在 Microsoft Intune 中使用憑證進行驗證
使用憑證搭配 Intune,透過 VPN、Wi-Fi 或電子郵件設置檔向應用程式和公司資源驗證使用者。 當您使用憑證來驗證這些連線時,您的終端使用者不需要輸入使用者名稱和密碼,這可讓他們順暢地存取。 憑證還用於使用 S/MIME 對電子郵件進行簽署和加密。
憑證簡介與 Intune
憑證會透過下列兩個階段提供經過驗證的存取,而不會延遲:
- 驗證階段:會檢查使用者的真確性,以確認使用者是其所宣告的身分。
- 授權階段:使用者受限於是否應授與使用者存取權的條件。
憑證的一般使用案例包括:
- 網路驗證 (例如,具有裝置或用戶憑證的 802.1x)
- 使用裝置或用戶憑證向 VPN 伺服器進行驗證
- 根據用戶憑證簽署電子郵件
Intune 支援簡單憑證註冊通訊協定 (SCEP) 、公鑰密碼編譯標準 (PKCS) ,以及匯入的 PKCS 憑證作為在裝置上布建憑證的方法。 不同的布建方法有不同的需求和結果。 例如:
- SCEP 會布建每個憑證要求唯一的憑證。
- PKCS 會使用唯一憑證布建每個裝置。
- 使用匯入的 PKCS,您可以將從來源導出的相同憑證,例如電子郵件伺服器,部署到多個收件者。 此共用憑證有助於確保您的所有使用者或裝置都可以解密該憑證所加密的電子郵件。
若要布建具有特定憑證類型的使用者或裝置,Intune 使用憑證配置檔。
除了三種憑證類型和布建方法之外,您還需要來自受信任證書頒發機構單位的受信任跟證書 (CA) 。 CA 可以是內部部署 Microsoft Certification 授權單位或第三方證書頒發機構單位。 受信任的跟證書會從裝置對您的根或中繼憑證建立信任, (發行) CA,以從中發行其他憑證。 若要部署此憑證,您可以使用 受信任的憑證 配置檔,並將它部署到接收 SCEP、PKCS 和已匯入 PKCS 憑證配置檔的相同裝置和使用者。
提示
Intune 也支持針對需要使用智慧卡的環境使用衍生認證。
使用憑證所需的專案
- 證書頒發機構單位。 您的 CA 是憑證參考以進行驗證的信任來源。 您可以使用 Microsoft CA 或第三方 CA。
- 內部部署基礎結構。 您需要的基礎結構取決於您使用的憑證類型:
- 受信任的跟證書。 部署 SCEP 或 PKCS 憑證設定檔之前,請先使用受信任的憑證配置檔,從 CA 部署 受信任 的跟證書。 此配置檔可協助從裝置建立信任回到 CA,而其他憑證配置檔則需要此信任。
部署受信任的跟證書之後,您就可以部署憑證配置檔,以布建具有驗證憑證的用戶和裝置。
要使用的憑證配置檔
下列比較並不完整,但旨在協助區分不同憑證配置檔類型的使用方式。
| 設定檔類型 | 詳細資料 |
|---|---|
| 信任的憑證 | 使用 將公鑰 (憑證) 從根 CA 或中繼 CA 部署到使用者和裝置,以建立對來源 CA 的信任。 其他憑證配置檔需要受信任的憑證配置檔及其跟證書。 |
| SCEP 憑證 | 將憑證要求的範本部署至用戶和裝置。 使用 SCEP 布建的每個憑證都是唯一的,並系結至要求憑證的使用者或裝置。
透過 SCEP,您可以將憑證部署到缺少使用者親和性的裝置,包括使用 SCEP 在 KIOSK 或無使用者裝置上佈建憑證。 |
| PKCS 憑證 | 為指定使用者或裝置之憑證類型的憑證要求部署範本。
- 要求使用者的憑證類型一律需要用戶親和性。 部署至使用者時,每個使用者的裝置都會收到唯一的憑證。 與使用者一起部署到裝置時,該使用者會與該裝置的憑證相關聯。 部署至無用戶裝置時,不會布建任何憑證。 - 具有裝置憑證類型的範本不需要使用者親和性即可布建憑證。 部署至裝置會布建裝置。 部署至使用者會布建使用者使用憑證登入的裝置。 |
| PKCS 匯入的憑證 | 將單一憑證部署至多個裝置和使用者,以支援 S/MIME 簽署和加密等案例。 例如,藉由將相同的憑證部署到每個裝置,每個裝置都可以解密從該相同電子郵件伺服器收到的電子郵件。
其他憑證部署方法在此案例中不足,因為 SCEP 會為每個要求建立唯一的憑證,而 PKCS 會為每個使用者建立不同的憑證,讓不同的使用者收到不同的憑證。 |
Intune 支持的憑證和使用方式
| 類型 | 驗證 | S/MIME 簽署 | S/MIME 加密 |
|---|---|---|---|
| PKCS) 匯入憑證 (公鑰密碼編譯標準 |
|
|
|
| PKCS#12 (或 PFX) |
|
|
|
| 簡單的憑證註冊通訊協定 (SCEP) |
|
|
若要部署這些憑證,請建立憑證配置檔並將其指派給裝置。
您建立的每個個別憑證配置檔都支援單一平臺。 例如,如果您使用 PKCS 憑證,您可以建立 Android 的 PKCS 憑證設定檔,以及 iOS/iPadOS 的個別 PKCS 憑證配置檔。 如果您也針對這兩個平臺使用 SCEP 憑證,則會建立適用於 Android 的 SCEP 憑證配置檔,以及另一個用於 iOS/iPadOS 的 SCEP 憑證配置檔。
使用 Microsoft Certification 授權單位時的一般考慮
當您使用 Microsoft Certification Authority (CA) :
若要使用 SCEP 憑證設定檔:
- 設定網路裝置註冊服務 (NDES) 伺服器,以與 Intune 搭配使用。
- 安裝適用於 Microsoft Intune的憑證連接器。
若要使用 PKCS 憑證設定檔:
若要使用 PKCS 匯入的憑證:
- 安裝適用於 Microsoft Intune的憑證連接器。
- 從證書頒發機構單位匯出憑證,然後將憑證匯入 Microsoft Intune。 請 參閱 PFXImport PowerShell 專案。
使用下列機制部署憑證:
- 信任的憑證配置檔 ,可將受信任的根 CA 憑證從您的根或中繼 (發行) CA 部署到裝置
- SCEP 憑證設定檔
- PKCS 憑證設定檔
- PKCS 匯入的憑證配置檔
使用第三方證書頒發機構單位時的一般考慮
當您使用第三方 (非Microsoft) 证书颁发机构单位 (CA) :
SCEP 憑證配置檔不需要使用 Microsoft Intune 憑證連接器。 相反地,第三方 CA 會直接處理憑證發行和管理。 若要使用沒有 Intune 憑證連接器的 SCEP 憑證設定檔:
- 設定與 我們其中一個支持合作夥伴的第三方 CA 整合。 安裝程式包含遵循第三方 CA 的指示,以完成其 CA 與 Intune 的整合。
- 在 Microsoft Entra ID 中建立應用程式,將許可權委派給 Intune 以進行SCEP憑證挑戰驗證。
如需詳細資訊, 請參閱設定第三方 CA 整合
PKCS 匯入的憑證需要使用 Microsoft Intune 憑證連接器。 請參閱安裝適用於 Microsoft Intune 的憑證連接器。
使用下列機制部署憑證:
- 信任的憑證配置檔 ,可將受信任的根 CA 憑證從您的根或中繼 (發行) CA 部署到裝置
- SCEP 憑證設定檔
- 只有 Digicert PKI 平臺 (才支援 PKCS 憑證配置檔)
- PKCS 匯入的憑證配置檔
支援的平台和憑證配置檔
| 平台 | 受信任的憑證配置檔 | PKCS 憑證配置檔 | SCEP 憑證配置檔 | PKCS 匯入的憑證配置檔 |
|---|---|---|---|---|
| Android 裝置系統管理員 |
(請參 閱附註 1) |
|
|
|
| Android Enterprise - 完全受控 (裝置擁有者) |
|
|
|
|
| Android Enterprise - 專用 (裝置擁有者) |
|
|
|
|
| Android Enterprise - Corporate-Owned 工作配置檔 |
|
|
|
|
| Android Enterprise - Personally-Owned 工作配置檔 |
|
|
|
|
| Android (AOSP) |
|
|
|
|
| iOS/iPadOS |
|
|
|
|
| macOS |
|
|
|
|
| Windows 8.1 和更新版本 |
|
|
||
| Windows 10/11 |
(請參 閱附註 2) |
(請參 閱附註 2) |
(請參 閱附註 2) |
|
- 附注 1 - 從 Android 11 開始,受信任的憑證配置檔無法再在已註冊為 Android 裝置系統管理員的裝置上安裝受信任的跟證書。 此限制不適用於 Samsung Knox。 如需詳細資訊,請 參閱 Android 裝置系統管理員的信任憑證配置檔。
- 附註 2 - Windows Enterprise 多重工作階段遠端桌面支援此設定檔。
重要事項
在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。
重要事項
Microsoft Intune 於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。
相關內容
更多資源:
建立憑證設定檔: