Použití odvozených přihlašovacích údajů s Microsoft Intune
Odvozené přihlašovací údaje jsou implementací pokynů NIST (National Institute of Standards and Technology) pro přihlašovací údaje PIV (Odvozené ověření osobní identity) v rámci zvláštní publikace (SP) 800-157(Link otevře soubor .pdf na nvlpubs.nist.gov).
Tento článek se týká:
- Plně spravovaná zařízení s Androidem Enterprise verze 7.0 a vyšší
- iOS/iPadOS
- Windows 10
- Windows 11
Organizace, které vyžadují použití čipových karet k ověřování nebo šifrování a podepisování, můžou pomocí Intune zřizovat mobilní zařízení s certifikátem odvozeným z čipové karty uživatele. Tento certifikát se nazývá odvozené přihlašovací údaje. Intune podporuje několik odvozených vystavitelů přihlašovacích údajů, ale pro každého tenanta se používá pouze jeden vystavitel.
O implementaci Intune
Pokud chcete použít Intune odvozených přihlašovacích údajů, musí správce Intune nakonfigurovat tenanta tak, aby pracoval s podporovaným odvozeným vystavitelem přihlašovacích údajů. V systému odvozeného vystavitele přihlašovacích údajů nemusíte konfigurovat žádná Intune specifická nastavení.
Správce Intune určuje odvozené přihlašovací údaje jako metodu ověřování pro následující objekty:
Plně spravovaná zařízení s Androidem Enterprise:
- Běžné typy profilů, jako je Wi-Fi
- Ověřování aplikací
Pro iOS/iPadOS:
- Běžné typy profilů, jako je Wi-Fi, VPN a Email, které zahrnují nativní poštovní aplikaci pro iOS/iPadOS
- Ověřování aplikací
- Podepisování a šifrování S/MIME
Pro Windows:
- Běžné typy profilů, jako je Wi-Fi a VPN
Poznámka
Odvozené přihlašovací údaje jako metoda ověřování pro profily SÍTĚ VPN v současné době nefungují na zařízeních s Windows podle očekávání. Toto chování má vliv jenom na profily SÍTĚ VPN na zařízeních s Windows a bude opraveno v budoucí verzi (bez ETA).
V systémech Android a iOS/iPadOS uživatelé získají odvozené přihlašovací údaje pomocí čipové karty v počítači k ověření u odvozeného vystavitele přihlašovacích údajů. Vystavitel pak vydá mobilnímu zařízení certifikát, který je odvozený z jeho čipové karty. V případě Windows si uživatelé nainstalují aplikaci od odvozeného zprostředkovatele přihlašovacích údajů, který nainstaluje certifikát do zařízení pro pozdější použití. a
Jakmile zařízení obdrží odvozené přihlašovací údaje, použijí se přihlašovací údaje k ověřování a k podepisování a šifrování S/MIME, když jsou aplikace nebo profily přístupu k prostředkům nakonfigurované tak, aby vyžadovaly odvozené přihlašovací údaje.
Požadavky
Než nakonfigurujete tenanta tak, aby používal odvozené přihlašovací údaje, projděte si následující informace.
Podporované platformy
Intune podporuje odvozené přihlašovací údaje na následujících platformách:
- iOS/iPadOS
- Android Enterprise:
- Plně spravovaná zařízení (verze 7.0 a vyšší)
- pracovní profil Corporate-Owned
- Windows 10
- Windows 11
Podporovaní vystaviteři
Intune podporuje jednoho odvozeného vystavitele přihlašovacích údajů na tenanta. Podporují se následující vystavitely:
- DISA Purebred: https://public.cyber.mil/pki-pke/purebred/
- Svěření: https://www.entrust.com/
- Přiměte se: https://www.intercede.com/
Důležité podrobnosti o používání různých vystavitelů najdete v doprovodných materiálech pro daného vystavitele. Další informace najdete v části Plánování odvozených přihlašovacích údajů v tomto článku.
Důležité
Pokud z tenanta odstraníte odvozeného vystavitele přihlašovacích údajů, odvozené přihlašovací údaje, které byly nastavené prostřednictvím daného vystavitele, už nebudou fungovat.
Viz Změna odvozeného vystavitele přihlašovacích údajů dále v tomto článku.
Požadované aplikace
Naplánujte nasazení příslušné uživatelské aplikace do zařízení, která registrují odvozené přihlašovací údaje. Uživatelé zařízení používají aplikaci ke spuštění procesu registrace přihlašovacích údajů.
- Zařízení s iOSem používají aplikaci Portál společnosti. Viz Přidání aplikací z obchodu pro iOS do Microsoft Intune.
- Plně spravovaná zařízení s androidem Enterprise a Corporate-Owned pracovním profilem používají aplikaci Intune. Viz Přidání aplikací z Obchodu pro Android do Microsoft Intune.
Plánování odvozených přihlašovacích údajů
Před nastavením odvozeného vystavitele přihlašovacích údajů pro Android a iOS/iPadOS se seznamte s následujícími aspekty.
Informace o zařízeních s Windows najdete v části Odvozené přihlašovací údaje pro Windows dále v tomto článku.
1 – Projděte si dokumentaci ke zvolenému vystaviteli odvozených přihlašovacích údajů.
Než nakonfigurujete vystavitele, projděte si jeho dokumentaci, abyste pochopili, jak jeho systém do zařízení doručuje odvozené přihlašovací údaje.
V závislosti na zvoleném vystaviteli možná budete potřebovat, aby v době registrace byli k dispozici zaměstnanci, kteří uživatelům pomůžou proces dokončit. Zkontrolujte také aktuální konfigurace Intune a ujistěte se, že neblokují přístup potřebný pro zařízení nebo uživatele k dokončení žádosti o přihlašovací údaje.
Podmíněný přístup můžete například použít k blokování přístupu k e-mailu pro zařízení nedodržující předpisy. Pokud se spoléháte na e-mailová oznámení, která uživatele informují o zahájení procesu registrace odvozených přihlašovacích údajů, nemusí uživatelé tyto pokyny obdržet, dokud nebudou dodržovat zásady.
Podobně některé odvozené pracovní postupy žádosti o přihlašovací údaje vyžadují použití kamery zařízení ke skenování kódu QR na obrazovce. Tento kód propojí toto zařízení s požadavkem na ověření, ke kterému došlo u odvozeného vystavitele přihlašovacích údajů, s přihlašovacími údaji čipové karty uživatele. Pokud zásady konfigurace zařízení blokují používání kamery, uživatel nemůže dokončit odvozenou žádost o registraci přihlašovacích údajů.
Obecné informace:
Najednou můžete nakonfigurovat jenom jednoho vystavitele pro každého tenanta a tento vystavitel je k dispozici všem uživatelům a podporovaným zařízením ve vašem tenantovi.
Uživatelé nebudou upozorněni, že se musí zaregistrovat pro odvozené přihlašovací údaje, dokud na ně nezacílíte pomocí zásad, které vyžadují odvozené přihlašovací údaje.
Oznámení může být prostřednictvím oznámení aplikace pro Portál společnosti, e-mailem nebo obojím. Pokud se rozhodnete používat e-mailová oznámení a použijete povolený podmíněný přístup, nemusí uživatelé dostávat e-mailové oznámení, pokud jejich zařízení nedodržuje předpisy.
Důležité
Pokud chcete zajistit, aby koncoví uživatelé úspěšně dostávali oznámení související s přihlašovacími údaji zařízení, měli byste povolit oznámení aplikací pro Portál společnosti, e-mailová oznámení nebo obojí.
2 – Kontrola pracovního postupu koncového uživatele pro zvoleného vystavitele
Níže jsou uvedené klíčové aspekty pro každého podporovaného partnera. Seznamte se s těmito informacemi, abyste měli jistotu, že zásady a konfigurace Intune neblokují uživatelům a zařízením úspěšné dokončení registrace odvozených přihlašovacích údajů od tohoto vystavitele.
DISA Purebred
Projděte si pracovní postup uživatele pro konkrétní platformu pro zařízení, která budete používat s odvozenými přihlašovacími údaji.
- iOS a iPadOS
- Android Enterprise - Pracovní profil vlastněný společností nebo plně spravovaná zařízení
Mezi klíčové požadavky patří:
Uživatelé potřebují přístup k počítači nebo veřejnému terminálu, kde se můžou pomocí čipové karty ověřit u vystavitele.
