設定基礎結構以使用 Intune 支援 SCEP

重要事項

為了支援自 2022 年 5 月 10 日起在 KB5014754 中導入和宣告之 SCEP 憑證的強式對應 Windows 需求，我們已變更為新的和更新的 SCEP 憑證 Intune SCEP 憑證發行。 透過這些變更，iOS/iPadOS、macOS 和 Windows 的全新或更新 Intune SCEP 憑證現在會在憑證的 [主體別名] (SAN) 字段中包含下列卷標：URL=tag:microsoft.com,2022-09-14:sid:<value> 

強式對應會使用此標記，將憑證從 Entra ID 系結至特定裝置或使用者 SID。 透過這項變更，以及從 Entra ID 對應 SID 的需求：

• 當 Windows 混合式聯結裝置在 Entra ID 中具有已從 內部部署的 Active Directory 同步處理的 SID 時，支援裝置憑證。
• 用戶憑證會使用來自 Entra ID 的使用者 SID，從 內部部署的 Active Directory 同步處理。

證書頒發機構單位 (不支援 SAN 中 URL 標籤的 CA) 可能無法發行憑證。 從 KB5014754 安裝更新的 Microsoft Active Directory 憑證服務伺服器支援使用此標籤。 如果您使用第三方 CA，請洽閱您的 CA 提供者，以確保其支援此格式，或如何及何時新增此支援。

如需詳細資訊，請參閱支援提示：在 Microsoft Intune 憑證中實作強式對應 - Microsoft 社群中樞。

Intune 支援使用簡單憑證註冊通訊協定 (SCEP) 來驗證應用程式和公司資源的連線。 SCEP 會使用證書頒發機構單位 (CA) 憑證來保護憑證簽署要求 (CSR) 的訊息交換。 當您的基礎結構支援 SCEP 時，您可以使用 Intune SCEP 憑證設定檔 (Intune) 中的裝置設定檔類型，將憑證部署到您的裝置。

當您也使用也稱為 Microsoft CA 的 Active Directory 憑證服務證書頒發機構單位時，Microsoft Intune 的憑證連接器必須搭配 Intune 使用 SCEP 憑證配置檔。 與頒發證書頒發機構單位 (CA) 相同的伺服器上不支援連接器。 使用 第三方證書頒發機構單位時，不需要連接器。

本文中的資訊可協助您設定基礎結構，以在使用 Active Directory 憑證服務時支援 SCEP。 設定基礎結構之後，您可以使用 Intune 建立和部署 SCEP 憑證配置檔。

提示

Intune 也支援使用公鑰密碼編譯標準 #12 憑證。

針對憑證使用 SCEP 的必要條件

繼續之前，請確定您已 建立 受信任的憑證 配置檔，並將其部署 至使用 SCEP 憑證配置檔的裝置。 SCEP 憑證配置檔會直接參考您用來布建具有受信任根 CA 憑證之裝置的受信任憑證配置檔。

• 伺服器和伺服器角色
• Accounts
• 網路需求 (部分機器翻譯)
• 憑證和範本
• Android Enterprise 的 PIN 需求

伺服器和伺服器角色

若要支援 SCEP，下列內部部署基礎結構必須在已加入 Active Directory 網域的伺服器上執行，但 Web 應用程式 Proxy Server 除外。

• 適用於 Microsoft Intune 的憑證連接器 – 當您使用 Microsoft CA 時，必須要有適用於 Microsoft Intune 的憑證連接器，才能搭配 Intune 使用 SCEP 憑證配置檔。 它會安裝在同時執行 NDES 伺服器角色的伺服器上。 不過，與頒發證書頒發機構單位 (CA) 相同的伺服器上不支持連接器。

  如需憑證連接器的相關信息，請參閱：

  • 適用於 Microsoft Intune的憑證連接器概觀。
  • 必要條件。
  • 安裝和設定。

• 證書頒發機構單位 – 使用 Microsoft Active Directory 憑證服務企業證書頒發機構單位 (CA) ，其在 Service Pack 1 或更新版本的 Windows Server 2008 R2 Enterprise 版本上執行。 您使用的 Windows Server 版本必須持續受到 Microsoft 支援。 不支援獨立CA。 如需詳細資訊，請 參閱安裝證書頒發機構單位。

  如果您的 CA 執行 Windows Server 2008 R2 SP1，您必須 從 KB2483564 安裝 Hotfix。

• NDES 伺服器角色 – 若要支援搭配 SCEP 使用適用於 Microsoft Intune 的憑證連接器，您必須使用網路裝置註冊服務 (NDES) 伺服器角色來設定裝載憑證連接器的 Windows Server。 連接器支援在 Windows Server 2012 R2 或更新版本上安裝。 在本文稍後的章節中，我們會引導您 安裝 NDES。

  • 裝載 NDES 和連接器的伺服器必須已加入網域，且位於與企業 CA 相同的樹系中。
  • 請勿使用安裝在裝載企業 CA 之伺服器上的 NDES。 當 CA 服務因特網要求時，此組態代表安全性風險，而且與頒發證書頒發機構單位 (CA) 不支援在同一部伺服器上安裝連接器。
  • 在裝載 NDES 和 Microsoft Intune 連接器的伺服器上，必須停用 Internet Explorer 增強式安全性設定。

  若要深入瞭解 NDES，請參閱 Windows Server 檔中的 網路裝置註冊服務指引 ，以及 搭配網路裝置註冊服務使用原則模組。 若要瞭解如何設定 NDES 的高可用性，請參閱 高可用性。

支援因特網上的NDES

若要允許因特網上的裝置取得憑證，您必須將 NDES URL 發佈到公司網路外部。 若要這樣做，您可以使用反向 Proxy，例如 Microsoft Entra 應用程式 Proxy、Microsoft 的 Web 應用程式 Proxy Server 或第三方反向 Proxy 服務或裝置。

• Microsoft Entra 應用程式 Proxy – 您可以使用 Microsoft Entra 應用程式 Proxy，而非專用的 Web 應用程式 Proxy (WAP) Server 將 NDES URL 發佈至因特網。 此解決方案可讓內部網路和因特網對向裝置取得憑證。 如需詳細資訊，請參閱在網路裝置註冊服務 (NDES) 伺服器上與 Microsoft Entra 應用程式 Proxy 整合。

• Web 應用程式 Proxy Server - 使用以 Web 應用程式 Proxy (WAP) 伺服器 Windows Server 2012 R2 或更新版本執行的伺服器，將 NDES URL 發佈至因特網。 此解決方案可讓內部網路和因特網對向裝置取得憑證。

  裝載 WAP 的伺服器 必須安裝更新 ，以支援網路裝置註冊服務所使用的長 URL。 此更新隨附於 2014 年 12 月的更新匯總，或是個別從 KB3011135。

  WAP 伺服器必須具有符合發佈至外部用戶端之名稱的 SSL 憑證，並信任裝載 NDES 服務之電腦上使用的 SSL 憑證。 這些憑證可讓 WAP 伺服器終止來自用戶端的 SSL 連線，並建立與 NDES 服務的新 SSL 連線。

  如需詳細資訊，請 參閱規劃 WAP 的憑證 和 WAP 伺服器的一般資訊。

• 第三方反向 Proxy – 當您使用第三方反向 Proxy 時，請確定 Proxy 支援長 URI 取得要求。 在憑證要求流程中，用戶端會使用查詢字串中的憑證要求提出要求。 因此，URI 長度可能會很大，大小最多可達 40 kb。

SCEP 通訊協定限制會防止使用預先驗證。 當您透過反向 Proxy 伺服器發佈 NDES URL 時，必須將 [預先驗證 ] 設定為 [傳遞]。 Intune 在 NDES 伺服器上安裝 Intune-SCEP 原則模組，以在安裝 Intune 憑證連接器時保護 NDES URL。 模組可防止憑證簽發給無效或數字竄改的憑證要求，以協助保護 NDES URL。 這會限制只能存取您使用 Intune 管理且具有正確格式憑證要求的 Intune 已註冊裝置。

當 Intune SCEP 憑證設定檔傳遞至裝置時，Intune 會產生其加密和簽署之自定義挑戰 Blob。 裝置無法讀取 Blob。 只有原則模組和 Intune 服務可以讀取和驗證挑戰 Blob。 Blob 包含 Intune 預期裝置在其憑證簽署要求 (CSR) 中提供的詳細數據。 例如，預期的 主體 和 主體別名 (SAN) 。

Intune 原則模組可透過下列方式保護 NDES：

• 嘗試直接存取已發佈的 NDES URL 時，伺服器會傳回 403 – 禁止：拒絕存取 回應。

• 收到格式正確的 SCEP 憑證要求，且要求承載同時包含挑戰 Blob 和裝置 CSR 時，原則模組會比較裝置 CSR 與挑戰 Blob 的詳細數據：

  • 如果驗證失敗，則不會發出任何憑證。

  • 只有來自通過挑戰 Blob 驗證之 Intune 註冊裝置的憑證要求會發出憑證。

帳戶

若要設定連接器以支援SCEP，請使用有權在Windows Server 上設定 NDES 及管理證書頒發機構單位的帳戶。 如需詳細資訊，請參閱適用於 Microsoft Intune 憑證連接器的必要條件一文中的帳戶。

網路要求

除了憑證連接器的網路需求，我們建議透過反向 Proxy 發佈 NDES 服務，例如 Microsoft Entra 應用程式 Proxy、Web 存取 Proxy 或第三方 Proxy。 如果您未使用反向 Proxy，則允許埠 443 上的 TCP 流量從因特網上的所有主機和 IP 位址流向 NDES 服務。

允許 NDES 服務與您環境中任何支援基礎結構之間的通訊所需的所有埠和通訊協定。 例如，裝載 NDES 服務的電腦必須與 CA、DNS 伺服器、域控制器，以及環境中的其他服務或伺服器通訊，例如 Configuration Manager。

憑證和範本

當您使用 SCEP 時，會使用下列憑證和範本。

物件	詳細資料
SCEP 證書範本	您在發行 CA 上設定的範本，用來完整填入裝置 SCEP 要求。
伺服器驗證憑證	從您的發行 CA 或公用 CA 要求的 Web 伺服器憑證。 您會在裝載 NDES 的電腦上，於 IIS 中安裝並系結此 SSL 憑證。
受信任的根 CA 憑證	若要使用 SCEP 憑證設定檔，裝置必須信任信任的跟證書授權單位 (CA) 。 在 Intune 中使用受信任的憑證配置檔，將受信任的根 CA 憑證布建給使用者和裝置。 - 針對每個操作系統平臺使用單一受信任的根 CA 憑證，並將該憑證與您建立的每個受信任憑證配置檔建立關聯。 - 您可以視需要使用其他受信任的根 CA 憑證。 例如，您可以使用其他憑證來提供信任給 CA，該 CA 會簽署 Wi-Fi 存取點的伺服器驗證憑證。 建立其他受信任的根 CA 憑證以發行 CA。 在您在 Intune 中建立的SCEP憑證配置檔中，請務必指定發行CA的受信任根 CA 設定檔。 如需受信任憑證配置檔的相關信息，請參閱在 Intune 中使用憑證進行驗證中的匯出受信任的根 CA 憑證和建立受信任的憑證配置檔。

注意事項

下列憑證不會與適用於 Microsoft Intune 的憑證連接器搭配使用。 這項資訊是提供給尚未使用新連接器軟體 NDESConnectorSetup.exe) 安裝的舊版 SCEP (連接器。

物件	詳細資料
用戶端驗證憑證	從您的發行 CA 或公用 CA 要求。 您會在裝載 NDES 服務的電腦上安裝此憑證，並由憑證連接器用於 Microsoft Intune。 如果憑證已在用來簽發此憑證的 CA 範本上設定 (增強金鑰使用方式) 客戶端和伺服器驗證金鑰使用方式，則您可以使用相同的憑證進行伺服器和客戶端驗證。

Android Enterprise 的 PIN 需求

針對 Android Enterprise，裝置上的加密版本會決定裝置是否必須設定 PIN，SCEP 才能使用憑證布建該裝置。 可用的加密型態如下：

• 全磁碟加密，需要裝置設定 PIN。

• 檔案型加密，這是 OEM 與 Android 10 或更新版本安裝的裝置上所需的加密。 這些裝置不需要 PIN。 升級至 Android 10 的裝置可能仍需要 PIN。

注意事項

Microsoft Intune 無法識別 Android 裝置上的加密類型。

裝置上的 Android 版本可能會影響可用的加密類型：

• Android 10 和更新版本： OEM 隨 Android 10 或更新版本安裝的裝置會使用檔案型加密，而且不需要 SCEP 的 PIN 即可布建憑證。 升級至 10 版或更新版本並開始使用檔案型加密的裝置可能仍然需要 PIN。

• Android 8 到 9：這些版本的 Android 支援使用檔案型加密，但並非必要。 每個 OEM 都會選擇要為裝置實作的加密類型。 OEM 修改也可能會導致即使使用全磁碟加密也不需要 PIN。

如需詳細資訊，請參閱 Android 檔中的下列文章：

• 檔案型加密
• 全磁碟加密

註冊為Android Enterprise專用裝置的考慮

對於註冊為Android Enterprise專用的裝置，密碼強制執行可能會帶來挑戰。

對於執行 9.0 和更新版本並接收 kiosk 模式原則的裝置，您可以使用裝置合規性或裝置設定原則來強制執行密碼需求。 檢視支援提示：來自 Intune 支援小組的新 Google 型 Kiosk 模式合規性畫面，以瞭解裝置體驗。

對於執行 8.x 和更早版本的裝置，您也可以使用裝置合規性或裝置設定原則來強制執行密碼需求。 不過，若要設定 PIN，您必須在裝置上手動輸入設定應用程式並設定 PIN。

設定證書頒發機構單位

在下列各節中，您將：

• 設定及發佈 NDES 所需的範本
• 設定撤銷憑證所需的許可權。

下列各節需要瞭解 Windows Server 2012 R2 或更新版本，以及 ACTIVE Directory 憑證服務 (AD CS) 。

存取您的發行 CA

1. 使用許可權足以管理 CA 的網域帳戶登入您的發行 CA。

2. 開啟證書頒發機構單位 Microsoft Management Console (MMC) 。 執行 'certsrv.msc' 或在 [伺服器管理員]，選取 [工具]，然後選取 [證書頒發機構單位]。

3. 選取 [ 證書範本] 節點 ，然後選取 [ 動作>管理]。

建立 SCEP 證書範本

1. 建立具有 Windows 2003 相容性) 的 v2 證書範本 (，以作為 SCEP 證書範本使用。 您可以：

   • 使用證書 範本嵌 入式管理單元來建立新的自定義範本。
   • 複製現有的範本 (如 Web Server 樣本) ，然後更新複本以作為 NDES 範本使用。

2. 在樣本的指定索引標籤上設定下列設定：

   • 一般：

     • 取消核取 [ 在 Active Directory 中發佈憑證]。
     • 指定易記 的範本顯示名稱 ，以便您稍後可以識別此範本。

   • 主體名稱：

     • 在 要求中選取 [提供]。 NDES 的 Intune 原則模組會強制執行安全性。

       

   • 擴充功能：

     • 請確定 應用程式原則的描述 包含 客戶端驗證。

       重要事項

       僅新增您需要的應用程式原則。 向安全性系統管理員確認您的選擇。

     • 針對 iOS/iPadOS 和 macOS 證書範本，也請編輯 [金鑰使用方式 ]，並確定未選取 [簽章是原始證明 ]。

     

   • 安全性：

     • 新增 NDES 服務帳戶。 此帳戶需要此範本的 讀 取和 註冊 許可權。

     • 為將建立 SCEP 配置檔的 Intune 系統管理員新增其他帳戶。 這些帳戶需要範本的 讀 取許可權，才能讓這些系統管理員在建立SCEP配置檔時流覽至此範本。

     

   • 要求處理：

     下圖為範例。 您的設定可能會有所不同。

     

   • 發行需求：

     下圖為範例。 您的設定可能會有所不同。

     

3. 儲存證書範本。

建立客戶端證書範本

注意事項

下列憑證不會與適用於 Microsoft Intune 的憑證連接器搭配使用。 這項資訊是提供給尚未使用新連接器軟體 NDESConnectorSetup.exe) 安裝的舊版 SCEP (連接器。

Microsoft Intune 連接器需要客戶端驗證增強密鑰使用方式和主體名稱等於安裝連接器之電腦 FQDN 的憑證。 需要具有下列屬性的範本：

• 擴展>應用程式原則 必須包含 客戶端驗證
• 主體名稱>在要求中提供 。

如果您已經有包含這些屬性的範本，您可以重複使用它，否則請複製現有的範本或建立自定義範本來建立新的範本。

建立伺服器證書範本

NDES 伺服器上受管理裝置與 IIS 之間的通訊會使用 HTTPS，這需要使用憑證。 您可以使用 Web 伺服器 證書範本來發行此憑證。 或者，如果您想要有專用範本，則需要下列屬性：

• 擴展>應用程式原則 必須包含 伺服器驗證。
• 主體名稱>在要求中提供 。
• 在 [ 安全性] 索引標籤上，NDES 伺服器的電腦帳戶必須具有 [讀 取] 和 [ 註冊] 許可權。

注意事項

如果您有符合客戶端和伺服器證書範本需求的憑證，您可以針對 IIS 和憑證連接器使用單一憑證。

授與證書吊銷的許可權

若要 Intune 能夠撤銷不再需要的憑證，您必須在證書頒發機構單位中授與許可權。

在裝載憑證連接器的伺服器上，使用 NDES 伺服器 系統帳戶 或特定帳戶，例如 NDES 服務帳戶。

1. 在您的證書頒發機構單位控制臺上，以滑鼠右鍵按兩下 CA 名稱，然後選取 [ 屬性]。

2. 在 [ 安全性] 索引 標籤中，選取 [ 新增]。

3. 授 與發行和管理憑證 許可權：

   • 如果您選擇使用 NDES 伺服器 系統帳戶，請提供 NDES 伺服器的許可權。
   • 如果您選擇使用 NDES 服務帳戶，請改為提供該帳戶的許可權。

修改證書範本的有效期間

修改證書範本的有效期間是選擇性的。

建立 SCEP 證書範本之後，您可以編輯範本，以檢閱 [一般] 索引卷標上的 [有效期間]。

根據預設，Intune 會使用範本中設定的值，但您可以設定 CA 以允許要求者輸入不同的值，以便從 Microsoft Intune 系統管理中心內設定該值。

規劃使用五天以上的有效期間。 當有效期間小於五天時，憑證極有可能進入接近到期或過期狀態，這可能會導致裝置上的 MDM 代理程式在安裝憑證之前拒絕該憑證。

重要事項

針對 iOS/iPadOS 和 macOS，一律使用範本中設定的值。

設定可從 Microsoft Intune 系統管理中心內設定的值

在 CA 上，執行下列命令：

certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
net stop certsvc
net start certsvc

發佈證書範本

1. 在發行 CA 上，使用證書頒發機構單位嵌入式管理單元來發佈證書範本。 選取 [ 證書範本] 節點 ，選取 [ 要發出的動作>新增>證書範本]，然後選取您在上一節中建立的證書範本。

2. 在 [證書範本] 資料夾中 檢視範本，以驗證範本是否已發佈。

設定 NDES

下列程式可協助您設定網路裝置註冊服務 (NDES) 以與 Intune 搭配使用。 這些會作為範例提供，因為實際設定可能會因您的 Windows Server 版本而有所不同。 請確定您新增的必要組態與 .NET Framework 符合適用於 Microsoft Intune 的憑證連接器必要條件。

如需 NDES 的詳細資訊，請參閱 網路裝置註冊服務指引。

安裝 NDES 服務

1. 在將裝載 NDES 服務的伺服器上，以 企業系統管理員身分登入，然後使用 [新增角色和功能 精靈] 安裝 NDES：

   1. 在精靈中，選取 [Active Directory 憑證服務 ] 以取得 AD CS 角色服務的存取權。 選取 [網络裝置註冊服務]，取消核取 [證書頒發機構單位]，然後完成精靈。

      提示

      在 安裝進度中，請勿選取 [關閉]。 請改為選取 [在 目的地伺服器上設定 Active Directory 憑證服務 ] 連結。 [AD CS 設定精靈] 隨即開啟，您會在設定 NDES 服務一文中的下一個程式中使用此精靈。 AD CS 組態開啟之後，您可以關閉 [新增角色和功能] 精靈。

   2. 將 NDES 新增至伺服器時，精靈也會安裝 IIS。 確認 IIS 具有下列設定：

      • Web 伺服器>安全>要求篩選

      • Web 伺服器>應用程式開發>ASP.NET 3.5

        安裝 ASP.NET 3.5 會安裝 .NET Framework 3.5。 安裝 .NET Framework 3.5 時，請安裝核心 .NET Framework 3.5 功能和 HTTP 啟用。

      • Web 伺服器>應用程式開發>ASP.NET 4.7.2

        安裝 ASP.NET 4.7.2 會安裝 .NET Framework 4.7.2。 安裝 .NET Framework 4.7.2 時，請安裝核心 .NET Framework 4.7.2 功能，ASP.NET 4.7.2 和 WCF 服務>HTTP 啟用功能。

      • 管理工具>IIS 6 管理相容性>IIS 6 Metabase 相容性

      • 管理工具>IIS 6 管理相容性>IIS 6 WMI 相容性

      • 在伺服器上，將 NDES 服務帳戶新增為本 機IIS_IUSR 群組的成員。

2. 如有必要，請在Active Directory 中 (SPN) 設定服務主體名稱。 如需如何設定 SPN 的資訊，請參閱 確認是否需要設定 NDES 的服務主體名稱。

設定 NDES 服務

若要設定 NDES 服務，請使用企業 系統管理員帳戶。

1. 在裝載 NDES 服務的計算機上，開啟 [AD CS 組態 精靈]，然後進行下列更新：

   提示

   如果您從上一個程式繼續進行，並按兩下 [在 目的地伺服器上設定Active Directory 憑證服務 ] 連結，此精靈應該已經開啟。 否則，請開啟 伺服器管理員，以存取 Active Directory 憑證服務的部署後設定。

   • 在 [角色服務] 中，選取 [網络裝置註冊服務]。
   • 在 NDES 的服務帳戶中，指定 NDES 服務帳戶。
   • 在 [NDES 的 CA] 中，按兩下 [ 選取]，然後選取您設定證書範本的發行 CA。
   • 在 NDES 的密碼編譯中，設定金鑰長度以符合公司需求。
   • 在 [ 確認] 中，選 取 [設定 ] 以完成精靈。

2. 精靈完成之後，請在裝載 NDES 服務的電腦上更新下列登錄機碼：

   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

   若要更新此金鑰，請識別在其 [要求處理] 索引標籤) 上找到的證書範本用途 (。 然後，更新對應的登錄專案，方法是將現有的數據取代為證書範本的名稱 (而非您 在建立證書範本時指定的範本) 顯示名稱。

