分享方式:


在 Intune 中建立和指派 SCEP 憑證配置檔

基礎結構設定為支援簡單憑證註冊通訊協定 (SCEP) 憑證之後,您可以建立 SCEP 憑證配置檔,然後將 SCEP 憑證配置檔指派給 Intune 中的使用者和裝置。

若要讓裝置使用 SCEP 憑證設定檔,它們必須信任您的受信任跟證書授權單位 (CA) 。 若要建立根 CA 的信任,最好將 受信任的憑證配置檔 部署到接收 SCEP 憑證配置檔的相同群組。 受信任的憑證配置檔會布建受信任的根 CA 憑證。

執行 Android Enterprise 的裝置可能需要 PIN,SCEP 才能使用憑證進行布建。 如需詳細資訊,請參閱 Android Enterprise的 PIN 需求

重要事項

Microsoft Intune 於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支持結束之前,切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援

注意事項

從 Android 11 開始,受信任的憑證配置檔無法再將受信任的跟證書安裝在已註冊為 Android 裝置系統管理員的裝置上。 這項限制不適用於 Samsung Knox。

如需這項限制的詳細資訊,請 參閱 Android 裝置系統管理員的信任憑證配置檔

重要事項

在 2022 年 10 月 22 日,Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

如果您目前使用 Windows 8.1,請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

提示

Windows Enterprise 多重會話遠端桌面支援 SCEP 憑證配置檔。

更新憑證連接器:KB5014754的強式對應需求

適用於

  • Windows 10
  • Windows 11
  • iOS
  • macOS

密鑰發佈中心 (KDC) 要求使用者或裝置對象必須強對應至 Active Directory 以進行憑證式驗證。 這表示憑證的主體別名 (SAN) 必須包含對應至 Active Directory 中使用者或裝置 SID (SID) 延伸模組的安全識別符。 當使用者或裝置使用 Active Directory 中的憑證進行驗證時,KDC 會檢查 SID 以確認憑證已對應並簽發給正確的使用者或裝置。 對應需求可防止憑證詐騙,並確保 KDC 的憑證式驗證會繼續運作。

Microsoft Intune 部署的所有憑證都需要強式對應,並用於 KDC 的憑證式驗證。 強式對應解決方案適用於所有平臺上的用戶憑證。 針對裝置憑證,它只適用於 Microsoft Entra 已加入混合式的 Windows 裝置。 如果這些案例中的憑證不符合完整強制模式日期的強式對應需求,則會拒絕驗證。

若要針對透過 Intune 傳遞的 SCEP 憑證實作強式對應解決方案,您必須在 SCEP 配置檔中將變數新OnpremisesSecurityIdentifier增至 SAN。

醒目提示 [組態設定] 標籤的SCEP憑證設定檔建立流程螢幕快照。

此變數必須是 URI 屬性的一部分。 您可以建立新的 SCEP 配置檔,或編輯現有的 SCEP 配置檔來新增 URI 屬性。

醒目提示 [主體別名] 區段和已完成 URI 和 [值] 字段的 SCEP 憑證配置檔螢幕快照。

將 URI 屬性和值新增至憑證設定檔之後,Microsoft Intune 將 SAN 屬性附加到標記和解析的 SID。 格式化範例: tag:microsoft.com,2022-09-14:sid:<value> 此時,憑證配置檔符合強式對應需求。

若要確保您的 SCEP 配置檔符合強式對應需求,請在 Microsoft Intune 系統管理中心建立 SCEP 憑證設定檔,或使用新的 SAN 屬性和值修改現有的設定檔。 必要條件是,使用者和裝置必須從 Active Directory 同步至 Microsoft Entra ID。 如需詳細資訊,請參閱如何在 Microsoft Entra Domain Services 受控網域中同步處理對象和認證

如需有關強式對應之 KDC 需求和強制日期的詳細資訊, 請參閱KB5014754:Windows 域控制器上的憑證式驗證變更

建立 SCEP 憑證配置檔

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取並移至 [裝置>管理裝置>][組態>建立]

  3. 輸入下列內容:

    • 平台:選擇裝置的平臺。

    • 配置文件:選取 [SCEP 憑證]。 或者,選取 [範本>SCEP 憑證]

      針對 Android Enterprise配置檔類型 分成兩個類別: 完全受控、專用和 Corporate-Owned 工作配置檔 和個人 擁有的工作配置檔。 請務必為您管理的裝置選取正確的 SCEP 憑證配置檔。

      完全受控、專用和 Corporate-Owned 工作配置檔配置檔的SCEP憑證配置檔具有下列限制:

      1. 在 [監視] 下,憑證報告不適用於 裝置擁有者 SCEP 憑證配置檔。
      2. 您無法使用 Intune 來撤銷由裝置擁有者之 SCEP 憑證配置檔所布的憑證。 您可以透過外部程式或直接向證書頒發機構單位管理撤銷。
      3. 針對 Android Enterprise 專用裝置,Wi-Fi 網路設定、VPN 和驗證支援 SCEP 憑證配置檔。 Android Enterprise 專用裝置上的 SCEP 憑證配置檔不支援應用程式驗證。

      針對 Android (AOSP) ,適用下列限制:

      1. 在 [監視] 下,憑證報告不適用於 裝置擁有者 SCEP 憑證配置檔。
      2. 您無法使用 Intune 來撤銷由裝置擁有者之 SCEP 憑證配置檔所布建的憑證。 您可以透過外部程式或直接向證書頒發機構單位管理撤銷。
      3. Wi-Fi 網路設定支援SCEP憑證配置檔。 無法使用 VPN 組態設定檔支援。 未來的更新可能包含對 VPN 組態配置檔的支援。
      4. 下列變數不適用於 Android (AOSP) SCEP 憑證設定檔。 未來將會更新這些變數的支援。
        • onPremisesSamAccountName
        • OnPrem_Distinguished_Name
        • 部門

      注意事項

      裝置擁有者 相當於公司擁有的裝置。 下列項目被視為裝置擁有者:

      • Android Enterprise - 完全受控、專用和 Corporate-Owned 工作配置檔
      • Android AOSP
        • 用戶親和性
        • 無使用者
  4. 選取 [建立]

  5. 在 [基本資訊] 中,輸入下列內容:

    • 名稱:輸入設定檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如, 適合整個公司的 SCEP 配置檔名稱為 SCEP 配置檔
    • 描述:輸入設定檔的描述。 這是選擇性設定,但建議進行。
  6. 選取[下一步]。

  7. 在 [ 組態設定] 中,完成下列設定:

    • 憑證類型

      (適用於:Android、Android Enterprise、Android (AOSP) 、iOS/iPadOS、macOS、Windows 8.1 和 Windows 10/11)

      根據您打算如何使用憑證設定檔,選取類型:

      • 使用者用戶 憑證可以在憑證的主體和 SAN 中同時包含使用者和裝置屬性。

      • 裝置裝置 憑證只能在憑證的主體和SAN中包含裝置屬性。

        裝置 用於無使用者裝置等案例,例如 kiosk 或 Windows 裝置。 在 Windows 裝置上,憑證會放在本機計算機證書存儲中。

      注意事項

      儲存 SCEP 所布建的憑證:

      • macOS - 您使用 SCEP 佈建的憑證一律會放在裝置的系統密鑰鏈 (系統存放區) 中。

      • Android - 裝置同時具有 VPN 和應用程式 證書存儲,以及 WIFI 證書存儲。 Intune 一律將SCEP憑證儲存在 VPN 和裝置上的應用程式存放區中。 使用 VPN 和應用程式市集可讓憑證可供任何其他應用程式使用。

        不過,當 SCEP 憑證也與 Wi-Fi 配置文件相關聯時,Intune 也會在 Wi-Fi 存放區中安裝憑證。

        針對 VPN 應用程式設定時,系統會提示使用者選取正確的憑證。 不支援完全受控 (或 BYOD 案例) 的無訊息憑證核准。 如果所有專案都已正確設定,則應該已在對話框中預先選取正確的憑證。

    • 主體名稱格式

      輸入文字來告訴 Intune 如何在憑證要求中自動建立主體名稱。 主體名稱格式的選項取決於您選取的 [ 使用者 ] 或 [ 裝置] 憑證類型。

      提示

      如果您的主體名稱長度超過 64 個字元,您可能需要在內部證書頒發機構單位上停用名稱長度強制執行。 如需詳細資訊,請 參閱停用 DN 長度強制執行

      注意事項

      當產生的憑證簽署要求中的主體名稱 (CSR) 包含下列其中一個字元作為逸出字元時,使用 SCEP 取得憑證的 已知問題 (由反斜杠 \) 繼續:

      • +
      • ;
      • ,
      • =

      注意事項

      從 Android 12 開始,Android 不再支援針對 個人擁有的工作設定檔 裝置使用下列硬體識別碼:

      • 序號
      • IMEI
      • 大臡

      Intune 主體名稱或 SAN 中依賴這些變數的個人擁有工作配置檔裝置憑證配置檔,在向 Intune 註冊裝置時,將無法在執行 Android 12 或更新版本的裝置上布建憑證。 升級至 Android 12 之前註冊的裝置,只要 Intune 先前取得裝置硬體識別碼,仍然可以接收憑證。

      如需 Android 12 引進的這項變更和其他變更的詳細資訊,請參閱 Android Day Zero Support for Microsoft Endpoint Manager 部落格文章。

      • 用戶憑證類型

        使用文字盒來輸入自訂主體名稱格式,包括靜態文字和變數。 支援兩個變數選項:一般名稱 (CN) Email (E)

        Email (E) 通常會使用 {{EmailAddress}} 變數來設定。 例如: E={{EmailAddress}}

        一般名稱 (CN) 可以設定為下列任何變數:

        • CN={{UserName}}:使用者的用戶名稱,例如janedoe。
        • CN={{UserPrincipalName}}:使用者的用戶主體名稱,例如 janedoe@contoso.com。
        • CN={{AAD_Device_ID}}:當您在 Microsoft Entra ID 中註冊裝置時指派的標識符。 此標識碼通常用來向 Microsoft Entra ID 進行驗證。
        • CN={{DeviceId}}:當您在 Intune 中註冊裝置時指派的標識符。

        注意事項

        避免在 Windows 裝置上使用 {{DeviceId}} 作為主體名稱。 在某些情況下,使用此主體名稱產生的憑證會導致與 Intune 同步失敗。

        • CN={{SERIALNUMBER}}: (SN 的唯一序號) 通常由製造商用來識別裝置。

        • CN={{IMEINumber}}: 國際行動設備識別 (IMEI) 用來識別行動電話的唯一號碼。

        • CN={{OnPrem_Distinguished_Name}}:以逗號分隔的相對辨別名稱序列,例如 CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com

          若要使用 {{OnPrem_Distinguished_Name}} 變數:

          • 請務必使用 Microsoft Entra Connect 同步處理 onpremisesdistinguishedname 使用者屬性至您的 Microsoft Entra ID。
          • 如果 CN 值包含逗號,則主體名稱格式必須以引弧括住。 例如: CN=“{{OnPrem_Distinguished_Name}”
        • CN={{OnPremisesSamAccountName}}: 系統管理員可以使用 Microsoft Entra Connect 將 samAccountName 属性從 Active Directory 同步至 Microsoft Entra ID 至名為 onPremisesSamAccountName 的屬性。 Intune 可以在憑證主體中,將該變數取代為憑證發行要求的一部分。 samAccountName 屬性是用來支援舊版 Windows (Windows 2000) 用戶端和伺服器的使用者登入名稱。 使用者登入名稱格式為: DomainName\testUser,或僅 限 testUser

          若要使用 {{OnPremisesSamAccountName}} 變數,請務必使用 Microsoft Entra ConnectOnPremisesSamAccountName 使用者屬性同步至您的 Microsoft Entra ID。

        下列 [ 裝置憑證類型 ] 區段中所列的所有裝置變數,也可以在用戶憑證主體名稱中使用。

        藉由使用其中一或多個變數和靜態文字字串的組合,您可以建立自定義主體名稱格式,例如: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

        該範例包含使用 CN 和 E 變數的主體名稱格式,以及組織單位、組織、位置、狀態和國家 / 地區值的字串。 CertStrToName 函 式描述此函式及其支援的字串。

        沒有使用者關聯的裝置不支援用戶屬性,例如註冊為 Android Enterprise 專用的裝置。 例如,在主旨或 SAN 中使用 CN={{UserPrincipalName}} 的配置檔,將無法在裝置上沒有使用者時取得用戶主體名稱。

      • 裝置憑證類型

        主體名稱格式的格式選項包括下列變數:

        • {{AAD_Device_ID}}{{AzureADDeviceId}} - 任一變數都可以透過其 Microsoft Entra ID 來識別裝置。
        • {{DeviceId}} - Intune 裝置標識符
        • {{Device_Serial}}
        • {{Device_IMEI}}
        • {{SerialNumber}}
        • {{IMEINumber}}
        • {{WiFiMacAddress}}
        • {{IMEI}}
        • {{DeviceName}}
        • {{FullyQualifiedDomainName}} (僅適用於 Windows 和已加入網域的裝置)
        • {{MEID}}

        您可以在文字框中指定這些變數和靜態文字。 例如,名為 Device1 之裝置的一般名稱可以新增為 CN={{DeviceName}}Device1

        重要事項

        • 當您指定變數時,請將變數名稱括在雙大括弧 {{ }} 中,如範例所示,以避免發生錯誤。
        • 裝置憑證 主體SAN 中使用的裝置屬性,例如 IMEISerialNumberFullyQualifiedDomainName,是可由具有裝置存取權的人員詐騙的屬性。
        • 裝置必須支持憑證配置檔中指定的所有變數,該配置檔才能安裝在該裝置上。 例如,如果在SCEP配置檔的主體名稱中使用 {{IMEI}} ,並指派給沒有 IMEI 編號的裝置,配置檔將無法安裝。
    • 主體別名
      在憑證要求中 (SAN) 設定主體別名。 您可以輸入多個主體別名。 文字值可以包含屬性的變數和靜態文字。

      注意事項

       下列 Android Enterprise 配置文件不支援使用 SAN 的 {{UserName}} 變數:

      • 完全受控、專用和 Corporate-Owned 工作配置檔

      從可用的 SAN 屬性中選取:

      • 電子郵件地址
      • 使用者主要名稱 (UPN)
      • DNS
      • 通道統一資源識別項 (URI)

      您選擇的憑證類型會決定 SAN 變數。

      注意事項

      從 Android 12 開始,Android 不再支援針對 個人擁有的工作設定檔 裝置使用下列硬體識別碼:

      • 序號
      • IMEI
      • 大臡

      Intune 主體名稱或 SAN 中依賴這些變數的個人擁有工作配置檔裝置憑證配置檔,在向 Intune 註冊裝置時,將無法在執行 Android 12 或更新版本的裝置上布建憑證。 升級至 Android 12 之前註冊的裝置,只要 Intune 先前取得裝置硬體識別碼,仍然可以接收憑證。

      如需 Android 12 引進的這項變更和其他變更的詳細資訊,請參閱 Android Day Zero Support for Microsoft Endpoint Manager 部落格文章。

      • 用戶憑證類型

        使用 使用者 憑證類型時,您可以使用上述主體名稱一節中所述的任何使用者或裝置憑證變數。

        例如,用戶憑證類型可以在主體別名中包含用戶主體名稱 (UPN) 。 如果使用用戶端憑證向網路原則伺服器進行驗證,請將主體別名設定為UPN。

        Microsoft Intune 也支援 OnPremisesSecurityIdentifier,這是一個符合密鑰發佈中心 (KDC 的變數,) 憑證式驗證的強式對應需求。 您應該將變數新增至向 KDC 驗證的用戶憑證。 您可以將格式化為 {{OnPremisesSecurityIdentifier}} 的變數新增至 Microsoft Intune 系統管理中心的新增和現有配置檔。 macOS、iOS 和 Windows 10/11 的用戶憑證支援此變數,且僅適用於 URI 屬性。

      • 裝置憑證類型

        使用 裝置 憑證類型時,您可以使用主體名稱的 裝置憑證類型 一節中所述的任何變數。

        若要指定屬性的值,請包含具有大括弧的變數名稱,後面接著該變數的文字。 例如,可以新增 DNS 屬性的值 {{AzureADDeviceId}}.domain.com 其中 .domain.com 是文字。 對於名為 User1 的使用者而言,Email 位址可能會顯示為 {{FullyQualifiedDomainName}}User1@Contoso.com。

        藉由使用其中一或多個變數和靜態文字字串的組合,您可以建立自定義主體別名格式,例如 {{UserName}}-Home

        Microsoft Intune 也支援 OnPremisesSecurityIdentifier,這是一個符合密鑰發佈中心 (KDC 的變數,) 憑證式驗證的強式對應需求。 您應該將變數新增至向 KDC 驗證的裝置憑證。 您可以將格式化為 {{OnPremisesSecurityIdentifier}} 的變數新增至 Microsoft Intune 系統管理中心的新增和現有配置檔。 此變數在 Microsoft Entra 混合式聯結裝置的裝置憑證中受到支援,且僅適用於 URI 屬性。

        重要事項

        • 使用裝置憑證變數時,請以雙大括弧 {{ }} 括住變數名稱。
        • 請勿在變數後面的文字中使用大括弧 { }、管道符號 |和分號 ;
        • 裝置憑證 主體SAN 中使用的裝置屬性,例如 IMEISerialNumberFullyQualifiedDomainName,是可由具有裝置存取權的人員詐騙的屬性。
        • 裝置必須支持憑證配置檔中指定的所有變數,該配置檔才能安裝在該裝置上。 例如,如果在SCEP配置檔的SAN中使用 {{IMEI}} ,並指派給沒有 IMEI 編號的裝置,配置檔將無法安裝。
    • 憑證有效期間

      您可以輸入低於證書範本中有效期間的值,但不能輸入較高的值。 如果您將證書範本設定為支援可從 Intune 系統管理中心內設定的自訂值,請使用此設定來指定憑證到期前的剩餘時間量。

      Intune 支援最多 24 個月的有效期間。

      例如,如果證書範本中的憑證有效期間是兩年,您可以輸入一年的值,但不能輸入五年的值。 值也必須低於發行 CA 憑證的剩餘有效期間。

      規劃使用五天以上的有效期間。 當有效期間小於五天時,憑證極有可能進入接近到期或過期狀態,這可能會導致裝置上的 MDM 代理程式在安裝憑證之前拒絕該憑證。

    • 金鑰儲存提供者 (KSP)

      (適用於:Windows 8.1 和 Windows 10/11)

      指定憑證金鑰的儲存位置。 從下列值中選擇:

      • 如果存在,請註冊至信賴平臺模組 (TPM) KSP,否則為軟體 KSP
      • 註冊至信賴平臺模組 (TPM) KSP,否則會失敗
      • 註冊至 Windows Hello 企業版,否則 (Windows 10 和更新版本)
      • 註冊軟體 KSP
    • 金鑰使用方式

      選擇憑證的金鑰使用選項:

      • 數位簽名:只有在數位簽名有助於保護密鑰時,才允許金鑰交換。
      • 金鑰加密:只有在金鑰加密時才允許金鑰交換。
    • 金鑰大小 (位)

      選擇金鑰中包含的位數:

      • 尚未設定

      • 1024

      • 2048

      • 4096 - 下列平台支援金鑰大小 4096:

        • Android (所有)
        • iOS/iPadOS 14 和更新版本
        • macOS 11 和更新版本
        • Windows (所有)

        注意事項

        針對 Windows 裝置,只有軟體 金鑰儲存提供者 (KSP) 才支援 4096 位金鑰記憶體。 下列項目不支援儲存此大小的金鑰:

        • 硬體 TPM (信賴平臺模組) 。 因應措施是使用軟體 KSP 來儲存金鑰。
        • Windows Hello 企業版。 目前沒有 Windows Hello 企業版的因應措施。
    • 哈希演算法

      (適用於Android、Android (AOSP) 、Android enterprise、Windows 8.1和 Windows 10/11)

      選取其中一個可用的哈希演算法類型,以搭配此憑證使用。 選取連線裝置支援的最強安全性層級。

      注意:Android AOSP 和 Android Enterprise 裝置將會選取支援的最強演算法 - 將忽略 SHA-1,並改用 SHA-2。

    • 跟憑證

      選取您先前為此 SCEP 憑證設定檔設定並指派給適用使用者和裝置 的受信任憑證設定 檔。 受信任的憑證配置檔可用來布建具有受信任根 CA 憑證的用戶和裝置。 如需受信任憑證配置檔的相關信息,請參閱在 Intune 中使用憑證進行驗證中的匯出受信任的根 CA 憑證建立受信任的憑證配置檔

      注意事項

      如果您有多個層級的 PKI 結構,例如跟證書授權單位和頒發證書頒發機構單位,請選取最上層的受信任跟證書設定檔來驗證頒發證書頒發機構單位。

    • 擴充金鑰使用方式

      新增憑證預定用途的值。 在大部分情況下,憑證需要 客戶端驗證 ,使用者或裝置才能向伺服器進行驗證。 您可以視需要新增其他金鑰使用方式。

    • 更新閾值 (%)

      輸入在裝置要求更新憑證之前,保留的憑證存留期百分比。 例如,如果您輸入 20,則會在憑證過期 80% 時嘗試更新憑證。 更新嘗試會繼續進行,直到續約成功為止。 更新會產生新的憑證,這會導致新的公開/私鑰組。

      注意事項

      iOS/iPadOS 和 macOS 上的更新行為:憑證只能在更新閾值階段期間更新。 此外,與 Intune 同步處理時,裝置必須解除鎖定。 如果更新未成功,過期的憑證會保留在裝置上,而 Intune 不會再觸發更新。 此外,Intune 不提供重新部署過期憑證的選項。 受影響的裝置必須暫時從 SCEP 配置檔中排除,才能移除過期的憑證並要求新的憑證。

    • SCEP 伺服器 URL

      針對透過SCEP發行憑證的NDES伺服器,輸入一或多個URL。 例如,輸入類似 的內容 https://ndes.contoso.com/certsrv/mscep/mscep.dll

      若要允許因特網上的裝置取得憑證,您必須指定公司網路外部的 NDES URL。
      URL 可以是 HTTP 或 HTTPS。 不過,若要支援下列裝置,SCEP 伺服器 URL 必須使用 HTTPS:

      • Android 裝置系統管理員
      • Android Enterprise 裝置擁有者
      • Android Enterprise 公司擁有的工作配置檔
      • Android Enterprise 個人擁有的工作配置檔

      您可以視需要新增額外的 SCEP URL 以進行負載平衡。 裝置會對 NDES 伺服器進行三個不同的呼叫。 第一種是取得伺服器功能,接著取得公鑰,然後提交簽署要求。 當您使用多個 URL 時,負載平衡可能會導致後續呼叫 NDES 伺服器時使用不同的 URL。 如果在相同的要求期間連絡不同的伺服器以進行後續呼叫,要求將會失敗。

      管理 NDES 伺服器 URL 的行為專屬於每個裝置平臺:

      • Android:裝置會隨機化 SCEP 原則中收到的 URL 清單,然後透過清單運作,直到找到可存取的 NDES 伺服器為止。 裝置接著會在整個程式中繼續使用相同的 URL 和伺服器。 如果裝置無法存取任何 NDES 伺服器,則程式會失敗。
      • iOS/iPadOS:Intune 隨機化 URL,併為裝置提供單一 URL。 如果裝置無法存取 NDES 伺服器,SCEP 要求就會失敗。
      • Windows:NDES URL 清單會隨機化,然後傳遞至 Windows 裝置,然後依收到的順序嘗試這些 URL,直到找到可用的 URL 為止。 如果裝置無法存取任何 NDES 伺服器,則程式會失敗。

      如果裝置無法在三次呼叫 NDES 伺服器期間成功連線到相同的 NDES 伺服器,SCEP 要求就會失敗。 例如,當負載平衡解決方案針對 NDES 伺服器的第二個或第三個呼叫提供不同的 URL,或根據 NDES 的虛擬化 URL 提供不同的實際 NDES 伺服器時,可能會發生這種情況。 在要求失敗之後,裝置會在其下一個原則週期中再次嘗試此程式,從 (的 NDES URL 隨機清單或 iOS/iPadOS) 的單一 URL 開始。

  8. 此步驟僅適用於完全受控、專用和 Corporate-Owned 工作配置檔的Android Enterprise裝置配置檔。

    [應用程式] 中,設定 憑證存取 以管理如何將憑證存取權授與應用程式。 從下列項目中選擇:

    • 應用程式需要使用者核准 (預設) – 用戶必須核准所有應用程式使用憑證。
    • 針對特定應用程式以無訊息方式授與 (需要使用者核准其他應用程式) – 使用此選項,選取 [ 新增應用程式],然後選取一或多個應用程式以無訊息方式使用憑證,而不需要用戶互動。
  9. 選取 [下一步]

  10. [指派] 中,選取將接收您設定檔的使用者或群組。 如需指派設定檔的詳細資訊,請參閱指派使用者和裝置設定檔

    選取[下一步]。

  11. (僅適用於 Windows 10/11) 在適用規則中,指定適用性規則以精簡此配置檔的指派。 您可以選擇根據 OS 版本或裝置版本來指派或不指派設定檔。

    如需詳細資訊,請參閱在 Microsoft Intune 中建立裝置配置檔中的適用性規則

  12. 在 [檢閱 + 建立] 中,檢閱您的設定。 當您選取 [建立] 時,系統會儲存您的變更,然後指派設定檔。 原則也會顯示在設定檔清單中。

避免憑證簽署要求具有逸出的特殊字元

SCEP 和 PKCS 憑證要求的已知問題,包括主體名稱 (CN) 具有下列一或多個特殊字元作為逸出字元。 包含其中一個特殊字元作為逸出字元的主體名稱,會導致 CSR 的主體名稱不正確。 不正確的主體名稱會導致 Intune SCEP 挑戰驗證失敗,且未簽發任何憑證。

特殊字元包括:

  • +
  • ,
  • ;
  • =

當您的主體名稱包含其中一個特殊字元時,請使用下列其中一個選項來解決這項限制:

  • 以引號封裝包含特殊字元的 CN 值。
  • 從 CN 值中移除特殊字元。

例如,您有一個主體名稱會顯示為 TestCompany (測試使用者,LLC) 。 包含 TestCompanyLLC 之間逗號的 CN 的 CSR 會產生問題。 您可以在整個 CN 周圍放置引號,或從 TestCompanyLLC 之間移除逗號,以避免此問題:

  • 新增引號CN=“Test User (TestCompany, LLC) ”,OU=UserAccounts,DC=corp,DC=contoso,DC=com
  • 移除逗號CN=Test User (TestCompany LLC) ,OU=UserAccounts,DC=corp,DC=contoso,DC=com

不過,嘗試使用反斜杠字元逸出逗號將會失敗,而且CRP記錄中會發生錯誤:

  • 逸出逗號CN=Test User (TestCompany\, LLC) ,OU=UserAccounts,DC=corp,DC=contoso,DC=com

此錯誤類似下列錯誤:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

指派憑證配置檔

指派 SCEP 憑證設定檔的方式,與部署 裝置配置檔 以供其他用途使用的方式相同。

重要事項

若要使用 SCEP 憑證配置檔,裝置也必須收到信任的憑證配置檔,以使用受信任的根 CA 憑證來布建它。 建議您將受信任的跟證書配置檔和 SCEP 憑證設定檔部署到相同的群組。

繼續之前,請考慮下列事項:

  • 當您將 SCEP 憑證配置檔指派給群組時,會在裝置上安裝受 信任的憑證配置檔 中指定的受信任根 CA 憑證檔案 () 。 裝置會使用 SCEP 憑證配置檔來建立該受信任根 CA 憑證的憑證要求。

  • SCEP 憑證設定檔只會安裝在執行您建立憑證配置檔時所指定平台的裝置上。

  • 您可以將憑證配置檔指派給使用者集合或裝置集合。

  • 若要在裝置註冊之後快速將憑證發佈至裝置,請將憑證配置檔指派給使用者群組,而不是裝置群組。 如果您指派給裝置群組,則需要完整裝置註冊,裝置才會收到原則。

  • 如果您使用共同管理來 Intune 和 Configuration Manager,請在 中 Configuration Manager 將 [資源存取原則] 的工作負載滑桿設定[Intune] 或 [試驗 Intune]。 此設定可讓 Windows 10/11 用戶端開始要求憑證的程式。

注意事項

  • 在 iOS/iPadOS 和 macOS 裝置上,當 SCEP 憑證配置檔或 PKCS 憑證設定檔與其他設定檔相關聯時,例如 Wi-Fi 或 VPN 配置檔,裝置會收到每個額外配置檔的憑證。 這會導致裝置具有 SCEP 或 PKCS 憑證要求所傳遞的多個憑證。
  • SCEP 所傳遞的憑證都是唯一的。 PKCS 所傳遞的憑證是相同的憑證,但會顯示不同的憑證,因為每個配置文件實例都是以管理配置檔中的個別一行來表示。
  • 在 iOS 13 和 macOS 10.15 上, Apple 會記載其他安全性需求 以納入考慮。

後續步驟

指派設定檔

針對 SCEP 憑證配置檔的部署進行疑難解答