通过

Microsoft Intune 的受信任的根证书配置文件

  • 项目

当使用 Intune 来预配具有证书的设备以访问公司资源和网络时,请使用受信任的证书配置文件将受信任的根证书部署到这些设备。 受信任的根证书建立从设备到根或从中颁发其他证书的中间(颁发)CA 的信任。

将受信任的证书配置文件部署到为简单证书注册协议 (SCEP)、公钥加密标准 (PKCS) 和导入的 PKCS 接收证书配置文件的相同设备和用户。

提示

Windows 企业版多会话远程桌面支持受信任的证书配置文件。

导出受信任的根 CA 证书

若要使用 PKCS、SCEP 和 PKCS 导入的证书,设备必须信任根证书颁发机构。 若要建立信任,请将受信任的根 CA 证书以及任何中间证书或证书颁发机构证书导出为公共证书 (.cer) 。 可从颁发 CA 或信任颁发 CA 的任何设备获取这些证书。

若要导出证书,请参阅关于证书颁发机构的文档。 需要将公共证书导出为 DER 编码 .cer 文件。 不要导出私钥(文件 .pfx )。

创建受信任的证书配置文件以将证书部署到设备时,将使用此.cer文件。

创建受信任的证书配置文件

在创建 SCEP、PKCS 或 PKCS 导入的证书配置文件之前,请先创建并部署受信任的证书配置文件。 将受信任的证书配置文件部署到接收其他证书配置文件类型的相同组。 此步骤可确保每个设备都能识别 CA 的合法性,包括配置文件 VPN、Wi-Fi 和电子邮件配置文件。

SCEP 证书配置文件直接引用受信任的证书配置文件。 PKCS 证书配置文件不直接引用受信任的证书配置文件,而是直接引用托管 CA 的服务器。 PKCS 导入的证书配置文件不直接引用受信任的证书配置文件,但可以在设备上使用它。 将受信任的证书配置文件部署到设备可确保建立此信任。 当设备不信任根 CA 时,SCEP 或 PKCS 证书配置文件策略将失败。

为要支持的每个设备平台创建单独的受信任证书配置文件,就像对 SCEP、PKCS 和 PKCS 导入的证书配置文件一样。

重要

为平台创建的受信任的根配置文件Windows 10及更高版本,在 Microsoft Intune 管理中心显示为平台Windows 8.1及更高版本的配置文件。

这是受信任的证书配置文件的已知平台显示问题。 虽然配置文件显示的平台为 Windows 8.1 及更高版本,但它适用于 Windows 10/11。

注意

Intune 中的“受信任的证书”配置文件只能用于传递根证书或中间证书。 部署此类证书的目的是建立一个信任链。 Microsoft 不支持使用受信任的证书配置文件来传送根证书或中间证书以外的证书。 在Microsoft Intune管理中心选择受信任的证书配置文件时,可能会阻止导入不被视为根证书或中间证书的证书。 即使你可以使用此配置文件类型导入和部署不是根证书或中间证书的证书,你也可能会在 iOS 和 Android 等不同平台之间遇到意外结果。

适用于 Android 设备管理员的受信任的证书配置文件

重要

Microsoft Intune已于 2024 年 12 月 31 日终止对有权访问 Google 移动服务 (GMS) 的设备上的 Android 设备管理员管理支持。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请参阅 在 GMS 设备上结束对 Android 设备管理员的支持

此功能适用于:

  • 非 KNOX 设备上的 Android 10 及更早版本
  • Samsung KNOX 设备上的 Android 12 及更早版本

由于 SCEP 证书配置文件要求在设备上安装受信任的根证书,并且必须引用受信任的证书配置文件,而该配置文件又引用该证书,因此可以使用以下步骤解决此限制:

  1. 使用受信任的根证书手动预配设备。 有关示例指南,请参阅下一节。

  2. 部署到设备,这是一个受信任的根证书配置文件,该配置文件引用在设备上安装的受信任根证书。

  3. 将 SCEP 证书配置文件部署到引用受信任的根证书配置文件的设备。

此问题不仅限于 SCEP 证书配置文件。 因此,如果你使用 PKCS 证书配置文件,或者 PKCS 导入的证书配置文件需要它,那么计划在适用的设备上手动安装受信任的根证书。

有关更改对 Android 设备管理员的支持的详细信息,请访问 techcommunity.microsoft.com。

使用受信任的根证书手动预配设备

以下指南可帮助你使用受信任的根证书手动预配设备。

  1. 下载受信任的根证书或将其传输到 Android 设备。 例如,你可以使用电子邮件将证书分发给设备用户,或让用户从安全位置下载证书。 证书下载到设备上之后,必须打开证书,对其命名,然后保存。 保存证书会将其添加到设备上的用户证书存储中。

    1. 若要在设备上打开证书,用户必须找到并点击(打开)该证书。 例如,通过电子邮件发送证书后,设备用户可以点击或打开证书附件。
    2. 证书打开后,用户必须提供其 PIN 或通过其他方式对设备进行身份验证,然后才能管理证书。

  2. 身份验证后,证书将打开,必须先命名证书,然后才能将其保存到用户证书存储中。 证书名称必须与发送到设备的受信任根证书配置文件中的证书名称匹配。 命名证书后,可以保存证书。

  3. 保存后,证书即可使用。 用户可以确认证书在设备上的位置是否正确:

    1. 打开“设置”>“安全”>“受信任的凭据”。 “受信任的凭据”的实际路径可能因设备而异
    2. 打开“用户”选项卡并找到证书
    3. 如果证书存在于用户证书列表中,则说明已正确安装证书。

  4. 在设备上安装了根证书后,还必须部署以下内容来预配 SCEP 或 PKCS 证书:

    • 引用该证书的受信任的证书配置文件
    • 引用证书配置文件以预配 SCEP 或 PKCS 证书的 SCEP 或 PKCS 配置文件。

创建受信任的证书配置文件

  1. 登录到 Microsoft Intune 管理中心

  2. 选择并转到 “设备>管理设备>”“配置>创建”。

    导航到 Intune 并为受信任的证书创建新的配置文件

  3. 输入以下属性:

    • 平台:选择应接收此配置文件的设备的平台。
    • 配置文件:根据所选平台,选择“ 受信任的证书 ”或“ 模板>受信任的证书”。

    重要

    2022 年 10 月 22 日,Microsoft Intune 终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术协助和自动更新不可用。

    如果当前使用 Windows 8.1,请移动到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全和设备功能。

  4. 选择“创建”。

  5. 在“基本信息”中,输入以下属性:

    • 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,配置文件名称最好是“整个公司的受信任证书配置文件”。
    • 说明:输入配置文件的说明。 此设置是可选的,但建议进行。

  6. 选择 下一步

  7. “配置设置”.cer ,指定之前导出的受信任的根 CA 证书的文件。

    从以下位置选择受信任证书的目标存储区(仅适用于 Windows 8.1 和 Windows 10/11 设备):

    • 计算机证书存储区 - 根
    • 计算机证书存储区 - 中间
    • 用户证书存储区 - 中间

    创建配置文件并上传受信任的证书

  8. 选择 下一步

  9. “分配”中,选择应接收个人资料的用户或组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件

    选择 下一步

  10. 仅适用于 Windows 10/11)在“适用性规则”中,指定适用性规则以优化此配置文件的分配。 可以根据操作系统版本或设备版本来选择是否分配配置文件。

    有关详细信息,请参阅“在 Microsoft Intune 中创建设备配置文件”中的适用性规则

  11. 在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。

后续步骤

创建证书配置文件: