel innehålla användarens huvudnamn (UPN) i det alternativa ämnesnamnet. Om ett klientcertifikat används för att autentisera till en nätverksprincipserver anger du det alternativa namnet för certifikatmottagaren till UPN.

     • Typ av enhetscertifikat

       Med certifikattypen Enhet kan du använda någon av variablerna som beskrivs i avsnittet Enhetscertifikattyp för Ämnesnamn.

       Om du vill ange ett värde för ett attribut inkluderar du variabelnamnet med klammerparenteser följt av texten för variabeln. Ett värde för DNS-attributet kan till exempel läggas till {{AzureADDeviceId}}.domain.com där .domain.com är texten. För en användare med namnet User1 kan en Email-adress visas som {{FullyQualifiedDomainName}}User1@Contoso.com.

     Genom att använda en kombination av en eller flera av dessa variabler och statiska textsträngar kan du skapa ett anpassat format för alternativt ämnesnamn, till exempel:

     • {{UserName}}-Home

       Viktigt

       • När du använder en enhetscertifikatvariabel omger du variabelnamnet inom dubbla klammerparenteser {{ }}.
       • Använd inte klammerparenteser { }, pipe-symboler |och semikolon ;, i texten som följer variabeln.
       • Enhetsegenskaper som används i ämnet eller SAN för ett enhetscertifikat, till exempel IMEI, SerialNumber och FullyQualifiedDomainName, är egenskaper som kan förfalskas av en person med åtkomst till enheten.
       • En enhet måste ha stöd för alla variabler som anges i en certifikatprofil för att profilen ska kunna installeras på den enheten. Om till exempel {{IMEI}} används i SAN för en SCEP-profil och tilldelas till en enhet som inte har ett IMEI-nummer kan profilen inte installeras.

   • Certifikatets giltighetsperiod:

     Du kan ange ett värde som är lägre än giltighetsperioden i certifikatmallen, men inte högre. Om du har konfigurerat certifikatmallen så att den stöder ett anpassat värde som kan anges inifrån Intune administrationscenter använder du den här inställningen för att ange hur lång tid som återstår innan certifikatet upphör att gälla.

     Intune har stöd för en giltighetsperiod på upp till 24 månader.

     Om certifikatets giltighetsperiod i certifikatmallen till exempel är två år kan du ange ett värde på ett år, men inte ett värde på fem år. Värdet måste också vara lägre än den återstående giltighetsperioden för den utfärdande certifikatutfärdares certifikat.

     Planera att använda en giltighetsperiod på fem dagar eller senare. När giltighetsperioden är mindre än fem dagar är det hög sannolikhet att certifikatet går in i ett tillstånd som snart upphört att gälla eller har upphört att gälla, vilket kan leda till att MDM-agenten på enheter avvisar certifikatet innan det installeras.

   • Nyckellagringsprovider (KSP):

     (Gäller för: Windows 8.1 och Windows 10/11)

     Ange var nyckeln till certifikatet lagras. Välj mellan följande värden:

     • Registrera till KSP för trusted platform module (TPM) om det finns, annars programvaru-KSP
     • Registrera till KSP för trusted platform module (TPM), annars misslyckas
     • Registrera till Windows Hello för företag, annars misslyckas (Windows 10 och senare)
     • Registrera dig för Programvaru-KSP

   • Nyckelanvändning:

     Välj alternativ för nyckelanvändning för certifikatet:

     • Digital signatur: Tillåt endast nyckelutbyte när en digital signatur skyddar nyckeln.
     • Nyckelchiffrering: Tillåt endast nyckelutbyte när nyckeln är krypterad.

   • Nyckelstorlek (bitar):

     Välj antalet bitar som finns i nyckeln:

     • Inte konfigurerad

     • 1024

     • 2048

     • 4096 – En nyckelstorlek på 4096 stöds för följande plattformar:

       • Android (alla)
       • iOS/iPadOS 14 och senare
       • macOS 11 och senare
       • Windows (alla)

       Obs!

       För Windows-enheter stöds 4096-bitars nyckellagring endast i KSP ( Software Key Storage Provider ). Följande stöder inte lagring av nycklar av den här storleken:

       • TPM för maskinvara (Trusted Platform Module). Som en tillfällig lösning kan du använda Programvaru-KSP för nyckellagring.
       • Windows Hello för företag. Det finns ingen lösning för Windows Hello för företag just nu.

   • Hash-algoritm:

     (Gäller för Android, Android (AOSP), Android Enterprise, Windows 8.1 och Windows 10/11)

     Välj en av de tillgängliga hash-algoritmtyperna som ska användas med det här certifikatet. Välj den starkaste säkerhetsnivån som de anslutna enheterna stöder.

     Obs! Android AOSP- och Android Enterprise-enheter väljer den starkaste algoritm som stöds – SHA-1 ignoreras och SHA-2 används i stället.

   • Rotcertifikat:

     Välj den betrodda certifikatprofil som du tidigare konfigurerade och tilldelade till tillämpliga användare och enheter för den här SCEP-certifikatprofilen. Den betrodda certifikatprofilen används för att etablera användare och enheter med certifikatet för betrodd rotcertifikatutfärdare. Information om den betrodda certifikatprofilen finns i Exportera ditt betrodda rotcertifikatutfärdarcertifikat och Skapa betrodda certifikatprofiler i Använda certifikat för autentisering i Intune.

     Obs!

     Om du har en PKI-infastructure på flera nivåer, till exempel en rotcertifikatutfärdare och en utfärdande certifikatutfärdare, väljer du den profil för betrodda rotcertifikat på den översta nivån som validerar den utfärdande certifikatutfärdare.

   • Utökad nyckelanvändning:

     Lägg till värden för certifikatets avsedda syfte. I de flesta fall kräver certifikatet klientautentisering så att användaren eller enheten kan autentisera till en server. Du kan lägga till ytterligare nyckelanvändningar efter behov.

   • Tröskelvärde för förnyelse (%):

     Ange den procentandel av certifikatets livslängd som återstår innan enheten begär förnyelse av certifikatet. Om du till exempel anger 20 görs ett försök att förnya certifikatet när certifikatet har upphört att gälla till 80 %. Förnyelseförsök fortsätter tills förnyelsen har slutförts. Förnyelse genererar ett nytt certifikat, vilket resulterar i ett nytt offentligt/privat nyckelpar.

     Obs!

     Förnyelsebeteende för iOS/iPadOS och macOS: Certifikat kan bara förnyas under förnyelsetröskelfasen. Dessutom måste enheten låsas upp vid synkronisering med Intune. Om förnyelsen inte lyckades finns det utgångna certifikatet kvar på enheten och Intune utlöser inte längre någon förnyelse. Dessutom erbjuder Intune inte något alternativ för att distribuera om utgångna certifikat. Berörda enheter måste tillfälligt undantas från SCEP-profilen för att ta bort det utgångna certifikatet och begära ett nytt.

   • URL:er för SCEP-server:

     Ange en eller flera URL:er för de NDES-servrar som utfärdar certifikat via SCEP. Ange till exempel något i stil med https://ndes.contoso.com/certsrv/mscep/mscep.dll.

     Om du vill tillåta att enheter på Internet hämtar certifikat måste du ange NDES-URL:en utanför företagsnätverket. URL:en kan vara HTTP eller HTTPS. Men för att stödja följande enheter måste SCEP-serverns URL använda HTTPS:

     • Android-enhetsadministratör
     • Android Enterprise-enhetsägare
     • Företagsägd Android Enterprise-arbetsprofil
     • Personligt ägd Android Enterprise-arbetsprofil

     Du kan lägga till ytterligare SCEP-URL:er för belastningsutjämning efter behov. Enheter gör tre separata anrop till NDES-servern. Den första är att hämta servrarnas funktioner, nästa för att hämta en offentlig nyckel och sedan skicka en signeringsbegäran. När du använder flera URL:er är det möjligt att belastningsutjämning kan leda till att en annan URL används för efterföljande anrop till en NDES-server. Om en annan server kontaktas för ett efterföljande anrop under samma begäran misslyckas begäran.

     Beteendet för att hantera NDES-serverns URL är specifikt för varje enhetsplattform:

     • Android: Enheten randomiserar listan över URL:er som tas emot i SCEP-principen och fungerar sedan via listan tills en tillgänglig NDES-server hittas. Enheten fortsätter sedan att använda samma URL och server genom hela processen. Om enheten inte kan komma åt någon av NDES-servrarna misslyckas processen.
     • iOS/iPadOS: Intune randomiserar URL:erna och tillhandahåller en enda URL till en enhet. Om enheten inte kan komma åt NDES-servern misslyckas SCEP-begäran.
     • Windows: Listan över NDES-URL:er randomiseras och skickas sedan till Windows-enheten, som sedan försöker dem i den mottagna ordningen tills en som är tillgänglig hittas. Om enheten inte kan komma åt någon av NDES-servrarna misslyckas processen.

     Om en enhet inte kan nå samma NDES-server under något av de tre anropen till NDES-servern misslyckas SCEP-begäran. Detta kan till exempel inträffa när en belastningsutjämningslösning tillhandahåller en annan URL för det andra eller tredje anropet till NDES-servern, eller tillhandahåller en annan faktisk NDES-server baserat på en virtualiserad URL för NDES. Efter en misslyckad begäran försöker en enhet processen igen i nästa principcykel, med början i den slumpmässiga listan över NDES-URL:er (eller en enda URL för iOS/iPadOS).

8. Det här steget gäller endast för Android Enterprise-enhetsprofiler för fullständigt hanterad, dedikerad och Corporate-Owned arbetsprofil.

