在 Microsoft Intune 中将证书用于身份验证
使用 Intune 证书通过 VPN、Wi-Fi 或电子邮件配置文件向用户验证应用程序和公司资源。 使用证书对这些连接进行身份验证时,最终用户无需输入用户名和密码,这可以无缝访问。 证书还用于使用 S/MIME 对电子邮件进行签名和加密。
与 Intune 配合使用的证书简介
证书通过以下两个阶段提供无延迟的经过验证的访问:
- 身份验证阶段:检查用户的真实性,以确认用户是其声明的身份。
- 授权阶段:需要根据条件来确定是否应为用户提供访问权限。
典型的证书使用方案包括:
- 使用设备或用户证书进行网络身份验证(例如,802.1x)
- 使用设备或用户证书进行 VPN 服务器身份验证
- 基于用户证书对电子邮件进行签名
Intune 支持使用简单证书注册协议 (SCEP)、公钥加密标准 (PKCS) 和导入的 PKCS 证书来为设备预配证书。 不同的预配方式具有不同的要求和结果。 例如:
- SCEP 会为每个证书请求预配唯一的证书。
- PKCS 使用唯一证书预配每个设备。
- 通过导入的 PKCS,你可以将从源(如电子邮件服务器)导出的同一个证书部署给多个收件人。 此共享证书有助于确保所有用户或设备都可以解密该证书加密的电子邮件。
Intune 使用证书配置文件来为用户或设备预配特定类型的证书。
除了三种证书类型和预配方法外,还需要受信任的证书颁发机构 (CA) 的受信任的根证书。 CA 可以是本地 Microsoft 证书颁发机构,也可以是第三方证书颁发机构。 受信任的根证书建立从设备到根或从中颁发其他证书中间(颁发)CA 的信任。 若要部署此证书,请使用 受信任的证书 配置文件,并将其部署到接收 SCEP、PKCS 和导入 PKCS 证书配置文件的相同设备和用户。
提示
Intune 还支持将派生凭据用于需要使用智能卡的环境。
需要具备哪些条件才可使用证书
- 证书颁发机构。 CA 是证书引用的信任源,可用于进行身份验证。 可以使用 Microsoft CA 或第三方 CA。
- 本地基础结构。 所需的基础结构取决于使用的证书类型:
- 受信任的根证书。 部署 SCEP 或 PKCS 证书配置文件之前,请使用受信任的证书配置文件从 CA 部署受信任的根证书。 此配置文件将帮助建立从设备回到 CA 之间的信任,其他证书配置文件需要此配置文件。
部署受信任的根证书后,即可部署证书配置文件,以便为用户和设备预配用于身份验证的证书。
要使用哪种证书配置文件
下面的比较并不全面,它旨在帮助区分不同证书配置文件类型的用法。
| 配置文件类型 | 详细信息 |
|---|---|
| 受信任的证书 | 用于从根 CA 或中间 CA 将公钥(证书)部署给用户和设备,以建立再到源 CA 中间的信任。 其他证书配置文件需要受信任的证书配置文件及其根证书。 |
| SCEP 证书 | 针对证书请求为用户和设备部署模板。 使用 SCEP 预配的每个证书都是唯一的,并且都已绑定到请求证书的用户或设备。
使用 SCEP,可以将证书部署到缺少用户相关性的设备,包括使用 SCEP 在展台或无用户设备上预配证书。 |
| PKCS 证书 | 为证书请求部署模板,指定用户或设备的证书类型。
- 对用户证书类型的请求始终需要用户关联。 部署给用户后,用户的每台设备都会收到一个唯一的证书。 部署给具有用户的设备后,该用户将与该设备的证书相关联。 部署到无用户设备时,不会设置证书。 - 具有设备证书类型的模板不需要用户关联来预配证书。 部署到设备时会预配该设备。 部署到用户时会预配该用户使用证书登录的设备。 |
| PKCS 导入的证书 | 将单个证书部署给多个设备和用户,该证书支持 S/MIME 签名和加密等方案。 例如,通过将同一个证书部署到每台设备,每台设备都可以解密从该同一个电子邮件服务器收到的电子邮件。
其他证书部署方法不足以满足这种情况,因为 SCEP 为每个请求创建唯一的证书,PKCS 为每个用户关联不同的证书,不同的用户接收不同的证书。 |
Intune 支持的证书和使用情况
| 类型 | 身份验证 | S/MIME 签名 | S/MIME 加密 |
|---|---|---|---|
| 公钥加密标准 (PKCS) 导入证书 |
|
|
|
| PKCS#12(或 PFX) |
|
|
|
| 简单证书注册协议 (SCEP) |
|
|
若要部署这些证书,请创建证书配置文件并将其分配给设备。
