Aracılığıyla paylaş

Microsoft Intune için güvenilen kök sertifika profilleri

  • Makale

Şirket kaynaklarınıza ve ağınıza erişmek üzere sertifikaları olan cihazları sağlamak için Intune kullanırken, güvenilen kök sertifikayı bu cihazlara dağıtmak için güvenilir bir sertifika profili kullanın. Güvenilen kök sertifikalar, cihazdan diğer sertifikaların verildiği kök veya ara (veren) CA'nıza güven oluşturur.

Güvenilen sertifika profilini Basit Sertifika Kayıt Protokolü (SCEP), Ortak Anahtar Şifreleme Standartları (PKCS) ve içeri aktarılan PKCS için sertifika profillerini alan cihazlara ve kullanıcılara dağıtırsınız.

İpucu

Güvenilen sertifika profilleri , Windows Enterprise çok oturumlu uzak masaüstleri için desteklenir.

Güvenilen kök CA sertifikasını dışarı aktarma

PKCS, SCEP ve PKCS içeri aktarılan sertifikaları kullanmak için cihazların kök Sertifika Yetkilinize güvenmesi gerekir. Güven oluşturmak için Güvenilen Kök CA sertifikasını ve tüm ara veya veren Sertifika Yetkilisi sertifikalarını genel sertifika (.cer) olarak dışarı aktarın. Bu sertifikaları veren CA'dan veya veren CA'nıza güvenen herhangi bir cihazdan alabilirsiniz.

Sertifikayı dışarı aktarmak için Sertifika Yetkilinizin belgelerine bakın. Genel sertifikayı DER kodlamalı bir .cer dosyası olarak dışarı aktarmanız gerekir. .pfx dosyası olan özel anahtarı dışarı aktarmayın.

Bu sertifikayı cihazlarınıza dağıtmak için güvenilen sertifika profilleri oluşturduğunuzda bu .cer dosyasını kullanacaksınız.

Güvenilen sertifika profilleri oluşturma

SCEP, PKCS veya PKCS ile içeri aktarılan sertifika profilini oluşturmadan önce güvenilir bir sertifika profili oluşturun ve dağıtın. Güvenilen bir sertifika profilini diğer sertifika profili türlerini alan aynı gruplara dağıtmak, her cihazın CA'nızın meşruluğunu tanıyabilmesini sağlar. Buna VPN, Wi-Fi ve e-posta gibi profiller dahildir.

SCEP sertifika profilleri doğrudan güvenilen bir sertifika profiline başvurur. PKCS sertifika profilleri doğrudan güvenilen sertifika profiline başvurmaz, ancak CA'nızı barındıran sunucuya doğrudan başvurur. PKCS içeri aktarılan sertifika profilleri doğrudan güvenilen sertifika profiline başvurmaz, ancak bunu cihazda kullanabilir. Cihazlara güvenilir bir sertifika profili dağıtmak, bu güvenin oluşturulmasını sağlar. Bir cihaz kök CA'ya güvenmediğinde SCEP veya PKCS sertifika profili ilkesi başarısız olur.

ScEP, PKCS ve PKCS içeri aktarılan sertifika profillerinde yaptığınız gibi, desteklemek istediğiniz her cihaz platformu için ayrı bir güvenilen sertifika profili oluşturun.

Önemli

Windows 10 ve üzeri platform için oluşturduğunuz güvenilen kök profiller, Microsoft Intune yönetim merkezinde Windows 8.1 ve üzeri platform profilleri olarak görüntülenir.

Bu, Güvenilen sertifika profilleri için platformun sunumuyla ilgili bilinen bir sorundur. Profil windows 8.1 ve üzeri bir platform görüntülerken, Windows 10/11 için çalışır.

Not

Intune'daki Güvenilen Sertifika profili yalnızca kök veya ara sertifikaları teslim etmek için kullanılabilir. Bu tür sertifikaları dağıtmanın amacı bir güven zinciri oluşturmaktır. Kök veya ara sertifikalar dışındaki sertifikaları teslim etmek için güvenilen sertifika profilinin kullanılması Microsoft tarafından desteklenmez. Microsoft Intune yönetim merkezinde güvenilen sertifika profilini seçerken kök veya ara sertifika olarak kabul edilmeyen sertifikaları içeri aktarmanız engellenebilir. Bu profil türünü kullanarak kök veya ara sertifika olmayan bir sertifikayı içeri aktarıp dağıtabilseniz bile, büyük olasılıkla iOS ve Android gibi farklı platformlar arasında beklenmeyen sonuçlarla karşılaşırsınız.

Android cihaz yöneticisi için güvenilen sertifika profilleri

Önemli

Microsoft Intune, Google Mobile Services'e (GMS) erişimi olan cihazlarda Android cihaz yöneticisi yönetimi desteğini 31 Aralık 2024'te sona erdiriyor. Bu tarihten sonra cihaz kaydı, teknik destek, hata düzeltmeleri ve güvenlik düzeltmeleri kullanılamaz. Şu anda cihaz yöneticisi yönetimini kullanıyorsanız, destek sona ermeden önce Intune'da başka bir Android yönetim seçeneğine geçmenizi öneririz. Daha fazla bilgi için bkz . GMS cihazlarında Android cihaz yöneticisi desteğini sonlandırma.

Android 11'le başlayarak, android cihaz yöneticisi olarak kaydedilen cihazlara güvenilen bir kök sertifika dağıtmak için artık güvenilir bir sertifika profili kullanamazsınız. Bu sınırlama Samsung Knox için geçerli değildir.

SCEP sertifika profilleri bir cihaza hem güvenilen kök sertifikanın yüklenmesini gerektirdiğinden hem de bu sertifikaya başvuran güvenilir bir sertifika profiline başvurması gerektiğinden, bu sınırlamayı geçici olarak çözmek için aşağıdaki adımları kullanın:

  1. Cihazı güvenilir kök sertifikayla el ile sağlayın. Örnek rehberlik için aşağıdaki bölüme bakın.

  2. Cihaza yüklediğiniz güvenilen kök sertifikaya başvuran güvenilir bir kök sertifika profili olan cihaza dağıtın.

  3. Güvenilen kök sertifika profiline başvuran cihaza bir SCEP sertifika profili dağıtın.

Bu sorun SCEP sertifika profilleriyle sınırlı değildir. Bu nedenle, PKCS sertifika profillerini kullanmanız veya PKCS İçeri Aktarılan sertifika profillerini kullanmanız gerekiyorsa, güvenilen kök sertifikayı ilgili cihazlara el ile yüklemeyi planlayın.

techcommunity.microsoft.com'den Android cihaz yöneticisi desteğindeki değişiklikler hakkında daha fazla bilgi edinin.

Güvenilir kök sertifikaya sahip bir cihazı el ile sağlama

Aşağıdaki kılavuz, cihazları güvenilir bir kök sertifikayla el ile sağlamanıza yardımcı olabilir.

  1. Güvenilen kök sertifikayı Android cihazına indirin veya aktarın. Örneğin, sertifikayı cihaz kullanıcılarına dağıtmak için e-posta kullanabilir veya kullanıcıların güvenli bir konumdan indirmesini isteyebilirsiniz. Sertifika cihazda olduktan sonra açılması, adlandırılması ve kaydedilmesi gerekir. Sertifika kaydedildiğinde cihazdaki Kullanıcı sertifika deposuna eklenir.

    1. Cihazda sertifikayı açmak için kullanıcının sertifikayı bulması (açması) gerekir. Örneğin, sertifikayı e-postayla gönderdikten sonra, cihaz kullanıcısı sertifika ekini dokunabilir veya açabilir.
    2. Sertifika açıldığında, kullanıcının sertifikayı yönetebilmesi için önce PIN'ini sağlaması veya başka bir şekilde cihazda kimlik doğrulaması yapması gerekir.

