在 Microsoft Intune 中使用憑證進行驗證
使用 Intune 憑證,透過 VPN、Wi-Fi 或電子郵件設定檔向應用程式和公司資源驗證使用者。 當您使用憑證來驗證這些連線時,您的終端使用者不需要輸入使用者名稱和密碼,這可讓他們順暢地存取。 憑證還用於使用 S/MIME 對電子郵件進行簽署和加密。
Intune 憑證簡介
憑證會透過下列兩個階段提供經過驗證的存取,而不會延遲:
- 驗證階段:會檢查使用者的真確性,以確認使用者是其所宣告的身分。
- 授權階段:使用者受限於是否應授與使用者存取權的條件。
憑證的一般使用案例包括:
- 網路驗證 (例如,具有裝置或使用者憑證的 802.1x)
- 使用裝置或使用者憑證向 VPN 伺服器進行驗證
- 根據使用者憑證簽署電子郵件
Intune 支援簡單憑證註冊通訊協定 (SCEP) 、公開金鑰密碼編譯標準 (PKCS) ,以及匯入的 PKCS 憑證作為在裝置上布建憑證的方法。 不同的布建方法有不同的需求和結果。 例如:
- SCEP 會布建每個憑證要求唯一的憑證。
- PKCS 會使用唯一憑證布建每個裝置。
- 使用匯入的 PKCS,您可以將從來源匯出的相同憑證,例如電子郵件伺服器,部署到多個收件者。 此共用憑證有助於確保您的所有使用者或裝置都可以解密該憑證所加密的電子郵件。
為了布建具有特定憑證類型的使用者或裝置,Intune 會使用憑證設定檔。
除了三種憑證類型和布建方法之外,您還需要來自受信任憑證授權單位單位的受信任根憑證 (CA) 。 CA 可以是內部部署 Microsoft 憑證授權單位單位或 協力廠商憑證授權單位單位。 受信任的根憑證會從裝置對您的根或中繼憑證建立信任, (發行) CA,以從中發行其他憑證。 若要部署此憑證,您可以使用 受信任的憑證 設定檔,並將它部署到接收 SCEP、PKCS 和已匯入 PKCS 憑證設定檔的相同裝置和使用者。
提示
Intune 也支援針對需要使用智慧卡的環境使用 衍生認證 。
使用憑證所需的專案
- 憑證授權單位單位。 您的 CA 是憑證參考以進行驗證的信任來源。 您可以使用 Microsoft CA 或協力廠商 CA。
- 內部部署基礎結構。 您需要的基礎結構取決於您使用的憑證類型:
- 受信任的根憑證。 部署 SCEP 或 PKCS 憑證設定檔之前,請先使用受信任的憑證設定檔,從 CA 部署 受信任 的根憑證。 此設定檔可協助從裝置建立信任回到 CA,而其他憑證設定檔則需要此信任。
部署受信任的根憑證之後,您就可以部署憑證設定檔,以布建具有驗證憑證的使用者和裝置。
要使用的憑證設定檔
下列比較並不完整,但旨在協助區分不同憑證配置檔案類型的使用方式。
設定檔類型 | 詳細資料 |
---|---|
信任的憑證 | 使用 將公開金鑰 (憑證) 從根 CA 或中繼 CA 部署到使用者和裝置,以建立對來源 CA 的信任。 其他憑證設定檔需要受信任的憑證設定檔及其根憑證。 |
SCEP 憑證 | 將憑證要求的範本部署至使用者和裝置。 使用 SCEP 布建的每個憑證都是唯一的,並系結至要求憑證的使用者或裝置。 透過 SCEP,您可以將憑證部署到缺少使用者親和性的裝置,包括使用 SCEP 在 KIOSK 或無使用者裝置上布建憑證。 |
PKCS 憑證 | 為指定使用者或裝置之憑證類型的憑證要求部署範本。 - 要求使用者的憑證類型一律需要使用者親和性。 部署至使用者時,每個使用者的裝置都會收到唯一的憑證。 與使用者一起部署到裝置時,該使用者會與該裝置的憑證相關聯。 部署至無使用者裝置時,不會布建任何憑證。 - 具有裝置憑證類型的範本不需要使用者親和性即可布建憑證。 部署至裝置會布建裝置。 部署至使用者會布建使用者使用憑證登入的裝置。 |
PKCS 匯入的憑證 | 將單一憑證部署至多個裝置和使用者,以支援 S/MIME 簽署和加密等案例。 例如,藉由將相同的憑證部署到每個裝置,每個裝置都可以解密從該相同電子郵件伺服器收到的電子郵件。 其他憑證部署方法在此案例中不足,因為 SCEP 會為每個要求建立唯一的憑證,而 PKCS 會為每個使用者建立不同的憑證,讓不同的使用者收到不同的憑證。 |
Intune 支援的憑證和使用方式
類型 | 驗證 | S/MIME 簽署 | S/MIME 加密 |
---|---|---|---|
PKCS) 匯入憑證 (公開金鑰密碼編譯標準 | |||
PKCS#12 (或 PFX) | |||
簡單的憑證註冊通訊協定 (SCEP) |
若要部署這些憑證,請建立憑證設定檔並將其指派給裝置。
