Megosztás a következőn keresztül:

Megbízható főtanúsítvány-profilok Microsoft Intune

  • Cikk

Ha az Intune-nal tanúsítványokkal rendelkező eszközöket épít ki a vállalati erőforrások és a hálózat eléréséhez, egy megbízható tanúsítványprofil használatával telepítse a megbízható főtanúsítványt ezekre az eszközökre. A megbízható főtanúsítványok megbízhatósági kapcsolatot létesítenek az eszközről a legfelső szintű vagy köztes (kiállító) hitelesítésszolgáltatóval, amelyből a többi tanúsítvány ki van állítva.

A megbízható tanúsítványprofilt ugyanazokra az eszközökre és felhasználókra telepíti, amelyek megkapják az Egyszerű tanúsítványigénylési protokoll (SCEP), a nyilvános kulcsú titkosítási szabványok (PKCS) és az importált PKCS tanúsítványprofiljait.

Tipp

A megbízható tanúsítványprofilok a Windows Enterprise több munkamenetes távoli asztalai esetében támogatottak.

A megbízható legfelső szintű hitelesítésszolgáltató tanúsítványának exportálása

A PKCS-, SCEP- és PKCS-importált tanúsítványok használatához az eszközöknek megbízhatónak kell lenniük a legfelső szintű hitelesítésszolgáltatóban. A megbízhatóság létrehozásához exportálja a megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt, valamint a köztes vagy kiállító hitelesítésszolgáltatói tanúsítványokat nyilvános tanúsítványként (.cer). Ezeket a tanúsítványokat beszerezheti a kiállító hitelesítésszolgáltatótól vagy bármely olyan eszközről, amely megbízik a kiállító hitelesítésszolgáltatóban.

A tanúsítvány exportálásához tekintse meg a hitelesítésszolgáltató dokumentációját. A nyilvános tanúsítványt DER-kódolású .cer fájlként kell exportálnia. Ne exportálja a titkos kulcsot, a .pfx fájlt.

Ezt a .cer fájlt fogja használni, amikor megbízható tanúsítványprofilokat hoz létre a tanúsítvány telepítéséhez az eszközein.

Megbízható tanúsítványprofilok létrehozása

A SCEP, PKCS vagy PKCS importált tanúsítványprofil létrehozása előtt hozzon létre és helyezzen üzembe egy megbízható tanúsítványprofilt. Ha megbízható tanúsítványprofilt helyez üzembe ugyanazokra a csoportokra, amelyek a többi tanúsítványprofil-típust kapják, biztosítja, hogy minden eszköz felismerje a hitelesítésszolgáltató legitimitását. Ide tartoznak a VPN-hez, a Wi-Fi-hez és az e-mailhez hasonló profilok.

Az SCEP-tanúsítványprofilok közvetlenül hivatkoznak egy megbízható tanúsítványprofilra. A PKCS-tanúsítványprofilok nem hivatkoznak közvetlenül a megbízható tanúsítványprofilra, hanem közvetlenül hivatkoznak a hitelesítésszolgáltatót üzemeltető kiszolgálóra. A PKCS importált tanúsítványprofiljai nem hivatkoznak közvetlenül a megbízható tanúsítványprofilra, de használhatják az eszközön. Ha megbízható tanúsítványprofilt helyez üzembe az eszközökön, akkor ez a megbízhatóság létrejön. Ha egy eszköz nem bízik meg a legfelső szintű hitelesítésszolgáltatóban, az SCEP- vagy PKCS-tanúsítványprofil-szabályzat sikertelen lesz.

Hozzon létre külön megbízható tanúsítványprofilt minden támogatni kívánt eszközplatformhoz, ugyanúgy, mint az importált SCEP-, PKCS- és PKCS-tanúsítványprofilok esetében.

Fontos

A platform Windows 10 és újabb verzióihoz létrehozott megbízható gyökérprofilok a Microsoft Intune Felügyeleti központban jelennek meg profilként a platform Windows 8.1 és újabb verzióihoz.