   I Appar konfigurerar du Certifikatåtkomst för att hantera hur certifikatåtkomst beviljas till program. Välj mellan:

   • Kräv användargodkännande för appar(standard) – Användarna måste godkänna användning av ett certifikat av alla program.
   • Bevilja tyst för specifika appar (kräver användargodkännande för andra appar) – Med det här alternativet väljer du Lägg till appar och väljer sedan en eller flera appar som tyst kommer att använda certifikatet utan användarinteraktion.

9. Välj Nästa.

10. I Tilldelningar väljer du den användare eller de grupper som ska ta emot din profil. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.

    Välj Nästa.

11. (Gäller endast Windows 10/11) I Tillämplighetsregler anger du tillämplighetsregler för att förfina tilldelningen av den här profilen. Du kan välja att tilldela eller inte tilldela profilen baserat på operativsystemets utgåva eller version av en enhet.

    Mer information finns i Tillämplighetsregler i Skapa en enhetsprofil i Microsoft Intune.

12. Granska inställningarna under Granska + skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

Undvik begäranden om certifikatsignering med undantagna specialtecken

Det finns ett känt problem för SCEP- och PKCS-certifikatbegäranden som innehåller ett ämnesnamn (CN) med ett eller flera av följande specialtecken som undantagna tecken. Ämnesnamn som innehåller ett av specialtecken som ett undantaget tecken resulterar i en CSR med ett felaktigt ämnesnamn. Ett felaktigt ämnesnamn resulterar i att Intune SCEP-utmaningsverifiering misslyckas och att inget certifikat utfärdas.

Specialtecknen är:

• +
• ,
• ;
• =

När ditt ämnesnamn innehåller något av specialtecken kan du använda något av följande alternativ för att kringgå den här begränsningen:

• Kapsla in det CN-värde som innehåller specialtecknet med citattecken.
• Ta bort specialtecknet från CN-värdet.

Du har till exempel ett ämnesnamn som visas som testanvändare (TestCompany, LLC). En CSR som innehåller ett CN som har kommatecken mellan TestCompany och LLC utgör ett problem. Problemet kan undvikas genom att placera citattecken runt hela CN, eller genom att ta bort kommatecken från mellan TestCompany och LLC:

• Lägg till citattecken: CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
• Ta bort kommatecknet: CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Försök att komma undan kommatecknet med hjälp av ett omvänt snedstreck misslyckas dock med ett fel i CRP-loggarna:

• Undantaget kommatecken: CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Felet liknar följande fel:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Tilldela certifikatprofilen

Tilldela SCEP-certifikatprofiler på samma sätt som du distribuerar enhetsprofiler för andra ändamål.

Viktigt

Om du vill använda en SCEP-certifikatprofil måste en enhet också ha tagit emot den betrodda certifikatprofil som etablerar den med ditt betrodda rotcertifikatutfärdarcertifikat. Vi rekommenderar att du distribuerar både den betrodda rotcertifikatprofilen och SCEP-certifikatprofilen till samma grupper.

Tänk på följande innan du fortsätter:

• När du tilldelar SCEP-certifikatprofiler till grupper installeras certifikatfilen för betrodd rotcertifikatutfärdare (som anges i den betrodda certifikatprofilen) på enheten. Enheten använder SCEP-certifikatprofilen för att skapa en certifikatbegäran för det betrodda rotcertifikatutfärdarcertifikatet.

• SCEP-certifikatprofilen installeras endast på enheter som kör den plattform som du angav när du skapade certifikatprofilen.

• Du kan tilldela certifikatprofiler till användarsamlingar eller till enhetssamlingar.

• Om du snabbt vill publicera ett certifikat till en enhet efter att enheten har registrerats tilldelar du certifikatprofilen till en användargrupp i stället för till en enhetsgrupp. Om du tilldelar till en enhetsgrupp krävs en fullständig enhetsregistrering innan enheten tar emot principer.

• Om du använder samhantering för Intune och Configuration Manager anger du i Configuration Manager arbetsbelastningsreglaget för resursåtkomstprinciper till Intune eller Pilot Intune. Med den här inställningen kan Windows 10/11-klienter starta processen med att begära certifikatet.

Obs!

• När en SCEP-certifikatprofil eller en PKCS-certifikatprofil är associerad med en ytterligare profil på iOS/iPadOS- och macOS-enheter, till exempel en Wi-Fi- eller VPN-profil, får enheten ett certifikat för var och en av dessa ytterligare profiler. Detta resulterar i att enheten har flera certifikat som levereras av SCEP- eller PKCS-certifikatbegäran.
• Certifikat som levereras av SCEP är unika. Certifikat som levereras av PKCS är samma certifikat, men de ser olika ut eftersom varje profilinstans representeras av en separat rad i hanteringsprofilen.
• På iOS 13 och macOS 10.15 finns det ytterligare säkerhetskrav som dokumenteras av Apple att ta hänsyn till.

Nästa steg

Tilldela profiler

Felsöka distribution av SCEP-certifikatprofiler