Använda härledda autentiseringsuppgifter med Microsoft Intune

Den här artikeln gäller för:

• Fullständigt hanterade Android Enterprise-enheter som kör version 7.0 och senare
• iOS/iPadOS
• Windows 10/11

I en miljö där smartkort krävs för autentisering eller kryptering och signering kan du använda Intune för att etablera mobila enheter med ett certifikat som härleds från en användares smartkort. Certifikatet kallas för en härledd autentiseringsuppgift. Intune stöder flera utfärdare av härledda autentiseringsuppgifter, men du kan bara använda en enskild utfärdare per klient i taget.

Härledda autentiseringsuppgifter är en implementering av NIST-riktlinjerna (National Institute of Standards and Technology) för PIV-autentiseringsuppgifter (Derived Personal Identity Verification) som en del av Special Publication (SP) 800-157(Link öppnar en .pdf fil på nvlpubs.nist.gov).

Med Intune-implementeringen:

• Intune-administratören konfigurerar sin klientorganisation så att den fungerar med en utfärdare av härledda autentiseringsuppgifter som stöds. Du behöver inte konfigurera några Intune-specifika inställningar i systemet för utfärdaren av härledda autentiseringsuppgifter.

• Intune-administratören anger Härledda autentiseringsuppgifter som autentiseringsmetod för följande objekt:

  För fullständigt hanterade Android Enterprise-enheter:

  • Vanliga profiltyper som Wi-Fi
  • Appautentisering

  För iOS/iPadOS:

  • Vanliga profiltyper som Wi-Fi, VPN och Email, som innehåller den interna e-postappen för iOS/iPadOS
  • Appautentisering
  • S/MIME-signering och -kryptering

  För Windows:

  • Vanliga profiltyper som Wi-Fi och VPN

  Obs!

  För närvarande fungerar inte härledda autentiseringsuppgifter som en autentiseringsmetod för VPN-profiler som förväntat på Windows-enheter. Det här beteendet påverkar bara VPN-profiler på Windows-enheter och kommer att åtgärdas i en framtida version (ingen ETA).

• För Android och iOS/iPadOS får användarna en härledd autentiseringsuppgift med hjälp av sitt smartkort på en dator för att autentisera till utfärdaren av härledda autentiseringsuppgifter. Utfärdaren utfärdar sedan ett certifikat som härleds från smartkortet till den mobila enheten. För Windows installerar användarna appen från providern för härledda autentiseringsuppgifter, som installerar certifikatet på enheten för senare användning.

• När enheten har fått den härledda autentiseringsuppgiften används den för autentisering och för S/MIME-signering och -kryptering när appar eller resursåtkomstprofiler kräver den härledda autentiseringsuppgiften.

Förutsättningar

Granska följande information innan du konfigurerar klientorganisationen att använda härledda autentiseringsuppgifter.

Plattformar som stöds

Intune stöder härledda autentiseringsuppgifter på följande plattformar:

• iOS/iPadOS
• Android Enterprise:
  • Fullständigt hanterade enheter (version 7.0 och senare)
  • Corporate-Owned arbetsprofil
• Windows 10/11

Utfärdare som stöds

Intune stöder en enskild utfärdare av härledda autentiseringsuppgifter per klientorganisation. Du kan konfigurera Intune så att det fungerar med följande utfärdare:

• DISA Purebred: https://public.cyber.mil/pki-pke/purebred/
• Entrust: https://www.entrust.com/
• Intercede: https://www.intercede.com/

Viktig information om hur du använder de olika utfärdarna finns i vägledningen för den utfärdaren. Mer information finns i Planera för härledda autentiseringsuppgifter i den här artikeln.

Viktigt

Om du tar bort en utfärdare av härledda autentiseringsuppgifter från din klientorganisation kommer de härledda autentiseringsuppgifter som konfigurerades via utfärdaren inte längre att fungera.

Se Ändra utfärdaren av härledda autentiseringsuppgifter senare i den här artikeln.

