分享方式:


Configuration Manager中的憑證設定檔簡介

適用於:Configuration Manager (目前的分支)

重要事項

從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。

憑證設定檔可搭配 Active Directory 憑證服務和網路裝置註冊服務 (NDES) 角色使用。 建立及部署受控裝置的驗證憑證,讓使用者可以輕鬆地存取組織資源。 例如,您可以建立和部署憑證設定檔,為使用者提供連線到 VPN 和無線連線所需的憑證。

憑證設定檔可以自動設定使用者裝置,以存取組織資源,例如Wi-Fi網路和 VPN 伺服器。 使用者不需要手動安裝憑證或使用頻外程式,即可存取這些資源。 憑證設定檔有助於保護資源,因為您可以使用公開金鑰基礎結構 (PKI) 所支援的更安全設定。 例如,所有Wi-Fi和 VPN 連線都需要伺服器驗證,因為您已在受管理的裝置上部署必要的憑證。

憑證設定檔提供下列管理功能:

  • 針對執行不同作業系統類型和版本的裝置,從憑證授權單位單位 (CA) 進行憑證註冊和更新。 這些憑證接著可用於Wi-Fi和 VPN 連線。

  • 部署受信任的根 CA 憑證和中繼 CA 憑證。 這些憑證會在需要伺服器驗證時,為 VPN 和Wi-Fi連線的裝置設定信任鏈結。

  • 監視和報告已安裝憑證的相關資訊。

範例 1:所有員工都必須連線到多個辦公室位置中的Wi-Fi熱點。 若要啟用簡單的使用者連線,請先部署連線到 Wi-Fi 所需的憑證。 然後部署Wi-Fi參考憑證的設定檔。

範例 2:您已備妥 PKI。 您想要移至更有彈性且安全的憑證部署方法。 使用者必須從其個人裝置存取組織資源,而不會危害安全性。 使用特定裝置平臺支援的設定和通訊協定來設定憑證設定檔。 然後,裝置可以自動向網際網路對向註冊伺服器要求這些憑證。 然後,將 VPN 設定檔設定為使用這些憑證,讓裝置可以存取組織資源。

類型

憑證設定檔有三種類型:

  • 信任的 CA 憑證:部署受信任的根 CA 或中繼 CA 憑證。 當裝置必須驗證服務器時,這些憑證會形成信任鏈結。

  • 簡單的憑證註冊通訊協定 (SCEP) :使用 SCEP 通訊協定要求裝置或使用者的憑證。 在執行 R2 或更新版本的伺服器上,此類型需要網路裝置註冊服務 (NDES Windows Server 2012) 角色。

    若要建立 簡單憑證註冊通訊協定 (SCEP) 憑證設定檔,請先建立 信任的 CA 憑證 設定檔。

  • 個人資訊交換 (.pfx) :要求裝置或使用者的 .pfx (也稱為 PKCS #12) 憑證。 建立 PFX 憑證設定檔的方法有兩種:

    注意事項

    Configuration Manager預設不會啟用此選擇性功能。 您必須先啟用此功能,才能使用它。 如需詳細資訊,請 參閱從更新啟用選擇性功能

    您可以使用 Microsoft 或 Entrust 作為個人資訊交換 (.pfx) 憑證的憑證授權單位單位。

需求

若要部署使用 SCEP 的憑證設定檔,請在月臺系統伺服器上安裝憑證登錄點。 此外,在執行 Windows Server 2012 R2 或更新版本的伺服器上,安裝 NDES Configuration Manager 原則模組的原則模組。 此伺服器需要 Active Directory 憑證服務角色。 它也需要可讓需要憑證的裝置存取的工作 NDES。 如果您的裝置需要從網際網路註冊憑證,則您的 NDES 伺服器必須可從網際網路存取。 例如,若要安全地從網際網路啟用 NDES 伺服器的流量,您可以使用Azure 應用程式 Proxy

PFX 憑證也需要憑證註冊點。 也請指定憑證的憑證授權單位單位 (CA) 和相關的存取認證。 您可以將 Microsoft 或 Entrust 指定為憑證授權單位單位。

如需 NDES 如何支援原則模組以便Configuration Manager部署憑證的詳細資訊,請參閱搭配網路裝置註冊服務使用原則模組

根據需求,Configuration Manager支援將憑證部署到不同裝置類型和作業系統上的不同憑證存放區。 支援下列裝置和作業系統:

  • Windows 10

  • Windows 10 行動裝置版

  • Windows 8.1

  • Windows Phone 8.1

注意事項

使用Configuration Manager內部部署 MDM 來管理 Windows Phone 8.1 和 Windows 10 行動裝置版。 如需詳細資訊,請參閱 內部部署 MDM

Configuration Manager的一般案例是安裝受信任的根 CA 憑證來驗證Wi-Fi和 VPN 伺服器。 一般連線會使用下列通訊協定:

  • 驗證通訊協定:EAP-TLS、EAP-TTLS 和 PEAP
  • VPN 通道通訊協定:IKEv2、L2TP/IPsec 和 Cisco IPsec

必須先在裝置上安裝企業根 CA 憑證,裝置才能使用 SCEP 憑證設定檔要求憑證。

您可以在 SCEP 憑證設定檔中指定設定,以要求不同環境或連線需求的自訂憑證。 [建立憑證設定檔精靈] 有兩個頁面可供註冊參數使用。 第一個 ,SCEP 註冊,包含註冊要求的設定,以及安裝憑證的位置。 第二個 [ 憑證屬性]描述要求的憑證本身。

部署

當您部署 SCEP 憑證設定檔時,Configuration Manager用戶端會處理原則。 然後它會從管理點要求 SCEP 挑戰密碼。 裝置會建立公開/私密金鑰組,並產生憑證簽署要求 (CSR) 。 它會將此要求傳送至 NDES 伺服器。 NDES 伺服器會透過 NDES 原則模組,將要求轉送至憑證登錄點月臺系統。 憑證註冊點會驗證要求、檢查 SCEP 查問密碼,並確認要求未遭到竄改。 然後,它會核准或拒絕要求。 如果核准,NDES 伺服器會將簽署要求傳送至連線的憑證授權單位單位 (CA) 進行簽署。 CA 會簽署要求,然後將憑證傳回至要求的裝置。

將憑證設定檔部署至使用者或裝置集合。 您可以指定每個憑證的目的地存放區。 適用性規則會決定裝置是否可以安裝憑證。

當您將憑證設定檔部署至使用者集合時, 使用者裝置親和性 會決定哪些使用者的裝置會安裝憑證。 當您將具有使用者憑證的憑證設定檔部署至裝置集合時,根據預設,每個使用者的主要裝置都會安裝憑證。 若要在任何使用者的裝置上安裝憑證,請在 [建立憑證設定檔精靈] 的[SCEP 註冊] 頁面上變更此行為。 如果裝置位於工作組中,Configuration Manager不會部署使用者憑證。

監視

您可以檢視合規性結果或報告來監視憑證設定檔部署。 如需詳細資訊,請 參閱如何監視憑證設定檔

自動撤銷

Configuration Manager會在下列情況下自動撤銷使用憑證設定檔部署的使用者和電腦憑證:

  • 裝置已從Configuration Manager管理中淘汰。

  • 裝置已從Configuration Manager階層封鎖。

若要撤銷憑證,月臺伺服器會傳送撤銷命令給頒發憑證授權單位單位。 撤銷的原因是 停止作業

注意事項

若要正確撤銷憑證,階層中頂層月臺的電腦帳戶需要在 CA 上 簽發和管理憑證 的許可權。

為了改善安全性,您也可以限制 CA 上的 CA 管理員。 然後只在您用於網站上 SCEP 設定檔的特定憑證範本上,授與此帳戶許可權。

後續步驟