PKCS-tanúsítványok konfigurálása és kezelése az Intune-nalConfigure and manage PKCS certificates with Intune

A következőkre vonatkozik: Intune az Azure PortalonApplies to: Intune in the Azure portal
A klasszikus portálbeli Intune-ról keres dokumentációt?Looking for documentation about Intune in the classic portal? Lépjen tovább ide.Go here.

KövetelményekRequirements

A PKCS-tanúsítványok Intune-nal történő használatához a következő infrastruktúrával kell rendelkeznie:To use PKCS certificates with Intune, you must have the following infrastructure:

  • Meglévő, konfigurált Active Directory tartományi szolgáltatások (AD DS) tartomány.An existing Active Directory Domain Services (AD DS) domain configured.

    Ha további információra van szüksége az AD DS telepítéséről és konfigurálásáról, tekintse meg az Az AD DS tervezése és kialakítása című cikket.If you need more information about how to install and configure AD DS see the article AD DS Design and Planning.

  • Meglévő, konfigurált vállalati hitelesítésszolgáltató (CA).An existing Enterprise Certification Authority (CA) configured.

    Ha további információra van szüksége az Active Directory tanúsítványszolgáltatások (AD CS) telepítéséről és konfigurálásáról, tekintse meg a Lépésenkénti útmutató az Active Directory tanúsítványszolgáltatásokhoz című cikket.If you need more information about how to install and configure Active Directory Certificate Services (AD CS) see the article Active Directory Certificate Services Step-by-Step Guide.

    Figyelmeztetés

    Az Intune követelményei szerint az AD CS-t vállalati hitelesítésszolgáltatóval, és nem önálló hitelesítésszolgáltatóval kell futtatni.Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Vállalati hitelesítésszolgáltatóhoz kapcsolódó ügyfél.A client that has connectivity to the Enterprise CA.

  • Vállalati hitelesítésszolgáltatótól származó főtanúsítvány exportált másolata.An exported copy of your root certificate from your Enterprise CA.
  • Az Intune-portálról letöltött Microsoft Intune Tanúsítvány-összekötő (NDESConnectorSetup.exe).The Microsoft Intune Certificate Connector (NDESConnectorSetup.exe) downloaded from your Intune Portal.
  • A Microsoft Intune Tanúsítvány-összekötő (NDESConnectorSetup.exe) üzemeltetésére alkalmas Windows Server.A Windows Server available to host the Microsoft Intune Certificate Connector (NDESConnectorSetup.exe).

Főtanúsítvány exportálása a vállalati hitelesítésszolgáltatótólExport the root certificate from the Enterprise CA

VPN-, WiFi- és egyéb erőforrással történő hitelesítéshez minden eszköz esetében fő vagy köztes hitelesítésszolgáltatói tanúsítványra van szükség.You need a root or intermediate CA certificate on each device for authentication with VPN, WiFi, and other resources. Az alábbi lépések ismertetik a szükséges tanúsítvány beszerzését a vállalati hitelesítésszolgáltatótól.The following steps explain how to get the required certificate from your Enterprise CA.

  1. Jelentkezzen be a vállalati hitelesítésszolgáltatóhoz egy rendszergazdai jogosultságokkal rendelkező fiókkal.Log in to your Enterprise CA with an account that has administrative privileges.
  2. Nyisson meg rendszergazdaként egy parancssort.Open a command prompt as an administrator.
  3. Exportálja a hitelesítésszolgáltatói főtanúsítványt egy olyan helyre, ahol később hozzáférhet.Export the Root CA Certificate to a location where you can access it later.

    Példa:For example:

    certutil -ca.cert certnew.cer

    További információkárt lásd: Certutil-feladatok a tanúsítványok kezeléséhez.For more information, see Certutil tasks for managing certificates.

Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálConfigure certificate templates on the certification authority

  1. Jelentkezzen be a vállalati hitelesítésszolgáltatóhoz egy rendszergazdai jogosultságokkal rendelkező fiókkal.Log in to your Enterprise CA with an account that has administrative privileges.
  2. Nyissa meg a Hitelesítésszolgáltató konzolt.Open the Certification Authority console.
  3. Kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd kattintson a Kezelés parancsra.Right-click Certificate Templates and choose Manage.
  4. Keresse meg a Felhasználói tanúsítványsablont, kattintson rá a jobb gombbal, majd kattintson a Sablon duplikálása elemre.Locate the User certificate template, right-click it and choose Duplicate Template. Ekkor megnyílik az Új sablon tulajdonságai ablak.A window opens, Properties of New Template.
  5. A Kompatibilitás laponOn the Compatibility tab
    • Állítsa a Hitelesítésszolgáltató beállítást Windows Server 2008 R2 értékre.Set Certification Authority to Windows Server 2008 R2
    • Állítsa a Tanúsítvány kezdeményezettje beállítást Windows 7 / Server 2008 R2 értékre.Set Certificate recipient to Windows 7 / Server 2008 R2
  6. Az Általános lapon:On the General tab:

    • Állítsa a Sablon megjelenítendő neve beállítást egy aktuális névre.Set Template display name to something meaningful to you.

    Figyelmeztetés

    A Sablon neve alapértelmezés szerint ugyanaz, mint a Sablon megjelenítendő neve, szóköz nélkül.Template name by default is the same as Template display name with no spaces. Jegyezze meg a sablon nevét későbbi használatra.Note the template name for later use.

  7. A Kérelmek kezelése lapon jelölje be A titkos kulcs exportálható jelölőnégyzetet.On the Request Handling tab, check the Allow private key to be exported box.

  8. A Titkosítás lapon győződjön meg róla, hogy a Minimális kulcshossz értéke 2048.On the Cryptography tab, confirm that the Minimum key size is set to 2048.
  9. A Tulajdonos neve lapon kattintson A kérelem fogja tartalmazni választógombra.On the Subject Name tab, choose the radio button Supply in the request.
  10. A Bővítmények lapon ellenőrizze, hogy az Alkalmazás-szabályzatok alatt láthatóak-e a következő elemek: Titkosított fájlrendszer, Biztonságos e-mail, Ügyfél-hitelesítés.On the Extensions tab, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Fontos

    iOS- és macOS-tanúsítványsablonok esetében a Kiterjesztések lapon módosítsa a Kulcshasználat beállítást, és ügyeljen rá, hogy Az aláírás igazolja az eredetet jelölőnégyzet ne legyen bejelölve.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  11. A Biztonság lapon vegye fel annak a kiszolgálónak a fiókját, amelyen telepíti a Microsoft Intune Tanúsítvány-összekötőt.On the Security tab, add the Computer Account for the server where you install the Microsoft Intune Certificate Connector.

    • Adja meg a fiók számára az Olvasás és Beléptetés engedélyeket.Allow this account Read and Enroll permissions.
  12. A tanúsítvány mentéséhez kattintson az Alkalmaz, majd az OK elemre.Click Apply, then click OK to save the certificate template.
  13. Zárja be a Tanúsítvány-sablonok konzolt.Close the Certificate Templates Console.
  14. A Hitelesítésszolgáltató konzolon kattintson a jobb gombbal a Tanúsítványsablonok, az Új, majd a Kiállítandó tanúsítványsablon elemekre.From the Certification Authority console, right-click Certificate Templates, New, Certificate Template to Issue.
    • Válassza ki az iménti lépésekben létrehozott sablont, majd kattintson az OK elemre.Choose the template that you created in the preceding steps and click OK.
  15. Ahhoz, hogy a kiszolgáló az Intune-ban regisztrált eszközök és felhasználók nevében kezelhesse a tanúsítványokat, kövesse az alábbi lépéseket:For the server to manage certificates on behalf of Intune enrolled devices and users, follow these steps:

    a.a. Kattintson a jobb gombbal a hitelesítésszolgáltatóra, majd kattintson a Tulajdonságok elemre.Right-click the Certification Authority, choose Properties.

    b.b. A biztonság lapon vegye fel annak a kiszolgálónak a fiókját, amelyen futtatja a Microsoft Intune Tanúsítvány-összekötőt.On the security tab, add the Computer account of the server where you run the Microsoft Intune Certificate Connector.

    • A fiók számára adja meg a Tanúsítványok kiadása és kezelése és a Tanúsítványkérés engedélyeket.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  16. Jelentkezzen ki a vállalati hitelesítésszolgáltatóból.Log out of the Enterprise CA.