Ez egy ismert probléma a platform megbízható tanúsítványprofilokhoz való megjelenítésével kapcsolatban. Bár a profil a Windows 8.1 és újabb verziók platformját jeleníti meg, a Windows 10/11-ben működik.

Megjegyzés:

Az Intune megbízható tanúsítványprofilja csak fő- vagy köztes tanúsítványok továbbítására használható. Az ilyen tanúsítványok üzembe helyezésének célja a megbízhatósági lánc kialakítása. A Microsoft nem támogatja a megbízható tanúsítványprofil használatát a fő- és köztes tanúsítványoktól eltérő tanúsítványok továbbításához. Előfordulhat, hogy a megbízható tanúsítványprofil Microsoft Intune felügyeleti központban való kiválasztásakor a rendszer letiltja az olyan tanúsítványok importálását, amelyek nem minősülnek főtanúsítványnak vagy köztes tanúsítványnak. Még ha olyan tanúsítványt is importálhat és telepíthet, amely nem gyökér- vagy köztes tanúsítvány ilyen profiltípussal, valószínűleg váratlan eredményeket fog tapasztalni a különböző platformok, például az iOS és az Android között.

Megbízható tanúsítványprofilok Android-eszközadminisztrátor számára

Fontos

Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy a támogatás befejeződése előtt váltson egy másik Android-felügyeleti lehetőségre az Intune-ban. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

Az Android 11-től kezdődően már nem használhat megbízható tanúsítványprofilt megbízható főtanúsítvány üzembe helyezéséhez az Android-eszközadminisztrátorként regisztrált eszközökön. Ez a korlátozás nem vonatkozik a Samsung Knoxra.

Mivel az SCEP-tanúsítványprofilokhoz mindkét megbízható főtanúsítványt telepíteni kell egy eszközön, és olyan megbízható tanúsítványprofilra kell hivatkoznia, amely viszont erre a tanúsítványra hivatkozik, a korlátozás megkerüléséhez kövesse az alábbi lépéseket:

  1. Az eszköz manuális kiépítése a megbízható főtanúsítvánnyal. Minta útmutatásért tekintse meg a következő szakaszt.

  2. Telepítse az eszközt, amely egy megbízható főtanúsítvány-profil, amely az eszközön telepített megbízható főtanúsítványra hivatkozik.

  3. Helyezzen üzembe egy SCEP-tanúsítványprofilt a megbízható főtanúsítvány-profilra hivatkozó eszközön.

Ez a probléma nem korlátozódik az SCEP-tanúsítványprofilra. Ezért tervezze meg manuálisan telepíteni a megbízható főtanúsítványt a megfelelő eszközökre, ha PKCS-tanúsítványprofilokat használ, vagy az importált PKCS-tanúsítványprofilok megkövetelik.

További információ az androidos eszközadminisztrátor támogatásának változásairól a techcommunity.microsoft.com.

Eszköz manuális kiépítése a megbízható főtanúsítvánnyal

Az alábbi útmutató segítséget nyújthat az eszközök manuális kiépítésében egy megbízható főtanúsítvánnyal.

  1. Töltse le vagy vigye át a megbízható főtanúsítványt az Android-eszközre. Előfordulhat például, hogy e-mail használatával terjeszti a tanúsítványt az eszköz felhasználóinak, vagy lekéreheti a felhasználókat egy biztonságos helyről. Miután a tanúsítvány telepítve van az eszközön, meg kell nyitni, el kell nevezni és menteni kell. A tanúsítvány mentése hozzáadja a felhasználó tanúsítványtárolójába az eszközön.

    1. Ha meg szeretné nyitni a tanúsítványt az eszközön, a felhasználónak meg kell keresnie és meg kell nyitnia a tanúsítványt. Miután például e-mailben elküldte a tanúsítványt, az eszközfelhasználók rákoppinthatnak vagy megnyithatják a tanúsítványmellékletet.
    2. A tanúsítvány megnyitásakor a felhasználónak meg kell adnia a PIN-kódját, vagy más módon hitelesítenie kell magát az eszközön a tanúsítvány kezelése előtt.

  2. A hitelesítés után megnyílik a tanúsítvány, és el kell nevezni, mielőtt menthető lenne a Felhasználók tanúsítványtárolóba. A tanúsítvány nevének meg kell egyeznie az eszközre küldött megbízható főtanúsítvány-profilban megadott tanúsítványnévvel. A tanúsítvány elnevezése után menthető.

  3. A mentés után a tanúsítvány használatra kész. A felhasználó ellenőrizheti, hogy a tanúsítvány a megfelelő helyen van-e az eszközön:

    1. Nyissa meg a Beállítások>Biztonsági>megbízható hitelesítő adatokat. A megbízható hitelesítő adatok tényleges elérési útja eszközönként eltérő lehet.
    2. Nyissa meg a Felhasználó lapot, és keresse meg a tanúsítványt.
    3. Ha szerepel a felhasználói tanúsítványok listájában, a tanúsítvány megfelelően van telepítve.

  4. Ha a főtanúsítvány telepítve van egy eszközön, akkor is telepítenie kell a következőket az SCEP- vagy PKCS-tanúsítványok kiépítéséhez:

    • Megbízható tanúsítványprofil, amely erre a tanúsítványra hivatkozik
    • Az SCEP- vagy PKCS-tanúsítványok kiépítéséhez a tanúsítványprofilra hivatkozó SCEP- vagy PKCS-profil.

Megbízható tanúsítványprofil létrehozása

  1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

  2. Válassza ki, majd lépjen az Eszközök>konfigurációja>Létrehozás elemre.

    Nyissa meg az Intune-t, és hozzon létre egy új profilt egy megbízható tanúsítványhoz

  3. Adja meg a következő tulajdonságokat:

    • Platform: Válassza ki a profilt fogadó eszközök platformját.
    • Profil: A választott platformtól függően válassza a Megbízható tanúsítvány lehetőséget, vagy válassza a Sablonok>Megbízható tanúsítvány lehetőséget.

    Fontos

    2022. október 22-én Microsoft Intune megszüntette a Windows 8.1-et futtató eszközök támogatását. Ezeken az eszközökön nem érhető el technikai segítség és automatikus frissítés.

    Ha jelenleg a Windows 8.1-et használja, javasoljuk, hogy lépjen Windows 10/11-eszközökre. Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek a Windows 10/11 ügyféleszközöket kezelik.

  4. Válassza a Létrehozás lehetőséget.

  5. Az Alapadatok között adja meg a következő tulajdonságokat:

    • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. A jó profilnév például a megbízható tanúsítványprofil a teljes vállalat számára.
    • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

  6. Válassza a Tovább gombot.

  7. A Konfigurációs beállítások területen adja meg a korábban exportált megbízható legfelső szintű hitelesítésszolgáltatói tanúsítvány .cer fájlját.

    Csak Windows 8.1 és Windows 10/11 rendszerű eszközök esetén válassza ki a megbízható tanúsítvány céltárolót a következő helyekről:

    • Számítógéptanúsítvány-tároló – Gyökér
    • Számítógéptanúsítvány-tároló – Köztes
    • Felhasználói tanúsítványtároló – Köztes

    Profil létrehozása és megbízható tanúsítvány feltöltése

  8. Válassza a Tovább gombot.

  9. A Hozzárendelések területen válassza ki a profilt fogadó felhasználót vagy csoportokat. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

    Válassza a Tovább gombot.

  10. (Csak Windows 10/11-re vonatkozik) Az Alkalmazhatósági szabályok területen adja meg az alkalmazhatósági szabályokat a profil hozzárendelésének finomításához. Dönthet úgy, hogy hozzárendeli vagy nem rendeli hozzá a profilt egy eszköz operációsrendszer-kiadása vagy verziója alapján.

    További információt az Eszközprofil létrehozása a Microsoft Intune-ben című témakör Alkalmazhatósági szabályok című témakörében talál.

  11. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Következő lépések

Tanúsítványprofilok létrehozása: