Profily důvěryhodných kořenových certifikátů pro Microsoft Intune

Pokud používáte Intune ke zřízení zařízení s certifikáty pro přístup k podnikovým prostředkům a síti, nasaďte do těchto zařízení důvěryhodný kořenový certifikát pomocí profilu důvěryhodného certifikátu. Důvěryhodné kořenové certifikáty navazují vztah důvěryhodnosti zařízení ke kořenové nebo zprostředkující (vydávající) certifikační autoritě, ze které jsou vystaveny ostatní certifikáty.

Profil důvěryhodného certifikátu nasadíte do stejných zařízení a uživatelů, kteří obdrží profily certifikátů pro protokol SCEP (Simple Certificate Enrollment Protocol), standardy PKCS (Public Key Cryptography Standards) a importovanou službu PKCS.

Tip

Profily důvěryhodných certifikátů jsou podporované pro vzdálené plochy Windows Enterprise s více relacemi.

Export certifikátu důvěryhodné kořenové certifikační autority

Pokud chcete používat importované certifikáty PKCS, SCEP a PKCS, musí zařízení důvěřovat kořenové certifikační autoritě. Pokud chcete navázat vztah důvěryhodnosti, exportujte certifikát důvěryhodné kořenové certifikační autority a všechny zprostředkující nebo vydávající certifikáty certifikační autority jako veřejný certifikát (.cer). Tyto certifikáty můžete získat z vydávající certifikační autority nebo z libovolného zařízení, které důvěřuje vaší vydávající certifikační autoritě.

Pokud chcete certifikát exportovat, přečtěte si dokumentaci pro vaši certifikační autoritu. Veřejný certifikát budete muset exportovat jako soubor .cer s kódováním DER. Neexportujte privátní klíč, soubor .pfx.

Tento .cer soubor použijete při vytváření profilů důvěryhodných certifikátů k nasazení tohoto certifikátu do zařízení.

Vytvoření profilů důvěryhodných certifikátů

Před vytvořením profilu importovaného certifikátu SCEP, PKCS nebo PKCS vytvořte a nasaďte profil důvěryhodného certifikátu. Nasazení profilu důvěryhodného certifikátu do stejných skupin, které přijímají ostatní typy profilů certifikátů, zajistí, že každé zařízení rozpozná oprávněnost vaší certifikační autority. To zahrnuje profily, jako jsou ty pro VPN, Wi-Fi a e-mail.

Profily certifikátů SCEP přímo odkazují na profil důvěryhodného certifikátu. Profily certifikátů PKCS neodkazují přímo na profil důvěryhodného certifikátu, ale přímo odkazují na server, který hostuje vaši certifikační autoritu. Importované profily certifikátů PKCS přímo neodkazují na profil důvěryhodného certifikátu, ale můžou ho používat na zařízení. Nasazení profilu důvěryhodného certifikátu do zařízení zajistí, že se tento vztah důvěryhodnosti vytvoří. Pokud zařízení nedůvěřuje kořenové certifikační autoritě, zásady profilu certifikátu SCEP nebo PKCS selžou.

Vytvořte samostatný profil důvěryhodného certifikátu pro každou platformu zařízení, kterou chcete podporovat, stejně jako u profilů importovaných certifikátů SCEP, PKCS a PKCS.

Důležité

Důvěryhodné kořenové profily, které vytvoříte pro platformu Windows 10 a novější, se zobrazí v Centru pro správu Microsoft Intune jako profily pro platformu Windows 8.1 a novější.

Jedná se o známý problém s prezentací platformy pro profily důvěryhodných certifikátů. I když profil zobrazuje platformu Windows 8.1 a novější, je funkční pro Windows 10/11.

Poznámka

Profil důvěryhodného certifikátu v Intune je možné použít jenom k doručování kořenových nebo zprostředkujících certifikátů. Účelem nasazení takových certifikátů je vytvořit řetěz důvěryhodnosti. Používání profilu důvěryhodného certifikátu k doručování jiných než kořenových nebo zprostředkujících certifikátů není společností Microsoft podporováno. Při výběru profilu důvěryhodných certifikátů v Centru pro správu Microsoft Intune může být zablokovaný import certifikátů, které nejsou považovány za kořenové nebo zprostředkující certifikáty. I když pomocí tohoto typu profilu můžete importovat a nasadit certifikát, který není kořenovým ani zprostředkujícím certifikátem, pravděpodobně se setkáte s neočekávanými výsledky mezi různými platformami, jako je iOS a Android.

Profily důvěryhodných certifikátů pro správce zařízení s Androidem

Důležité

Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 30. srpna 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme před ukončením podpory přepnout na jinou možnost správy Androidu v Intune. Další informace najdete v článku Ukončení podpory pro správce zařízení s Androidem na zařízeních GMS.

Od Androidu 11 už nemůžete použít profil důvěryhodného certifikátu k nasazení důvěryhodného kořenového certifikátu do zařízení, která jsou zaregistrovaná jako správce zařízení s Androidem. Toto omezení se nevztahuje na Samsung Knox.

Vzhledem k tomu, že profily certifikátů SCEP vyžadují instalaci důvěryhodného kořenového certifikátu na zařízení a musí odkazovat na profil důvěryhodného certifikátu, který na tento certifikát odkazuje, použijte následující postup, jak toto omezení obejít:

1. Ručně zřiďte zařízení s důvěryhodným kořenovým certifikátem. Ukázkové pokyny najdete v následující části.

2. Nasaďte do zařízení profil důvěryhodného kořenového certifikátu, který odkazuje na důvěryhodný kořenový certifikát, který jste nainstalovali na zařízení.

3. Nasaďte profil certifikátu SCEP do zařízení, které odkazuje na profil důvěryhodného kořenového certifikátu.

Tento problém se neomezuje na profily certifikátů SCEP. Proto naplánujte ruční instalaci důvěryhodného kořenového certifikátu na příslušná zařízení, pokud ho budete používat profily certifikátů PKCS nebo importované profily certifikátů PKCS.

Přečtěte si další informace o změnách podpory pro správce zařízení s Androidem z techcommunity.microsoft.com.

Ruční zřízení zařízení s důvěryhodným kořenovým certifikátem

Následující doprovodné materiály vám můžou pomoct ručně zřídit zařízení s důvěryhodným kořenovým certifikátem.

1. Stáhněte nebo přeneste důvěryhodný kořenový certifikát do zařízení s Androidem. Můžete například použít e-mail k distribuci certifikátu uživatelům zařízení nebo nechat uživatele, aby si ho stáhli ze zabezpečeného umístění. Jakmile je certifikát na zařízení, musí se otevřít, pojmenovat a uložit. Uložením certifikátu se přidá do úložiště uživatelských certifikátů na zařízení.

   1. Pokud chce uživatel otevřít certifikát na zařízení, musí ho najít a klepnout na ho. Například po odeslání certifikátu e-mailem může uživatel zařízení klepnout na přílohu certifikátu nebo na ni otevřít.
   2. Když se certifikát otevře, musí uživatel zadat svůj PIN kód nebo se jinak ověřit zařízení, aby mohl certifikát spravovat.

2. Po ověření se certifikát otevře a před uložením do úložiště certifikátů Users musí mít název. Název certifikátu se musí shodovat s názvem certifikátu zadaným v profilu důvěryhodného kořenového certifikátu, který se odešle do zařízení. Po pojmenování může být certifikát uložen.

3. Po uložení je certifikát připravený k použití. Uživatel může potvrdit, že je certifikát na zařízení ve správném umístění:

   1. Otevřete Nastavení>Zabezpečení>Důvěryhodné přihlašovací údaje. Skutečná cesta k důvěryhodným přihlašovacím údajům se může lišit podle zařízení.
   2. Otevřete kartu Uživatel a vyhledejte certifikát.
   3. Pokud jsou v seznamu uživatelských certifikátů, certifikát se nainstaluje správně.

4. Pokud máte na zařízení nainstalovaný kořenový certifikát, musíte nasadit následující certifikát, abyste zřídili certifikáty SCEP nebo PKCS:

   • Profil důvěryhodného certifikátu, který na tento certifikát odkazuje
   • Profil SCEP nebo PKCS, který odkazuje na profil certifikátu pro zřízení certifikátů SCEP nebo PKCS.

Vytvoření profilu důvěryhodného certifikátu

1. Přihlaste se do Centra pro správu Microsoft Intune.

2. Vyberte a přejděte naVytvořitkonfiguraci>zařízení>.

   

3. Zadejte tyto vlastnosti:

   • Platforma: Zvolte platformu zařízení, která tento profil obdrží.
   • Profil: V závislosti na zvolené platformě vyberte Důvěryhodný certifikát nebo Šablony>Důvěryhodný certifikát.

   Důležité

   22. října 2022 Microsoft Intune ukončila podporu zařízení s Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.

   Pokud aktuálně používáte Windows 8.1, doporučujeme přejít na zařízení Windows 10/11. Microsoft Intune má integrované funkce zabezpečení a zařízení, které spravují Windows 10/11 klientských zařízení.

4. Vyberte Vytvořit.

5. V Základy zadejte následující vlastnosti:

   • Název: Zadejte popisný název profilu. Pojmenujte své profily, abyste je později mohli snadno identifikovat. Dobrý název profilu je například Důvěryhodný profil certifikátu pro celou společnost.
   • Popis: Zadejte popis profilu. Toto nastavení není povinné, ale doporučujeme ho zadat.

6. Vyberte Další.

7. V části Nastavení konfigurace zadejte soubor .cer důvěryhodného certifikátu kořenové certifikační autority, který jste dříve exportovali.

   Pouze pro zařízení Windows 8.1 a Windows 10/11 vyberte cílové úložiště pro důvěryhodný certifikát z:

   • Úložiště certifikátů počítače – kořen
   • Úložiště certifikátů počítače – zprostředkující
   • Úložiště uživatelských certifikátů – zprostředkující

   

8. Vyberte Další.

9. V části Přiřazení vyberte uživatele nebo skupiny, které obdrží váš profil. Další informace o přiřazování profilů najdete v tématu Přiřazení profilů uživatelů a zařízení.

   Vyberte Další.

10. (Platí pouze pro Windows 10/11) V části Pravidla použitelnosti zadejte pravidla použitelnosti pro upřesnění přiřazení tohoto profilu. Profil můžete přiřadit nebo nepřiřazovat na základě edice operačního systému nebo verze zařízení.

    Další informace najdete v tématu Pravidla použitelnosti v tématu Vytvoření profilu zařízení v Microsoft Intune.

11. V Zkontrolovat a vytvořit zkontrolujte nastavení. Když vyberete Vytvořit, změny se uloží a profil se přiřadí. Zásada se taky zobrazuje v seznamu profilů.

Další kroky

Vytvoření profilů certifikátů:

• Konfigurace infrastruktury pro podporu certifikátů SCEP v Intune
• Konfigurace a správa certifikátů PKCS pomocí Intune
• Vytvoření importovaného profilu certifikátu PKCS