Zařízení s iOSem a iPadOS, která se zaregistrují pro odvozené přihlašovací údaje, musí nainstalovat aplikaci Portál společnosti Intune. Zařízení s plně spravovaným a Corporate-Owned pracovním profilem Androidu musí nainstalovat a používat aplikaci Intune.
Pomocí Intune nasaďte aplikaci DISA Purebred do zařízení, která se zaregistrují pro odvozené přihlašovací údaje. Tato aplikace se musí nasadit prostřednictvím Intune, aby byla spravovaná a pak fungovala s aplikací Portál společnosti Intune nebo aplikací Intune, kterou uživatelé zařízení používají k dokončení odvozené žádosti o přihlašovací údaje.
Pokud chcete načíst odvozené přihlašovací údaje z aplikace Purebred, musí mít zařízení přístup k místní síti. Přístup může být přes podnikovou Wi-Fi nebo VPN.
Uživatelé zařízení musí během procesu registrace pracovat s živým agentem. Během registrace se uživateli během procesu registrace poskytují časově omezená jednorázová hesla.
Po provedení změn zásad, které používají odvozené přihlašovací údaje, jako je vytvoření nového profilu Wi-Fi, se uživatelům iOSu a iPadOS zobrazí oznámení o otevření aplikace Portál společnosti.
Uživatelům se zobrazí oznámení, že mají otevřít příslušnou aplikaci, když potřebují obnovit odvozené přihlašovací údaje.
Proces prodlužování platnosti probíhá takto:
- Odvozený vystavitel přihlašovacích údajů musí vystavovat nové nebo aktualizované certifikáty, aby předchozí certifikáty prošly 80 % doby platnosti.
- Zařízení se přihlásí během období prodlužování platnosti (posledních 20 % doby platnosti).
- Microsoft Intune upozorní uživatele e-mailem nebo oznámením aplikace, aby Portál společnosti spustil.
- Uživatel spustí Portál společnosti, klepne na odvozené oznámení o přihlašovacích údajích a potom se odvozené certifikáty přihlašovacích údajů zkopírují do zařízení.
Informace o získání a konfiguraci aplikace DISA Purebred najdete v části Nasazení aplikace DISA Purebred dále v tomto článku.
Svěřit
Projděte si pracovní postup uživatele pro konkrétní platformu pro zařízení, která budete používat s odvozenými přihlašovacími údaji.
- iOS a iPadOS
- Android Enterprise- Pracovní profil vlastněný společností nebo plně spravovaná zařízení
Mezi klíčové požadavky patří:
Uživatelé potřebují přístup k počítači nebo veřejnému terminálu, kde se můžou pomocí čipové karty ověřit u vystavitele.
Zařízení s iOSem a iPadOS, která se zaregistrují pro odvozené přihlašovací údaje, musí nainstalovat aplikaci Portál společnosti Intune. Zařízení s plně spravovaným a Corporate-Owned pracovním profilem Androidu musí nainstalovat a používat aplikaci Intune.
Pomocí kamery zařízení můžete naskenovat kód QR, který propojí žádost o ověření s odvozenou žádostí o přihlašovací údaje z mobilního zařízení.
Aplikace Portál společnosti nebo e-mailem zobrazí uživatelům výzvu k registraci odvozených přihlašovacích údajů.
Při provádění změn zásad, které používají odvozené přihlašovací údaje, jako je například vytvoření nového profilu Wi-Fi:
- iOS a iPadOS – uživatelům se zobrazí oznámení o otevření aplikace Portál společnosti.
- Pracovní profil Androidu Enterprisevlastněný společností nebo plně spravovaná zařízení – aplikace Portál společnosti se nemusí otevírat.
Uživatelům se zobrazí oznámení, že mají otevřít příslušnou aplikaci, když potřebují obnovit odvozené přihlašovací údaje.
Proces prodlužování platnosti probíhá takto:
- Odvozený vystavitel přihlašovacích údajů musí vystavovat nové nebo aktualizované certifikáty, aby předchozí certifikáty prošly 80 % doby platnosti.
- Zařízení se přihlásí během období prodlužování platnosti (posledních 20 % doby platnosti).
