Profile zaufanego certyfikatu głównego dla Microsoft Intune

W przypadku używania Intune do aprowizowania urządzeń z certyfikatami w celu uzyskania dostępu do zasobów firmowych i sieci użyj profilu zaufanego certyfikatu, aby wdrożyć zaufany certyfikat główny na tych urządzeniach. Zaufane certyfikaty główne ustanawiają relację zaufania z urządzenia do głównego lub pośredniego (wystawiającego) urzędu certyfikacji, z którego są wystawiane inne certyfikaty.

Profil zaufanego certyfikatu można wdrożyć na tych samych urządzeniach i na tych samych urządzeniach, którzy otrzymują profile certyfikatów dla protokołu SCEP (Simple Certificate Enrollment Protocol), standardów kryptografii klucza publicznego (PKCS) i zaimportowanych PKCS.

Porada

Profile zaufanych certyfikatów są obsługiwane w przypadku pulpitów zdalnych z wieloma sesjami systemu Windows Enterprise.

Eksportowanie zaufanego certyfikatu głównego urzędu certyfikacji

Aby używać zaimportowanych certyfikatów PKCS, SCEP i PKCS, urządzenia muszą ufać głównemu urzędowi certyfikacji. Aby ustanowić zaufanie, wyeksportuj certyfikat zaufanego głównego urzędu certyfikacji oraz wszelkie pośrednie lub wystawiające certyfikaty urzędu certyfikacji jako certyfikat publiczny (.cer). Te certyfikaty można pobrać z urzędu wystawiającego certyfikaty lub z dowolnego urządzenia, które ufa twojemu wystawiającemu urzędu certyfikacji.

Aby wyeksportować certyfikat, zapoznaj się z dokumentacją urzędu certyfikacji. Musisz wyeksportować certyfikat publiczny jako plik zakodowany .cer w formacie DER. Nie eksportuj klucza prywatnego, .pfx czyli pliku.

Ten plik jest używany .cer podczas tworzenia profilów zaufanych certyfikatów w celu wdrożenia tego certyfikatu na urządzeniach.

Tworzenie profilów zaufanych certyfikatów

Przed utworzeniem profilu zaimportowanego certyfikatu SCEP, PKCS lub PKCS utwórz i wdróż profil zaufanego certyfikatu. Wdróż profil zaufanego certyfikatu w tych samych grupach, które otrzymują inne typy profilów certyfikatów. Ten krok zapewnia, że każde urządzenie może rozpoznać zasadność urzędu certyfikacji, w tym profile sieci VPN, sieci Wi-Fi i profilów poczty e-mail.

Profile certyfikatów SCEP bezpośrednio odwołują się do profilu zaufanego certyfikatu. Profile certyfikatów PKCS nie odwołują się bezpośrednio do profilu zaufanego certyfikatu, ale bezpośrednio odwołują się do serwera hostującego urząd certyfikacji. Profile zaimportowanych certyfikatów PKCS nie odwołują się bezpośrednio do profilu zaufanego certyfikatu, ale mogą go używać na urządzeniu. Wdrożenie profilu zaufanego certyfikatu na urządzeniach gwarantuje ustanowienie tego zaufania. Jeśli urządzenie nie ufa głównemu urzędowi certyfikacji, zasady profilu certyfikatu SCEP lub PKCS nie powiedzie się.

Utwórz oddzielny profil zaufanego certyfikatu dla każdej platformy urządzeń, którą chcesz obsługiwać, podobnie jak w przypadku profilów zaimportowanych certyfikatów SCEP, PKCS i PKCS.

Ważna

Zaufane profile główne utworzone dla platformy Windows 10 i nowszych, są wyświetlane w centrum administracyjnym Microsoft Intune jako profile dla platformy Windows 8.1 i nowszych.

Jest to znany problem z prezentacją platformy dla profilów zaufanych certyfikatów. Profil wyświetla platformę Windows 8.1 i nowsze, ale działa w przypadku Windows 10/11.

Uwaga

Profil zaufanego certyfikatu w Intune może służyć tylko do dostarczania certyfikatów głównych lub pośrednich. Celem wdrażania takich certyfikatów jest ustanowienie łańcucha zaufania. Używanie profilu zaufanego certyfikatu do dostarczania certyfikatów innych niż certyfikaty główne lub pośrednie nie jest obsługiwane przez firmę Microsoft. Podczas wybierania profilu zaufanego certyfikatu w centrum administracyjnym Microsoft Intune może zostać zablokowana możliwość importowania certyfikatów, które nie są uważane za certyfikaty główne lub pośrednie. Nawet jeśli możesz zaimportować i wdrożyć certyfikat, który nie jest certyfikatem głównym lub pośrednim przy użyciu tego typu profilu, prawdopodobnie wystąpią nieoczekiwane wyniki między różnymi platformami, takimi jak iOS i Android.

Profile zaufanych certyfikatów dla administratora urządzeń z systemem Android

Ważna

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Ta funkcja ma zastosowanie do:

• System Android 10 i starsze na urządzeniach innych niż KNOX
• System Android 12 i starsze urządzenia z systemem Samsung KNOX

Ponieważ profile certyfikatów SCEP wymagają zainstalowania zaufanego certyfikatu głównego na urządzeniu i muszą odwoływać się do profilu zaufanego certyfikatu, który z kolei odwołuje się do tego certyfikatu, wykonaj następujące kroki, aby obejść to ograniczenie:

1. Ręczne aprowizowanie urządzenia przy użyciu zaufanego certyfikatu głównego. Aby uzyskać przykładowe wskazówki, zobacz następującą sekcję.

2. Wdróż na urządzeniu profil zaufanego certyfikatu głównego, który odwołuje się do zaufanego certyfikatu głównego zainstalowanego na urządzeniu.

3. Wdróż profil certyfikatu SCEP na urządzeniu, które odwołuje się do profilu zaufanego certyfikatu głównego.

Ten problem nie jest ograniczony do profilów certyfikatów SCEP. W związku z tym zaplanuj ręczne zainstalowanie zaufanego certyfikatu głównego na odpowiednich urządzeniach, jeśli wymagane jest użycie profilów certyfikatów PKCS lub profilów zaimportowanych certyfikatów PKCS.

Dowiedz się więcej o zmianach w obsłudze administratora urządzeń z systemem Android z techcommunity.microsoft.com.

Ręczne aprowizowanie urządzenia przy użyciu zaufanego certyfikatu głównego

Poniższe wskazówki mogą ułatwić ręczne aprowizowanie urządzeń z zaufanym certyfikatem głównym.

1. Pobierz lub przenieś zaufany certyfikat główny na urządzenie z systemem Android. Na przykład możesz użyć poczty e-mail do dystrybucji certyfikatu wśród użytkowników urządzeń lub zezwolić użytkownikom na pobranie go z bezpiecznej lokalizacji. Gdy certyfikat znajduje się na urządzeniu, musi zostać otwarty, nazwany i zapisany. Zapisanie certyfikatu powoduje dodanie go do magazynu certyfikatów użytkownika na urządzeniu.

   1. Aby otworzyć certyfikat na urządzeniu, użytkownik musi zlokalizować i nacisnąć (otworzyć) certyfikat. Na przykład po wysłaniu certyfikatu pocztą e-mail użytkownik urządzenia może nacisnąć lub otworzyć załącznik certyfikatu.
   2. Po otwarciu certyfikatu użytkownik musi podać swój numer PIN lub w inny sposób uwierzytelnić się na urządzeniu, zanim będzie mógł zarządzać certyfikatem.

2. Po uwierzytelnieniu certyfikat zostanie otwarty i musi być nazwany, zanim będzie można go zapisać w magazynie certyfikatów Użytkownicy. Nazwa certyfikatu musi być zgodna z nazwą certyfikatu w profilu zaufanego certyfikatu głównego, który jest wysyłany do urządzenia. Po nazwie certyfikatu można go zapisać.

3. Po zapisaniu certyfikat jest gotowy do użycia. Użytkownik może potwierdzić, że certyfikat znajduje się w prawidłowej lokalizacji na urządzeniu:

   1. Otwórz pozycję Ustawienia>Zaufane poświadczeniazabezpieczeń>. Rzeczywista ścieżka do zaufanych poświadczeń może się różnić w zależności od urządzenia.
   2. Otwórz kartę Użytkownik i znajdź certyfikat.
   3. Jeśli znajduje się na liście certyfikatów użytkownika, certyfikat jest zainstalowany poprawnie.

4. W przypadku certyfikatu głównego zainstalowanego na urządzeniu należy wdrożyć następujące elementy, aby aprowizować certyfikaty SCEP lub PKCS:

   • Profil zaufanego certyfikatu odwołujące się do tego certyfikatu
   • Profil SCEP lub PKCS, który odwołuje się do profilu certyfikatu w celu aprowizacji certyfikatów SCEP lub PKCS.

Aby utworzyć profil zaufanego certyfikatu

1. Zaloguj się do Centrum administracyjnego usługi Microsoft Intune.

2. Wybierz i przejdź do pozycji Urządzenia>Zarządzaj urządzeniami>Utwórz konfigurację>.

   

3. Wprowadź następujące właściwości:

   • Platforma: wybierz platformę urządzeń, które powinny otrzymać ten profil.
   • Profil: w zależności od wybranej platformy wybierz pozycję Zaufany certyfikat lub wybierz pozycję Szablony>Zaufany certyfikat.

   Ważna

   22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.

   Jeśli obecnie używasz systemu Windows 8.1, przejdź na urządzenia z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.

4. Wybierz pozycję Utwórz.

5. W obszarze Podstawy wprowadź następujące właściwości:

   • Nazwa: wprowadź opisową nazwę profilu. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać. Na przykład dobra nazwa profilu to Profil zaufanego certyfikatu dla całej firmy.
   • Opis: wprowadź opis profilu. To ustawienie jest opcjonalne, ale zalecane.

6. Wybierz pozycję Dalej.

7. W obszarze Ustawienia konfiguracji określ .cer plik dla wcześniej wyeksportowanego zaufanego certyfikatu głównego urzędu certyfikacji.

   W przypadku urządzeń Windows 8.1 i Windows 10/11 wybierz magazyn docelowy dla zaufanego certyfikatu z:

   • Magazyn certyfikatów komputera — główny
   • Magazyn certyfikatów komputera — pośredni
   • Magazyn certyfikatów użytkownika — pośredni

   

8. Wybierz pozycję Dalej.

9. W obszarze Przypisania wybierz użytkownika lub grupy, które powinny otrzymać Twój profil. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.

   Wybierz pozycję Dalej.

10. (Dotyczy tylko Windows 10/11) W obszarze Reguły stosowania określ reguły stosowania, aby uściślić przypisanie tego profilu. Profil można przypisać lub nie przypisywać na podstawie wersji lub wersji systemu operacyjnego urządzenia.

    Aby uzyskać więcej informacji, zobacz Reguły stosowania w temacie Tworzenie profilu urządzenia w Microsoft Intune.

11. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany. Zasady są również wyświetlane na liście profilów.

Następne kroki

Tworzenie profilów certyfikatów:

• Konfigurowanie infrastruktury do obsługi certyfikatów SCEP przy użyciu Intune
• Konfigurowanie certyfikatów PKCS i zarządzanie nimi przy użyciu Intune
• Tworzenie profilu zaimportowanego certyfikatu PKCS