共用方式為

為 Microsoft 受管理的電腦準備認證和網路設定檔

  • 發行項

憑證式驗證是使用 Microsoft 受管理電腦的客戶常見的需求。 您可能需要憑證以:

  • 存取 Wi-Fi 或 LAN
  • 連線到 VPN 解決方案
  • 存取貴組織的內部資源

由於Microsoft受控桌面裝置已加入 Microsoft Entra ID,並由 Microsoft Intune 管理,因此您必須使用下列專案來部署這類憑證:

  • 簡單憑證註冊通訊協定 (SCEP),或
  • 與 Intune 整合的公開金鑰加密標準 (PKCS) 憑證基礎結構。

憑證需求

需要根憑證才能透過 SCEP 或 PKCS 基礎結構部署憑證。 貴組織中其他應用程式和服務可能需要將根憑證部署到您的 Microsoft 受管理的電腦裝置。

將 SCEP 或 PKCS 憑證部署至 Microsoft 受管理的電腦之前,您應該收集組織中需要使用者或裝置憑證的每個服務的需求。 若要簡化此活動,您可以使用下列其中一個規劃範本:

Wi-Fi 連線能力要求

若要讓裝置自動提供您商業網路所需的 Wi-Fi 設定,您可能需要 Wi-Fi 組態設定檔。

您可以設定 Microsoft 受管理的電腦,以將這些設定檔部署到您的裝置。 如果您的網路安全性要求裝置是本機網域的一部分,您可能需要評估 Wi-Fi 網路基礎結構,以確保其與 Microsoft 受管理的電腦裝置相容。 Microsoft受控桌面裝置只會Microsoft加入 Entra。

將 Wi-Fi 設定部署至 Microsoft 受管理的電腦裝置之前,您必須收集貴組織對於每個 Wi-Fi 網路的要求。 若要簡化此活動,您可以使用此 WiFi 設定檔範本

有線連線要求和 802.1x 驗證

如果您使用 802.1x 驗證保護裝置對局域網路 (LAN) 的存取,您必須將必要的設定詳細資料推送到您的 Microsoft 受管理的電腦裝置。

Microsoft 受管理的電腦裝置 (運行 Windows 10 版本 1809 或更新版本) 支援透過 WiredNetwork 設定服務提供者 (CSP) 部署 802.1x 群組原則。 如需詳細資訊,請參閱 WiredNetwork CSP 文件。

將有線網路組態設定檔部署至 Microsoft 受管理的電腦裝置之前,請收集貴組織對於有線公司網路的要求。

若要收集有線公司網路要求:

  1. 請登錄已設定您現有 802.1x 設定檔且已連線至 LAN 網路的裝置。
  2. 使用系統管理認證開啟命令提示。
  3. 執行 netsh interface show interface 以尋找 LAN 介面。
  4. 執行 netsh lan export profile folder=. Interface=”interface_name” 以匯出 LAN 設定檔 XML。
  5. 如果您需要在 Microsoft 受管理的電腦裝置上測試匯出的設定檔,請執行 netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME"

部署憑證基礎結構

如果您已經有使用 Intune 的現有 SCEP 或 PKCS 基礎結構,且此方法符合您的需求,您也可以使用它進行 Microsoft 受管理的電腦。

如果沒有 SCEP 或 PKCS 基礎結構,您必須準備一個。 如需詳細資訊,請參閱在 Microsoft Intune 中設定您裝置憑證設定檔

部署 LAN 設定檔

匯出 LAN 設定檔之後,您可以為 Microsoft 受管理電腦準備此原則。

若要為 Microsoft 受管理的電腦準備此原則:

  1. 使用下列設定在 Microsoft Intune 中建立 LAN 設定檔的自訂設定檔 (請參閱 在 Intune 中為 Windows 10 裝置使用自訂設定)。 在 自訂 OMA-URI 設定中,選取 新增,然後輸入下列值:
    • 名稱:新式工作場所-Windows 10 LAN 設定檔
    • 描述:輸入提供設定概觀的描述,以及任何其他重要詳細資料。
    • OMA-URI (區分大小寫):輸入 ./Device/Vendor/MSFT/WiredNetwork/LanXML
    • 資料類型:選取 字串 (XML 檔案)
    • 自訂 XML:上傳匯出的 XML 檔案。
  2. 將自訂設定檔指派給 新式工作場所裝置 - 測試 群組。
  3. 使用測試部署群組中的裝置執行您覺得必要的任何測試。 如果成功,則指派自訂設定檔給下列群組:
    • 新式工作場所裝置 - 第一個
    • 新式工作場所裝置 - 快速
    • 新式工作場所裝置 - 廣泛

部署憑證和 Wi-Fi/VPN 設定檔

若要部署憑證和設定檔:

  1. 為每個根憑證和中期憑證建立設定檔 (請參閱 建立信任的憑證設定檔)。 每個設定檔都必須有包含 DD/MM/YYYY 格式到期日的描述。 憑證設定檔必須有到期日。
  2. 為每個 SCEP 或 PKCS 憑證建立設定檔 (請參閱 建立 SCEP 憑證設定檔建立 PKCS 憑證設定檔)。 每個設定檔都必須有包含 DD/MM/YYYY 格式到期日的描述。 憑證設定檔必須有到期日。
  3. 為每個公司 WiFi 網路建立設定檔 (請參閱 Windows 10 及更新裝置 Wi-Fi 設定)。
  4. 為每個公司 VPN 建立設定檔 (請參閱 Windows 10 和 Windows 全像攝影版裝置設定,以使用 Intune 新增 VPN 連線)。
  5. 將設定檔指派給 新式工作場所裝置 - 測試 群組。
  6. 使用測試部署群組中的裝置執行您覺得必要的任何測試。 如果成功,則指派自訂設定檔給下列群組:
    • 新式工作場所裝置 - 第一個
    • 新式工作場所裝置 - 快速
    • 新式工作場所裝置 - 廣泛