通过

在 Microsoft Intune 中删除 SCEP 和 PKCS 证书

  • 项目

在 Microsoft Intune 中,可以使用简单证书注册协议 (SCEP) 和公钥加密标准 (PKCS) 证书配置文件向设备添加证书。

这些证书也可以在擦除停用设备时删除。 当预配证书的配置文件不再面向设备或用户时,也会删除 Intune 预配的证书。 还有一些其他方案会自动删除证书,以及证书保留在设备上的方案。 本文列出了一些常见方案及其对 PKCS 和 SCEP 证书的影响。

注意

若要删除和吊销要从本地 Active Directory 中删除的用户的证书或Microsoft Entra ID,请按顺序执行以下步骤:

  1. 擦除或停用用户设备。
  2. 从本地 Active Directory 中删除用户或Microsoft Entra ID。

本文的大部分内容适用于 SCEP 和 PKCS 证书配置文件,但不适用于导入的 PKCS 证书。 从设备中删除公司数据或从管理中取消注册设备时,Intune 将删除导入的 PKCS 证书。

手动删除证书

手动删除证书是应用于所有平台的方案,它适用于通过 SCEP 或 PKCS 证书配置文件预配的所有证书。 例如,如果某一设备仍是证书策略的目标设备,用户可能从该设备中删除证书。

在此应用场景中,删除该证书后,设备下次使用 Intune 签入时,将被识别为不符合要求,因为它缺少预期的证书。 随后 Intune 将颁发新证书,将设备还原为符合状态。 还原证书无需其他操作。

注意

使用第三方证书颁发机构时,SCEP 证书将 被删除,但不会吊销

Windows 设备

SCEP 证书

出现以下情况时,将吊销删除 SCEP 证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。
  • 设备将从Microsoft Entra 组中删除。
  • 证书配置文件从组分配中删除。

出现以下情况时,将吊销 SCEP 证书:

  • 管理员更改或更新 SCEP 配置文件。

出现以下情况时,将删除根证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。
  • 证书配置文件从组分配中删除。

出现以下情况时,SCEP 证书将保留在设备上(证书不会被撤销,也不会被删除):

  • 用户丢失 Intune 许可证。
  • 管理员撤销 Intune 许可证。
  • 管理员从 entra ID Microsoft中删除用户或组。

PKCS 证书

出现以下情况时,将吊销删除 PKCS 证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。

出现以下情况时,将删除 PKCS 证书:

  • PKCS 证书配置文件不再以设备或用户为目标。

出现以下情况时,将删除根证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。

出现以下情况时,PKCS 证书将保留在设备上(证书不会被吊销,也不会被删除)

  • 用户丢失 Intune 许可证。
  • 管理员撤销 Intune 许可证。
  • 管理员从 entra ID Microsoft中删除用户或组。
  • 管理员更改或更新 PKCS 配置文件。

iOS 设备

SCEP 证书

出现以下情况时,将吊销删除 SCEP 证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。
  • 设备将从 Microsoft Entra 组中删除。
  • 证书配置文件从组分配中删除。

出现以下情况时,将吊销 SCEP 证书:

  • 管理员更改或更新 SCEP 配置文件。

出现以下情况时,将删除根证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。

出现以下情况时,SCEP 证书将保留在设备上(证书不会被撤销,也不会被删除):

  • 用户丢失 Intune 许可证。
  • 管理员撤销 Intune 许可证。
  • 管理员从 entra ID Microsoft中删除用户或组。

PKCS 证书

出现以下情况时,将吊销删除 PKCS 证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。

出现以下情况时,将删除 PKCS 证书:

  • 证书配置文件从组分配中删除。

出现以下情况时,将删除根证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。

出现以下情况时,PKCS 证书将保留在设备上(证书不会被吊销,也不会被删除)

  • 用户丢失 Intune 许可证。
  • 管理员撤销 Intune 许可证。
  • 管理员从 entra ID Microsoft中删除用户或组。
  • 管理员更改或更新 PKCS 配置文件。

Android KNOX 设备

SCEP 证书

出现以下情况时,将吊销删除 SCEP 证书:

  • 用户取消注册。
  • 管理员运行擦除操作。

出现以下情况时,将吊销 SCEP 证书:

  • 管理员运行停用操作。
  • 设备将从Microsoft Entra 组中删除。
  • 证书配置文件从组分配中删除。
  • 管理员从 entra ID Microsoft中删除用户或组。
  • 管理员更改或更新 SCEP 配置文件。

出现以下情况时,将删除根证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。

出现以下情况时,SCEP 证书将保留在设备上(证书不会被撤销,也不会被删除):

  • 用户丢失 Intune 许可证。
  • 管理员撤销 Intune 许可证。
  • 管理员从 entra ID Microsoft中删除用户或组。

PKCS 证书

出现以下情况时,将吊销删除 PKCS 证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。

出现以下情况时,将删除根证书:

  • 用户取消注册。
  • 管理员运行擦除操作。
  • 管理员运行停用操作。

出现以下情况时,PKCS 证书将保留在设备上(证书不会被吊销,也不会被删除)

  • 用户丢失 Intune 许可证。
  • 管理员撤销 Intune 许可证。
  • 管理员从 entra ID Microsoft中删除用户或组。
  • 管理员更改或更新 PKCS 配置文件。
  • 证书配置文件从组分配中删除。

注意

Android for Work 设备未针对上述情形进行验证。 Android 旧设备(任何非 Samsung、非工作配置文件设备)未启用证书删除功能。

macOS 证书

SCEP 证书

出现以下情况时,将吊销删除 SCEP 证书:

  • 用户取消注册。
  • 管理员运行停用操作。
  • 设备将从Microsoft Entra 组中删除。
  • 证书配置文件从组分配中删除。

出现以下情况时,将吊销 SCEP 证书:

  • 管理员更改或更新 SCEP 配置文件。

出现以下情况时,SCEP 证书将保留在设备上(证书不会被撤销,也不会被删除):

  • 用户丢失 Intune 许可证。
  • 管理员撤销 Intune 许可证。
  • 管理员从 entra ID Microsoft中删除用户或组。

注意

不支持使用擦除操作将 macOS 设备恢复出厂设置。

PKCS 证书

出现以下情况时,将吊销删除 PKCS 证书:

  • 用户取消注册。
  • 管理员运行停用操作。

出现以下情况时,将删除根证书:

  • 用户取消注册。
  • 管理员运行停用操作。

出现以下情况时,PKCS 证书将保留在设备上(证书不会被吊销,也不会被删除):

  • 用户丢失 Intune 许可证。
  • 管理员撤销 Intune 许可证。
  • 证书配置文件从组分配中删除。 (删除配置文件。)
  • 管理员从 entra ID Microsoft中删除用户或组。
  • 管理员更改或更新 PKCS 配置文件。

后续步骤

使用证书进行身份验证