  2. Kimlik doğrulamasından sonra sertifika açılır ve Kullanıcılar sertifika deposuna kaydedilebilmesi için önce sertifikanın adlandırılması gerekir. Sertifika adı, cihaza gönderilecek Güvenilen Kök Sertifika profilinde belirtilen sertifika adıyla eşleşmelidir. Sertifika adlandırıldıktan sonra kaydedilebilir.

  3. Sertifika kaydedildikten sonra kullanıma hazır. Kullanıcı, sertifikanın cihazda doğru konumda olduğunu onaylayabilir:

    1. Ayarlar>Güvenlik>Güvenilen kimlik bilgileri'nı açın. Güvenilir kimlik bilgilerinin gerçek yolu cihaza göre farklılık gösterebilir.
    2. Kullanıcı sekmesini açın ve sertifikayı bulun.
    3. Kullanıcı sertifikaları listesinde varsa, sertifika doğru yüklenir.

  4. Bir cihazda kök sertifika yüklüyken, SCEP veya PKCS sertifikalarını sağlamak için aşağıdakileri dağıtmaya devam etmeniz gerekir:

    • Bu sertifikaya başvuran Bir Güvenilen Sertifika profili
    • SCEP veya PKCS sertifikalarını sağlamak için sertifika profiline başvuran SCEP veya PKCS profili.

Güvenilen sertifika profili oluşturmak için

  1. Microsoft Intune yönetim merkezinde oturum açın.

  2. Cihazlar Cihazları>yönet>Yapılandırma>Oluştur'u seçin ve gidin.

    Intune'a gidin ve güvenilen bir sertifika için yeni bir profil oluşturun

  3. Aşağıdaki özellikleri girin:

    • Platform: Bu profili alacak cihazların platformunu seçin.
    • Profil: Seçtiğiniz platforma bağlı olarak Güvenilen sertifika'yı veya Şablonlar>Güvenilen sertifika'yı seçin.

    Önemli

    22 Ekim 2022'de Microsoft Intune, Windows 8.1 çalıştıran cihazlar için desteği sona erdirdi. Bu cihazlarda teknik yardım ve otomatik güncelleştirmeler kullanılamaz.

    Şu anda Windows 8.1 kullanıyorsanız Windows 10/11 cihazlarına geçin. Microsoft Intune, Windows 10/11 istemci cihazlarını yöneten yerleşik güvenlik ve cihaz özelliklerine sahiptir.

  4. Oluştur’u seçin.

  5. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: İlke için açıklayıcı bir ad girin. Profillerinizi daha sonra kolayca tanıyabileceğiniz şekilde adlandırın. Örneğin, iyi bir profil adı tüm şirket için Güvenilir sertifika profilidir.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  6. İleri'yi seçin.

  7. Yapılandırma ayarları'nda, daha önce dışarı aktardığınız güvenilen Kök CA Sertifikası için .cer dosyasını belirtin.

    Yalnızca Windows 8.1 ve Windows 10/11 cihazları için, aşağıdakilerden güvenilen sertifika için Hedef Depolama'yı seçin:

    • Bilgisayar sertifika deposu - Kök
    • Bilgisayar sertifika deposu - Ara
    • Kullanıcı sertifika deposu - Ara

    Profil oluşturma ve güvenilen sertifikayı karşıya yükleme

  8. İleri'yi seçin.

  9. Atamalar'da profilinizi alacak kullanıcıları veya grupları seçin. Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama.

    İleri'yi seçin.

  10. (Yalnızca Windows 10/11 için geçerlidir) Uygulanabilirlik Kuralları'nda, bu profilin atamasını daraltmak için uygulanabilirlik kurallarını belirtin. Profili bir cihazın işletim sistemi sürümüne veya sürümüne göre atamayı veya atamamayı seçebilirsiniz.

    Daha fazla bilgi için bkz. Microsoft Intune'da cihaz profili oluşturma konusundaki Uygulanabilirlik kuralları.

  11. Gözden geçir ve oluştur bölümünde ayarlarınızı gözden geçirin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.

Sonraki adımlar

Sertifika profilleri oluşturma: