Microsoft Intune 的受信任的根证书配置文件
当使用 Intune 来预配具有证书的设备以访问公司资源和网络时,请使用受信任的证书配置文件将受信任的根证书部署到这些设备。 受信任的根证书建立从设备到根或从中颁发其他证书的中间(颁发)CA 的信任。
将受信任的证书配置文件部署到为简单证书注册协议 (SCEP)、公钥加密标准 (PKCS) 和导入的 PKCS 接收证书配置文件的相同设备和用户。
提示
Windows 企业版多会话远程桌面支持受信任的证书配置文件。
导出受信任的根 CA 证书
若要使用 PKCS、SCEP 和 PKCS 导入的证书,设备必须信任根证书颁发机构。 若要建立信任,请将受信任的根 CA 证书以及任何中间证书或证书发证机构证书导出为公共证书 (.cer)。 可从颁发 CA 或信任颁发 CA 的任何设备获取这些证书。
若要导出证书,请参阅关于证书颁发机构的文档。 你将需要将公共证书导出为 DER 编码的 .cer 文件。 请勿导出私钥(.pfx 文件)。
创建受信任的证书配置文件以将该证书部署到设备时,将使用此 .cer 文件。
创建受信任的证书配置文件
必须先创建和部署受信任的证书配置文件,才能创建 SCEP、PKCS 或 PKCS 导入的证书配置文件。 将受信任的证书配置文件部署到接收其他证书配置文件类型的相同组,可确保每个设备都可以识别 CA 的合法性。 这包括针对 VPN、Wi-Fi 和电子邮件等的配置文件。
SCEP 证书配置文件直接引用受信任的证书配置文件。 PKCS 证书配置文件不直接引用受信任的证书配置文件,而是直接引用托管 CA 的服务器。 PKCS 导入的证书配置文件不直接引用受信任的证书配置文件,但可以在设备上使用它。 将受信任的证书配置文件部署到设备可确保建立此信任。 如果设备不信任根 CA,SCEP 或 PKCS 证书配置文件策略将失败。
为要支持的每个设备平台创建单独的受信任证书配置文件,就像对 SCEP、PKCS 和 PKCS 导入的证书配置文件执行的操作一样。
重要
为平台创建的受信任的根配置文件Windows 10及更高版本,在 Microsoft Intune 管理中心显示为平台Windows 8.1及更高版本的配置文件。
这是受信任的证书配置文件的已知平台显示问题。 虽然配置文件显示的平台为 Windows 8.1 及更高版本,但它适用于 Windows 10/11。
注意
Intune 中的“受信任的证书”配置文件只能用于传递根证书或中间证书。 部署此类证书的目的是建立一个信任链。 Microsoft 不支持使用受信任的证书配置文件来传送根证书或中间证书以外的证书。 在Microsoft Intune管理中心选择受信任的证书配置文件时,可能会阻止导入不被视为根证书或中间证书的证书。 即使你可以使用此配置文件类型导入和部署不是根证书或中间证书的证书,你也可能会在 iOS 和 Android 等不同平台之间遇到意外结果。
适用于 Android 设备管理员的受信任的证书配置文件
重要
Microsoft Intune于 2024 年 8 月 30 日终止对有权访问 Google 移动服务的设备上的 Android 设备管理员管理的支持, (GMS) 。 在此日期之后,设备注册、技术支持、bug 修复和安全修复将不可用。 如果当前使用设备管理员管理,建议在支持结束之前切换到 Intune 中的另一个 Android 管理选项。 有关详细信息,请阅读 在 GMS 设备上终止对 Android 设备管理员的支持。
从 Android 11 开始,你无法再使用受信任的证书配置文件将受信任的根证书部署到以 Android 设备管理员身份注册的设备。 此限制不适用于 Samsung Knox。
由于 SCEP 证书配置文件要求在设备上安装受信任的根证书,并且必须引用受信任的证书配置文件,而该配置文件又引用该证书,因此可以使用以下步骤解决此限制:
使用受信任的根证书手动预配设备。 有关示例指南,请参阅下一节。
将受信任的根证书配置文件部署到设备,该配置文件引用安装在设备上的受信任的根证书。
将 SCEP 证书配置文件部署到引用受信任的根证书配置文件的设备。
此问题不限于 SCEP 证书配置文件。 因此,如果你使用 PKCS 证书配置文件,或者 PKCS 导入的证书配置文件需要它,那么计划在适用的设备上手动安装受信任的根证书。
有关更改对 Android 设备管理员的支持的详细信息,请访问 techcommunity.microsoft.com。
使用受信任的根证书手动预配设备
以下指南可帮助你使用受信任的根证书手动预配设备。
下载受信任的根证书或将其传输到 Android 设备。 例如,你可以使用电子邮件将证书分发给设备用户,或让用户从安全位置下载证书。 证书下载到设备上之后,必须打开证书,对其命名,然后保存。 保存证书会将其添加到设备上的用户证书存储中。
- 若要在设备上打开证书,用户必须找到并点击(打开)该证书。 例如,通过电子邮件发送证书后,设备用户可以点击或打开证书附件。
- 证书打开后,用户必须提供其 PIN 或通过其他方式对设备进行身份验证,然后才能管理证书。
身份验证后,证书将打开,必须先命名证书,然后才能将其保存到用户证书存储中。 证书名称必须与将发送到设备的受信任的根证书配置文件中指定的证书名称相匹配。 对证书命名之后,保存证书。
证书保存后即可供使用。 用户可以确认证书在设备上的位置是否正确:
- 打开“设置”>“安全”>“受信任的凭据”。 “受信任的凭据”的实际路径可能因设备而异。
- 打开“用户”选项卡并找到证书。
- 如果证书存在于用户证书列表中,则说明已正确安装证书。
在设备上安装了根证书后,还必须部署以下内容来预配 SCEP 或 PKCS 证书:
- 引用该证书的受信任的证书配置文件
- 引用证书配置文件以预配 SCEP 或 PKCS 证书的 SCEP 或 PKCS 配置文件。
创建受信任的证书配置文件
选择并转到 “设备>配置>创建”。
输入以下属性:
- 平台:选择将接收此配置文件的设备的平台。
- 配置文件:根据所选平台,选择“ 受信任的证书 ”或“ 模板>受信任的证书”。
重要
2022 年 10 月 22 日,Microsoft Intune终止了对运行 Windows 8.1 的设备的支持。 这些设备上的技术支持和自动更新不可用。
如果当前使用 Windows 8.1,建议迁移到 Windows 10/11 设备。 Microsoft Intune具有管理 Windows 10/11 客户端设备的内置安全性和设备功能。
选择“创建”。
在“基本信息”中,输入以下属性:
- 名称:输入配置文件的描述性名称。 为配置文件命名,以便稍后可以轻松地识别它们。 例如,配置文件名称最好是“整个公司的受信任证书配置文件”。
- 说明:输入配置文件的说明。 此设置是可选的,但建议进行。
选择 下一步。
在“配置设置”中,指定之前导出的受信任根 CA 证书的 .cer 文件。
从以下位置选择受信任证书的目标存储区(仅适用于 Windows 8.1 和 Windows 10/11 设备):
- 计算机证书存储区 - 根
- 计算机证书存储区 - 中间
- 用户证书存储区 - 中间
选择 下一步。
在“分配”中,选择将接收配置文件的用户或组。 有关分配配置文件的详细信息,请参阅分配用户和设备配置文件。
选择 下一步。
(仅适用于 Windows 10/11)在“适用性规则”中,指定适用性规则以优化此配置文件的分配。 可以根据操作系统版本或设备版本来选择是否分配配置文件。
有关详细信息,请参阅“在 Microsoft Intune 中创建设备配置文件”中的适用性规则。
在“查看并创建”中查看设置。 选择“创建”时,将保存所做的更改并分配配置文件。 该策略也会显示在配置文件列表中。
后续步骤
创建证书配置文件:
反馈
即将发布:在整个 2024 年,我们将逐步淘汰作为内容反馈机制的“GitHub 问题”,并将其取代为新的反馈系统。 有关详细信息,请参阅:https://aka.ms/ContentUserFeedback。
提交和查看相关反馈