Obligatoriska appar

Planera att distribuera den relevanta användarinriktade appen till enheter som ska registreras för en härledd autentiseringsuppgift. Enhetsanvändare använder appen för att starta registreringsprocessen för autentiseringsuppgifter.

• iOS-enheter använder Företagsportal-appen. Se Lägga till iOS Store-appar i Microsoft Intune.
• Android Enterprise fullständigt hanterade och Corporate-Owned arbetsprofilenheter använder Intune-appen. Se Lägga till Android Store-appar i Microsoft Intune.

Planera för härledda autentiseringsuppgifter

Förstå följande överväganden innan du konfigurerar en utfärdare av härledda autentiseringsuppgifter för Android och iOS/iPadOS.

Information om Windows-enheter finns i Härledda autentiseringsuppgifter för Windows senare i den här artikeln.

1 – Läs dokumentationen för din valda utfärdare av härledda autentiseringsuppgifter

Innan du konfigurerar en utfärdare bör du läsa utfärdarens dokumentation för att förstå hur deras system levererar härledda autentiseringsuppgifter till enheter.

Beroende på vilken utfärdare du väljer kan du behöva personal som är tillgänglig vid tidpunkten för registreringen för att hjälpa användarna att slutföra processen. Granska även dina aktuella Intune-konfigurationer för att se till att de inte blockerar åtkomst som krävs för att enheter eller användare ska kunna slutföra begäran om autentiseringsuppgifter.

Du kan till exempel använda villkorlig åtkomst för att blockera åtkomst till e-post för icke-kompatibla enheter. Om du förlitar dig på e-postaviseringar för att informera användaren om att starta registreringsprocessen för härledda autentiseringsuppgifter kanske användarna inte får dessa instruktioner förrän de är kompatibla med principen.

På samma sätt kräver vissa arbetsflöden för begäran om härledda autentiseringsuppgifter att enhetens kamera används för att skanna en QR-kod på skärmen. Den här koden länkar enheten till den autentiseringsbegäran som inträffade mot utfärdaren av härledda autentiseringsuppgifter med användarens autentiseringsuppgifter för smartkort. Om enhetskonfigurationsprinciper blockerar kameraanvändning kan användaren inte slutföra begäran om registrering av härledda autentiseringsuppgifter.

Allmän information:

• Du kan bara konfigurera en enskild utfärdare per klient i taget och den utfärdaren är tillgänglig för alla användare och enheter som stöds i din klientorganisation.

• Användarna meddelas inte om att de måste registrera sig för härledda autentiseringsuppgifter förrän du har en princip som kräver härledda autentiseringsuppgifter.

• Avisering kan ske via appavisering för Företagsportal, via e-post eller både och. Om du väljer att använda e-postaviseringar och använder aktiverad villkorlig åtkomst kanske användarna inte får e-postmeddelandet om deras enhet inte är kompatibel.

  Viktigt

  För att säkerställa att meddelanden relaterade till enhetens autentiseringsuppgifter har tagits emot av slutanvändare bör du aktivera appmeddelanden för Företagsportal, e-postaviseringar eller båda.

2 – Granska slutanvändarens arbetsflöde för din valda utfärdare

Följande är viktiga överväganden för varje partner som stöds. Bekanta dig med den här informationen så att du kan se till att dina Intune-principer och -konfigurationer inte blockerar användare och enheter från att slutföra registreringen för en härledd autentiseringsuppgift från utfärdaren.

DISA Purebred

Granska det plattformsspecifika användararbetsflödet för de enheter som du ska använda med härledda autentiseringsuppgifter.

• iOS och iPadOS
• Android Enterprise - Företagsägda arbetsprofiler eller fullständigt hanterade enheter

Viktiga krav är:

• Användare behöver åtkomst till en dator eller KIOSK där de kan använda sitt smartkort för att autentisera till utfärdaren.

• iOS- och iPadOS-enheter som ska registreras för en härledd autentiseringsuppgift måste installera Intune-företagsportal-appen. Fullständigt hanterade Android- och Corporate-Owned Work Profile-enheter måste installera och använda Intune-appen.

• Använd Intune för att distribuera DISA Purebred-appen till enheter som ska registreras för en härledd autentiseringsuppgift. Den här appen måste distribueras via Intune så att den hanteras och sedan kan fungera med Intune-företagsportal-appen eller Intune-appen, som enhetsanvändare använder för att slutföra begäran om härledda autentiseringsuppgifter.

• Om du vill hämta en härledd autentiseringsuppgift från Purebred-appen måste enheten ha åtkomst till det lokala nätverket. Åtkomst kan ske via företagets Wi-Fi eller VPN.

• Enhetsanvändare måste arbeta med en liveagent under registreringsprocessen. Under registreringen tillhandahålls tidsbegränsade engångslösenord till användaren när de fortsätter genom registreringsprocessen.

• När ändringar görs i en princip som använder härledda autentiseringsuppgifter, till exempel skapande av en ny Wi-Fi profil, meddelas iOS- och iPadOS-användare att öppna Företagsportal-appen.

• Användarna meddelas att öppna appen när de behöver förnya sina härledda autentiseringsuppgifter.

  Förnyelseprocessen sker så här:

  • Utfärdaren av härledda autentiseringsuppgifter måste utfärda nya eller uppdaterade certifikat innan de tidigare certifikaten är 80 % av vägen igenom giltighetsperioden.
  • Enheten checkar in under förnyelseperioden (de sista 20 % av giltighetsperioden).
  • Microsoft Intune meddelar användaren via e-post eller ett appmeddelande om att starta Företagsportal.
  • Användaren startar Företagsportal och trycker på meddelandet om härledda autentiseringsuppgifter och sedan kopieras certifikaten för härledda autentiseringsuppgifter till enheten.

Information om hur du hämtar och konfigurerar DISA Purebred-appen finns i Distribuera DISA Purebred-appen senare i den här artikeln.

Anförtro

Granska det plattformsspecifika användararbetsflödet för de enheter som du ska använda med härledda autentiseringsuppgifter.

• iOS och iPadOS
• Android Enterprise- Företagsägda arbetsprofiler eller fullständigt hanterade enheter

Viktiga krav är:

• Användare behöver åtkomst till en dator eller KIOSK där de kan använda sitt smartkort för att autentisera till utfärdaren.

• iOS- och iPadOS-enheter som ska registreras för en härledd autentiseringsuppgift måste installera Intune-företagsportal-appen. Fullständigt hanterade Android- och Corporate-Owned Work Profile-enheter måste installera och använda Intune-appen.

• Användning av en enhetskamera för att skanna en QR-kod som länkar autentiseringsbegäran till begäran om härledda autentiseringsuppgifter från den mobila enheten.

• Användarna uppmanas av Företagsportal-appen eller via e-post att registrera sig för härledda autentiseringsuppgifter.

• När ändringar görs i en princip som använder härledda autentiseringsuppgifter, till exempel skapa en ny Wi-Fi profil:

  • iOS och iPadOS – Användarna meddelas att öppna Företagsportal-appen.
  • Företagsägda AndroidEnterprise-arbetsprofiler eller fullständigt hanterade enheter – Företagsportal-appen behöver inte öppnas.

• Användarna meddelas att öppna appen när de behöver förnya sina härledda autentiseringsuppgifter.

  Förnyelseprocessen sker så här:

  • Utfärdaren av härledda autentiseringsuppgifter måste utfärda nya eller uppdaterade certifikat innan de tidigare certifikaten är 80 % av vägen igenom giltighetsperioden.
  • Enheten checkar in under förnyelseperioden (de sista 20 % av giltighetsperioden).
  • Microsoft Intune meddelar användaren via e-post eller ett appmeddelande om att starta Företagsportal.
  • Användaren startar Företagsportal och trycker på meddelandet om härledda autentiseringsuppgifter och sedan kopieras certifikaten för härledda autentiseringsuppgifter till enheten

Medla

Granska det plattformsspecifika användararbetsflödet för de enheter som du ska använda med härledda autentiseringsuppgifter.

