Dela via


Använda certifikat för autentisering i Microsoft Intune

Använd certifikat med Intune för att autentisera dina användare till program och företagsresurser via VPN-, Wi-Fi- eller e-postprofiler. När du använder certifikat för att autentisera dessa anslutningar behöver slutanvändarna inte ange användarnamn och lösenord, vilket kan göra deras åtkomst sömlös. Certifikat används också för signering och kryptering av e-post med hjälp av S/MIME.

Introduktion till certifikat med Intune

Certifikat ger autentiserad åtkomst utan dröjsmål genom följande två faser:

  • Autentiseringsfas: Användarens äkthet kontrolleras för att bekräfta att användaren är den användaren påstår sig vara.
  • Auktoriseringsfas: Användaren utsätts för villkor för vilka ett beslut görs om huruvida användaren ska ges åtkomst.

Vanliga användningsscenarier för certifikat är:

  • Nätverksautentisering (till exempel 802.1x) med enhets- eller användarcertifikat
  • Autentisera med VPN-servrar med hjälp av enhets- eller användarcertifikat
  • Signera e-post baserat på användarcertifikat

Intune stöder SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) och importerade PKCS-certifikat som metoder för att etablera certifikat på enheter. De olika etableringsmetoderna har olika krav och resultat. Till exempel:

  • SCEP etablerar certifikat som är unika för varje begäran för certifikatet.
  • PKCS etablerar varje enhet med ett unikt certifikat.
  • Med importerad PKCS kan du distribuera samma certifikat som du har exporterat från en källa, till exempel en e-postserver, till flera mottagare. Det här delade certifikatet är användbart för att säkerställa att alla användare eller enheter sedan kan dekryptera e-postmeddelanden som har krypterats av certifikatet.

Om du vill etablera en användare eller enhet med en viss typ av certifikat använder Intune en certifikatprofil.

Förutom de tre certifikattyperna och etableringsmetoderna behöver du ett betrott rotcertifikat från en betrodd certifikatutfärdare (CA). Certifikatutfärdare kan vara en lokal Microsoft Certification utfärdare eller en certifikatutfärdare från tredje part. Det betrodda rotcertifikatet upprättar ett förtroende från enheten till din rot- eller mellanliggande (utfärdande) certifikatutfärdare från vilken de andra certifikaten utfärdas. Om du vill distribuera det här certifikatet använder du den betrodda certifikatprofilen och distribuerar den till samma enheter och användare som tar emot certifikatprofilerna för SCEP, PKCS och importerade PKCS.

Tips

Intune stöder även användning av härledda autentiseringsuppgifter för miljöer som kräver användning av smartkort.

Vad som krävs för att använda certifikat

  • En certifikatutfärdare. Din certifikatutfärdare är den förtroendekälla som certifikaten refererar till för autentisering. Du kan använda en Microsoft CA eller en certifikatutfärdare från tredje part.
  • Lokal infrastruktur. Vilken infrastruktur du behöver beror på vilka certifikattyper du använder:
  • Ett betrott rotcertifikat. Innan du distribuerar SCEP- eller PKCS-certifikatprofiler distribuerar du det betrodda rotcertifikatet från certifikatutfärdare med hjälp av en betrodd certifikatprofil . Den här profilen hjälper till att upprätta förtroendet från enheten tillbaka till certifikatutfärdare och krävs av de andra certifikatprofilerna.

När ett betrott rotcertifikat har distribuerats är du redo att distribuera certifikatprofiler för att etablera användare och enheter med certifikat för autentisering.

Vilken certifikatprofil som ska användas

Följande jämförelser är inte omfattande men avsedda att hjälpa till att särskilja användningen av de olika certifikatprofiltyperna.

Profiltyp Information
Betrott certifikat Använd för att distribuera den offentliga nyckeln (certifikatet) från en rotcertifikatutfärdare eller mellanliggande certifikatutfärdare till användare och enheter för att upprätta ett förtroende tillbaka till källcertifikatutfärdare. Andra certifikatprofiler kräver den betrodda certifikatprofilen och dess rotcertifikat.
SCEP-certifikat Distribuerar en mall för en certifikatbegäran till användare och enheter. Varje certifikat som etableras med SCEP är unikt och kopplat till den användare eller enhet som begär certifikatet.

Med SCEP kan du distribuera certifikat till enheter som saknar användartillhörighet, inklusive användning av SCEP för att etablera ett certifikat på KIOSK- eller användarlös enhet.
PKCS-certifikat Distribuerar en mall för en certifikatbegäran som anger en certifikattyp för antingen användare eller enhet.

– Begäranden för en certifikattyp av användare kräver alltid användartillhörighet. När de distribueras till en användare får var och en av användarens enheter ett unikt certifikat. När användaren distribueras till en enhet med en användare associeras den med certifikatet för den enheten. När det distribueras till en användarlös enhet etableras inget certifikat.
– Mallar med en certifikattyp av enheten kräver inte användartillhörighet för att etablera ett certifikat. Distribution till en enhet etablerar enheten. Distribution till en användare etablerar enheten som användaren är inloggad på med ett certifikat.
PKCS-importerat certifikat Distribuerar ett enda certifikat till flera enheter och användare, som stöder scenarier som S/MIME-signering och kryptering. Genom att till exempel distribuera samma certifikat till varje enhet kan varje enhet dekryptera e-post som tas emot från samma e-postserver.

Andra distributionsmetoder för certifikat är otillräckliga för det här scenariot, eftersom SCEP skapar ett unikt certifikat för varje begäran och PKCS associerar ett annat certifikat för varje användare, med olika användare som får olika certifikat.

Intune certifikat och användning som stöds

Typ Autentisering S/MIME-signering S/MIME-kryptering
PKCS-importerat certifikat (Public Key Cryptography Standards) Stöds Stöds
PKCS#12 (eller PFX) Stöds Stöds
Simple Certificate Enrollment Protocol (SCEP) Stöds Stöds

Om du vill distribuera dessa certifikat skapar och tilldelar du certifikatprofiler till enheter.

Varje enskild certifikatprofil som du skapar stöder en enda plattform. Om du till exempel använder PKCS-certifikat skapar du PKCS-certifikatprofil för Android och en separat PKCS-certifikatprofil för iOS/iPadOS. Om du också använder SCEP-certifikat för dessa två plattformar skapar du en SCEP-certifikatprofil för Android och en annan för iOS/iPadOS.

Allmänna överväganden när du använder en Microsoft Certification utfärdare

När du använder en Microsoft Certification-utfärdare (CA):

Allmänna överväganden när du använder en tredjepartscertifikatutfärdare

När du använder en tredjepartscertifikatutfärdare (icke-Microsoft) (CA):

  • SCEP-certifikatprofiler kräver inte användning av Microsoft Intune Certificate Connector. I stället hanterar certifikatutfärdare från tredje part certifikatutfärdande och hantering direkt. Så här använder du SCEP-certifikatprofiler utan Intune Certificate Connector:

    • Konfigurera integrering med en tredjeparts-CA från en av våra partner som stöds. Installationsprogrammet omfattar att följa anvisningarna från tredjeparts-CA:en för att slutföra integreringen av certifikatutfärdarna med Intune.
    • Skapa ett program i Microsoft Entra ID som delegerar behörighet att Intune att utföra verifiering av SCEP-certifikatutmaningar.

    Mer information finns i Konfigurera ca-integrering från tredje part

  • PKCS-importerade certifikat kräver användning av Microsoft Intune Certificate Connector. Se Installera certifikatanslutningsappen för Microsoft Intune.

  • Distribuera certifikat med hjälp av följande mekanismer:

    • Betrodda certifikatprofiler för att distribuera det betrodda rotcertifikatutfärdarcertifikatet från din rot- eller mellanliggande (utfärdande) certifikatutfärdare till enheter
    • SCEP-certifikatprofiler
    • PKCS-certifikatprofiler (stöds endast med Digicert PKI-plattformen)
    • PKCS-importerade certifikatprofiler

Plattformar och certifikatprofiler som stöds

Plattform Betrodd certifikatprofil PKCS-certifikatprofil SCEP-certifikatprofil PKCS-importerad certifikatprofil
Android-enhetsadministratör Stödd
(se Anmärkning 1)
Stöds Stöds Stöds
Android Enterprise
– fullständigt hanterad (enhetsägare)
Stöds Stöds Stöds Stöds
Android Enterprise
– Dedikerad (enhetsägare)
Stöds Stöds Stöds Stöds
Android Enterprise
– Corporate-Owned arbetsprofil
Stöds Stöds Stöds Stöds
Android Enterprise
– Personally-Owned arbetsprofil
Stöds Stöds Stöds Stöds
Android (AOSP) Stöds Stöds Stöds
iOS/iPadOS Stöds Stöds Stöds Stöds
macOS Stöds Stöds Stöds Stöds
Windows 8.1 och senare Stöds Stöds
Windows 10/11 Stödd
(se Anmärkning 2)
Stödd
(se Anmärkning 2)
Stödd
(se Anmärkning 2)
Stöds

Viktigt

Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.

Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Fler resurser:

Skapa certifikatprofiler:

Läs mer om certifikatanslutningsappen för Microsoft Intune