適用於 Microsoft Intune 的受信任跟證書配置檔

使用 Intune 來布建具有憑證的裝置以存取公司資源和網路時，請使用受信任的憑證配置檔將受信任的跟證書部署到這些裝置。 受信任的跟證書會從裝置對您的根或中繼憑證建立信任， (發行) 其他憑證的 CA。

您會將受信任的憑證配置檔部署到相同的裝置和使用者，這些裝置和使用者會收到簡單憑證註冊通訊協定的憑證配置檔， (SCEP) 、公鑰密碼編譯標準 (PKCS) ，以及匯入的 PKCS。

提示

受信任的憑證 配置檔支援 Windows 企業版多重會話遠端桌面。

匯出受信任的根 CA 憑證

若要使用 PKCS、SCEP 和 PKCS 匯入的憑證，裝置必須信任您的跟證書授權單位。 若要建立信任，請將受信任的根 CA 憑證，以及任何中繼或頒發證書頒發機構單位憑證匯出為公開憑證 () .cer 。 您可以從發行 CA 取得這些憑證，或從信任發行 CA 的任何裝置取得這些憑證。

若要匯出憑證，請參閱您的證書頒發機構單位的檔。 您必須將公開憑證導出為 DER 編碼的 .cer 檔案。 請勿匯出私鑰、 .pfx 檔案。

當您建立受信任的憑證配置檔以將該憑證部署到您的裝置時，會使用此.cer檔案。

建立受信任的憑證配置檔

建立 SCEP、PKCS 或 PKCS 匯入的憑證配置檔之前，請先建立並部署受信任的憑證配置檔。 將受信任的憑證配置檔部署到接收其他憑證配置檔類型的相同群組。 此步驟可確保每個裝置都能辨識 CA 的合法性，包括配置檔 VPN、Wi-Fi 和電子郵件設置檔。

SCEP 憑證配置檔會直接參考受信任的憑證配置檔。 PKCS 憑證配置檔不會直接參考受信任的憑證配置檔，但會直接參考裝載 CA 的伺服器。 PKCS 匯入的憑證配置檔不會直接參考受信任的憑證配置檔，但可以在裝置上使用它。 將受信任的憑證配置檔部署到裝置可確保建立此信任。 當裝置不信任根 CA 時，SCEP 或 PKCS 憑證配置檔原則會失敗。

為您想要支援的每個裝置平臺建立個別的受信任憑證配置檔，就像您針對 SCEP、PKCS 和 PKCS 匯入的憑證配置檔所做的一樣。

重要事項

您為平臺 Windows 10 和更新版本建立的信任根配置檔，會在 Microsoft Intune 系統管理中心中顯示為平臺 Windows 8.1 和更新版本的配置檔。

這是針對受信任憑證配置檔呈現平臺的已知問題。 雖然配置檔會顯示 Windows 8.1 和更新版本的平臺，但它適用於 Windows 10/11。

注意事項

Intune 中的受信任憑證配置檔只能用來傳遞跟證書或中繼憑證。 部署這類憑證的目的是要建立信任鏈結。 Microsoft不支援使用受信任的憑證配置檔來傳遞跟證書或中繼憑證以外的憑證。 在 Microsoft Intune 系統管理中心選取受信任的憑證配置檔時，可能會封鎖您匯入不被視為跟證書或中繼憑證的憑證。 即使您能夠使用此配置檔類型匯入和部署不是根或中繼憑證的憑證，您也可能會在iOS和Android等不同平台之間遇到非預期的結果。

適用於 Android 裝置系統管理員的信任憑證配置檔

重要事項

Microsoft Intune 於 2024 年 12 月 31 日終止對可存取 Google 行動服務 (GMS) 之裝置上的 Android 裝置系統管理員管理支援。 在該日期之後，裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理，建議您在支持結束之前，切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊，請參閱 在 GMS 裝置上終止對 Android 裝置系統管理員的支援。

本功能適用於：

• 非 KNOX 裝置上的 Android 10 和更早版本
• Samsung KNOX 裝置上的 Android 12 和更早版本

因為 SCEP 憑證設定檔需要在裝置上安裝受信任的跟證書，而且必須參考受信任的憑證配置檔，而該配置檔接著會參考該憑證，請使用下列步驟來解決這項限制：

1. 使用受信任的跟證書手動布建裝置。 如需範例指引，請參閱下一節。

2. 部署至裝置，這是信任的跟證書配置檔，參考您安裝在裝置上的受信任跟證書。

3. 將 SCEP 憑證設定檔部署至參考受信任跟證書配置檔的裝置。

此問題不限於SCEP憑證配置檔。 因此，如果您使用 PKCS 憑證配置檔，或需要 PKCS 匯入的憑證配置檔，請規劃在適用的裝置上手動安裝受信任的跟證書。

深入瞭解從 techcommunity.microsoft.com 支援Android裝置系統管理員的變更 。

使用受信任的跟證書手動布建裝置

下列指引可協助您使用受信任的跟證書手動布建裝置。

1. 下載受信任的跟證書或將其傳輸至 Android 裝置。 例如，您可以使用電子郵件將憑證散發給裝置使用者，或讓使用者從安全的位置下載憑證。 憑證在裝置上之後，必須開啟、命名及儲存。 儲存憑證會將它新增至裝置上的用戶證書存儲。

   1. 若要在裝置上開啟憑證，用戶必須找出並點選 (開啟憑證) 。 例如，透過電子郵件傳送憑證之後，裝置使用者可以點選或開啟憑證附件。
   2. 憑證開啟時，用戶必須先提供 PIN 或向裝置進行驗證，才能管理憑證。

2. 驗證之後，憑證會開啟，而且必須先命名，才能儲存到使用者證書存儲。 憑證名稱必須符合傳送至裝置之受信任跟證書配置檔中的憑證名稱。 在您為憑證命名之後，即可儲存憑證。

3. 儲存之後，憑證即可供使用。 使用者可以確認憑證位於裝置上的正確位置：

   1. 開啟 [設定安全>性信任的>認證]。 受信任認證的實際路徑可能會因裝置而異。
   2. 開啟 [ 使用者] 索引標籤並找出憑證。
   3. 如果出現在用戶憑證清單中，則會正確安裝憑證。

4. 在裝置上安裝跟證書之後，您仍然必須部署下列專案來布建 SCEP 或 PKCS 憑證：

   • 參考該憑證的受信任憑證配置檔
   • 參考憑證配置檔以布建 SCEP 或 PKCS 憑證的 SCEP 或 PKCS 配置檔。

若要建立受信任的憑證配置檔

1. 登入 Microsoft Intune 系統管理中心。

2. 選取並移至 [裝置>管理裝置>][組態>建立]。

   

3. 輸入下列內容：

   • 平台：選擇應該接收此配置檔的裝置平臺。
   • 配置文件：根據您選擇的平臺，選取 [ 信任的憑證 ] 或選取 [範本信任的>憑證]。

   重要事項

   在 2022 年 10 月 22 日，Microsoft Intune 終止了對執行 Windows 8.1 之裝置的支援。 無法在這些裝置上使用技術協助和自動更新。

   如果您目前使用 Windows 8.1，請移至 Windows 10/11 裝置。 Microsoft Intune 具有管理 Windows 10/11 用戶端裝置的內建安全性和裝置功能。

4. 選取 [建立]。

5. 在 [基本資訊] 中，輸入下列內容：

   • 名稱：輸入設定檔的描述性名稱。 為您的設定檔命名，以方便之後能夠輕鬆識別。 例如，良好的配置檔名稱是 整個公司的受信任憑證配置檔。
   • 描述：輸入設定檔的描述。 這是選擇性設定，但建議進行。

6. 選取[下一步]。

7. 在 [ 組態設定] 中，指定 .cer 您先前匯出之受信任根 CA 憑證的檔案。

   僅針對 Windows 8.1 和 Windows 10/11 裝置，請從下列項目選取受信任憑證的目的地存放區：

   • 計算機證書存儲 - 根目錄
   • 計算機證書存儲 - 中繼
   • 用戶憑證存儲 - 中繼

   

8. 選取 [下一步]。

9. 在 [ 指派] 中，選取應該接收配置檔的使用者或群組。 如需指派設定檔的詳細資訊，請參閱指派使用者和裝置設定檔。

   選取[下一步]。

10. (僅適用於 Windows 10/11) 在適用性規則中，指定適用性規則以精簡此配置檔的指派。 您可以選擇根據 OS 版本或裝置版本來指派或不指派設定檔。

    如需詳細資訊，請參閱在 Microsoft Intune 中建立裝置配置檔中的適用性規則。

11. 在 [檢閱 + 建立] 中，檢閱您的設定。 當您選取 [建立] 時，系統會儲存您的變更，然後指派設定檔。 原則也會顯示在設定檔清單中。

後續步驟

建立憑證設定檔：

• 使用 Intune 設定基礎結構以支援SCEP憑證
• 使用 Intune 設定和管理 PKCS 憑證
• 建立 PKCS 匯入的憑證配置檔