将派生凭据用于Microsoft Intune
派生凭据是美国国家标准与技术研究院 (NIST) 准则的实现,该准则是派生个人身份验证 (PIV) 凭据 的特别出版物的一部分, (SP) 800-157 (Link 在 nvlpubs.nist.gov) 上打开 .pdf 文件 。
本文适用于:
- 运行版本 7.0 及更高版本的 Android Enterprise 完全托管设备
- iOS/iPadOS
- Windows 10
- Windows 11
需要使用智能卡进行身份验证或加密和签名的组织可以使用Intune为移动设备预配从用户的智能卡派生的证书。 该证书称为派生凭据。 Intune支持多个派生凭据颁发者,但每个租户只能使用一个颁发者。
关于Intune的实现
若要使用Intune派生凭据,Intune管理员必须将租户配置为使用受支持的派生凭据颁发者。 无需在派生凭据颁发者的系统中配置任何 Intune 特定设置。
Intune 管理员将“派生凭据”指定为以下对象的身份验证方法:
对于 Android Enterprise 完全托管设备:
- 常见配置文件类型,例如 Wi-Fi
- 应用身份验证
对于 iOS/iPadOS:
- Wi-Fi、VPN 和电子邮件(其中包括 iOS/iPadOS 本机邮件应用)等常见配置文件类型
- 应用身份验证
- S/MIME 签名和加密
对于 Windows:
- Wi-Fi 和 VPN 等常见配置文件类型
注意
目前,作为 VPN 配置文件的身份验证方法的派生凭据在 Windows 设备上无法按预期工作。 此行为仅影响 Windows 设备上的 VPN 配置文件,并将在未来版本中修复 (无 ETA) 。
对于 Android 和 iOS/iPadOS,用户在计算机上使用智能卡获取派生凭据,以便向派生凭据颁发者进行身份验证。 然后,颁发者将派生自其智能卡的凭据颁发给移动设备。 对于 Windows,用户从派生凭据提供程序安装应用,该应用会将证书安装到设备以供以后使用。 a
设备收到派生凭据后,当应用或资源访问配置文件配置为需要派生凭据时,该凭据将用于身份验证和 S/MIME 签名和加密。
先决条件
将租户配置为使用派生凭据之前,请查看以下信息。
支持的平台
Intune 支持以下平台上的派生凭据:
- iOS/iPadOS
- Android Enterprise:
- 完全托管的设备(版本 7.0 及更高版本)
- 公司拥有的工作配置文件
- Windows 10
- Windows 11
支持的颁发者
Intune 支持每个租户一个派生凭据颁发者。 支持以下颁发者:
- DISA Purebred:https://public.cyber.mil/pki-pke/purebred/
- Entrust:https://www.entrust.com/
- Intercede:https://www.intercede.com/
有关应用不同颁发者的关键详细信息,请查看该颁发者的指南。 更多信息,请参阅本文中的派生凭据计划。
必需应用
计划将面向用户的相关应用部署到注册派生凭据的设备。 设备用户使用应用来启动凭据注册流程。
- iOS 设备使用公司门户应用。 请参阅将 iOS 应用商店中的应用添加到 Microsoft Intune。
- Android Enterprise 完全托管和公司拥有的工作配置文件设备使用 Intune 应用。 请参阅将 Android 应用商店中的应用添加到 Microsoft Intune。
派生凭据计划
设置 Android 和 iOS/iPadOS 的派生凭据颁发者之前,请先了解以下注意事项。
对于 Windows 设备,请参阅本文后面的 Windows 的派生凭据。
1 - 查看所选派生凭据颁发者的文档
配置颁发者之前,查看该颁发者的文档,以了解其系统如何将派生凭据交付设备。
根据所选颁发者,注册时可能需要工作人员帮助用户完成该流程。 还需查看当前的 Intune 配置,以确保其不会阻止设备或用户完成凭据请求所需的访问。
例如,可以使用条件访问来阻止对不符合要求的设备访问电子邮件。 如果依靠电子邮件通知来告知用户开始派生凭据注册流程,则用户可能只有在符合策略之后才会收到这些说明。
同样,部分派生凭据请求工作流需要使用设备摄像头来扫描屏幕上的 QR 码。 此代码将该设备链接到针对具有用户智能卡凭据的派生凭据颁发者所发出的身份验证请求。 如果设备配置策略阻止相机使用,则用户无法完成派生的凭据注册请求。
常规信息:
每次只能为每个租户配置一个颁发者,该颁发者将适用于租户中的所有用户和受支持设备。
向用户应用要求提供派生凭据的策略时,才会通知用户必须注册派生凭据。
可以通过公司门户的应用通知和/或电子邮件进行通知。 如果选择使用电子邮件通知并使用已启用的条件访问,则设备不合规的用户可能不会接收到电子邮件通知。
重要
若要确保最终用户成功收到与设备凭据相关的通知,应该为公司门户启用应用通知、电子邮件通知或两者。
2 - 查看所选颁发者的最终用户工作流
以下是每个受支持合作伙伴的关键注意事项。 了解这些信息,以确保 Intune 策略和配置不会阻止用户和设备成功注册该颁发者的派生凭据。
DISA Purebred
查看将与派生凭据协同使用的设备的特定于平台的用户工作流。
- iOS 和 iPadOS
- Android Enterprise - 公司拥有的工作配置文件或完全托管的设备
关键要求包括:
用户需要访问可在其中使用智能卡向颁发者进行身份验证的计算机或网亭。
将注册派生凭据的 iOS 和 iPadOS 设备必须安装 Intune 公司门户应用。 Android 完全托管和公司拥有的工作配置文件设备必须安装和使用 Intune 应用。
使用 Intune 在将注册派生凭据的设备上部署 DISA Purebred 应用。 必须通过 Intune 部署此应用,以便对其进行管理,然后才能使用Intune 公司门户应用或 Intune 应用(设备用户用于完成派生凭据请求)。
若要从 Purebred 应用检索派生凭据,设备必须有权访问本地网络。 可通过公司 Wi-Fi 或 VPN 进行访问。
设备用户在注册流程中必须使用实时代理。 在注册期间,随用户在注册流程中持续进行,系统将向其提供限时的一次性密码。
当对使用派生凭据的策略进行更改时(如创建新的 Wi-Fi 配置文件),会通知 iOS 和 iPadOS 用户打开公司门户应用。
当用户需要续订其派生凭据时,会通知用户打开适用的应用。
续订过程如下所示:
- 派生凭据颁发者需要颁发新的或更新的证书,然后以前的证书的有效期为 80%。
- 设备在续订期(有效期的最后 20%)内签入。
- Microsoft Intune通过电子邮件或应用通知通知用户启动公司门户。
- 用户启动公司门户并点击派生凭据通知,然后将派生凭据证书复制到设备。
有关获取和配置 DISA Purebred 应用的信息,请参阅下文的部署 DISA Purebred 应用。
Entrust
查看将与派生凭据协同使用的设备的特定于平台的用户工作流。
- iOS 和 iPadOS
- Android Enterprise- 公司拥有的工作配置文件或完全托管的设备
关键要求包括:
用户需要访问可在其中使用智能卡向颁发者进行身份验证的计算机或网亭。
将注册派生凭据的 iOS 和 iPadOS 设备必须安装 Intune 公司门户应用。 Android 完全托管和公司拥有的工作配置文件设备必须安装和使用 Intune 应用。
使用设备相机扫描 QR 码,该 QR 码会将身份验证请求链接到移动设备的派生凭据请求。
将通过公司门户应用或电子邮件提示用户注册派生凭据。
当对使用派生凭据的策略进行更改时(如创建新的 Wi-Fi 配置文件):
- iOS 和 iPadOS - 将通知用户打开公司门户应用。
- Android Enterprise公司拥有的工作配置文件或完全托管的设备 - 无需打开公司门户应用。
当用户需要续订其派生凭据时,会通知用户打开适用的应用。
续订过程如下所示:
- 派生凭据颁发者需要颁发新的或更新的证书,然后以前的证书的有效期为 80%。
- 设备在续订期(有效期的最后 20%)内签入。
- Microsoft Intune通过电子邮件或应用通知通知用户启动公司门户。
- 用户启动公司门户并点击派生凭据通知,然后将派生凭据证书复制到设备
Intercede
查看将与派生凭据协同使用的设备的特定于平台的用户工作流。
- iOS 和 iPadOS
- Android Enterprise - 公司拥有的工作配置文件或完全托管的设备
关键要求包括:
用户需要访问可在其中使用智能卡向颁发者进行身份验证的计算机或网亭。
将注册派生凭据的 iOS 和 iPadOS 设备必须安装 Intune 公司门户应用。 Android 完全托管和公司拥有的工作配置文件设备必须安装和使用 Intune 应用。
使用设备相机扫描 QR 码,该 QR 码会将身份验证请求链接到移动设备的派生凭据请求。
将通过公司门户应用或电子邮件提示用户注册派生凭据。
当对使用派生凭据的策略进行更改时(如创建新的 Wi-Fi 配置文件):
- iOS 和 iPadOS - 将通知用户打开公司门户应用。
- Android Enterprise公司拥有的工作配置文件或完全托管的设备 - 无需打开公司门户应用。
当用户需要续订其派生凭据时,会通知用户打开适用的应用。
续订过程如下所示:
- 派生凭据颁发者需要颁发新的或更新的证书,然后以前的证书的有效期为 80%。
- 设备在续订期(有效期的最后 20%)内签入。
- Microsoft Intune通过电子邮件或应用通知通知用户启动公司门户。
- 用户启动公司门户并点击派生凭据通知,然后将派生凭据证书复制到设备
3 - 将受信任的根证书部署到设备
将受信任的根证书与派生凭据一起使用,以验证派生凭据证书链是否有效且受信任。 即便策略不直接进行引用,也需要受信任的根证书。 请参阅在 Microsoft Intune 中为设备配置证书配置文件。
4 - 提供最终用户说明,了解如何获取派生凭据
创建指南,告知用户如何开始派生凭据注册流程,并引导其完成你所选择的颁发者的派生凭据注册工作流。
建议提供托管指南的 URL。 为租户配置派生凭据颁发者时指定此 URL,即可在公司门户应用中提供此 URL。 如果你不指定自己的 URL,Intune 将提供指向通用详细信息的链接。 这些详细信息无法涵盖所有方案,因此可能并不适合你的环境。
5 - 部署需要派生凭据Intune策略
新建要求使用派生凭据的策略或编辑现有策略。 派生凭据可替换以下对象的其他身份验证方法:
- 应用身份验证
- Wi-Fi
- VPN
- 电子邮件(仅限 iOS)
- S/MIME 签名和加密,包括 Outlook(仅限 iOS)
避免要求使用派生凭据来访问获取派生凭据的流程,因为这可能使用户无法完成请求。
设置派生凭据颁发者
在创建需要使用派生凭据的策略之前,请在 Microsoft Intune 管理中心设置凭据颁发者。 派生凭据颁发者是租户范围的设置。 租户在同一时间仅支持一个颁发者。
选择“租户管理”>“连接器和令牌”>“派生凭据”。
为派生凭据颁发者策略指定易记的显示名称。 此名称不会向设备用户显示。
对于“派生凭据颁发者”,选择已为租户选择的派生凭据颁发者:
- DISA Purebred(仅限 iOS)
- Entrust
- Intercede
指定指向自定义说明所在位置的派生凭据帮助 URL,这些说明用于帮助用户获取组织的派生凭据。 这些说明应特定于组织以及获取所选颁发者的凭据所必需的工作流。 该链接在公司门户应用中显示,且应能够通过设备进行访问。
如果你不指定自己的 URL,Intune 将提供链接,指向无法涵盖所有场景的通用详细信息。 此通用指南可能并不适合你的环境。
为“通知类型”选择一个或多个选项。 通知类型是用于通知用户以下情况的方法:
- 为设备注册颁发者以获取新的派生凭据。
- 当前凭据将到期时,获取新的派生凭据。
- 将派生凭据与支持的对象协同使用。
准备就绪后,选择“保存”以完成派生凭据颁发者配置。
保存配置之后,可以更改除“派生凭据颁发者”以外的所有字段。 若要更改颁发者,请参阅更改派生凭据颁发者。
部署 DISA Purebred 应用
本部分仅在使用 DISA Purebred 时适用。
若要采用 DISA Purebred 作为 Intune 的派生凭据颁发者,必须获取 DISA Purebred 应用,然后使用 Intune 将该应用部署到设备。 然后,用户可使用 iOS/iPadOS 设备上的公司门户应用或 Android 设备上的 Intune 应用从 DISA Purebred 请求派生凭据。
除了使用 Intune 部署 DISA Purebred 应用外,设备还必须有权访问本地网络。 若要提供此访问权限,请考虑使用 VPN 或公司 WI-Fi。
完成以下任务:
下载 DISA Purebred 应用程序: https://cyber.mil/pki-pke/purebred/.
在 Intune 中部署 DISA Purebred 应用程序。
可能需要 Purebred 应用的额外设置。 请与 Purebred 代理交谈,了解策略中应包含哪些值,或者如果你有 DoD 颁发的通用访问卡 (CAC) 则可以访问 Purebred 文档联机 https://cyber.mil/pki-pke/purebred/.
如果选择对 DISA Purebred 应用程序使用每应用 VPN,请参阅 创建每应用 VPN。
使用派生凭据进行身份验证以及 S/MIME 签名和加密
可以针对以下配置文件类型和用途指定派生凭据:
电子邮件:
VPN:
Wi-Fi:
对于 Wi-Fi 配置文件,身份验证方法仅在 EAP 类型设置为以下值之一时可用:
- EAP – TLS
- EAP-TTLS
- PEAP
使用派生凭据进行应用身份验证
使用派生凭据在网站和应用程序中进行基于凭据的身份验证。 提供派生凭据进行应用身份验证:
选择“ 设备>管理设备>配置> ”,在“ 策略 ”选项卡上,选择“ + 创建”。
使用以下设置:
对于 iOS 和 iPadOS:
- 对于 平台。 选择“ iOS/iPadOS”,然后对于 “配置文件类型”,选择“ 模板 > 派生凭据”。 选择“ 创建 ”以继续。
- 对于 “名称”,输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个不错的配置文件名为“适用于 iOS 设备配置文件的派生凭据”。
- 对于 “说明”,请输入提供设置概述的说明以及任何其他重要详细信息。
对于 Android Enterprise:
- 对于 平台。 选择“ Android Enterprise”,然后对于 “配置文件类型”,在 “完全托管”、“专用”和“Corporate-Owned 工作配置文件”下,选择“ 派生凭据”。 选择“ 创建 ”以继续。
- 对于 “名称”,输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,一个不错的配置文件名为“适用于 Android Enterprise 设备配置文件的派生凭据”。
- 对于 “说明”,请输入提供设置概述的说明以及任何其他重要详细信息。
- 在 “应用 ”页上,配置 “证书访问权限 ”以管理向应用程序授予证书访问权限的方式。 从以下项中进行选择:
- 要求用户批准 (默认) 的应用 – 用户必须批准所有应用程序使用证书。
- 以无提示方式授予特定应用 (要求用户批准其他应用) – 使用此选项,选择“ 添加应用”,然后选择一个或多个无需用户交互即可以无提示方式使用该证书的应用。
在 “分配” 页上,选择应接收策略的组。
完成后,选择“创建”以创建Intune配置文件。 完成后,配置文件将显示在“设备 - 配置文件”列表中。
根据你在设置派生凭据颁发者时指定的设置,用户将收到应用或电子邮件通知。 该通知告知用户启动公司门户,以便能够处理派生凭据策略。
Windows 的派生凭据
可以使用派生凭据作为 Windows 设备上 Wi-Fi 和 VPN 配置文件的身份验证方法。 支持将与由 Android 和 iOS/iPadOS 设备支持的提供程序相同的提供程序作为 Windows 的提供程序:
- DISA Purebred
- Entrust
- Intercede
注意
目前,作为 VPN 配置文件的身份验证方法的派生凭据在 Windows 设备上无法按预期工作。 此行为仅影响 Windows 设备上的 VPN 配置文件,并将在未来版本中修复 (无 ETA) 。
对于 Windows,用户无法通过智能卡注册过程来获取用作派生凭据的证书。 相反,用户需要安装适用于 Windows 的应用,可从派生凭据提供程序处获得。 若要将派生凭据与 Windows 结合使用,请完成以下配置:
从 Windows 设备上的派生凭据提供程序安装应用。
从 Windows 设备上的派生凭据提供程序安装 Windows 应用时,派生证书将添加到该设备的 Windows 证书存储中。 将证书添加到设备后,可使用派生凭据身份验证方法。
从所选提供程序获取应用后,可将应用部署到用户,或直接由设备用户进行安装。
将 Wi-Fi 和 VPN 配置文件配置为使用派生凭据作为身份验证方法。
配置 Wi-Fi 或 VPN 的 Windows 配置文件时,请为“身份验证方法”选择“派生凭据”。 使用此配置,配置文件使用安装提供程序应用时在设备上安装的证书。
续订派生凭据
不能扩展或续订 Android 或 iOS/iPadOS 设备的派生凭据。 用户必须使用凭据请求工作流为其设备请求新的派生凭据。 对于 Windows 设备,请参考派生凭据提供程序中的应用的文档。
如果为“通知类型”配置一个或多个方法,Intune 会在当前派生凭据的有效期限已使用 80% 时自动通知用户。 通知将指导用户完成凭据请求流程,以获取新的派生凭据。
设备收到新的派生凭据之后,使用派生凭据的策略将重新部署到该设备。
更改派生凭据颁发者
在租户级别,你可以更改凭据颁发者,尽管租户一次只支持一个颁发者。
更改颁发者之后,系统将提示用户获取新颁发者的新派生凭据。 用户必须这样做才能使用派生凭据进行身份验证。
更改租户的颁发者
重要
如果在删除颁发者后立即重新配置同一颁发者,仍必须更新配置文件和设备以使用该颁发者的派生凭据。 删除颁发者之前获取的派生凭据将失效。
- 登录到 Microsoft Intune 管理中心。
- 选择“租户管理”>“连接器和令牌”>“派生凭据”。
- 选择“删除”以删除当前的派生凭据颁发者。
- 配置新的颁发者。
更新使用派生凭据的配置文件
删除颁发者并添加新的颁发者之后,编辑使用派生凭据的每个配置文件。 即使还原之前的颁发者,此规则也适用。 对配置文件的任何编辑都触发更新,包括对配置文件 “说明”的简单编辑。
更新设备上的派生凭据
删除颁发者并添加新的颁发者之后,设备用户必须请求新的派生凭据。 即使添加已删除的颁发者,此规则也适用。 请求新派生凭据的流程与注册新设备或更新现有凭据的流程相同。