   下表將證書範本用途對應至登錄中的值：

   證書範本用途 (在 [要求處理] 索引標籤上)	要編輯的登錄值	SCEP 設定檔 Microsoft Intune 系統管理中心內顯示的值
   簽章	SignatureTemplate	數位簽章
   加密	EncryptionTemplate	金鑰編碼
   簽章和加密	GeneralPurposeTemplate	金鑰編碼 數位簽章

   例如，如果您證書範本的 用途是加密，請編輯 EncryptionTemplate 值作為證書範本的名稱。

3. 重新啟動裝載 NDES 服務的伺服器。 請勿使用 iisreset;iireset 不會完成必要的變更。

4. 瀏覽至 http:// Server_FQDN/certsrv/mscep/mscep.dll。 您應該會看到類似下圖的 NDES 頁面：

   

   如果網址傳回 503 服務無法使用，請檢查計算機事件查看器。 當應用程式集區因為 NDES 服務帳戶的許可權遺失而停止時，通常會發生此錯誤。

在裝載 NDES 的伺服器上安裝和系結憑證

在 NDES 伺服器上，新增 伺服器驗證憑證。

• 伺服器驗證憑證

  此憑證用於 IIS。 這是簡單的 Web 伺服器證書，可讓用戶端信任 NDES URL。

  1. 從內部 CA 或公用 CA 要求 伺服器驗證 憑證，然後在伺服器上安裝憑證。

     根據您向因特網公開 NDES 的方式，有不同的需求。

     良好的設定如下：

     • 主體名稱：設定 CN (一般名稱) ，其值必須等於您要在 NDES 伺服器) (安裝憑證之伺服器的 FQDN。
     • 主體別名：為 NDES 回應的每個 URL 設定 DNS 專案，例如內部 FQDN 和外部 URL。

     注意事項

     如果您使用 Microsoft Entra 應用程式 Proxy，Microsoft Entra 應用程式 Proxy 連接器會將要求從外部 URL 轉譯為內部 URL。 因此，NDES 只會回應導向內部 URL 的要求，通常是 NDES 伺服器的 FQDN。

     在此情況下，不需要外部 URL。

  2. 在 IIS 中系結伺服器驗證憑證：

     1. 安裝伺服器驗證憑證之後，開啟 [IIS 管理員]，然後選取 [默認網站]。 在 [ 動作] 窗格中，選取 [ 系結]。

     2. 選 取 [新增]，將 [類型] 設定為 HTTPs，然後確認埠為 443。

     3. 針對 SSL 憑證，指定伺服器驗證憑證。

注意事項

為 Microsoft Intune 的憑證連接器設定 NDES 時，只會使用伺服器驗證憑證。 如果您要設定 NDES 以支援舊版憑證連接器 (NDESConnectorSetup.exe) ，您也必須設定 客戶端驗證憑證。 當該憑證設定為符合這兩種用途的準則時，您可以使用單一憑證進行 伺服器驗證 和 客戶端驗證 。 關於主體名稱，它必須符合客戶端 驗證 憑證需求。

下列資訊適用於尚未使用新連接器軟體 NDESConnectorSetup.exe) 安裝的舊版 SCEP (連接器。

• 用戶端驗證憑證

  安裝適用於 Microsoft Intune的憑證連接器期間，會使用此憑證來支援 SCEP。

  從內部 CA 或公開證書頒發機構單位要求並安裝 客戶端驗證 憑證。

  憑證必須符合下列需求：

  • 增強金鑰使用方式：此值必須包含 客戶端驗證。
  • 主體名稱：設定 CN (一般名稱) ，其值必須等於您要在 NDES 伺服器) (安裝憑證之伺服器的 FQDN。

下載、安裝及設定適用於 Microsoft Intune的憑證連接器

如需指引，請參閱安裝和設定適用於 Microsoft Intune 的憑證連接器。

• 憑證連接器會安裝在執行 NDES 服務的伺服器上。
• 與頒發證書頒發機構單位 (CA) 相同的伺服器上不支援連接器。

後續步驟

建立 SCEP 憑證配置檔