- Microsoft Intune upozorní uživatele e-mailem nebo oznámením aplikace, aby Portál společnosti spustil.
- Uživatel spustí Portál společnosti, klepne na odvozené oznámení o přihlašovacích údajích a potom se odvozené certifikáty přihlašovacích údajů zkopírují do zařízení.
Zakročit
Projděte si pracovní postup uživatele pro konkrétní platformu pro zařízení, která budete používat s odvozenými přihlašovacími údaji.
- iOS a iPadOS
- Android Enterprise - Pracovní profil vlastněný společností nebo plně spravovaná zařízení
Mezi klíčové požadavky patří:
Uživatelé potřebují přístup k počítači nebo veřejnému terminálu, kde se můžou pomocí čipové karty ověřit u vystavitele.
Zařízení s iOSem a iPadOS, která se zaregistrují pro odvozené přihlašovací údaje, musí nainstalovat aplikaci Portál společnosti Intune. Zařízení s plně spravovaným a Corporate-Owned pracovním profilem Androidu musí nainstalovat a používat aplikaci Intune.
Pomocí kamery zařízení můžete naskenovat kód QR, který propojí žádost o ověření s odvozenou žádostí o přihlašovací údaje z mobilního zařízení.
Aplikace Portál společnosti nebo e-mailem zobrazí uživatelům výzvu k registraci odvozených přihlašovacích údajů.
Při provádění změn zásad, které používají odvozené přihlašovací údaje, jako je například vytvoření nového profilu Wi-Fi:
- iOS a iPadOS – uživatelům se zobrazí oznámení o otevření aplikace Portál společnosti.
- Pracovní profil Androidu Enterprisevlastněný společností nebo plně spravovaná zařízení – aplikace Portál společnosti se nemusí otevírat.
Uživatelům se zobrazí oznámení, že mají otevřít příslušnou aplikaci, když potřebují obnovit odvozené přihlašovací údaje.
Proces prodlužování platnosti probíhá takto:
- Odvozený vystavitel přihlašovacích údajů musí vystavovat nové nebo aktualizované certifikáty, aby předchozí certifikáty prošly 80 % doby platnosti.
- Zařízení se přihlásí během období prodlužování platnosti (posledních 20 % doby platnosti).
- Microsoft Intune upozorní uživatele e-mailem nebo oznámením aplikace, aby Portál společnosti spustil.
- Uživatel spustí Portál společnosti, klepne na odvozené oznámení o přihlašovacích údajích a potom se odvozené certifikáty přihlašovacích údajů zkopírují do zařízení.
3. Nasazení důvěryhodného kořenového certifikátu do zařízení
Důvěryhodný kořenový certifikát se používá s odvozenými přihlašovacími údaji k ověření, jestli je odvozený řetěz certifikátů přihlašovacích údajů platný a důvěryhodný. I když zásady na tento certifikát přímo neodkazují, vyžaduje se důvěryhodný kořenový certifikát. Viz Konfigurace profilu certifikátu pro vaše zařízení v Microsoft Intune.
4 – Poskytněte koncovým uživatelům pokyny, jak získat odvozené přihlašovací údaje.
Vytvořte a poskytněte uživatelům pokyny, jak zahájit proces registrace odvozených přihlašovacích údajů a jak vás procházet odvozený pracovní postup registrace přihlašovacích údajů pro vámi zvoleného vystavitele.
Doporučujeme zadat adresu URL, která bude hostitelem vašich pokynů. Tuto adresu URL zadáte při konfiguraci odvozeného vystavitele přihlašovacích údajů pro vašeho tenanta a tato adresa URL se zpřístupní z aplikace Portál společnosti. Pokud nezadáte vlastní adresu URL, Intune poskytne odkaz na obecné podrobnosti. Tyto podrobnosti nemůžou pokrýt všechny scénáře a nemusí být správné pro vaše prostředí.
5. Nasazení zásad Intune, které vyžadují odvozené přihlašovací údaje
Vytvořte nové zásady nebo upravte stávající zásady tak, aby používaly odvozené přihlašovací údaje. Odvozené přihlašovací údaje nahrazují jiné metody ověřování pro následující objekty:
- Ověřování aplikací
- Wi-Fi
- Integrace VPN
- Email (jenom iOS)
- Podepisování a šifrování S/MIME, včetně Outlooku (jenom iOS)
Vyhněte se použití odvozených přihlašovacích údajů pro přístup k procesu, který použijete jako součást procesu k získání odvozených přihlašovacích údajů, protože to může uživatelům zabránit v dokončení žádosti.
Nastavení odvozeného vystavitele přihlašovacích údajů
Před vytvořením zásad, které vyžadují použití odvozených přihlašovacích údajů, nastavte vystavitele přihlašovacích údajů v Centru pro správu Microsoft Intune. Odvozený vystavitel přihlašovacích údajů je nastavení celého tenanta. Tenanti podporují najednou jenom jednoho vystavitele.
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Konektory pro správu>tenanta a odvozenépřihlašovací údaje tokenů>.
Zadejte popisný zobrazovaný název odvozené zásady vystavitele přihlašovacích údajů. Tento název se uživatelům zařízení nezobrazuje.
V části Odvozený vystavitel přihlašovacích údajů vyberte odvozeného vystavitele přihlašovacích údajů, kterého jste zvolili pro svého tenanta:
- DISA Purebred (jenom iOS)
- Svěřit
- Zakročit
Zadejte adresu URL nápovědy k odvozeným přihlašovacím údajům , která poskytne odkaz na umístění, které obsahuje vlastní pokyny, které uživatelům pomůžou získat odvozené přihlašovací údaje pro vaši organizaci. Pokyny by měly být specifické pro vaši organizaci a pracovní postup, který je nutný k získání přihlašovacích údajů od zvoleného vystavitele. Odkaz se zobrazí v aplikaci Portál společnosti a měl by být přístupný ze zařízení.
Pokud nezadáte vlastní adresu URL, Intune poskytne odkaz na obecné podrobnosti, které nemůžou pokrýt všechny scénáře. Tyto obecné pokyny nemusí být pro vaše prostředí správné.
Vyberte jednu nebo více možností pro Typ oznámení. Typy oznámení jsou metody, které slouží k informování uživatelů o následujících scénářích:
- Zaregistrujte zařízení u vystavitele, abyste získali nové odvozené přihlašovací údaje.
- Získejte nové odvozené přihlašovací údaje, když se aktuální přihlašovací údaje blíží vypršení platnosti.
- Použijte odvozené přihlašovací údaje s podporovaným objektem.
Až budete připravení, vyberte Uložit a dokončete konfiguraci odvozeného vystavitele přihlašovacích údajů.
Po uložení konfigurace můžete provádět změny ve všech polích s výjimkou odvozeného vystavitele přihlašovacích údajů. Informace o změně vystavitele najdete v tématu Změna odvozeného vystavitele přihlašovacích údajů.
Nasazení aplikace DISA Purebred
Tato část platí pouze v případě, že používáte DISA Purebred.
Pokud chcete jako odvozeného vystavitele přihlašovacích údajů pro Intune použít DISA Purebred, musíte získat aplikaci DISA Purebred a pak aplikaci nasadit do zařízení pomocí Intune. Potom si uživatelé vyžádají odvozené přihlašovací údaje z DISA Purebred pomocí aplikace Portál společnosti na zařízení se systémem iOS/iPadOS nebo aplikace Intune na svých zařízeních s Androidem.
Kromě nasazení aplikace DISA Purebred s Intune musí mít zařízení přístup k místní síti. Pokud chcete tento přístup poskytnout, zvažte použití sítě VPN nebo podnikové Sítě Wi-Fi.
Proveďte následující úlohy:
Stáhněte si aplikaci DISA Purebred: https://cyber.mil/pki-pke/purebred/.
Nasaďte aplikaci DISA Purebred v Intune.
- Viz Přidání obchodní aplikace pro iOS do Microsoft Intune.
- Viz Přidání obchodní aplikace pro Android do Microsoft Intune
Může se vyžadovat další nastavení pro aplikaci Purebred. Obraťte se na svého agenta Purebred, abyste pochopili, které hodnoty by měly být zahrnuty do vašich zásad. Pokud máte společnou přístupovou kartu vydanou pro DoD, můžete získat přístup k dokumentaci k purebred online na adrese. https://cyber.mil/pki-pke/purebred/.
Pokud se rozhodnete pro aplikaci DISA Purebred použít síť VPN pro jednotlivé aplikace, přečtěte si téma Vytvoření sítě VPN pro jednotlivé aplikace.
Použití odvozených přihlašovacích údajů pro ověřování a podepisování a šifrování S/MIME
Odvozené přihlašovací údaje můžete zadat pro následující typy profilů a účely:
Email:
Síť vpn:
Wi-Fi:
Pro profily Wi-Fi je metoda ověřování dostupná jenom v případě, že je typ protokolu EAP nastavený na jednu z následujících hodnot:
- EAP – TLS
- EAP-TTLS
- PROTOKOL PEAP
Použití odvozených přihlašovacích údajů pro ověřování aplikací
Pro ověřování na webech a aplikacích pomocí certifikátů používejte odvozené přihlašovací údaje. Doručení odvozených přihlašovacích údajů pro ověřování aplikací:
Přihlaste se k Centru pro správu Microsoft 365.
Vyberte Zařízení> Spravovatkonfiguraci>zařízení> Na kartě Zásady vyberte + Vytvořit.
Použijte následující nastavení:
Pro iOS a iPadOS:
- Pro platformu. vyberte iOS/iPadOS a pak jako Typ profilu vyberte Šablony > Odvozené přihlašovací údaje. Pokračujte výběrem možnosti Vytvořit .
- Do pole Název zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název profilu je například Odvozené přihlašovací údaje pro profil zařízení s iOSem.
- Do pole Popis zadejte popis, který poskytuje přehled nastavení, a všechny další důležité podrobnosti.
Pro Android Enterprise:
- Pro platformu. vyberte Android Enterprise a pak jako Typ profilu v části Plně spravované, Vyhrazené a Corporate-Owned pracovní profil vyberte Odvozené přihlašovací údaje. Pokračujte výběrem možnosti Vytvořit .
- Do pole Název zadejte popisný název profilu. Zásady pojmenujte, abyste je později mohli snadno identifikovat. Dobrý název profilu je například Odvozené přihlašovací údaje pro profil zařízení s Androidem Enterprise.
- Do pole Popis zadejte popis, který poskytuje přehled nastavení, a všechny další důležité podrobnosti.
- Na stránce Aplikace nakonfigurujte přístup k certifikátům , abyste mohli spravovat způsob udělování přístupu k certifikátům aplikacím. Vyberte si z:
- Vyžadovat souhlas uživatele pro aplikace(výchozí) – Uživatelé musí schválit použití certifikátu všemi aplikacemi.
- Udělovat bezobslužné udělení pro konkrétní aplikace (vyžadovat souhlas uživatele pro jiné aplikace) – Pomocí této možnosti vyberte Přidat aplikace a pak vyberte jednu nebo více aplikací, které budou certifikát bez zásahu uživatele bez zásahu uživatele používat.
Na stránce Přiřazení vyberte skupiny, které mají zásadu přijímat.
Po dokončení vyberte Vytvořit a vytvořte profil Intune. Po dokončení se váš profil zobrazí v seznamu Zařízení – Konfigurační profily .
Uživatelé obdrží oznámení o aplikaci nebo e-mailu v závislosti na nastaveních, která jste zadali při nastavování odvozeného vystavitele přihlašovacích údajů. Oznámení informuje uživatele, aby spustil Portál společnosti, aby bylo možné zpracovat odvozené zásady přihlašovacích údajů.
Odvozené přihlašovací údaje pro Windows
Odvozené certifikáty můžete použít jako metodu ověřování pro profily Wi-Fi a VPN na zařízeních s Windows. Stejní poskytovatelé podporovaní zařízeními s Androidem a iOS/iPadOS jsou podporovaní jako poskytovatelé pro Windows:
- DISA Purebred
- Svěřit
- Zakročit
Poznámka
Odvozené přihlašovací údaje jako metoda ověřování pro profily SÍTĚ VPN v současné době nefungují na zařízeních s Windows podle očekávání. Toto chování má vliv pouze na profily VPN na zařízeních s Windows a bude opraveno v budoucí verzi (bez ETA).
Ve Windows uživatelé nepracují prostřednictvím procesu registrace čipové karty, aby získali certifikát pro použití jako odvozené přihlašovací údaje. Místo toho musí uživatel nainstalovat aplikaci pro Windows, která se získá od odvozeného zprostředkovatele přihlašovacích údajů. Pokud chcete v systému Windows použít odvozené přihlašovací údaje, proveďte následující konfigurace:
Nainstalujte aplikaci z odvozených zprostředkovatelů přihlašovacích údajů na zařízení s Windows.
Když nainstalujete aplikaci pro Windows od odvozeného zprostředkovatele přihlašovacích údajů na zařízení s Windows, přidá se odvozený certifikát do úložiště certifikátů Windows daného zařízení. Po přidání certifikátu do zařízení bude k dispozici pro použití odvozené metody ověřování přihlašovacích údajů.
Jakmile aplikaci získáte od vybraného poskytovatele, můžete ji nasadit do služby Uživatelé nebo ji přímo nainstalovat uživatel zařízení.
Nakonfigurujte profily Wi-Fi a VPN tak, aby jako metodu ověřování používaly odvozené přihlašovací údaje.
Při konfiguraci profilu Systému Windows pro Wi-Fi nebo VPN jako Metodu ověřování vyberte Odvozené přihlašovací údaje. Při této konfiguraci profil používá certifikát, který se nainstaluje do zařízení při instalaci aplikace poskytovatele.
Obnovení odvozených přihlašovacích údajů
Odvozené přihlašovací údaje pro zařízení s Androidem nebo iOS/iPadOS nejde prodloužit ani prodloužit. Místo toho musí uživatelé použít pracovní postup žádosti o přihlašovací údaje k vyžádání nových odvozených přihlašovacích údajů pro své zařízení. V případě zařízení s Windows si projděte dokumentaci k aplikaci od odvozeného zprostředkovatele přihlašovacích údajů.
Pokud pro typ oznámení nakonfigurujete jednu nebo více metod, Intune automaticky upozorní uživatele, když aktuální odvozené přihlašovací údaje dosáhnou 80 % své životnosti. Oznámení nasměruje uživatele, aby prošli procesem žádosti o přihlašovací údaje a získali nové odvozené přihlašovací údaje.
Jakmile zařízení obdrží nové odvozené přihlašovací údaje, zásady, které používají odvozené přihlašovací údaje, ho znovu nasadí.
Změna odvozeného vystavitele přihlašovacích údajů
Na úrovni tenanta můžete změnit vystavitele přihlašovacích údajů, i když tenant najednou podporuje jenom jednoho vystavitele.
Po změně vystavitele se uživatelům zobrazí výzva k získání nových odvozených přihlašovacích údajů od nového vystavitele. Musí to udělat předtím, než budou moct k ověřování použít odvozené přihlašovací údaje.
Změna vystavitele pro vašeho tenanta
Důležité
Pokud odstraníte vystavitele a okamžitě ho znovu nakonfigurujete, musíte přesto aktualizovat profily a zařízení tak, aby používaly odvozené přihlašovací údaje od daného vystavitele. Odvozené přihlašovací údaje, které byly získány před odstraněním vystavitele, již nejsou platné.
- Přihlaste se k Centru pro správu Microsoft 365.
- Vyberte Konektory pro správu>tenanta a odvozenépřihlašovací údaje tokenů>.
- Výběrem možnosti Odstranit odeberte aktuálního vystavitele odvozených přihlašovacích údajů.
- Nakonfigurujte nového vystavitele.
Aktualizace profilů, které používají odvozené přihlašovací údaje
Po odstranění vystavitele a následném přidání nového upravte každý profil, který používá odvozené přihlašovací údaje. Toto pravidlo platí i v případě, že obnovíte předchozí vystavitele. Každá úprava profilu aktivuje aktualizaci, včetně jednoduché úpravy popisu profilu.
Aktualizace odvozených přihlašovacích údajů na zařízeních
Po odstranění vystavitele a následném přidání nového musí uživatelé zařízení požádat o nové odvozené přihlašovací údaje. Toto pravidlo platí i v případě, že přidáte stejného vystavitele, který jste odebrali. Proces vyžádání nových odvozených přihlašovacích údajů je stejný jako při registraci nového zařízení nebo obnovení stávajících přihlašovacích údajů.