• iOS och iPadOS
• Android Enterprise - Företagsägda arbetsprofiler eller fullständigt hanterade enheter

Viktiga krav är:

• Användare behöver åtkomst till en dator eller KIOSK där de kan använda sitt smartkort för att autentisera till utfärdaren.

• iOS- och iPadOS-enheter som ska registreras för en härledd autentiseringsuppgift måste installera Intune-företagsportal-appen. Fullständigt hanterade Android- och Corporate-Owned Work Profile-enheter måste installera och använda Intune-appen.

• Användning av en enhetskamera för att skanna en QR-kod som länkar autentiseringsbegäran till begäran om härledda autentiseringsuppgifter från den mobila enheten.

• Användarna uppmanas av Företagsportal-appen eller via e-post att registrera sig för härledda autentiseringsuppgifter.

• När ändringar görs i en princip som använder härledda autentiseringsuppgifter, till exempel skapa en ny Wi-Fi profil:

  • iOS och iPadOS – Användarna meddelas att öppna Företagsportal-appen.
  • Företagsägda AndroidEnterprise-arbetsprofiler eller fullständigt hanterade enheter – Företagsportal-appen behöver inte öppnas.

• Användarna meddelas att öppna appen när de behöver förnya sina härledda autentiseringsuppgifter.

  Förnyelseprocessen sker så här:

  • Utfärdaren av härledda autentiseringsuppgifter måste utfärda nya eller uppdaterade certifikat innan de tidigare certifikaten är 80 % av vägen igenom giltighetsperioden.
  • Enheten checkar in under förnyelseperioden (de sista 20 % av giltighetsperioden).
  • Microsoft Intune meddelar användaren via e-post eller ett appmeddelande om att starta Företagsportal.
  • Användaren startar Företagsportal och trycker på meddelandet om härledda autentiseringsuppgifter och sedan kopieras certifikaten för härledda autentiseringsuppgifter till enheten

3 – Distribuera ett betrott rotcertifikat till enheter

Ett betrott rotcertifikat används med härledda autentiseringsuppgifter för att verifiera att certifikatkedjan för härledda autentiseringsuppgifter är giltig och betrodd. Även om det inte refereras direkt av principen krävs ett betrott rotcertifikat. Se Konfigurera en certifikatprofil för dina enheter i Microsoft Intune.

4 – Ge slutanvändarinstruktioner för hur du hämtar den härledda autentiseringsuppgiften

Skapa och ge vägledning till användarna om hur du startar registreringsprocessen för härledda autentiseringsuppgifter och hur du navigerar i arbetsflödet för registrering av härledda autentiseringsuppgifter för den valda utfärdaren.

Vi rekommenderar att du anger en URL som är värd för din vägledning. Du anger den här URL:en när du konfigurerar utfärdaren av härledda autentiseringsuppgifter för din klientorganisation och url:en görs tillgänglig från Företagsportal-appen. Om du inte anger en egen URL tillhandahåller Intune en länk till allmän information. Den här informationen kan inte omfatta alla scenarier och kanske inte är korrekt för din miljö.

5 – Distribuera Intune-principer som kräver härledda autentiseringsuppgifter

Skapa nya principer eller redigera befintliga principer för att använda härledda autentiseringsuppgifter. Härledda autentiseringsuppgifter ersätter andra autentiseringsmetoder för följande objekt:

• Appautentisering
• Wi-Fi
• VPN
• Email (endast iOS)
• S/MIME-signering och -kryptering, inklusive Outlook (endast iOS)

Undvik att kräva användning av en härledd autentiseringsuppgift för att få åtkomst till en process som du använder som en del av processen för att hämta den härledda autentiseringsuppgiften, eftersom det kan hindra användare från att slutföra begäran.

Konfigurera en utfärdare av härledda autentiseringsuppgifter

Innan du skapar principer som kräver användning av en härledd autentiseringsuppgift ska du konfigurera en utfärdare av autentiseringsuppgifter i Microsoft Intune administrationscenter. En utfärdare av härledda autentiseringsuppgifter är en klientomfattande inställning. Klientorganisationer stöder endast en enskild utfärdare åt gången.

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Anslutningsappar för klientadministration>och token>härledda autentiseringsuppgifter.

   

3. Ange ett eget visningsnamn för utfärdarprincipen för härledda autentiseringsuppgifter. Det här namnet visas inte för enhetsanvändare.

4. För utfärdare av härledda autentiseringsuppgifter väljer du den utfärdare av härledda autentiseringsuppgifter som du har valt för din klientorganisation:

   • DISA Purebred (endast iOS)
   • Anförtro
   • Medla

5. Ange en hjälp-URL för härledda autentiseringsuppgifter för att tillhandahålla en länk till en plats som innehåller anpassade instruktioner som hjälper användarna att få härledda autentiseringsuppgifter för din organisation. Instruktionerna bör vara specifika för din organisation och för arbetsflödet som krävs för att hämta en autentiseringsuppgift från den valda utfärdaren. Länken visas i Företagsportal-appen och bör vara tillgänglig från enheten.

   Om du inte anger en egen URL tillhandahåller Intune en länk till allmän information som inte kan täcka alla scenarier. Den här allmänna vägledningen kanske inte är korrekt för din miljö.

6. Välj ett eller flera alternativ för Meddelandetyp. Meddelandetyper är de metoder som du använder för att informera användarna om följande scenarier:

   • Registrera en enhet med en utfärdare för att hämta en ny härledd autentiseringsuppgift.
   • Hämta en ny härledd autentiseringsuppgift när den aktuella autentiseringsuppgiften är nära förfallodatum.
   • Använd en härledd autentiseringsuppgift med ett objekt som stöds.

7. När du är klar väljer du Spara för att slutföra konfigurationen av utfärdaren av härledda autentiseringsuppgifter.

När du har sparat konfigurationen kan du göra ändringar i alla fält förutom utfärdaren av härledda autentiseringsuppgifter. Information om hur du ändrar utfärdaren finns i Ändra utfärdaren av härledda autentiseringsuppgifter.

Distribuera DISA Purebred-appen

Det här avsnittet gäller endast när du använder DISA Purebred.

Om du vill använda DISA Purebred som utfärdare av härledda autentiseringsuppgifter för Intune måste du hämta DISA Purebred-appen och sedan använda Intune för att distribuera appen till enheter. Sedan begär användarna den härledda autentiseringsuppgiften från DISA Purebred med hjälp av Företagsportal-appen på sin iOS/iPadOS-enhet eller Intune-appen på sina Android-enheter.

Förutom att distribuera DISA Purebred-appen med Intune måste enheten ha åtkomst till det lokala nätverket. Överväg att använda ett VPN eller företags-Wi-Fi för att ge den här åtkomsten.

Utför följande uppgifter:

1. Ladda ned DISA Purebred-programmet: https://cyber.mil/pki-pke/purebred/.

2. Distribuera DISA Purebred-programmet i Intune.

   • Se Lägga till en verksamhetsspecifik iOS-app i Microsoft Intune.
   • Se Lägga till en verksamhetsspecifik Android-app i Microsoft Intune

   Extra inställningar för Purebred-appen kan krävas. Tala med din Purebred-agent för att förstå vilka värden som ska ingå i dina principer, eller om du har ett DoD-utfärdat Common Access Card (CAC) kan du komma åt Purebred-dokumentationen online på https://cyber.mil/pki-pke/purebred/.

3. Om du väljer att använda ett per app-VPN för DISA Purebred-programmet läser du Skapa ett per app-VPN.

Använda härledda autentiseringsuppgifter för autentisering och S/MIME-signering och kryptering

Du kan ange härledda autentiseringsuppgifter för följande profiltyper och syften:

• Program

• Email:

  • iOS och iPadOS
  • Android Enterprise

• VPN:

  • iOS och iPadOS

• S/MIME-signering och -kryptering

• Wi-Fi:

  • iOS och iPadOS
  • Android Enterprise

  För Wi-Fi profiler är autentiseringsmetoden endast tillgänglig när EAP-typen är inställd på något av följande värden:

  • EAP – TLS
  • EAP-TTLS
  • PEAP

Använda härledda autentiseringsuppgifter för appautentisering

Använd härledda autentiseringsuppgifter för certifikatbaserad autentisering till webbplatser och program. Så här levererar du en härledd autentiseringsuppgift för appautentisering:

1. Logga in på Microsoft Intune administrationscenter.

2. Välj Enhetskonfiguration>> På fliken Principer väljer du + Skapa.

3. Använd följande inställningar:

   För iOS och iPadOS:

   • För Plattform. välj iOS/iPadOS och välj sedan Mallar > härledda autentiseringsuppgifter som profiltyp. Välj Skapa för att fortsätta.
   • För Namn anger du ett beskrivande namn för profilen. Namnge dina profiler så att du enkelt kan identifiera dem senare. Ett bra profilnamn är till exempel Härledd autentiseringsuppgift för iOS-enhetsprofil.
   • I Beskrivning anger du en beskrivning som ger en översikt över inställningen och annan viktig information.

   För Android Enterprise:

   • För Plattform. välj Android Enterprise och välj sedan Härledd autentiseringsuppgift** under Fullständigt hanterad, Dedikerad och Corporate-Owned Arbetsprofil. Välj Skapa för att fortsätta.
   • För Namn anger du ett beskrivande namn för profilen. Namnge dina profiler så att du enkelt kan identifiera dem senare. Ett bra profilnamn är till exempel Härledd autentiseringsuppgift för Android Enterprise-enhetsprofil.
   • I Beskrivning anger du en beskrivning som ger en översikt över inställningen och annan viktig information.
   • På sidan Appar konfigurerar du Certifikatåtkomst för att hantera hur certifikatåtkomst beviljas till program. Välj mellan:
     • Kräv användargodkännande för appar(standard) – Användarna måste godkänna användning av ett certifikat av alla program.
     • Bevilja tyst för specifika appar (kräver användargodkännande för andra appar) – Med det här alternativet väljer du Lägg till appar och väljer sedan en eller flera appar som tyst kommer att använda certifikatet utan användarinteraktion.

4. På sidan Tilldelningar väljer du de grupper som ska ta emot principen.

5. När du är klar väljer du Skapa för att skapa Intune-profilen. När du är klar visas din profil i listan Enheter – Konfigurationsprofiler .

Användarna får appen eller e-postmeddelandet beroende på de inställningar som du angav när du konfigurerade utfärdaren av härledda autentiseringsuppgifter. Meddelandet informerar användaren om att starta Företagsportal så att principerna för härledda autentiseringsuppgifter kan bearbetas.

Härledda autentiseringsuppgifter för Windows

Du kan använda härledda certifikat som autentiseringsmetod för Wi-Fi- och VPN-profiler på Windows-enheter. Samma leverantörer som stöds av Android- och iOS/iPadOS-enheter stöds som leverantörer för Windows:

• DISA Purebred
• Anförtro
• Medla

Obs!

För närvarande fungerar inte härledda autentiseringsuppgifter som en autentiseringsmetod för VPN-profiler som förväntat på Windows-enheter. Det här beteendet påverkar bara VPN-profiler på Windows-enheter och kommer att åtgärdas i en framtida version (ingen ETA).

För Windows går användarna inte igenom en registreringsprocess för smartkort för att hämta ett certifikat för användning som en härledd autentiseringsuppgift. I stället måste användaren installera appen för Windows, som hämtas från providern för härledda autentiseringsuppgifter. Slutför följande konfigurationer om du vill använda härledda autentiseringsuppgifter med Windows:

1. Installera appen från leverantörerna av härledda autentiseringsuppgifter på Windows-enheten.

   När du installerar Windows-appen från en leverantör av härledda autentiseringsuppgifter på en Windows-enhet läggs det härledda certifikatet till i enhetens Windows-certifikatarkiv. När certifikatet har lagts till på enheten blir det tillgängligt för användning av en autentiseringsmetod för härledda autentiseringsuppgifter.

   När du har hämtat appen från den valda providern kan appen distribueras till Användare eller installeras direkt av enhetens användare.

2. Konfigurera Wi-Fi- och VPN-profiler för att använda härledda autentiseringsuppgifter som autentiseringsmetod.

   När du konfigurerar en Windows-profil för Wi-Fi eller VPN väljer du Härledd autentiseringsuppgift för autentiseringsmetoden. Med den här konfigurationen använder profilen certifikatet som installeras på enheten när providerns app installerades.

Förnya en härledd autentiseringsuppgift

Härledda autentiseringsuppgifter för Android- eller iOS/iPadOS-enheter kan inte utökas eller förnyas. I stället måste användarna använda arbetsflödet för begäran om autentiseringsuppgifter för att begära en ny härledd autentiseringsuppgift för sin enhet. För Windows-enheter läser du dokumentationen för appen från din leverantör av härledda autentiseringsuppgifter.

Om du konfigurerar en eller flera metoder för meddelandetyp meddelar Intune automatiskt användare när den aktuella härledda autentiseringsuppgiften når 80 % av livslängden. Meddelandet instruerar användarna att gå igenom processen för begäran om autentiseringsuppgifter för att hämta en ny härledd autentiseringsuppgift.

När en enhet har fått en ny härledd autentiseringsuppgift distribuerar principer som använder härledda autentiseringsuppgifter om till den enheten.

Ändra utfärdaren av härledda autentiseringsuppgifter

På klientorganisationsnivå kan du ändra utfärdaren av autentiseringsuppgifter, även om endast en utfärdare stöds av en klient i taget.

När du har ändrat utfärdaren uppmanas användarna att hämta en ny härledd autentiseringsuppgift från den nya utfärdaren. De måste göra det innan de kan använda en härledd autentiseringsuppgift för autentisering.

Ändra utfärdaren för din klientorganisation

Viktigt

Om du tar bort en utfärdare och omedelbart konfigurerar om samma utfärdare måste du fortfarande uppdatera profiler och enheter för att använda härledda autentiseringsuppgifter från utfärdaren. Härledda autentiseringsuppgifter som hämtades innan du tar bort utfärdaren är inte längre giltiga.

1. Logga in på Microsoft Intune administrationscenter.
2. Välj Anslutningsappar för klientadministration>och token>härledda autentiseringsuppgifter.
3. Välj Ta bort för att ta bort den aktuella utfärdaren av härledda autentiseringsuppgifter.
4. Konfigurera en ny utfärdare.

Uppdatera profiler som använder härledda autentiseringsuppgifter

När du har tagit bort en utfärdare och sedan lagt till en ny redigerar du varje profil som använder härledda autentiseringsuppgifter. Den här regeln gäller även om du återställer den tidigare utfärdaren. Alla ändringar av profilen utlöser en uppdatering, inklusive en enkel redigering av profilbeskrivningen.

Uppdatera härledda autentiseringsuppgifter på enheter

När du har tagit bort en utfärdare och sedan lagt till en ny måste enhetsanvändare begära en ny härledd autentiseringsuppgift. Den här regeln gäller även när du lägger till samma utfärdare som du tog bort. Processen för att begära den nya härledda autentiseringsuppgiften är densamma som för att registrera en ny enhet eller förnya en befintlig autentiseringsuppgift.

Nästa steg

Skapa enhetskonfigurationsprofiler.