创建的每个证书配置文件都支持单一平台。 例如,如果使用 PKCS 证书,则会创建适用于 Android 的 PKCS 证书配置文件,并为 iOS/iPadOS 创建单独的 PKCS 证书配置文件。 如果同时为这两个平台使用 SCEP 证书,请创建适用于 Android 的 SCEP 证书配置文件,为 iOS/iPadOS 创建另一个证书配置文件。
使用 Microsoft 证书颁发机构时的一般注意事项
使用 Microsoft 证书颁发机构 (CA) 时:
使用 SCEP 证书配置文件:
- 设置网络设备注册服务 (NDES) 服务器以便与 Intune 配合使用。
- 安装 Microsoft Intune 证书连接器。
若要使用 PKCS 证书配置文件,请执行以下操作:
使用 PKCS 导入的证书:
- 安装 Microsoft Intune 证书连接器。
- 从证书颁发机构导出证书,然后将其导入 Microsoft Intune。 请参阅 PFXImport PowerShell 项目。
使用下列机制部署证书:
- 受信任的证书配置文件可将受信任的根 CA 证书从根或中间(颁发)CA 部署到设备
- SCEP 证书配置文件
- PKCS 证书配置文件
- PKCS 导入的证书配置文件
使用第三方证书颁发机构时的一般注意事项
使用第三方(非 Microsoft)证书颁发机构 (CA) 时:
SCEP 证书配置文件不需要使用Microsoft Intune证书连接器。 相反,第三方 CA 直接处理证书颁发和管理。 若要在没有Intune证书连接器的情况下使用 SCEP 证书配置文件,请执行以下操作:
- 配置与来自受支持合作伙伴之一的第三方 CA 的集成。 设置包括按照第三方 CA 的说明完成其 CA 与 Intune 的集成。
- 在 Microsoft Entra ID 中创建一个应用程序,该应用程序将权限委托给Intune执行 SCEP 证书质询验证。
有关详细信息,请参阅 设置第三方 CA 集成
PKCS 导入的证书需要使用 Microsoft Intune 证书连接器。 请参阅安装用于Microsoft Intune的证书连接器。
使用下列机制部署证书:
- 受信任的证书配置文件可将受信任的根 CA 证书从根或中间(颁发)CA 部署到设备
- SCEP 证书配置文件
- PKCS 证书配置文件(仅受 Digicert PKI 平台支持)
- PKCS 导入的证书配置文件
支持的平台和证书配置文件
| 平台 | 受信任的证书配置文件 | PKCS 证书配置文件 | SCEP 证书配置文件 | PKCS 导入的证书配置文件 |
|---|---|---|---|---|
| Android 设备管理员 |
(请参阅 注释 1) |
|
|
|
| Android Enterprise - 完全托管 (设备所有者) |
|
|
|
|
| Android Enterprise - 专用 (设备所有者) |
|
|
|
|
| Android Enterprise - Corporate-Owned 工作配置文件 |
|
|
|
|
| Android Enterprise - Personally-Owned 工作配置文件 |
|
|
|
|
| Android (AOSP) |
|
|
|
|
| iOS/iPadOS |
|
|
|
|
| macOS |
|
|
|
|
| Windows 8.1 及更高版本 |
|
|
||
| Windows 10/11 |
(请参阅 注释 2) |
(请参阅 注释 2) |
(请参阅 注释 2) |
|
- 注意 1 - 从 Android 11 开始,受信任的证书配置文件不能再在注册为 Android 设备管理员的设备上安装受信任的根证书。 此限制不适用于 Samsung Knox。 有关详细信息,请参阅适用于 Android 设备管理员的受信任的证书配置文件。
- 注意 2 - Windows 企业版多会话远程桌面支持此配置文件。
重要
2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。
如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。
重要
Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持。
相关内容
更多资源:
创建证书配置文件: