PKCS-tanúsítványok konfigurálása és használata az Intune-nal

Microsoft Intune támogatja a privát és nyilvános kulcspáros (PKCS) tanúsítványok használatát. Ez a cikk áttekinti a PKCS-tanúsítványok Intune-nal való használatához szükséges tudnivalókat, beleértve a PKCS-tanúsítvány exportálását, majd az Intune-eszközkonfigurációs profilhoz való hozzáadását.

Microsoft Intune beépített beállításokat tartalmaz, amelyek PKCS-tanúsítványokat használnak a szervezeti erőforrásokhoz való hozzáféréshez és hitelesítéshez. A tanúsítványok hitelesítik és biztonságosan hozzáférhetnek a vállalati erőforrásokhoz, például VPN-hez vagy Wi-Fi-hálózathoz. Ezeket a beállításokat eszközkonfigurációs profilok használatával telepítheti az eszközökre az Intune-ban.

Az importált PKCS-tanúsítványok használatával kapcsolatos információkért lásd: Importált PFX-tanúsítványok.

Tipp

A PKCS-tanúsítványprofiloka Windows Enterprise több munkamenetes távoli asztalai esetében támogatottak.

Követelmények

A PKCS-tanúsítványok Intune-nal való használatához a következő infrastruktúrára lesz szüksége:

• Active Directory-tartomány:
  Az ebben a szakaszban felsorolt összes kiszolgálónak az Active Directory-tartományhoz kell csatlakoznia.

  A Active Directory tartományi szolgáltatások (AD DS) telepítésével és konfigurálásával kapcsolatos további információkért lásd: Az AD DS tervezése és tervezése.

• Hitelesítésszolgáltató:
  Vállalati hitelesítésszolgáltató (CA).

  Az Active Directory tanúsítványszolgáltatások (AD CS) telepítésével és konfigurálásával kapcsolatos információkért tekintse meg az Active Directory tanúsítványszolgáltatások részletes útmutatóját.

  Figyelmeztetés

  Az Intune megköveteli, hogy az AD CS-t vállalati hitelesítésszolgáltatóval (CA) futtassa, nem pedig önálló hitelesítésszolgáltatóval.

• Egy ügyfél:
  A vállalati hitelesítésszolgáltatóhoz való csatlakozáshoz.

• Főtanúsítvány:
  A főtanúsítvány exportált példánya a vállalati hitelesítésszolgáltatótól.

• Tanúsítvány-összekötő Microsoft Intune:

  További információ a tanúsítvány-összekötőről:

  • Az Microsoft Intune tanúsítvány-összekötőjének áttekintése.
  • Előfeltételek.
  • Telepítés és konfigurálás.

Főtanúsítvány exportálása a vállalati hitelesítésszolgáltatóról

Az eszközök VPN-, WiFi- vagy egyéb erőforrásokkal való hitelesítéséhez az eszköznek gyökér- vagy köztes hitelesítésszolgáltatói tanúsítványra van szüksége. Az alábbi lépések bemutatják, hogyan szerezheti be a szükséges tanúsítványt a vállalati hitelesítésszolgáltatótól.

Használjon parancssort:

1. Jelentkezzen be a legfelső szintű hitelesítésszolgáltató kiszolgálóra rendszergazdai fiókkal.

2. Lépjen a Futtatás indítása> elemre, majd írja be a Cmd parancsot a parancssor megnyitásához.

3. Adja meg a certutil -ca.cert ca_name.cer a főtanúsítvány ca_name.cer nevű fájlként való exportálásához.

Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatón

1. Jelentkezzen be a vállalati hitelesítésszolgáltatóba egy rendszergazdai jogosultságokkal rendelkező fiókkal.

2. Nyissa meg a Hitelesítésszolgáltató konzolt, kattintson a jobb gombbal a Tanúsítványsablonok elemre, és válassza a Kezelés lehetőséget.

3. Keresse meg a Felhasználói tanúsítvány sablont, kattintson rá a jobb gombbal, és válassza a Sablon duplikálása parancsot az új sablon tulajdonságainak megnyitásához.

   Megjegyzés:

   Az S/MIME e-mailek aláírása és titkosítása esetén sok rendszergazda külön tanúsítványokat használ az aláíráshoz és a titkosításhoz. Ha Microsoft Active Directory tanúsítványszolgáltatást használ, használhatja az S/MIME e-mail aláíró tanúsítványainak Csak Exchange Signature sablonját, valamint az S/MIME titkosítási tanúsítványok Exchange-felhasználó sablonját. Ha külső hitelesítésszolgáltatót használ, javasoljuk, hogy tekintse át az útmutatójukat az aláírási és titkosítási sablonok beállításához.

4. A Kompatibilitás lapon:

   • Hitelesítésszolgáltató beállítása Windows Server 2008 R2 verzióra
   • Tanúsítvány címzettjének beállítása Windows 7 / Server 2008 R2 verzióra

5. Az Általános lapon:

   • állítsa a Sablon megjelenítendő neve beállítást valami kifejező névre.
   • Törölje a Tanúsítvány közzététele az Active Directoryban jelölőnégyzet jelölését.

   Figyelmeztetés

   A sablon neve alapértelmezés szerint ugyanaz, mint a sablon megjelenítendő neveszóközök nélkül. Jegyezze fel a sablon nevét, később szüksége lesz rá.

6. A Kérelemkezelés területen válassza a Titkos kulcs exportálásának engedélyezése lehetőséget.

   Megjegyzés:

   Az SCEP-vel ellentétben a PKCS-vel a tanúsítvány titkos kulcsa azon a kiszolgálón jön létre, amelyen a tanúsítvány-összekötő telepítve van, és nem az eszközön. A tanúsítványsablonnak lehetővé kell tennie a titkos kulcs exportálását, hogy az összekötő exportálhassa a PFX-tanúsítványt, és elküldhesse az eszközre.

   Amikor a tanúsítványok magára az eszközre települnek, a titkos kulcs nem exportálhatóként lesz megjelölve.

7. A Titkosítás területen ellenőrizze, hogy a Minimális kulcsméret 2048 értékre van-e állítva.

   A Windows- és Android-eszközök támogatják a 4096 bites kulcsméret használatát PKCS-tanúsítványprofillal. A kulcsméret használatához adja meg a 4096 értéket a Minimális kulcsméret mezőben.

   Megjegyzés:

   Windows-eszközök esetén a 4096 bites kulcstároló csak a szoftverkulcs-tárolószolgáltatóban (KSP) támogatott. A következő nem támogatja az ilyen méretű kulcsok tárolását:

   • A hardveres TPM (platformmegbízhatósági modul). Áthidaló megoldásként használhatja a szoftveres KSP-t a kulcstároláshoz.
   • Vállalati Windows Hello. A Vállalati Windows Hello jelenleg nincs áthidaló megoldás.

8. A Tulajdonos neve területen válassza a Kérelemben a Kínálat lehetőséget.

9. A Bővítmények területen ellenőrizze, hogy megjelenik-e a Fájlrendszer titkosítása, a Biztonságos Email és az Ügyfél-hitelesítés az Alkalmazásszabályzatok területen.

   Fontos

   iOS-/iPadOS-tanúsítványsablonok esetén lépjen a Bővítmények lapra, frissítse a kulcshasználatot, és győződjön meg arról, hogy az Aláírás a forrás igazolása lehetőség nincs kiválasztva.

10. A Biztonság területen:

    1. (Kötelező): Adja hozzá annak a kiszolgálónak a számítógépfiókját, amelyen a tanúsítvány-összekötőt telepíti Microsoft Intune. A fiók olvasási és regisztrálási engedélyeinek engedélyezése.
    2. (Nem kötelező, de ajánlott): Távolítsa el a Tartományfelhasználók csoportot a sablonhoz engedélyezett csoportok vagy felhasználónevek listájáról. Ehhez válassza a Tartományfelhasználók csoportot, majd válassza az Eltávolítás lehetőséget. Tekintse át a csoportok vagy felhasználónevek egyéb bejegyzéseit a környezethez való engedélyekért és alkalmazhatóságért.

11. >Kattintson azOK gombra a tanúsítványsablon mentéséhez. Zárja be a Tanúsítványsablonok konzolt.

12. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok>Új>tanúsítványsablon kibocsátandó elemre. Válassza ki az előző lépésekben létrehozott sablont. Kattintson az OK gombra.

13. Ahhoz, hogy a kiszolgáló kezelje a regisztrált eszközök és felhasználók tanúsítványait, kövesse az alábbi lépéseket:

    1. Kattintson a jobb gombbal a hitelesítésszolgáltatóra, és válassza a Tulajdonságok parancsot.
    2. A Biztonság lapon adja hozzá annak a kiszolgálónak a számítógépfiókját, amelyen az összekötőt futtatja.
    3. Tanúsítványok kiállítása és kezelése és tanúsítványok kérése Engedélyek engedélyezése a számítógépfiókhoz.

14. Jelentkezzen ki a vállalati hitelesítésszolgáltatóból.

Töltse le, telepítse és konfigurálja a tanúsítvány-összekötőt a Microsoft Intune

Útmutatásért lásd: A tanúsítvány-összekötő telepítése és konfigurálása Microsoft Intune.

Megbízható tanúsítványprofil létrehozása

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza ki, majd lépjen az Eszközök>konfigurációja>Létrehozás elemre.

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza ki a profilt fogadó eszközök platformját.
     • Android-eszközadminisztrátor
     • Android Enterprise:
       • Teljes körűen felügyelt
       • Dedikált
       • Corporate-Owned munkahelyi profil
       • Personally-Owned munkahelyi profil
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Profil: Válassza a Megbízható tanúsítvány lehetőséget. Vagy válassza a Sablonok>megbízható tanúsítvány lehetőséget.

4. Válassza a Létrehozás lehetőséget.

5. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. A jó profilnév például a megbízható tanúsítványprofil a teljes vállalat számára.
   • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

6. Válassza a Tovább gombot.

7. A Konfigurációs beállítások területen adja meg a korábban exportált legfelső szintű hitelesítésszolgáltatói tanúsítvány .cer fájlját.

   Megjegyzés:

   A 3. lépésben kiválasztott platformtól függően előfordulhat, hogy lehetősége van a tanúsítvány céltárolójának kiválasztására.

   

8. Válassza a Tovább gombot.

9. A Hozzárendelések területen válassza ki a profilhoz hozzárendelni kívánt felhasználót vagy eszközcsoportot. Részletesebb információkért lásd: Szűrők létrehozása Microsoft Intune és alkalmazása a Szűrő szerkesztése lehetőség kiválasztásával.

   Tervezze meg, hogy a tanúsítványprofilt a PKCS-tanúsítványprofilt fogadó és a tanúsítványt használó Wi-Fi profilhoz hasonló konfigurációs profillal rendelkező csoportokban helyezi üzembe. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

   Válassza a Tovább gombot.

10. (Csak Windows 10/11-re vonatkozik) Az Alkalmazhatósági szabályok területen adja meg az alkalmazhatósági szabályokat a profil hozzárendelésének finomításához. Dönthet úgy, hogy hozzárendeli vagy nem rendeli hozzá a profilt egy eszköz operációsrendszer-kiadása vagy verziója alapján.

    További információt az Eszközprofil létrehozása a Microsoft Intune-ben című témakör Alkalmazhatósági szabályok című témakörében talál.

11. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

PKCS-tanúsítványprofil létrehozása

Fontos

Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy a támogatás befejeződése előtt váltson egy másik Android-felügyeleti lehetőségre az Intune-ban. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.

1. Jelentkezzen be a Microsoft Intune Felügyeleti központba.

2. Válassza ki, majd lépjen az Eszközök>konfigurációja>Létrehozás elemre.

3. Adja meg a következő tulajdonságokat:

   • Platform: Válassza ki az eszközei platformját. Az Ön lehetőségei:
     • Android-eszközadminisztrátor
     • Android Enterprise:
       • Teljes körűen felügyelt
       • Dedikált
       • Corporate-Owned munkahelyi profil
       • Personally-Owned munkahelyi profil
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Profil: Válassza a PKCS-tanúsítvány lehetőséget. Vagy válassza a Sablonok>PKCS-tanúsítvány lehetőséget.

   Megjegyzés:

   Az Android Enterprise-profillal rendelkező eszközökön a PKCS-tanúsítványprofillal telepített tanúsítványok nem láthatók az eszközön. A tanúsítvány sikeres üzembe helyezésének megerősítéséhez ellenőrizze a profil állapotát az Intune Felügyeleti központban.

4. Válassza a Létrehozás lehetőséget.

5. Az Alapadatok között adja meg a következő tulajdonságokat:

   • Név: Adjon meg egy leíró nevet a profilnak. Nevezze el a profilokat, hogy később könnyen azonosíthassa őket. A jó profilnév például a teljes vállalat PKCS-profilja.
   • Leírás: Itt adhatja meg a profil leírását. A beállítás használata nem kötelező, de ajánlott.

6. Válassza a Tovább gombot.

7. A Konfigurációs beállítások területen a választott platformtól függően a konfigurálható beállítások eltérőek. Válassza ki a platformot a részletes beállításokért:

   • Android-eszközadminisztrátor
   • Vállalati Android
   • iOS/iPadOS
   • Windows 10/11

   Beállítás	Platform	Részletek
   Megújítási küszöbérték (%)	Minden	Ajánlott: 20%
   Tanúsítvány érvényességi időtartama	Minden	Ha nem módosította a tanúsítványsablont, ez a beállítás egy évre is beállítható. Öt napos vagy legfeljebb 24 hónapos érvényességi időtartamot használjon. Ha az érvényességi idő öt napnál rövidebb, nagy a valószínűsége annak, hogy a tanúsítvány hamarosan lejáró vagy lejárt állapotba kerül, ami miatt az eszközökön az MDM-ügynök a telepítés előtt elutasíthatja a tanúsítványt.
   Kulcstároló-szolgáltató (KSP)	Windows 10/11	Windows rendszeren válassza ki, hogy hol tárolja a kulcsokat az eszközön.
   Hitelesítésszolgáltató	Minden	Megjeleníti a vállalati hitelesítésszolgáltató belső teljes tartománynevét (FQDN).
   Hitelesítésszolgáltató neve	Minden	Listák a vállalati hitelesítésszolgáltató nevét, például "Contoso hitelesítésszolgáltató".
   Tanúsítványsablon neve	Minden	Listák a tanúsítványsablon nevét.
   Tanúsítvány típusa	Android Enterprise (vállalati tulajdonú és Personally-Owned munkahelyi profil) iOS macOS Windows 10/11	Válasszon egy típust: A felhasználói tanúsítványok a tanúsítvány tulajdonosának és tulajdonosának alternatív nevének (SAN) felhasználó- és eszközattribútumait is tartalmazhatják. Az eszköztanúsítványok csak a tanúsítvány tulajdonosában és tárolóhálózatában tartalmazhatnak eszközattribútumokat. Az Eszköz használata olyan forgatókönyvekhez, mint a felhasználó nélküli eszközök, például a kioszkok vagy más megosztott eszközök. Ez a kijelölés hatással van a Tulajdonosnév formátumra.
   Tulajdonos nevének formátuma	Minden	A tulajdonosnév formátumának konfigurálásáról a cikk későbbi, Tulajdonosnév formátuma című szakaszában olvashat bővebben. A következő platformokon a tulajdonosnév formátumát a tanúsítvány típusa határozza meg: Android Enterprise (munkahelyi profil) iOS macOS Windows 10/11
   Tulajdonos alternatív neve	Minden	Az Attribútum mezőben válassza az Egyszerű felhasználónév (UPN) lehetőséget, ha másként nem szükséges, konfiguráljon egy megfelelő értéket, majd válassza a Hozzáadás lehetőséget. Mindkét tanúsítványtípus tárolóhálózatához használhat változókat vagy statikus szöveget. Nem szükséges változót használni. További információt a cikk későbbi, Tulajdonosnév formátuma című szakaszában talál.
   Kibővített kulcshasználat	Android-eszközadminisztrátor Android Enterprise (eszköztulajdonos, vállalati tulajdonú és Personally-Owned munkahelyi profil) Windows 10/11	A tanúsítványokhoz általában ügyfél-hitelesítés szükséges, hogy a felhasználó vagy az eszköz hitelesíthesse magát egy kiszolgálón.
   Hozzáférés engedélyezése minden alkalmazásnak a titkos kulcshoz	macOS	Az Engedélyezés értékre állítva hozzáférést adhat a társított Mac-eszközhöz konfigurált alkalmazásoknak a PKCS-tanúsítvány titkos kulcsához. További információ erről a beállításról: AllowAllAppsAccess the Certificate Payload (AllowAllAppsAccess the Certificate Payload) (Az Apple fejlesztői dokumentációjában található konfigurációs profil referenciájának Tanúsítvány hasznos adatai szakasza).
   Főtanúsítvány	Android-eszközadminisztrátor Android Enterprise (eszköztulajdonos, vállalati tulajdonú és Personally-Owned munkahelyi profil)	Válasszon ki egy korábban hozzárendelt legfelső szintű hitelesítésszolgáltatói tanúsítványprofilt.

8. Ez a lépés csak a teljes körűen felügyelt, dedikált és Corporate-Owned munkahelyi profilhoz tartozó Android Enterprise-eszközprofilokra vonatkozik.

   Az Alkalmazások területen konfigurálja a tanúsítvány-hozzáférést az alkalmazásokhoz való tanúsítványhozzáférés kezeléséhez. Válasszon a következő lehetőségek közül:

   • Felhasználói jóváhagyás megkövetelése az alkalmazásokhoz(alapértelmezett) – A felhasználóknak minden alkalmazásnak jóvá kell hagyniuk a tanúsítvány használatát.
   • Engedélyezés csendesen adott alkalmazásokhoz (más alkalmazásokhoz felhasználói jóváhagyás szükséges) – Ezzel a beállítással válassza az Alkalmazások hozzáadása lehetőséget, majd válasszon ki egy vagy több olyan alkalmazást, amely felhasználói beavatkozás nélkül, csendesen fogja használni a tanúsítványt.

9. Válassza a Tovább gombot.

10. A Hozzárendelések területen válassza ki a profilt fogadó felhasználót vagy csoportokat. Tervezze meg, hogy a tanúsítványprofilt ugyanazokra a csoportokra telepíti, amelyek megkapják a megbízható tanúsítványprofilt, és amelyek a tanúsítványt használó Wi-Fi profilhoz hasonló konfigurációs profilt kapnak. További információért a profilok hozzárendeléséről lásd: Felhasználói és eszközprofilok hozzárendelése.

    Válassza a Tovább gombot.

11. Az Ellenőrzés és létrehozás csoportban tekintse át a beállításokat. Ha a Létrehozás lehetőséget választja, a rendszer menti a módosításokat, és hozzárendeli a profilt. A házirend a profilok listájában is megjelenik.

Tulajdonos nevének formátuma

Amikor PKCS-tanúsítványprofilt hoz létre a következő platformokhoz, a tulajdonosnév formátumának beállításai a kiválasztott tanúsítványtípustól függenek( felhasználó vagy eszköz).

Platformok:

• Android Enterprise (vállalati tulajdonú és Personally-Owned munkahelyi profil)
• iOS
• macOS
• Windows 10/11

Megjegyzés:

Létezik egy ismert probléma, amely miatt a PKCS-vel lekérhetők a tanúsítványok, ami megegyezik az SCEP esetében tapasztalt problémával , amikor az eredményül kapott tanúsítvány-aláírási kérelem tulajdonosneve a következő karakterek egyikét tartalmazza feloldott karakterként (fordított perjellel \):

• +
• ;
• ,
• =

Megjegyzés:

Az Android 12-től kezdődően az Android már nem támogatja a következő hardverazonosítók használatát a személyes tulajdonú munkahelyi profilos eszközökhöz:

• Sorszám
• IMEI
• MEID

Az Intune-tanúsítványprofilok olyan személyes tulajdonban lévő munkahelyi profilos eszközökhöz, amelyek a tulajdonos nevében vagy a SAN-ban ezekre a változókra támaszkodnak, nem fognak tanúsítványt kiépíteni az Android 12 vagy újabb rendszerű eszközökön, amikor az eszköz regisztrálva lett az Intune-ban. Az Android 12-re való frissítés előtt regisztrált eszközök akkor is kaphatnak tanúsítványokat, ha az Intune korábban beszerezte az eszközök hardverazonosítóit.

Erről és az Android 12-vel bevezetett egyéb változásokról az Android Day Zero Support for Microsoft Endpoint Manager blogbejegyzésben talál további információt.

• Felhasználói tanúsítvány típusa
  A Tulajdonosnév formátum formátumbeállításai két változót tartalmaznak: Köznapi név (CN) és Email (E). Email (E) általában a{{EmailAddress}} változóval lett beállítva. Például: E={{EmailAddress}}

  A Köznapi név (CN) a következő változók bármelyikére állítható be:

  • CN={{UserName}}: A felhasználó felhasználóneve, például Jane Doe.

  • CN={{UserPrincipalName}}: A felhasználó egyszerű felhasználóneve, például janedoe@contoso.com.

  • CN={{AAD_Device_ID}}: Az eszköz Microsoft Entra ID való regisztrálásakor hozzárendelt azonosító. Ezt az azonosítót általában az Microsoft Entra ID hitelesítésére használják.

  • CN={{DeviceId}}: Egy eszköz Intune-beli regisztrálásakor hozzárendelt azonosító.

  • CN={{SERIALNUMBER}}: Az eszköz azonosítására általában a gyártó által használt egyedi sorozatszám (SN).

  • CN={{IMEINumber}}: A mobiltelefonok azonosításához használt egyedi IMEI-azonosító (International Mobile Equipment Identity, IMEI).

  • CN={{OnPrem_Distinguished_Name}}: Relatív megkülönböztető nevek sorozata vesszővel elválasztva, például CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

    A(z) {{OnPrem_Distinguished_Name}} változó használatához mindenképpen szinkronizálja az onpremisesdistinguishedname felhasználói attribútumot az Microsoft Entra Csatlakozás a Microsoft Entra ID.

  • CN={{onPremisesSamAccountName}}: A rendszergazdák szinkronizálhatják a samAccountName attribútumot az Active Directoryból Microsoft Entra ID a Microsoft Entra Connect használatával az onPremisesSamAccountName nevű attribútumba. Az Intune ezt a változót helyettesítheti egy tanúsítvány-kiállítási kérelem részeként a tanúsítvány tulajdonosában. A samAccountName attribútum a Windows korábbi (Windows 2000 előtti) verziójából származó ügyfelek és kiszolgálók támogatásához használt felhasználói bejelentkezési név. A felhasználói bejelentkezési név formátuma: DomainName\testUser, vagy csak testUser.

    A(z) {{onPremisesSamAccountName}} változó használatához mindenképpen szinkronizálja az onPremisesSamAccountName felhasználói attribútumot Microsoft Entra Csatlakozás a Microsoft Entra ID.

  Az alábbi Eszköztanúsítvány-típus szakaszban felsorolt összes eszközváltozó használható a felhasználói tanúsítvány tulajdonosneveiben is.

  Ezen változók vagy statikus szöveges sztringek egy vagy több kombinációjával egyéni tulajdonosnév-formátumot hozhat létre, például: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

  Ez a példa tartalmaz egy tulajdonosnév-formátumot, amely a CN és E változókat, valamint a szervezeti egység, a szervezet, a hely, az állam és az ország értékeihez tartozó sztringeket használja. A CertStrToName függvény ezt a függvényt és a támogatott sztringeket írja le.

  A felhasználói attribútumok nem támogatottak olyan eszközök esetében, amelyek nem rendelkeznek felhasználói társításokkal, például dedikált Android Enterprise-ként regisztrált eszközök esetében. Ha például egy profil CN={{UserPrincipalName}} értéket használ a tárgyban vagy a SAN-ban, nem tudja lekérni az egyszerű felhasználónevet, ha nincs felhasználó az eszközön.

• Eszköztanúsítvány típusa
  A Tulajdonosnév formátum formátumbeállításai a következő változókat tartalmazzák:

  • {{AAD_Device_ID}}
  • {{DeviceId}} – Ez az Intune eszközazonosítója
  • {{Device_Serial}}
  • {{Device_IMEI}}
  • {{SerialNumber}}
  • {{IMEINumber}}
  • {{AzureADDeviceId}}
  • {{WiFiMacAddress}}
  • {{IMEI}}
  • {{DeviceName}}
  • {{FullyQualifiedDomainName}}(Csak Windows és tartományhoz csatlakoztatott eszközök esetén alkalmazható)
  • {{MEID}}

  Ezeket a változókat, majd a változó szövegét a szövegmezőben adhatja meg. Például egy Device1 nevű eszköz köznapi neve hozzáadható CN={{DeviceName}}Device1 néven.

  Fontos

  • Amikor megad egy változót, a hiba elkerülése érdekében a változó nevét kapcsos zárójelek { } közé kell tenni a példában látható módon.
  • Az eszköztanúsítvány tulajdonosában vagy SAN-jában használt eszköztulajdonságok( például IMEI, SerialNumber és FullyQualifiedDomainName) olyan tulajdonságok, amelyeket az eszközhöz hozzáféréssel rendelkező személy hamisíthat.
  • Az eszköznek támogatnia kell a tanúsítványprofilban megadott összes változót ahhoz, hogy az adott profil telepítve legyen az adott eszközön. Ha például a(z) {{IMEI}} szerepel egy SCEP-profil tulajdonosnevében, és olyan eszközhöz van rendelve, amely nem rendelkezik IMEI-számmal, a profil telepítése sikertelen.

Következő lépések

• SCEP használata tanúsítványokhoz
• PKCS-tanúsítványok kiállítása Symantec PKI-kezelő webszolgáltatásból.
• PKCS-tanúsítványprofilok hibaelhárítása