A Microsoft Intune Tanúsítvány-összekötő letöltése, telepítése és konfigurálásaDownload install and configure the Microsoft Intune Certificate Connector

ConnectorDownloadConnectorDownload

  1. Jelentkezzen be az Azure portálra.Sign in to the Azure portal.
  2. Nyissa meg az Intune-t, az Eszközkonfigurációt és a Hitelesítésszolgáltatót, majd kattintson a Tanúsítvány-összekötő letöltése elemre.Navigate to Intune, Device configuration, Certification Authority, and click Download the certificate connector.
    • Mentse a letöltést egy olyan helyre, ahol hozzá tud férni a kiszolgálón, amelyen telepíteni fogja.Save the download to a location where you can access it on the server where you will install it.
  3. Jelentkezzen be azon a kiszolgálón, amelyen telepíteni fogja a Microsoft Intune Tanúsítvány-összekötőt.Log in to the server where you will install the Microsoft Intune Certificate Connector.
  4. Futtassa a telepítőt, és fogadja el az alapértelmezett helyet.Run the installer and accept the default location. A telepítő az összekötőt a C:\Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe helyen telepíti.It installs the connector to C:\Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.

    a.a. A Telepítőbeállítás oldalon kattintson a PFX terjesztése, majd a Tovább elemre.On the Installer Options page chose PFX Distribution and click Next.

    b.b. Kattintson a Telepítés elemre, és várjon, amíg a telepítés befejeződik.Click Install and wait for installation to complete.

    c.c. A befejezés lapon jelölje be a Intune-összekötő indítása feliratú jelölőnégyzetet, majd kattintson a Befejezés elemre.On the completion page, check the box labeled Launch Intune Connector and click Finish.

  5. Az NDES-összekötő ablaknak ekkor a Regisztráció lapra kell nyílnia. Az Intune-hoz történő kapcsolódás engedélyezéséhez kattintson a Bejelentkezés elemre, és adjon meg egy fiókot rendszergazdai engedélyekkel.The NDES Connector window should now open to the Enrollment tab. To enable the connection to Intune, you must click Sign In and provide an account with administrative permissions.

  6. A Speciális lapon kijelölve hagyhatja a Use this computer's SYSTEM account (default) (A számítógép SYSTEM fiókjának használata (alapértelmezett)) feliratú választógombot.On the Advanced tab, you can leave the radio button Use this computer's SYSTEM account (default) selected.
  7. Kattintson az Alkalmaz, majd a Bezárás elemre.Click Apply then Close.
  8. Most pedig lépjen vissza az Azure Portalra.Now go back on the Azure portal. Ha megnyitja az Intune, az Eszközkonfiguráció majd a Hitelesítésszolgáltató lapot, a Kapcsolat állapota menüpont alatt pár percen belül meg kell jelennie egy zöld pipa jelnek és az Aktív szónak.Under Intune, Device configuration, Certification Authority, you should see a green check mark and the word Active under Connection status after a few minutes. Ez a megerősítés jelzi, hogy az összekötő kiszolgáló kapcsolatba tud lépni az Intune-nal.This confirmation lets you know that your connector server can communicate with Intune.

Eszközkonfigurációs profil létrehozásaCreate a device configuration profile

  1. Jelentkezzen be az Azure portálra.Sign in to the Azure portal.
  2. Nyissa meg az Intune, majd az Eszközkonfiguráció, és végül a Profilok lapot, majd kattintson a Profil létrehozása elemre.Navigate to Intune, Device configuration, Profiles, and click Create profile.

    NavigateIntuneNavigateIntune

  3. Adja meg az alábbi adatokat:Populate the following information:

    • Név a profil számáraName for the profile
    • Igény szerint hozzáadhat egy leírástOptionally set a description
    • Platform, amelyen telepíteni kell a profiltPlatform to deploy the profile to
    • A Profiltípust állítsa Megbízható tanúsítványraSet Profile type to Trusted certificate
  4. Nyissa meg a Beállítások lapot, és adja meg a korábban exportált hitelesítésszolgáltatói főtanúsítvány .cer fájlját.Navigate to Settings and provide the .cer file Root CA Certificate exported previously.

    Megjegyzés

    A 3. lépésben választott Platformtól függően lehetősége lehet Céltárolót választani a tanúsítvány számára.Depending on the Platform you chose in Step 3 you may or may not have an option to choose the Destination store for the certificate.

    ProfileSettingsProfileSettings

  5. A profil mentéséhez kattintson az OK, majd a Létrehozás elemre.Click OK then Create to save your profile.

  6. Az új profil egy vagy több eszközhöz történő hozzárendeléséhez lásd: Microsoft Intune-eszközprofilok hozzárendelése.To assign the new profile to one or more devices see How to assign Microsoft Intune device profiles.

PKCS-tanúsítványprofil létrehozásaCreate a PKCS Certificate profile

  1. Jelentkezzen be az Azure portálra.Sign in to the Azure portal.
  2. Nyissa meg az Intune, majd az Eszközkonfiguráció, és végül a Profilok lapot, majd kattintson a Profil létrehozása elemre.Navigate to Intune, Device configuration, Profiles, and click Create profile.
  3. Adja meg az alábbi adatokat:Populate the following information:
    • Név a profil számáraName for the profile
    • Igény szerint hozzáadhat egy leírástOptionally set a description
    • Platform, amelyen telepíteni kell a profiltPlatform to deploy the profile to
    • A Profiltípust állítsa PKCS-tanúsítványraSet Profile type to PKCS Certificate
  4. Nyissa meg a Beállítások lapot, és adja meg a következő adatokat:Navigate to Settings and provide the following information:

    • Megújítási küszöb (%) – Az ajánlott érték 20%.Renewal threshold (%) - Recommended is 20%.
    • Tanúsítvány érvényességi időtartama – ha nem módosította a tanúsítványsablont, akkor a megadott beállítás egy év.Certificate validity period - If you did not change the certificate template this option should be set to one year.
    • Hitelesítésszolgáltató – Ez a beállítás a vállalati hitelesítésszolgáltató belső teljes tartományneve (FQDN).Certification authority - This option is the internal fully qualified domain name (FQDN) of your Enterprise CA.
    • Hitelesítésszolgáltató neve – Ez a beállítás a vállalati hitelesítésszolgáltató neve, ami nem feltétlenül azonos az előző elemmel.Certification authority name - This option is the name of your Enterprise CA and may be different than the previous item.
    • Tanúsítványsablon neve – Ez a beállítás a korábban létrehozott sablon neve.Certificate template name - This option is the name of the template created earlier. Emlékeztető: a Sablon neve alapértelmezés szerint ugyanaz, mint a Sablon megjelenítendő neve, szóköz nélkül.Remember Template name by default is the same as Template display name with no spaces.
    • Tulajdonos nevének formátuma – Ennél a beállításnál, ha nincs eltérő követelmény, a Köznapi nevet adja meg.Subject name format - Set this option to Common name unless otherwise required.
    • Tulajdonos alternatív neve – Ennél a beállításnál, ha nincs eltérő követelmény, az Egyszerű felhasználónevet (UPN) adja meg.Subject alternative name - Set this option to User principal name (UPN) unless otherwise required.
    • Kibővített kulcshasználat – Amíg a fenti, Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónál szakasz 10. lépésében ismertetett alapértelmezett beállításokat használja, a következő Előre meghatározott értékeket adja meg a kijelölési mezőből:Extended key usage - As long as you used the default settings in Step 10 in the preceding section Configure certificate templates on the certification authority, add the following Predefined values from the selection box:
      • Általános felhasználásAny Purpose
      • Ügyfél-hitelesítésClient Authentication
      • Biztonságos e-mailSecure Email
    • Főtanúsítvány – (Androidos profilokhoz) Ez a beállítás a fenti Főtanúsítvány exportálása a vállalati hitelesítésszolgáltatótól szakasz 3. lépésében exportált .cer fájl.Root Certificate - (For Android Profiles) This option is the .cer file exported in Step 3 under the previous section Export the root certificate from the Enterprise CA.
  5. A profil mentéséhez kattintson az OK, majd a Létrehozás elemre.Click OK, then click Create to save your profile.

  6. Az új profil egy vagy több eszközhöz történő hozzárendeléséhez lásd: Microsoft Intune-eszközprofilok hozzárendelése.To assign the new profile to one or more devices, see the article How to assign Microsoft Intune device profiles.