搭配使用衍生認證與 Microsoft Intune
衍生認證是國家標準與技術局 (NIST) 指導方針的實作,適用於衍生個人身分識別驗證 (PIV) 認證作為特殊發行 (SP) 800-157 的一部分, (連結會在 nvlpubs.nist.gov) 上開啟 .pdf 檔案。
本文適用於:
- 執行 7.0 版和更新版本的 Android Enterprise 完全受控裝置
- iOS/iPadOS
- Windows 10
- Windows 11
需要使用智慧卡進行驗證或加密和簽署的組織,可以使用 Intune,以衍生自用戶智慧卡的憑證來布建行動裝置。 該憑證稱為 衍生認證。 Intune 支持數個衍生認證簽發者,但每個租使用者只能使用一個簽發者。
關於 Intune的實作
若要使用 Intune 衍生認證,Intune 系統管理員必須設定租使用者以使用支援的衍生認證簽發者。 您不需要在衍生認證簽發者的系統中設定任何 Intune 特定設定。
Intune 系統管理員指定衍生認證作為下列物件的驗證方法:
針對Android Enterprise 完全受控裝置:
- 常見的配置檔類型,例如 Wi-Fi
- 應用程式驗證
針對 iOS/iPadOS:
- Wi-Fi、VPN 和 Email 等常見配置檔類型,包括iOS/iPadOS原生郵件應用程式
- 應用程式驗證
- S/MIME 簽署和加密
針對 Windows:
- Wi-Fi 和 VPN 等常見配置檔類型
注意事項
目前,作為 VPN 配置文件驗證方法的衍生認證無法如預期般在 Windows 裝置上運作。 此行為只會影響 Windows 裝置上的 VPN 配置檔,而且在未來的版本中將會修正, (沒有 ETA) 。
針對 Android 和 iOS/iPadOS,使用者會在電腦上使用智慧卡向衍生認證簽發者進行驗證,以取得衍生認證。 然後,簽發者會向行動裝置發出衍生自其智慧卡的憑證。 針對 Windows,使用者會從衍生認證提供者安裝應用程式,以將憑證安裝到裝置以供稍後使用。 a
裝置收到衍生認證之後,當應用程式或資源存取配置檔設定為需要衍生認證時,認證會用於驗證和 S/MIME 簽署和加密。
必要條件
將租用戶設定為使用衍生認證之前,請先檢閱下列資訊。
支援的平台
Intune 支援下列平臺上的衍生認證:
- iOS/iPadOS
- Android Enterprise:
- 7.0 版和更新版本 (完全受控裝置)
- Corporate-Owned 工作配置檔
- Windows 10
- Windows 11
支援的簽發者
Intune 支援每個租用戶的單一衍生認證簽發者。 支援下列簽發者:
- DISA Purebred: https://public.cyber.mil/pki-pke/purebred/
- Entrust: https://www.entrust.com/
- Intercede: https://www.intercede.com/
如需使用不同簽發者的重要詳細數據,請檢閱該簽發者的指引。 如需詳細資訊,請參閱本文中的 規劃衍生認證 。
必要的應用程式
規劃將相關的使用者面向應用程式部署到註冊衍生認證的裝置。 裝置使用者會使用應用程式來啟動認證註冊程式。
- iOS 裝置會使用 公司入口網站 應用程式。 請參閱將 iOS 市集應用程式新增至 Microsoft Intune。
- Android Enterprise 完全受控和 Corporate-Owned 工作配置檔裝置會使用 Intune 應用程式。 請參閱將Android市集應用程式新增至 Microsoft Intune。
規劃衍生認證
在設定 Android 和 iOS/iPadOS 的衍生認證簽發者之前,請先瞭解下列考慮。
針對 Windows 裝置,請參閱本文稍後的 Windows 衍生認證。
1 - 檢閱所選衍生認證簽發者的檔
設定簽發者之前,請先檢閱該簽發者的檔,以瞭解其系統如何將衍生認證傳遞給裝置。
視您選擇的簽發者而定,您可能需要在註冊時提供員工,以協助使用者完成此程式。 另請檢閱您目前的 Intune 組態,以確保它們不會封鎖裝置或使用者完成認證要求所需的存取。
例如,您可以使用條件式存取來封鎖不相容裝置的電子郵件存取。 如果您依賴電子郵件通知來通知用戶啟動衍生認證註冊程式,您的使用者在符合原則之前可能不會收到這些指示。
同樣地,某些衍生的認證要求工作流程需要使用裝置相機來掃描螢幕上的 QR 代碼。 此程式代碼會將該裝置連結至針對衍生認證簽發者所發生的驗證要求,以及使用者的智慧卡認證。 如果裝置設定原則封鎖相機使用,用戶就無法完成衍生的認證註冊要求。
一般資訊:
您一次只能為每個租用戶設定單一簽發者,且該簽發者可供租使用者中的所有用戶和支持的裝置使用。
除非您以需要衍生認證的原則為目標,否則使用者不會收到必須註冊衍生認證的通知。
通知可以是透過應用程式通知 公司入口網站、透過電子郵件或兩者。 如果您選擇使用電子郵件通知,而且您使用已啟用的條件式存取,如果使用者的裝置不符合規範,則可能不會收到電子郵件通知。
重要事項
若要確保終端使用者成功接收與裝置認證相關的通知,您應該啟用 公司入口網站、電子郵件通知或兩者的應用程式通知。
2 - 檢閱所選簽發者的使用者工作流程
以下是每個支持合作夥伴的重要考慮。 熟悉這項資訊,以確保您的 Intune 原則和設定不會阻止使用者和裝置成功完成從該簽發者取得衍生認證的註冊。
DISA Purebred
檢閱您將搭配衍生認證使用之裝置的平臺特定使用者工作流程。
- iOS 和 iPadOS
- Android Enterprise - 公司擁有的工作配置檔 或 完全受控的裝置
主要需求包括:
使用者需要計算機或 KIOSK 的存取權,才能在其中使用智慧卡向簽發者進行驗證。
將註冊衍生認證的 iOS 和 iPadOS 裝置必須安裝 Intune 公司入口網站 應用程式。 Android 完全受控和 Corporate-Owned 工作設定檔案裝置必須安裝並使用 Intune 應用程式。
使用 Intune 將 DISA Purebred 應用程式部署到將註冊衍生認證的裝置。 此應用程式必須透過 Intune 部署,才能進行管理,然後可以使用 Intune 公司入口網站 應用程式或 Intune 應用程式,讓裝置使用者用來完成衍生認證要求。
若要從 Purebred 應用程式擷取衍生認證,裝置必須能夠存取內部部署網路。 存取可能是透過公司 Wi-Fi 或 VPN。
裝置用戶必須在註冊程式期間使用即時代理程式。 在註冊期間,一次性密碼會在用戶繼續進行註冊程式時提供給使用者。
對使用衍生認證的原則進行變更時,例如建立新的 Wi-Fi 配置檔,iOS 和 iPadOS 使用者會收到開啟 公司入口網站 應用程式的通知。
當使用者需要更新其衍生認證時,系統會通知他們開啟適用的應用程式。
更新程序的發生方式如下:
- 衍生認證簽發者必須先發行新的或更新的憑證,前一個憑證才能通過其有效期間的 80%。
- 裝置會在更新期間簽入, (有效期間的最後 20%) 。
- Microsoft Intune 透過電子郵件或應用程式通知通知用戶啟動 公司入口網站。
- 用戶啟動 公司入口網站 並點選衍生認證通知,然後將衍生認證憑證複製到裝置。
如需取得和設定 DISA Purebred 應用程式的資訊,請參閱本文稍後的 部署 DISA Purebred 應用程式 。
委託
檢閱您將搭配衍生認證使用之裝置的平臺特定使用者工作流程。
- iOS 和 iPadOS
- Android Enterprise- 公司擁有的工作配置檔 或 完全受控的裝置
主要需求包括:
使用者需要計算機或 KIOSK 的存取權,才能在其中使用智慧卡向簽發者進行驗證。
將註冊衍生認證的 iOS 和 iPadOS 裝置必須安裝 Intune 公司入口網站 應用程式。 Android 完全受控和 Corporate-Owned 工作設定檔案裝置必須安裝並使用 Intune 應用程式。
使用裝置相機掃描 QR 代碼,將驗證要求連結至來自行動裝置的衍生認證要求。
公司入口網站 應用程式或透過電子郵件提示用戶註冊衍生認證。
對使用衍生認證的原則進行變更時,例如建立新的 Wi-Fi 配置檔:
- iOS 和 iPadOS - 使用者會收到開啟 公司入口網站 應用程式的通知。
- Android Enterprise 公司擁有的工作配置檔或完全受控裝置 - 公司入口網站 應用程式不需要開啟。
當使用者需要更新其衍生認證時,系統會通知他們開啟適用的應用程式。
更新程序的發生方式如下:
- 衍生認證簽發者必須先發行新的或更新的憑證,前一個憑證才能通過其有效期間的 80%。
- 裝置會在更新期間簽入, (有效期間的最後 20%) 。
- Microsoft Intune 透過電子郵件或應用程式通知通知用戶啟動 公司入口網站。
- 用戶啟動 公司入口網站 並點選衍生認證通知,然後將衍生認證憑證複製到裝置
說情
檢閱您將搭配衍生認證使用之裝置的平臺特定使用者工作流程。
- iOS 和 iPadOS
- Android Enterprise - 公司擁有的工作配置檔 或 完全受控的裝置
主要需求包括:
使用者需要計算機或 KIOSK 的存取權,才能在其中使用智慧卡向簽發者進行驗證。
將註冊衍生認證的 iOS 和 iPadOS 裝置必須安裝 Intune 公司入口網站 應用程式。 Android 完全受控和 Corporate-Owned 工作設定檔案裝置必須安裝並使用 Intune 應用程式。
使用裝置相機掃描 QR 代碼,將驗證要求連結至來自行動裝置的衍生認證要求。
公司入口網站 應用程式或透過電子郵件提示用戶註冊衍生認證。
對使用衍生認證的原則進行變更時,例如建立新的 Wi-Fi 配置檔:
- iOS 和 iPadOS - 使用者會收到開啟 公司入口網站 應用程式的通知。
- Android Enterprise 公司擁有的工作配置檔或完全受控裝置 - 公司入口網站 應用程式不需要開啟。
當使用者需要更新其衍生認證時,系統會通知他們開啟適用的應用程式。
更新程序的發生方式如下:
- 衍生認證簽發者必須先發行新的或更新的憑證,前一個憑證才能通過其有效期間的 80%。
- 裝置會在更新期間簽入, (有效期間的最後 20%) 。
- Microsoft Intune 透過電子郵件或應用程式通知通知用戶啟動 公司入口網站。
- 用戶啟動 公司入口網站 並點選衍生認證通知,然後將衍生認證憑證複製到裝置
3 - 將受信任的跟證書部署到裝置
受信任的跟證書會與衍生認證搭配使用,以確認衍生認證憑證鏈結有效且受信任。 即使原則未直接參考,仍需要受信任的跟證書。 請參閱在 Microsoft Intune 中設定裝置的憑證配置檔。
4 - 提供如何取得衍生認證的使用者指示
建立並提供指引給使用者,以瞭解如何啟動衍生認證註冊程式,以及流覽您所選簽發者的衍生認證註冊工作流程。
建議您提供裝載指引的 URL。 當您為租使用者設定衍生認證簽發者,且該 URL 可從 公司入口網站 應用程式內取得時,您可以指定此 URL。 如果您未指定自己的 URL,Intune 提供一般詳細數據的連結。 這些詳細數據無法涵蓋所有案例,而且可能不適合您的環境。
5 - 部署需要衍生認證的 Intune 原則
建立新原則或編輯現有原則以使用衍生認證。 衍生的認證會取代下列物件的其他驗證方法:
- 應用程式驗證
- Wi-Fi
- VPN
- 僅 Email (iOS)
- S/MIME 簽署和加密,包括僅限 iOS (Outlook)
避免需要使用衍生認證來存取您將在程式中用來取得衍生認證的進程,因為這可能會導致用戶無法完成要求。
設定衍生認證簽發者
建立需要使用衍生認證的原則之前,請先在 Microsoft Intune 系統管理中心設定認證簽發者。 衍生認證簽發者是全租用戶設定。 租使用者一次只支援單一簽發者。
選取 [租用戶系統管理>連接器和令牌>衍生認證]。
指定衍生認證簽發者原則的易記 顯示名稱 。 此名稱不會顯示給您的裝置使用者。
針對 [衍生認證簽發者],選取您為租用戶選擇的衍生認證簽發者:
- 僅限 iOS (DISA Purebred)
- 委託
- 說情
指定 衍生認證說明 URL ,以提供包含自定義指示的位置連結,以協助使用者取得貴組織的衍生認證。 指示應專屬於您的組織,以及從您選擇的簽發者取得認證所需的工作流程。 鏈接會出現在 公司入口網站 應用程式中,而且應該可以從裝置存取。
如果您未指定自己的 URL,Intune 提供無法涵蓋所有案例的一般詳細數據連結。 此一般指引可能不適用於您的環境。
針對 [通知類型] 選取一或多個選項。 通知類型是您用來通知使用者下列案例的方法:
- 使用簽發者註冊裝置以取得新的衍生認證。
- 當目前的認證即將到期時,取得新的衍生認證。
- 搭配 支持的物件使用衍生認證。
準備就緒時,選取 [儲存 ] 以完成衍生認證簽發者的設定。
儲存組態之後,您可以變更 衍生認證簽發者以外的所有欄位。 若要變更簽發者,請參閱 變更衍生認證簽發者。
部署 DISA Purebred 應用程式
只有當您使用 DISA Purebred 時,本節才適用。
若要使用 DISA Purebred 作為 Intune 的衍生認證簽發者,您必須取得 DISA Purebred 應用程式,然後使用 Intune 將應用程式部署至裝置。 然後,使用者會在其iOS/iPadOS裝置上使用 公司入口網站 應用程式,或在其Android裝置上使用 Intune 應用程式,從DISA Purebred要求衍生認證。
除了使用 Intune 部署 DISA Purebred 應用程式之外,裝置還必須能夠存取內部部署網路。 若要提供此存取權,請考慮使用 VPN 或公司 Wi-Fi。
完成下列工作:
下載 DISA Purebred 應用程式: https://cyber.mil/pki-pke/purebred/.
在 Intune 中部署 DISA Purebred 應用程式。
可能需要 Purebred 應用程式的額外設定。 與您的 Purebred 代理程式交談,以瞭解哪些值應該包含在您的原則中,或者如果您有 DoD 簽發的 Common Access Card (CAC) 您可以在在線存取 Purebred 檔 https://cyber.mil/pki-pke/purebred/.
如果您選擇針對 DISA Purebred 應用程式使用個別應用程式 VPN,請參閱 建立個別應用程式 VPN。
使用衍生認證進行驗證和 S/MIME 簽署和加密
您可以針對下列設定檔類型和用途指定 衍生認證 :
Email:
VPN:
Wi-Fi:
針對 Wi-Fi 設定檔,只有當 EAP 類型設定為下列其中一個值時,才能使用驗證方法:
- EAP – TLS
- EAP-TTLS
- PEAP
使用衍生認證進行應用程式驗證
使用衍生認證對網站和應用程式進行憑證式驗證。 若要傳遞應用程式驗證的衍生認證:
在 [原則]索引>標籤上選取 [裝置>管理裝置>設定],選取 [+ 建立]。
使用下列設定:
針對 iOS 和 iPadOS:
- 針對 [平臺]。 選 取 [iOS/iPadOS],然後針對 [配置文件類型],選取 [ 範本 > 衍生認證]。 選 取 [建立 ] 以繼續。
- 針對 [名稱],輸入配置檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱是 iOS裝置配置檔的衍生認證。
- 針對 [描述],輸入提供設定概觀的描述,以及任何其他重要詳細數據。
針對Android Enterprise:
- 針對 [平臺]。 選取 [Android Enterprise],然後針對 [配置檔類型],在 [ 完全受控]、[專用] 和 [Corporate-Owned 工作配置檔] 底下,選取 [ 衍生認證]。 選 取 [建立 ] 以繼續。
- 針對 [名稱],輸入配置檔的描述性名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,良好的配置檔名稱是 Android Enterprise裝置配置檔的衍生認證。
- 針對 [描述],輸入提供設定概觀的描述,以及任何其他重要詳細數據。
- 在 [ 應用程式] 頁面上,設定 [ 憑證存取] 以管理如何將憑證存取權授與應用程式。 從下列項目中選擇:
- 應用程式需要使用者核准 (預設) – 用戶必須核准所有應用程式使用憑證。
- 針對特定應用程式以無訊息方式授與 (需要使用者核准其他應用程式) – 使用此選項,選取 [ 新增應用程式],然後選取一或多個應用程式以無訊息方式使用憑證,而不需要用戶互動。
在 [ 指派] 頁面上,選取應該接收原則的群組。
完成時,選取 [建立] 以建立 Intune 配置檔。 完成時,您的設定檔會顯示在 [ 裝置 - 組態配置檔] 清單中 。
根據您在設定衍生認證簽發者時所指定的設定,使用者會收到應用程式或電子郵件通知。 通知會通知用戶啟動 公司入口網站,以便處理衍生的認證原則。
Windows 的衍生認證
您可以使用衍生憑證作為 Windows 裝置上 Wi-Fi 和 VPN 配置文件的驗證方法。 Android 和 iOS/iPadOS 裝置支援的相同提供者也支援為 Windows 的提供者:
- DISA Purebred
- 委託
- 說情
注意事項
目前,作為 VPN 配置文件驗證方法的衍生認證無法如預期般在 Windows 裝置上運作。 此行為只會影響 Windows 裝置上的 VPN 配置檔,而且在未來的版本中將會修正 (沒有 ETA) 。
對於 Windows,使用者不會透過智慧卡註冊程式來取得憑證,以作為衍生認證使用。 相反地,用戶必須安裝從衍生認證提供者取得的 Windows 應用程式。 若要搭配 Windows 使用衍生認證,請完成下列設定:
從 Windows 裝置上的衍生認證提供者安裝應用程式。
當您從 Windows 裝置上的衍生認證提供者安裝 Windows 應用程式時,衍生憑證會新增至該裝置的 Windows 證書存儲。 將憑證新增至裝置之後,即可使用衍生認證驗證方法。
從您選擇的提供者取得應用程式之後,應用程式可以部署至 [使用者],或由裝置的使用者直接安裝。
設定 Wi-Fi 和 VPN 配置檔,以使用衍生認證作為驗證方法。
為 Wi-Fi 或 VPN 設定 Windows 設定檔時,請選取 [驗證方法] 的 [衍生認證]。 使用此設定時,配置檔會使用安裝提供者應用程式時安裝在裝置上的憑證。
更新衍生認證
Android 或 iOS/iPadOS 裝置的衍生認證無法擴充或更新。 相反地,用戶必須使用認證要求工作流程,為其裝置要求新的衍生認證。 針對 Windows 裝置,請參閱衍生認證提供者之應用程式的檔。
如果您為通知類型設定一或多個方法,Intune 會在目前衍生認證達到其生命週期的 80% 時自動通知使用者。 通知會指示使用者完成認證要求程式,以取得新的衍生認證。
在裝置收到新的衍生認證之後,使用衍生認證的原則會重新部署到該裝置。
變更衍生認證簽發者
在租用戶層級,您可以變更認證簽發者,雖然租使用者一次只支援一個簽發者。
變更簽發者之後,系統會提示使用者從新的簽發者取得新的衍生認證。 他們必須先這麼做,才能使用衍生認證進行驗證。
變更租用戶的簽發者
重要事項
如果您刪除簽發者並立即重新設定相同的簽發者,您仍然必須更新配置檔和裝置,以使用來自該簽發者的衍生認證。 在您刪除簽發者之前取得的衍生認證不再有效。
- 登入 Microsoft Intune 系統管理中心。
- 選取 [租用戶系統管理>連接器和令牌>衍生認證]。
- 選 取 [刪除 ] 以移除目前衍生的認證簽發者。
- 設定新的簽發者。
更新使用衍生認證的配置檔
刪除簽發者,然後新增簽發者之後,請編輯使用衍生認證的每個配置檔。 即使您還原先前的簽發者,也適用此規則。 配置檔的任何編輯都會觸發更新,包括對配置檔 描述的簡單編輯。
更新裝置上的衍生認證
刪除簽發者,然後新增簽發者之後,裝置用戶必須要求新的衍生認證。 即使您新增已移除的相同簽發者,也適用此規則。 要求新衍生認證的程式與註冊新裝置或更新現有認證的程式相同。