SCEP-tanúsítványok konfigurálása és használata az Intune-nalConfigure and use SCEP certificates with Intune

A következőkre vonatkozik: Intune az Azure PortalonApplies to: Intune in the Azure portal
A klasszikus portálbeli Intune-ról keres dokumentációt?Looking for documentation about Intune in the classic portal? Olvassa el az Intune-t bemutató cikket.Read the introduction to Intune.

Ez a cikk bemutatja az infrastruktúra konfigurálását, majd az Egyszerű tanúsítványbeiktatási protokoll (SCEP) tanúsítványprofiljainak ezt követő létrehozását és hozzárendelését az Intune-nal.This article shows how to configure your infrastructure, then create and assign Simple Certificate Enrollment Protocol (SCEP) certificate profiles with Intune.

A helyszíni infrastruktúra konfigurálásaConfigure on-premises infrastructure

  • Active Directory-tartomány: A jelen szakaszban felsorolt összes kiszolgálónak (a webalkalmazás-proxykiszolgáló kivételével) csatlakoznia kell a szervezet Active Directory-tartományához.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Hitelesítésszolgáltató (CA): Olyan vállalati hitelesítésszolgáltató (CA), amely a Windows Server 2008 R2 vagy újabb rendszer vállalati verzióján fut.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. Az önálló hitelesítésszolgáltató nem támogatott.A Standalone CA is not supported. További útmutatás a Hitelesítésszolgáltató telepítése témakörben található.For details, see Install the Certification Authority. Ha a hitelesítésszolgáltatója Windows Server 2008 R2 rendszeren fut, telepítenie kell a KB2483564 jelű gyorsjavítást.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • NDES-kiszolgáló: a Windows Server 2012 R2 vagy újabb rendszeren futó kiszolgálón telepítenie kell a hálózati eszközök tanúsítványigénylési szolgáltatását (NDES).NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Az Intune nem támogatja az NDES használatát, ha az olyan kiszolgálón fut, amely vállalati hitelesítésszolgáltatót is futtat.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Az Útmutató a hálózati eszközök tanúsítványigénylési szolgáltatásához című cikkből tájékozódhat arról, hogyan kell konfigurálnia a Windows Server 2012 R2 rendszert az NDES futtatására.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Az NDES-kiszolgálónak csatlakoznia kell a tartományhoz, amely a hitelesítésszolgáltatót futtatja, de nem lehet ugyanazon a kiszolgálón, mint a hitelesítésszolgáltató.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. További információ az NDES-kiszolgáló különálló erdőben, elszigetelt hálózaton vagy belső tartományon való telepítéséről: Házirendmodul használata a Hálózati eszközök tanúsítványigénylési szolgáltatásával.More information about deploying the NDES server in a separate forest, isolated network, or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Microsoft Intune Tanúsítvány-összekötő: Az Azure Portal webhelyről töltse le a Tanúsítvány-összekötő telepítőjét (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: Use the Azure portal to download the Certificate Connector installer (ndesconnectorssetup.exe). Ezután futtathatja a ndesconnectorssetup.exe fájlt a hálózati eszközök tanúsítványigénylési szolgáltatás (NDES) szerepkört üzemeltető kiszolgálón, ahol a Tanúsítvány-összekötőt szeretné telepíteni.Then you can run ndesconnectorssetup.exe on the server hosting the Network Device Enrollment Service (NDES) role where you want to install the Certificate Connector.

  • 1Webalkalmazás-proxykiszolgáló (nem kötelező): Webalkalmazás-proxykiszolgálóként (WAP) használjon olyan kiszolgálót, amelyen a Windows Server 2012 R2 vagy újabb verziójú rendszer fut.Web Application Proxy Server (optional): Use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Ez a konfiguráció:This configuration:

    • Lehetővé teszi, hogy az eszközök az interneten keresztül fogadjanak tanúsítványokat.Allows devices to receive certificates using an Internet connection.
    • Biztonsági ajánlás olyan környezetekben, ahol az eszközök az interneten keresztül csatlakozva kapnak és újítanak meg tanúsítványokat.Is a security recommendation when devices connect through the Internet to receive and renew certificates.

TovábbiakAdditional

  • A WAP-ot futtató kiszolgálón telepíteni kell egy frissítést ahhoz, hogy az támogassa az NDES által használt hosszú URL-eket.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service. Ez a frissítés megtalálható a 2014. decemberi kumulatív frissítésben, illetve önállóan a KB3011135-as jelű frissítésként.This update is included with the December 2014 update rollup, or individually from KB3011135.
  • A WAP-kiszolgálónak rendelkeznie kell egy SSL-tanúsítvánnyal, amely a külső ügyfeleknek közzétett nevet egyezteti, valamint meg kell bíznia az NDES-kiszolgálón használt SSL-tanúsítványban.The WAP server must have an SSL certificate that matches the name being published to external clients, and trust the SSL certificate used on the NDES server. E tanúsítványok segítségével a WAP-kiszolgáló képes megszakítani az ügyfelek SSL-kapcsolatát, illetve új SSL-kapcsolatot létrehozni az NDES-kiszolgálóval.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server.

További információ: Tanúsítványok tervezése a WAP-hoz és Általános adatok a WAP-kiszolgálókról.For more information, see Plan certificates for WAP and general information about WAP servers.

A hálózatra vonatkozó követelményekNetwork requirements

Az internet és a szegélyhálózat között engedélyezze a 443-as port használatát az összes internetes állomásról/IP-címről az NDES-kiszolgálóra irányuló forgalom számára.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

A peremhálózat és a megbízható hálózat között engedélyezze a tartomány eléréséhez szükséges összes portot és protokollt a tartományhoz csatlakozó NDES-kiszolgálón.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Az NDES-kiszolgálónak el kell tudnia érnie a tanúsítványkiszolgálót, a DNS-kiszolgálókat, a Configuration Manager-kiszolgálókat és a tartományvezérlőket.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers, and domain controllers.

Az NDES-kiszolgálót egy proxyn keresztül, például az Azure AD-alkalmazásproxyn, a webalkalmazás-proxyn vagy egy külső proxyn érdemes közzétenni.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Tanúsítványok és sablonokCertificates and templates

ObjektumObject RészletekDetails
TanúsítványsablonCertificate Template Ez a sablon a vállalati hitelesítésszolgáltatón konfigurálható.Configure this template on your issuing CA.
Ügyfél-hitelesítési tanúsítványClient authentication certificate A vállalati vagy nyilvános hitelesítésszolgáltatótól lekért tanúsítvány, melyet az NDES-kiszolgálóra kell telepítenie.Requested from your issuing CA or public CA; you install this certificate on the NDES Server.
Kiszolgálói hitelesítési tanúsítványServer authentication certificate A vállalati vagy nyilvános hitelesítésszolgáltatótól lekért tanúsítvány. Ezt az SSL-tanúsítványt az NDES-kiszolgálón futó IIS-be kell telepítenie, majd kötést kell létrehoznia.Requested from your issuing CA or public CA; you install and bind this SSL certificate in IIS on the NDES server.
Megbízható legfelső szintű hitelesítésszolgáltató tanúsítványaTrusted Root CA certificate Ezt a tanúsítványt .cer fájlként kell exportálnia a legfelső szintű hitelesítésszolgáltatótól vagy bármely olyan eszközről, amely megbízik a legfelső szintű hitelesítésszolgáltatóban, majd hozzá kell rendelnie az eszközökhöz a megbízható hitelesítésszolgáltatói tanúsítványprofillal.You export this certificate as a .cer file from the root CA or any device that trusts the root CA, and assign it to devices by using the Trusted CA certificate profile.

Operációsrendszer-platformonként egy darab megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványt használjon, és társítsa azt az egyes létrehozott megbízható főtanúsítvány-profilokkal.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

Szükség esetén további megbízható legfelső szintű hitelesítésszolgáltatói tanúsítványokat is használhat.You can use additional Trusted Root CA certificates when needed. Ezzel például bizalmi kapcsolatot alakíthat ki egy hitelesítésszolgáltatónak, mely aláírja a kiszolgálói hitelesítési tanúsítványokat a szervezet Wi-Fi hozzáférési pontjai számára.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

FiókokAccounts

NévName RészletekDetails
NDES szolgáltatásfiókNDES service account Adjon meg egy tartományfelhasználói fiókot, melyet NDES szolgáltatásfiókként fog használni.Enter a domain user account to use as the NDES Service account.

Az infrastruktúra konfigurálásaConfigure your infrastructure

A tanúsítványprofilok konfigurálása előtt hajtsa végre a következő feladatokat.Before you can configure certificate profiles, complete the following tasks. E feladatokhoz szükség van a Windows Server 2012 R2 és az Active Directory tanúsítványszolgáltatások (ADCS) ismeretére:These tasks require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

1. lépés: NDES szolgáltatásfiók létrehozásaStep 1: Create an NDES service account

2. lépés: Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálStep 2: Configure certificate templates on the certification authority

3. lépés: Előfeltételek konfigurálása az NDES-kiszolgálónStep 3: Configure prerequisites on the NDES server

4. lépés: Az NDES Intune-nal való használatának konfigurálásaStep 4: Configure NDES for use with Intune

5. lépés: Az Intune Certificate Connector engedélyezése, telepítése és konfigurálásaStep 5: Enable, install, and configure the Intune Certificate Connector

1. lépés – NDES szolgáltatásfiók létrehozásaStep 1 - Create an NDES service account

Hozzon létre egy tartományfelhasználói fiókot, melyet NDES szolgáltatásfiókként fog használni.Create a domain user account to use as the NDES service account. Ezt a fiókot kell megadnia a sablonok vállalati hitelesítésszolgáltatónál való konfigurálásakor, még mielőtt telepítené és konfigurálná az NDES-t.You enter this account when you configure templates on the issuing CA before you install and configure NDES. Gondoskodjon arról, hogy a felhasználó rendelkezzen az alapértelmezett jogokkal, valamint a következő jogokkal: Helyi bejelentkezés engedélyezése, Bejelentkezés szolgáltatásként és Bejelentkezés kötegfájlfolyamatként.Make sure the user has the default rights, Logon Locally, Logon as a Service and Logon as a batch job rights. Egyes szervezeteknél olyan korlátozási szabályzatok lehetnek érvényben, amelyek letiltják ezeket a jogokat.Some organizations have hardening policies that disable those rights.

2. lépés – Tanúsítványsablonok konfigurálása a hitelesítésszolgáltatónálStep 2 - Configure certificate templates on the certification authority

A feladatban az alábbiak szerepelnek:In this task, you:

  • Tanúsítványsablon konfigurálása az NDES számáraConfigure a certificate template for NDES
  • Tanúsítványsablon közzététele az NDES számáraPublish the certificate template for NDES
A hitelesítésszolgáltató konfigurálásaConfigure the certification authority
  1. Jelentkezzen be vállalati rendszergazdaként.Sign in as an enterprise administrator.

  2. Hozzon létre egy új sablont a Tanúsítványsablonok beépülő modullal a vállalati hitelesítésszolgáltatón.On the issuing CA, use the Certificate Templates snap-in to create a new custom template. Vagy másik lehetőségként másoljon egy meglévő sablont, és frissítse a meglévő sablont (például a Felhasználói sablont) az NDES-sel való használathoz.Or, copy an existing template, and then update the existing template (like the User template) for use with NDES.

    Megjegyzés

    Az NDES tanúsítványsablonnak v2 tanúsítványsablonon kell alapulnia (Windows 2003-kompatibilitással).The NDES certificate template must be based off a v2 Certificate Template (with Windows 2003 compatibility).

    A sablonnak az alábbi beállításokkal kell rendelkeznie:The template must have the following configurations:

    • Adjon meg egy leíró nevet a sablonnak a Sablon megjelenítendő neve mezőben.Enter a friendly Template display name for the template.

    • A Tulajdonos neve lapon válassza a Kérelemben megadva lehetőséget.In Subject Name, select Supply in the request. (A biztonságot az Intune NDES-házirendmodulja fogja érvényesíteni.)(Security is enforced by the Intune policy module for NDES).

    • A Kiterjesztések területen győződjön meg róla, hogy az Alkalmazás-házirendek leírása lista tartalmazza az Ügyfél-hitelesítés elemet.In Extensions, confirm the Description of Application Policies includes Client Authentication.

      Fontos

      iOS- és macOS-tanúsítványsablonok esetében a Kiterjesztések lapon módosítsa a Kulcshasználat beállítást, és ügyeljen rá, hogy Az aláírás az eredet igazolása jelölőnégyzet ne legyen bejelölve.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage, and confirm Signature is proof of origin is not selected.

    • A Biztonság területen adja hozzá az NDES szolgáltatásfiókot, és adjon meg hozzá Regisztrálás engedélyt a sablonhoz.In Security, add the NDES service account, and give it Enroll permissions to the template. Az SCEP-profilokat létrehozó Intune-rendszergazdáknak olvasási jogokkal kell rendelkezniük, hogy az SCEP-profilok létrehozása során megnyithassák a sablont.Intune admins who create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

      Megjegyzés

      A tanúsítványok visszavonásához az NDES szolgáltatásfiók a Tanúsítványok kiállítása és kezelése nevű jogosultságot igényli a tanúsítványprofilok által használt összes tanúsítványprofilhoz.To revoke certificates, the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Ellenőrizze az Érvényesség időtartama beállítást a sablon Általános lapján.Review the Validity period on the General tab of the template. Alapértelmezés szerint az Intune a sablonban konfigurált értéket használja.By default, Intune uses the value configured in the template. Lehetősége van azonban arra is, hogy a hitelesítésszolgáltató konfigurálásával engedélyezze a kérelmezőnek egy másik érték megadását, amelyet aztán az Intune felügyeleti konzoljából tud megadni.However, you have the option to configure the CA to allow the requester to enter a different value, which you can then set from within the Intune Administrator console. Ha azt szeretné, hogy mindig a sablonban lévő érték legyen használva, hagyja ki ennek a lépésnek a hátralévő részét.If you want to always use the value in the template, skip the remainder of this step.

    Fontos

    Az iOS és a macOS mindig a sablonban beállított értéket használja, minden más konfigurációs beállítástól függetlenül.iOS and macOS always use the value set in the template, regardless of other configurations you make.

Példa a sablonkonfigurációra:Example template configuration:

Sablon, a kérelmek kezelésére szolgáló lap

Sablon, a tulajdonos nevének megadására szolgáló lap

Sablon, a biztonsági beállításokat tartalmazó lap

Sablon, a bővítményeket tartalmazó lap

Sablon, a tanúsítvány kiállításának feltételeit tartalmazó lap

Fontos

Az Alkalmazás-házirendek beállításnál csak azokat az alkalmazás-házirendeket adja hozzá, amelyekre valóban szüksége van.For Application Policies, only add the application policies required. A kiválasztott elemekkel kapcsolatban kérje ki a biztonsági rendszergazda véleményét is.Confirm your choices with your security admins.

Konfigurálja a hitelesítésszolgáltatót úgy, hogy engedélyezze a kérelmezőnek az érvényességi időszak megadását:Configure the CA to allow the requester to enter the validity period:

  1. Futtassa az alábbi parancsokat a hitelesítésszolgáltatón:On the CA run the following commands:

    • certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    • net stop certsvcnet stop certsvc
    • net start certsvcnet start certsvc
  2. Tegye közzé a Hitelesítésszolgáltató beépülő modullal a tanúsítványsablont a vállalati hitelesítésszolgáltatón.On the issuing CA, use the Certification Authority snap-in to publish the certificate template. Válassza a Tanúsítványsablonok csomópontot, válassza a Művelet > Új > Kiállítandó tanúsítványsablon lehetőséget, és válassza ki a 2. lépésben létrehozott sablont.Select the Certificate Templates node, click Action > New > Certificate Template to Issue, and then select the template you created in step 2.

  3. Ellenőrizze a Tanúsítványsablonok mappában, hogy a sablon közzététele sikerült-e.Validate that the template published by viewing it under the Certificate Templates folder.

3. lépés – Előfeltételek konfigurálása az NDES-kiszolgálónStep 3 - Configure prerequisites on the NDES server

A feladatban az alábbiak szerepelnek:In this task, you:

  • Az NDES hozzáadása egy Windows Server-kiszolgálóhoz, és az IIS konfigurálása az NDES támogatásáraAdd NDES to a Windows Server and configure IIS to support NDES
  • Az NDES szolgáltatásfiók hozzáadása a IIS_IUSR csoporthozAdd the NDES Service account to the IIS_IUSR group
  • Az NDES szolgáltatásfiók egyszerű szolgáltatásnevének beállításaSet the SPN for the NDES Service account
  1. Jelentkezzen be az NDES szolgáltatásnak helyt adó kiszolgálón Vállalati rendszergazdaként, és telepítse az NDES-t a Szerepkörök és szolgáltatások hozzáadása varázslóval:On the server that hosts NDES, sign in as an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. A varázslóban válassza az Active Directory tanúsítványszolgáltatások lehetőséget az AD CS szerepkör-szolgáltatások eléréséhez.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Válassza a Hálózati eszközök tanúsítványigénylési szolgáltatásalehetőséget, törölje a jelet a Hitelesítésszolgáltatójelölőnégyzetből, és fejezze be a varázslót.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Tipp

      Kattintson a Bezárás gombra a Telepítési folyamat lapon.In Installation progress, do not check Close. Ehelyett válassza Az Active Directory tanúsítványszolgáltatások beállítása a célkiszolgálón hivatkozást.Instead, select the Configure Active Directory Certificate Services on the destination server link. Ekkor megnyílik Az Active Directory tanúsítványszolgáltatások beállítása varázsló, amelyet a következő feladathoz kell használnia.The AD CS Configuration wizard opens, which you use for the next task. Ha megnyílt Az Active Directory tanúsítványszolgáltatások beállítása varázsló, bezárhatja a Szerepkörök és szolgáltatások hozzáadása varázslót.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Az NDES kiszolgálóhoz való hozzáadásakor a varázsló az IIS-t is telepíti.When NDES is added to the server, the wizard also installs IIS. Az IIS-nek az alábbi konfigurációval kell rendelkeznie:Ensure IIS has the following configurations:

    3. Webkiszolgáló > Biztonság > KérelemszűrésWeb Server > Security > Request Filtering

    4. Webkiszolgáló > Alkalmazásfejlesztés > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Az ASP.NET 3.5 telepítése telepíti a .NET-keretrendszer 3.5-öt is.Installing ASP.NET 3.5 installs .NET Framework 3.5. A .NET-keretrendszer 3.5 telepítésekor a .NET-keretrendszer 3.5 alapszolgáltatásai mellett telepítse a HTTP-aktiválásszolgáltatást is.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

    5. Webkiszolgáló > Alkalmazásfejlesztés > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Az ASP.NET 4.5 telepítése telepíti a .NET-keretrendszer 4.5-öt is.Installing ASP.NET 4.5 installs .NET Framework 4.5. A .NET-keretrendszer 4.5 telepítésekor a .NET-keretrendszer 4.5 alapszolgáltatásai mellett telepítse az ASP.NET 4.5 és a WCF-szolgáltatások > HTTP-aktiválás szolgáltatást is.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

    6. Felügyeleti eszközök > Kompatibilitás az IIS 6 kezelésével > Kompatibilitás az IIS 6 metabázisávalManagement Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

    7. Felügyeleti eszközök > Kompatibilitás az IIS 6 kezelésével > IIS 6 WMI kompatibilitási módManagement Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    8. Vegye fel a kiszolgálón az NDES szolgáltatásfiókot az IIS_IUSR csoport tagjaként.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Futtassa egy emelt jogosultságszintű parancssorból az alábbi parancsot az NDES szolgáltatásfiók egyszerű szolgáltatásnevének beállításához:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

    setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>

    Ha például az NDES kiszolgáló neve Kiszolgalo01, a tartomány Contoso.comés a szolgáltatásfiók NDESSzolgaltatas, akkor az alábbi parancsot kell használnia:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

    setspn –s http/Server01.contoso.com contoso\NDESService

4. lépés – Az NDES Intune-nal való használatának konfigurálásaStep 4 - Configure NDES for use with Intune

A feladatban az alábbiak szerepelnek:In this task, you:

  • Az NDES konfigurálása a vállalati hitelesítésszolgáltatóval való használatraConfigure NDES for use with the issuing CA
  • SSL-tanúsítvány kötésének létrehozása az IIS-benBind the server authentication (SSL) certificate in IIS
  • Kérelemszűrés konfigurálása az IIS-benConfigure Request Filtering in IIS
  1. Nyissa meg az NDES-kiszolgálón Az Active Directory tanúsítványszolgáltatások beállítása varázslót, és végezze el az alábbi módosításokat:On the NDES Server, open the AD CS Configuration wizard, and then make the following updates:

    Tipp

    Ha az előző feladatban rákattintott a hivatkozásra, akkor ez a varázsló már meg van nyitva.If you clicked the link in the previous task, this wizard is already open. Ellenkező esetben nyissa meg a Kiszolgálókezelőt az Active Directory tanúsítványszolgáltatások telepítés utáni konfigurációjának eléréséhez.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • A Szerepkör-szolgáltatások területen válassza a Hálózati eszközök tanúsítványigénylési szolgáltatása lehetőséget.In Role Services, select the Network Device Enrollment Service
    • A Hálózati eszközök tanúsítványigénylési szolgáltatásának szolgáltatásfiókja területen adja meg az NDES szolgáltatásfiókot.In Service Account for NDES, enter the NDES Service Account
    • A Hitelesítésszolgáltató a Hálózati eszközök tanúsítványigénylési szolgáltatásához területen kattintson a Kijelölés lehetőségre, és válassza ki azt a vállalati hitelesítésszolgáltatót, amelyen a tanúsítványsablont konfigurálta.In CA for NDES, click Select, and then select the issuing CA where you configured the certificate template
    • A Titkosítás a Hálózati eszközök tanúsítványigénylési szolgáltatása esetén területen adja meg a kulcshosszt a vállalati követelményeknek megfelelően.In Cryptography for NDES, set the key length to meet your company requirements.
    • A Megerősítés területen válassza a Konfigurálás lehetőséget a varázsló befejezéséhez.In Confirmation, select Configure to complete the wizard.
  2. Miután a varázsló befejeződött, frissítse az NDES-kiszolgálón az alábbi beállításkulcsot:After the wizard completes, update the following registry key on the NDES Server:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    A kulcs frissítéséhez azonosítsa a tanúsítványsablon célját, melyet a Kérelmek kezelése lapon találhat meg.To update this key, identify the certificate template's Purpose (found on its Request Handling tab). Ezután frissítse a beállításjegyzék megfelelő bejegyzését úgy, hogy lecseréli a meglévő adatokat a tanúsítványsablon nevére (nem a sablon megjelenített nevére), amelyet az 1. feladatban adott meg.Then, update the corresponding registry entry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. A következő táblázat a tanúsítványsablon-céloknak megfelelő beállításjegyzék-értékeket mutatja:The following table maps the certificate template purpose to the values in the registry:

    Tanúsítványsablon célja (a Kérelmek kezelése lapon)Certificate template Purpose (On the Request Handling tab) Szerkesztendő beállításazonosítóRegistry value to edit Az SCEP-profil Intune felügyeleti konzolban látható értékeValue seen in the Intune admin console for the SCEP profile
    AláírásSignature SignatureTemplateSignatureTemplate Digitális aláírásDigital Signature
    EncryptionEncryption EncryptionTemplateEncryptionTemplate KulcstitkosításKey Encipherment
    Aláírás és titkosításSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate KulcstitkosításKey Encipherment
    Digitális aláírásDigital Signature

    Ha például a tanúsítványsablon célja Titkosítás, akkor az EncryptionTemplate azonosító értékét kell a tanúsítványsablon nevére cserélnie.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Az NDES-kiszolgálóra rendkívül hosszú URL-címek (lekérdezések) érkeznek, melyekhez két beállításjegyzékbeli bejegyzést kell felvennie:The NDES server receives long URLs (queries), which require you to add two registry entries:

    Tartózkodási helyLocation ÉrtékValue TípusType AdatData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (decimális)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (decimális)65534 (decimal)
  4. Az IIS-kezelőben válassza az Alapértelmezett webhely > Kérésszűrés > Szolgáltatás beállításainak szerkesztése lehetőséget.In IIS manager, select Default Web Site > Request Filtering > Edit Feature Setting. Módosítsa az URL-cím maximális hossza és a Lekérdezés-karakterlánc maximális hossza beállítás értékét a következőre: 65534, ahogy az a képen is látható:Change the Maximum URL length and Maximum query string to 65534, as shown:

    Maximális URL-hossz és lekérdezéshossz az IIS-ben

  5. Indítsa újra a kiszolgálót.Restart the server. A módosítások véglegesítéséhez nem elég, ha a kiszolgálón futtatja az iisreset parancsot.Running iisreset on the server is not sufficient to finalize these changes.

  6. Nyissa meg a http://*FQDN*/certsrv/mscep/mscep.dll címet.Browse to http://*FQDN*/certsrv/mscep/mscep.dll. Az alábbihoz hasonló NDES-lapnak kell megjelennie:You should see an NDES page similar to the following:

    NDES teszt

    Ha 503 – A szolgáltatás nem érhető el hibát kap, tekintse meg az eseménymegjelenítőt.If you get a 503 Service unavailable, check the event viewer. Valószínű, hogy az alkalmazáskészlet azért állt le, mert az NDES-felhasználó nem rendelkezik valamelyik szükséges joggal.It's likely that the application pool is stopped due to a missing right for the NDES user. A szükséges jogokat az 1. feladat ismerteti.Those rights are described in Task 1.

Tanúsítványok NDES-kiszolgálón való telepítése és kötéseInstall and bind certificates on the NDES Server
  1. Kérelmezzen a belső vagy a nyilvános hitelesítésszolgáltatótól egy kiszolgálóhitelesítő tanúsítványt, és telepítse az NDES-kiszolgálón.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Ezután létre kell hoznia az SSL-tanúsítvány kötését az IIS-ben.You then bind this SSL certificate in IIS.

    Tipp

    Miután létrehozta az SSL-tanúsítvány kötését az IIS-ben, telepítenie kell egy ügyfél-hitelesítési tanúsítványt.After you bind the SSL certificate in IIS, install a client authentication certificate. Ezt a tanúsítványt bármely olyan hitelesítésszolgáltató kibocsáthatja, amelyben az NDES-kiszolgáló megbízik.This certificate can be issued by any CA that is trusted by the NDES Server. Bár ez nem ajánlott eljárás, használhatja ugyanazt a tanúsítványt a kiszolgáló és az ügyfél hitelesítéséhez mindaddig, amíg a tanúsítvány mindkét kibővített kulcshasználattal rendelkezik.Although it's not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKUs). Ezekről a hitelesítési tanúsítványokról az alábbi lépésekből kaphat további információt.Review the following steps for information about these authentication certificates.

    1. Miután beszerezte a kiszolgálói hitelesítési tanúsítványt, nyissa meg az IIS-kezelőt, és válassza az Alapértelmezett webhely lehetőséget.After you get the server authentication certificate, open IIS Manager, and select the Default Web Site. A Műveletek panelen válassza a Kötések lehetőséget.In the Actions pane, select Bindings .

    2. Válassza a Hozzáadás lehetőséget, adja meg a Típus beállításnál a httpsértéket, és győződjön meg róla, hogy a port 443 értékre van állítva.Select Add, set Type to https, and then confirm the port is 443. A különálló Intune csak a 443-as portot támogatja.Only port 443 is supported for standalone Intune.

    3. Az SSL-tanúsítvány beállításnál adja meg a kiszolgálói hitelesítési tanúsítványt.For SSL certificate, enter the server authentication certificate.

      Megjegyzés

      Ha az NDES-kiszolgáló egyetlen hálózati címhez külső és belső nevet is használ, akkor a kiszolgálói hitelesítési tanúsítványnak tartalmaznia kell az alábbiakat:If the NDES server uses an external and internal name for a single network address, then the server authentication certificate must have:

      • Tulajdonos neve – a külső, nyilvános kiszolgálónévA Subject Name with an external public server name
      • Tulajdonos alternatív neve – a belső kiszolgálónévA Subject Alternative Name that includes the internal server name
  2. Kérelmezzen a belső vagy a nyilvános hitelesítésszolgáltatótól egy ügyfél-hitelesítő tanúsítványt, és telepítse az NDES-kiszolgálón.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Ez lehet ugyanaz, mint a kiszolgálóhitelesítő tanúsítvány, ha a tanúsítvány mindkét használati módra fel van készítve.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Az ügyfél-hitelesítő tanúsítványnak az alábbi tulajdonságokkal kell rendelkeznie:The client authentication certificate must have the following properties:

    • Kibővített kulcshasználat: Ennek az értéknek tartalmaznia kell az Ügyfél-hitelesítés szolgáltatást.Enhanced Key Usage: This value must include Client Authentication

    • Tulajdonos neve: Ennek az értéknek meg kell egyeznie annak a kiszolgálónak a DNS-nevével, amelyen a tanúsítványt telepítette (ez az NDES-kiszolgáló).Subject Name: This value must be equal to the DNS name of the server where you are installing the certificate (the NDES Server)

Kérelmek szűrésének konfigurálása az IIS-benConfigure IIS request filtering
  1. Nyissa meg az NDES-kiszolgálón az IIS-kezelőt, válassza az Alapértelmezett webhely lehetőséget a Kapcsolatok panelen, és nyissa meg a Kérelmek szűrése beállítást.On the NDES Server, open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Válassza a Szolgáltatás beállításainak szerkesztése lehetőséget, és adja meg a következő értékeket:Select Edit Feature Settings, and then set the values:

    • lekérdezés-karakterlánc hossza (bájt) = 65534query string (Bytes) = 65534
    • URL-cím maximális hossza (bájt) = 65534Maximum URL length (Bytes) = 65534
  3. Tekintse át a következő beállításkulcsot:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Győződjön meg róla, hogy az alábbi értékek vannak beállítva Duplaszó típusú bejegyzésként:Confirm the following values are set as DWORD entries:

    • Név: MaxFieldLength, decimális 65534Name: MaxFieldLength, with a decimal value of 65534
    • Név: MaxRequestBytes, decimális 65534Name: MaxRequestBytes, with a decimal value of 65534
  4. Indítsa újra az NDES-kiszolgálót.Reboot the NDES server. A kiszolgáló mostantól készen áll az tanúsítvány-összekötő támogatására.The server is now ready to support the Certificate Connector.

5. lépés – Az Intune Certificate Connector engedélyezése, telepítése és konfigurálásaStep 5 - Enable, install, and configure the Intune certificate connector

A feladatban az alábbiak szerepelnek:In this task, you:

  • Az NDES támogatásának engedélyezése az Intune-ban.Enable support for NDES in Intune.
  • A Tanúsítvány-összekötő letöltése, telepítése és konfigurálása a hálózati eszközök tanúsítványigénylési szolgáltatás (NDES) szerepkört üzemeltető kiszolgálón a saját környezetben.Download, install, and configure the Certificate Connector on the server hosting the Network Device Enrollment Service (NDES) role a server in your environment. Annak érdekében, hogy méretezhető lehessen az NDES-kiépítés a cégen belül, több NDES-kiszolgáló is telepíthető úgy, hogy mindegyikhez tartozik egy-egy Microsoft Intune Tanúsítvány-összekötő.To increase the scale of the NDES implementation in your organization, you can install multiple NDES servers with a Microsoft Intune Certificate Connector on each NDES server.
A tanúsítvány-összekötő letöltése, telepítése és konfigurálásaDownload, install, and configure the certificate connector

ConnectorDownload

  1. Jelentkezzen be az Azure portálra.Sign in to the Azure portal.

  2. Kattintson az Összes szolgáltatás lehetőségre, szűrjön az Intune-ra, és válassza ki a Microsoft Intune elemet.Select All services, filter on Intune, and select Microsoft Intune.

  3. Válassza az Eszközök konfigurálása, majd a Hitelesítésszolgáltató lehetőséget.Select Device configuration, and then select Certification Authority.

  4. Válassza a Hozzáadás, majd az Összekötői fájl letöltése lehetőséget.Select Add, and Download the connector file. Mentse a letöltést egy olyan helyre, amelyhez hozzá tud férni a telepítéshez használt kiszolgálón.Save the download to a location where you can access it from the server where you're going to install it.

  5. A letöltés befejezése után futtassa a letöltött telepítőt (ndesconnectorssetup.exe) azon a kiszolgálón, amely az NDES szerepkört üzemelteti.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on the server hosting the Network Device Enrollment Service (NDES) role. A telepítés során az NDES házirendmodulja és a CRP (tanúsítványregisztrációs pont) webszolgáltatás is települ.The installer also installs the policy module for NDES and the CRP Web Service. (A CRP webszolgáltatás, melynek neve CertificateRegistrationSvc, alkalmazásként fut az IIS-ben.)(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Megjegyzés

    Ha önálló Intune-hoz telepíti az NDES-t, akkor a CRP szolgáltatás automatikusan települ a tanúsítvány-összekötővel együtt.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Az Intune szolgáltatásnak a Configuration Managerrel való használatakor a tanúsítványregisztrációs pontot különálló helyrendszerszerepkörként telepíti.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  6. Ha a rendszer kéri az ügyféltanúsítványt a tanúsítvány-összekötőhöz, válassza a Kijelölés lehetőséget, majd válassza ki az ügyfél-hitelesítő tanúsítványt, amelyet a 3. feladatban telepített az NDES-kiszolgálóra.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Miután kiválasztotta az ügyfél-hitelesítési tanúsítványt, a rendszer visszairányítja az Client Certificate for Microsoft Intune Certificate Connector (Ügyféltanúsítvány a Microsoft Intune Certificate Connectorhoz) felületre.After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Bár a választott tanúsítvány nem látható, válassza a Tovább gombot a tanúsítvány tulajdonságainak megtekintéséhez.Although the certificate you selected is not shown, select Next to view the properties of that certificate. Válassza a Tovább, majd a Telepítés lehetőséget.Select Next, and then Install.

    Fontos

    Az Intune Tanúsítvány-összekötő nem regisztrálható olyan eszközökön, amelyeken az Internet Explorer fokozott biztonsági beállításai vannak engedélyezve.The Intune Certificate Connector can't be enrolled on a device with Internet Explorer Enhanced Security Configuration enabled. Az Intune Tanúsítvány-összekötő használatához tiltsa le az IE fokozott biztonsági beállításait.To use the Intune Certificate Connector, disable IE Enhanced security configuration.

  7. Ha a varázsló befejeződött, még mielőtt bezárná, válassza a Launch the Certificate Connector UI (Certificate Connector felhasználói felületének indítása) lehetőséget.After the wizard completes, but before closing the wizard, Launch the Certificate Connector UI.

    Tipp

    Ha bezárná a varázslót a tanúsítvány-összekötő felhasználói felületének megnyitása előtt, akkor az alábbi parancs futtatásával nyithatja meg:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <telepítési_útvonal>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  8. A Certificate Connector (Tanúsítvány-összekötő) felhasználói felületén:In the Certificate Connector UI:

    Válassza a Bejelentkezés gombot, és írja be az Intune szolgáltatás rendszergazdai hitelesítő adatait, vagy egy bérlői rendszergazda globális felügyeleti engedéllyel rendelkező hitelesítő adatait.Select Sign In, and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Fontos

    A felhasználói fiókot egy érvényes Intune-licenchez kell hozzárendelni.The user account must be assigned a valid Intune license. Ha a felhasználói fiók nem rendelkezik érvényes Intune-licenccel, az NDESConnectorUI.exe sikertelenül fut.If the user account does not have a valid Intune license, then NDESConnectorUI.exe fails.

    Ha a szervezet proxykiszolgálót használ, és proxy szükséges ahhoz, hogy az NDES-kiszolgáló el tudja érni az internetet, válassza a Proxykiszolgáló használata lehetőséget, és adja meg a proxykiszolgáló nevét és portját, illetve a csatlakozáshoz szükséges fiókadatokat.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, select Use proxy server, and then enter the proxy server name, port, and account credentials to connect.

    Váltson a Speciális lapra, majd adja meg egy olyan fiók hitelesítő adatait, amely rendelkezik Tanúsítványok kiállítása és kezelése engedéllyel a vállalati hitelesítésszolgáltatónál.Select the Advanced tab, and then enter credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority. Válassza az Alkalmaz gombot a módosítások alkalmazásához.Apply your changes.

    Bezárhatja a tanúsítvány-összekötő felhasználói felületét.You can now close the Certificate Connector UI.

  9. Nyisson meg egy parancssort, írja be a services.msc nevet, majd nyomja le az Enter billentyűt.Open a command prompt, enter services.msc, and then Enter. Kattintson a jobb gombbal az Intune-összekötő szolgáltatás elemre, és válassza az Újraindítás lehetőséget.Right-click the Intune Connector Service, and Restart.

A szolgáltatás futásának ellenőrzéséhez nyisson meg egy böngészőt, és írja be az alábbi URL-t.To validate that the service is running, open a browser, and enter the following URL. Ennek egy 403-as hibát kell visszaadnia:It should return a 403 error:

http://<FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

SCEP-tanúsítványprofil létrehozásaCreate a SCEP certificate profile

  1. Nyissa meg az Azure Portalon a Microsoft Intune-t.In the Azure portal, open Microsoft Intune.

  2. Válassza az Eszközkonfiguráció lehetőséget, kattintson a Profilok elemre, és válassza a Profil létrehozása lehetőséget.Select Device configuration, select Profiles, and select Create profile.

  3. Adja meg az SCEP-tanúsítványprofil nevét és leírását.Enter a Name and Description for the SCEP certificate profile.

  4. Válassza ki az SCEP-tanúsítvány eszközplatformját a Platform legördülő listából.From the Platform drop-down list, select the device platform for this SCEP certificate. Jelenleg az alábbi platformokra vonatkozóan lehet eszközkorlátozási beállításokat megadni:Currently, you can select one of the following platforms for device restriction settings:

    • AndroidAndroid
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 és újabbWindows 8.1 and later
    • Windows 10 és újabbWindows 10 and later
  5. A Profil típusa legördülő listában válassza az SCEP-tanúsítvány lehetőséget.From the Profile type drop-down list, select SCEP certificate.

  6. Az SCEP-tanúsítvány panelen konfigurálja a következő beállításokat:On the SCEP Certificate pane, configure the following settings:

    • Tanúsítvány érvényességi időtartama: Ha a kiállító hitelesítésszolgáltatón a certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE parancs futtatásával engedélyezte az egyéni érvényességi időtartamot, akkor megadhatja a tanúsítvány lejáratáig hátralévő időt.Certificate validity period: If you ran the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can enter the amount of remaining time before the certificate expires.
      A tanúsítványsablonban megadott érvényességi időtartamnál rövidebb értéket is beállíthat, hosszabbat azonban nem.You can enter a value that is lower than the validity period in the certificate template, but not higher. Ha például a tanúsítványsablonban két év van meghatározva a tanúsítvány érvényességi idejeként, akkor egy évet állíthat be értékként, öt évet azonban nem.For example, if the certificate validity period in the certificate template is two years, you can enter a value of one year, but not a value of five years. Az értéknek emellett a kiállító hitelesítésszolgáltató tanúsítványának hátralévő érvényességi időszakánál is kevesebbnek kell lennie.The value must also be lower than the remaining validity period of the issuing CA's certificate.

    • Kulcstároló-szolgáltató (Windows Phone 8.1, Windows 8.1, Windows 10): Adja meg, hogy a rendszer hol tárolja a tanúsítvány kulcsát.Key storage provider (KSP) (Windows Phone 8.1, Windows 8.1, Windows 10): Enter where the key to the certificate is stored. Az alábbi értékek közül választhat:Choose from one of the following values:

      • Regisztrálás a platformmegbízhatósági modul kulcstároló-szolgáltatójába (ha van ilyen), máskülönben regisztrálás a szoftverkulcstároló-szolgáltatóbaEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Regisztrálás a platformmegbízhatósági modul kulcstároló-szolgáltatójába, máskülönben a művelet sikertelenEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Regisztrálás a Passportba, máskülönben a művelet sikertelen (Windows 10 és újabb verzió)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Regisztrálás szoftverkulcstároló-szolgáltatóbaEnroll to Software KSP
    • Tulajdonos nevének formátuma: Válassza ki a listáról, hogy az Intune hogyan hozza létre automatikusan a tulajdonos nevét a tanúsítványkérelemben.Subject name format: From the list, select how Intune automatically creates the subject name in the certificate request. Ha a tanúsítvány felhasználóhoz tartozik, a felhasználó e-mail címét is feltüntetheti a tulajdonos nevében.If the certificate is for a user, you can also include the user's email address in the subject name. A következő lehetőségek közül választhat:Choose from:

      • Nincs konfigurálvaNot configured

      • Köznapi névCommon name

      • Köznapi név (e-mail is)Common name including email

      • Köznapi név mint e-mail címCommon name as email

      • IMEI (Nemzetközi mobilkészülék-azonosító)IMEI (International Mobile Equipment Identity)

      • SorozatszámSerial number

      • Egyéni: Ha erre a lehetőségre kattint, egy újabb legördülő mező jelenik meg.Custom: When you select this option, another drop-down field is displayed. Ezt a mezőt egyéni tulajdonosnév-formátumok megadásához használhatja.Use this field to enter a custom subject name format. Az egyéni formátum két változót támogat: Egyszerű név (CN) és E-mail (E).Custom format supports two variables: Common Name (CN) and Email (E). Az Egyszerű név (CN) az alábbi változók bármelyikére beállítható:Common Name (CN) can be set to any of the following variables:

        • CN={{UserName}}: A felhasználó egyszerű felhasználóneve, például janedoe@contoso.comCN={{UserName}}: The user principle name of the user, such as janedoe@contoso.com

        • CN={{AAD_Device_ID}}: Egy Azure Active Directoryban való eszközregisztrációkor társított azonosító.CN={{AAD_Device_ID}}: An ID assigned when you register a device in Azure Active Directory (AD). Ez az azonosító jellemzően az Azure AD-ben való hitelesítéshez használatos.This ID is typically used to authenticate with Azure AD.

        • CN={{SERIALNUMBER}}: Az egyedi sorozatszám, melyet jellemzően a gyártó használ az eszköz azonosításához.CN={{SERIALNUMBER}}: The unique serial number (SN) typically used by the manufacturer to identify a device

        • CN={{IMEINumber}}: A nemzetközi mobilkészülék-azonosító (IMEI), mely egy mobiltelefonok azonosítására szolgáló egyedi szám.CN={{IMEINumber}}: The International Mobile Equipment Identity (IMEI) unique number used to identify a mobile phone

        • CN={{OnPrem_Distinguished_Name}}: Relatív megkülönböztető nevek vesszővel tagolt sorozata, például CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.CN={{OnPrem_Distinguished_Name}}: A sequence of relative distingushed names separated by comma, such as CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com

          A(z) {{OnPrem_Distinguished_Name}} változó használatához ügyeljen rá, hogy a(z) onpremisesdistingishedname felhasználói attribútumot szinkronizálja az Azure AD-vel az Azure AD Connect segítségével.To use the {{OnPrem_Distinguished_Name}} variable, be sure to sync the onpremisesdistingishedname user attribute using Azure AD Connect to your Azure AD.

        • CN={{onPremisesSamAccountName}}: A rendszergazdák szinkronizálhatják a samAccountName attribútumot az Active Directoryból az Azure AD-be az Azure AD Connect onPremisesSamAccountName nevű attribútumával.CN={{onPremisesSamAccountName}}: Admins can sync the samAccountName attribute from Active Directory to Azure AD using Azure AD connect into an attribute called onPremisesSamAccountName. Az Intune helyettesítheti ezt a változót egy SCEP-tanúsítványhoz tartozó tanúsítványkiadási kérelem részeként.Intune can substitute that variable as part of a certificate issuance request in the subject of a SCEP certificate. A samAccountName attribútum az a bejelentkezési név, amely a Windows előző verzióját (A Windows 2000-nél korábbi verziókat) használó ügyfelek és kiszolgálók támogatására szolgált.The samAccountName attribute is the user logon name used to support clients and servers from a previous version of Windows (pre-Windows 2000). A bejelentkezési név formátuma: DomainName\testUser, vagy csak testUser.The user logon name format is: DomainName\testUser, or only testUser.

          A(z) {{onPremisesSamAccountName}} változó használatához ügyeljen rá, hogy a(z) onPremisesSamAccountName felhasználói attribútumot szinkronizálja az Azure AD-vel az Azure AD Connect segítségével.To use the {{onPremisesSamAccountName}} variable, be sure to sync the onPremisesSamAccountName user attribute using Azure AD Connect to your Azure AD.

        Egy vagy több változó és statikus karakterlánc együttes használatával az ehhez a példához hasonló egyéni tulajdonosnév-formátumot hozhat létre: CN={{UserName}},E={{EmailAddress}},OU=Mobil,O=Pénzügyi csoport,L=Budapest,C=HU.By using a combination of one or many of these variables and static strings, you can create a custom subject name format, such as: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US.
        Ez a példa egy olyan tulajdonosnév-formátumot hoz létre, amely a CN és az E változó mellett a Szervezeti Egység (OU), a Szervezet (O), a Hely (L) és az Ország (C) értékek karakterláncát is alkalmazza.In this example, you created a subject name format that, in addition to the CN and E variables, uses strings for Organizational Unit, Organization, Location, State, and Country values. A függvény leírását és a támogatott karakterláncokat a CertStrToName függvény című cikkben találhatja meg.CertStrToName function describes this function, and its supported strings.

  • Tulajdonos alternatív neve: Adja meg, hogy az Intune hogyan hozza létre automatikusan a tulajdonos alternatív nevének értékeit a tanúsítványkérelemben.Subject alternative name: Enter how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Ha felhasználói tanúsítványtípust választott ki, akkor például az egyszerű felhasználónevet (UPN) is használhatja a tulajdonos alternatív neveként.For example, if you select a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Ha az ügyféltanúsítványt hitelesítésre használja egy hálózati házirend-kiszolgáló felé, a tulajdonos alternatív neveként az egyszerű felhasználónevet kell beállítania.If the client certificate is used to authenticate to a Network Policy Server, you must set the subject alternative name to the UPN.
  • Kulcshasználat: Adja meg a tanúsítvány kulcshasználati beállításait.Key usage: Enter the key usage options for the certificate. A választható lehetőségek:Your options:
    • Kulcstitkosítás: Csak akkor engedélyezi a kulcscserét, ha a kulcs titkosítva van.Key encipherment: Allow key exchange only when the key is encrypted
    • Digitális aláírás: Csak akkor engedélyezi a kulcscserét, ha a kulcs védelmét digitális aláírás segíti.Digital signature: Allow key exchange only when a digital signature helps protect the key
  • Kulcsméret (bit): Adja meg, hogy hány bitet tartalmazzon a kulcs.Key size (bits): Select the number of bits contained in the key
  • Kivonatoló algoritmus (Android, Windows Phone 8.1, Windows 8.1, Windows 10): Válassza ki a tanúsítvánnyal használni kívánt kivonatoló algoritmust a rendelkezésre álló típusok közül.Hash algorithm (Android, Windows Phone 8.1, Windows 8.1, Windows 10): Select one of the available hash algorithm types to use with this certificate. Válassza a kapcsolódó eszközöknél használható legerősebb biztonsági szintet.Select the strongest level of security that the connecting devices support.
  • Főtanúsítvány: Válasszon ki egy olyan legfelső szintű hitelesítésszolgáltatói tanúsítványprofilt, amelyet korábban konfigurált és hozzárendelt a felhasználóhoz vagy az eszközhöz.Root Certificate: Choose a root CA certificate profile you previously configured and assigned to the user or device. Ennek a hitelesítésszolgáltatói tanúsítványnak a legfelső szintű tanúsítványnak kell lennie az adott tanúsítványprofilban konfigurált tanúsítványt kiállító hitelesítésszolgáltatónál.This CA certificate must be the root certificate for the CA that issues the certificate that you are configuring in this certificate profile.
  • Kibővített kulcshasználat: Válassza a Hozzáadás gombot, és vegye fel a kívánt értékeket a tanúsítvány felhasználási céljai közé.Extended key usage: Add values for the certificate's intended purpose. A legtöbb esetben a tanúsítványnál szükséges az Ügyfél-hitelesítés, hogy a felhasználó vagy az eszköz hitelesíthető legyen egy kiszolgálóval.In most cases, the certificate requires Client Authentication so that the user or device can authenticate to a server. Szükség szerint azonban tetszőleges más kulcshasználatot is felvehet.However, you can add any other key usages as required.
  • Regisztrációs beállításokEnrollment Settings
    • Megújítási küszöb (%): Adja meg, hogy az eszköz a tanúsítvány élettartamának hány százalékos hátralévő idejénél igényelje a tanúsítvány megújítását.Renewal threshold (%): Enter the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
    • SCEP-kiszolgálók URL-címe: Adja meg egy vagy több olyan NDES-kiszolgáló URL-címét, amely SCEP-tanúsítványokat bocsát ki.SCEP Server URLs: Enter one or more URLs for the NDES Servers that issues certificates via SCEP.
    • A profil létrehozásához válassza az OK, majd a Létrehozás lehetőséget.Select OK, and Create your profile.

Ekkor létrejön a profil, és megjelenik a profilok listáját tartalmazó panelen.The profile is created and appears on the profiles list pane.

A tanúsítványprofil eszközökhöz rendeléseAssign the certificate profile

Mielőtt csoportokhoz rendeli a tanúsítványprofilokat, vegye figyelembe a következőket:Consider the following before you assign certificate profiles to groups:

  • Amikor csoportokhoz rendeli a tanúsítványprofilokat, a megbízható hitelesítésszolgáltatói tanúsítványprofilból származó tanúsítványfájl települ az eszközre.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Az eszköz az SCEP-tanúsítványprofilt használja tanúsítványkérelem létrehozására.The device uses the SCEP certificate profile to create a certificate request by the device.

  • A tanúsítványprofilok csak a profil létrehozásakor használt platformot futtató eszközökre települnek.Certificate profiles install only on devices running the platform you use when you created the profile.

  • Tanúsítványprofilokat rendelhet felhasználógyűjteményekhez és eszközgyűjteményekhez is.You can assign certificate profiles to user collections or to device collections.

  • Ha azt szeretné, hogy a tanúsítványok gyorsan megjelenjenek az eszközökön a regisztráció után, a tanúsítványprofilt felhasználócsoporthoz és ne eszközcsoporthoz rendelje hozzá.To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Ha eszközcsoporthoz rendel hozzá, akkor teljes eszközregisztráció szükséges, mielőtt az eszköz megkaphatná a szabályzatokat.If you assign to a device group, a full device registration is required before the device receives policies.

  • Jóllehet az egyes profilokat külön-külön rendeli hozzá, a legfelső szintű hitelesítésszolgáltató és az SCEP- vagy PKCS-profil hozzárendelésére is szükség van.Although you assign each profile separately, you also need to assign the Trusted Root CA and the SCEP or PKCS profile. Ellenkező esetben az SCEP- vagy PKCS-tanúsítványszabályzat hibát fog jelezni.Otherwise, the SCEP or PKCS certificate policy fails.

    Megjegyzés

    Ha több erőforrásprofilt helyez üzembe egyazon tanúsítványprofil használatával, akkor iOS rendszer esetén több példányt is látni fog a tanúsítványból a felügyeleti profilban.For iOS, you should expect to see multiple copies of the certificate in the management profile if you deploy multiple resource profiles that use the same certificate profile.

Az profilok hozzárendeléséről az Eszközprofilok hozzárendelése című cikk nyújt tájékoztatást.For information about how to assign profiles, see How to assign device profiles.