您建立的每個個別憑證設定檔都支援單一平臺。 例如,如果您使用 PKCS 憑證,您可以建立 Android 的 PKCS 憑證設定檔,以及 iOS/iPadOS 的個別 PKCS 憑證設定檔。 如果您也針對這兩個平臺使用 SCEP 憑證,則會建立適用于 Android 的 SCEP 憑證設定檔,以及另一個用於 iOS/iPadOS 的 SCEP 憑證設定檔。
使用 Microsoft 憑證授權單位單位時的一般考慮
當您使用 Microsoft 憑證授權單位單位 (CA) :
若要使用 SCEP 憑證設定檔:
- 設定網路裝置註冊服務 (NDES) 伺服器 以搭配 Intune 使用。
- 安裝適用于 Microsoft Intune 的憑證連接器。
若要使用 PKCS 憑證設定檔:
若要使用 PKCS 匯入的憑證:
- 安裝適用于 Microsoft Intune 的憑證連接器。
- 從憑證授權單位單位匯出憑證,然後將憑證匯入Microsoft Intune。 請 參閱 PFXImport PowerShell 專案。
使用下列機制部署憑證:
- 信任的憑證設定檔 ,可將受信任的根 CA 憑證從您的根或中繼 (發行) CA 部署到裝置
- SCEP 憑證設定檔
- PKCS 憑證設定檔
- PKCS 匯入的憑證設定檔
使用協力廠商憑證授權單位單位時的一般考慮
當您使用協力廠商 (非 Microsoft) 憑證授權單位單位 (CA) :
若要使用 SCEP 憑證設定檔:
- 設定與 我們其中一個支援合作夥伴的協力廠商 CA 整合。 安裝套裝程式含遵循協力廠商 CA 的指示,以完成其 CA 與 Intune 的整合。
- 在Microsoft Entra識別碼中建立應用程式,將許可權委派給 Intune 以進行 SCEP 憑證挑戰驗證。
PKCS 匯入的憑證需要您安裝適用于 Microsoft Intune 的憑證連接器。
使用下列機制部署憑證:
- 信任的憑證設定檔 ,可將受信任的根 CA 憑證從您的根或中繼 (發行) CA 部署到裝置
- SCEP 憑證設定檔
- 只有Digicert PKI 平臺 (才支援PKCS 憑證設定檔)
- PKCS 匯入的憑證設定檔
支援的平臺和憑證設定檔
平台 | 受信任的憑證設定檔 | PKCS 憑證設定檔 | SCEP 憑證設定檔 | PKCS 匯入的憑證設定檔 |
---|---|---|---|---|
Android 裝置系統管理員 | (請參閱附注 1) | |||
Android Enterprise - 完全受控 (裝置擁有者) | ||||
Android Enterprise - 專用 (裝置擁有者) | ||||
Android Enterprise - Corporate-Owned 工作設定檔 | ||||
Android Enterprise - Personally-Owned 工作設定檔 | ||||
Android (AOSP) | ||||
iOS/iPadOS | ||||
macOS | ||||
Windows 8.1 和更新版本 | ||||
Windows 10/11 | (請參閱附注 2) | (請參閱附注 2) | (請參閱附注 2) |
- 附注 1 - 從 Android 11 開始,受信任的憑證設定檔無法再在已註冊為 Android 裝置系統管理員的裝置上安裝受信任的根憑證。 此限制不適用於 Samsung Knox。 如需詳細資訊,請 參閱 Android 裝置系統管理員的信任憑證設定檔。
- 附注 2 - Windows Enterprise 多重會話遠端桌面支援此設定檔。
重要事項
在 2022 年 10 月 22 日,Microsoft Intune終止對執行Windows 8.1裝置的支援。 無法在這些裝置上使用技術協助和自動更新。
如果您目前使用 Windows 8.1,建議您移至Windows 10/11 裝置。 Microsoft Intune具有管理Windows 10/11 用戶端裝置的內建安全性和裝置功能。
重要事項
Microsoft Intune于 2024 年 8 月 30 日終止在可存取 Google 行動服務 (GMS) 的裝置上進行 Android 裝置系統管理員管理的支援。 在該日期之後,裝置註冊、技術支援、錯誤修正和安全性修正將無法使用。 如果您目前使用裝置系統管理員管理,建議您在支援結束之前,先切換至 Intune 中的另一個 Android 管理選項。 如需詳細資訊,請參閱 終止 GMS 裝置上的 Android 裝置系統管理員支援。
後續步驟
更多資源:
建立憑證設定檔:
意見反應
https://aka.ms/ContentUserFeedback。
即將登場:在 2024 年,我們將逐步淘汰 GitHub 問題作為內容的意見反應機制,並將它取代為新的意見反應系統。 如需詳細資訊,請參閱:提交並檢視相關的意見反應