Configurare e usare i certificati PKCS con IntuneConfigure and use PKCS certificates with Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Vedere l'introduzione a Intune.Read the introduction to Intune.

I certificati vengono usati per autenticare e proteggere l'accesso alle risorse aziendali, ad esempio una rete VPN o Wi-Fi.Certificates are used to authenticate and secure access to your corporate resources, such as a VPN or your WiFi network. In questo articolo viene illustrato come esportare un certificato PKCS e quindi aggiungerlo a un profilo di Intune.This article shows you how to export a PKCS certificate, and then add the certificate to an Intune profile.

RequisitiRequirements

Per usare i certificati PKCS con Intune, verificare se è disponibile l'infrastruttura seguente:To use PKCS certificates with Intune, be sure you have the following infrastructure:

  • Un dominio Active Directory Domain Services (AD DS) esistente configurato.An existing Active Directory Domain Services (AD DS) domain configured.

    Per altre informazioni sull'installazione e la configurazione di Active Directory Domain Services, vedere l'articolo relativo a progettazione e pianificazione di AD DS.For more information about installing and configuring AD DS, see AD DS Design and Planning.

  • Un'autorità di certificazione (CA) globale (enterprise) esistente configurata.An existing Enterprise Certification Authority (CA) configured.

    Per altre informazioni sull'installazione e la configurazione di Servizi certificati Active Directory (AD CS), vedere la guida dettagliata di AD CS.For more information on installing and configuring Active Directory Certificate Services (AD CS), see Active Directory Certificate Services Step-by-Step Guide.

    Avviso

    Intune richiede l'esecuzione di Servizi certificati Active Directory con un'autorità di certificazione globale (enterprise), non con un'autorità di certificazione autonoma (Standalone).Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Un client con connettività all'autorità di certificazione globale (enterprise).A client that has connectivity to the Enterprise CA.

  • Una copia del certificato radice esportato dall'autorità di certificazione globale (enterprise).An exported copy of your root certificate from your Enterprise CA.

  • Il connettore di certificati di Microsoft Intune (NDESConnectorSetup.exe) scaricato dal portale di Intune.The Microsoft Intune Certificate Connector (NDESConnectorSetup.exe) downloaded from your Intune portal.

  • Un server Windows per ospitare il connettore di certificati di Microsoft Intune (NDESConnectorSetup.exe).A Windows Server to host the Microsoft Intune Certificate Connector (NDESConnectorSetup.exe).

Esportare il certificato radice dall'autorità di certificazione globale (enterprise)Export the root certificate from the Enterprise CA

Per l'autenticazione con VPN, Wi-Fi e altre risorse, è necessario un certificato radice o intermedio della CA per ogni dispositivo.To authenticate with VPN, WiFi, and other resources, a root or intermediate CA certificate is needed on each device. La procedura seguente illustra come ottenere il certificato richiesto dall'autorità di certificazione globale (enterprise).The following steps explain how to get the required certificate from your Enterprise CA.

  1. Accedere all'autorità di certificazione globale (enterprise) con un account che abbia privilegi amministrativi.Sign in to your Enterprise CA with an account that has administrative privileges.

  2. Aprire un prompt dei comandi come amministratore.Open a command prompt as an administrator.

  3. Esportare il certificato CA radice (estensione CER) in un percorso a cui è possibile accedere in un secondo momento.Export the Root CA Certificate (.cer) to a location where you can access it later.

    Ad esempio:For example:

  4. Al termine della procedura guidata, prima di chiuderla, fare clic su Avvia l'interfaccia utente di Connettore di certificati.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    certutil -ca.cert certnew.cer

    Per altre informazioni, vedere Operazioni certutil per la gestione dei certificati.For more information, see Certutil tasks for managing certificates.

Configurare i modelli di certificato nell'autorità di certificazioneConfigure certificate templates on the certification authority

  1. Accedere all'autorità di certificazione globale (enterprise) con un account che abbia privilegi amministrativi.Sign in to your Enterprise CA with an account that has administrative privileges.

  2. Aprire la console Autorità di certificazione, fare clic con il pulsante destro del mouse su Modelli di certificato e selezionare Gestisci.Open the Certification Authority console, right-click Certificate Templates, and select Manage.

  3. Individuare il modello di certificato User, fare clic con il pulsante destro del mouse su di esso e scegliere Duplica modello.Locate the User certificate template, right-click it, and choose Duplicate Template. Vengono visualizzate le proprietà di Nuovo modello.Properties of New Template opens.

  4. Nella scheda Compatibilità:On the Compatibility tab:

    • Impostare Autorità di certificazione su Windows Server 2008 R2Set Certification Authority to Windows Server 2008 R2
    • Impostare Destinatario certificato su Windows 7 / Server 2008 R2Set Certificate recipient to Windows 7 / Server 2008 R2
  5. Fare clic sulla scheda Generale :On the General tab:

    • Impostare Nome visualizzato modello su un valore significativo.Set Template display name to something meaningful to you.

    Avviso

    Per impostazione predefinita, il parametro Nome modello corrisponde al valore Nome visualizzato modello senza spazi.Template name by default is the same as Template display name with no spaces. Annotare il nome del modello, sarà necessario in un secondo momento.Note the template name, you need it later.

  6. In Gestione richiesta selezionare Rendi la chiave privata esportabile.In Request Handling, select Allow private key to be exported.

  7. In Crittografia verificare che il campo Dimensioni minime chiave sia impostato su 2048.In Cryptography, confirm that the Minimum key size is set to 2048.

  8. In Nome soggetto scegliere Inserisci nella richiesta.In Subject Name, choose Supply in the request.

  9. In Estensioni verificare che nell'area Criteri di applicazione siano presenti Crittografia file system, Posta elettronica sicura e Autenticazione client.In Extensions, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Importante

    Per i modelli di certificato iOS, accedere alla scheda Estensioni, aggiornare Utilizzo chiavi e verificare che l'opzione Firma come prova dell'origine non sia selezionata.For iOS certificate templates, go to the Extensions tab, update Key Usage, and confirm that Signature is proof of origin isn't selected.

  10. In Sicurezza aggiungere l'account computer relativo al server in cui si installa il connettore di certificati di Microsoft Intune.In Security, add the Computer Account for the server where you install the Microsoft Intune Certificate Connector.

    • Assegnare all'account le autorizzazioni Lettura e Registrazione.Allow this account Read and Enroll permissions.
  11. Selezionare Applica e quindi OK per salvare il modello di certificato.Select Apply, then OK to save the certificate template.

  12. Chiudere la Console dei modelli di certificato.Close the Certificate Templates Console.

  13. Nella console Autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, Nuovo e Modello di certificato da rilasciare.From the Certification Authority console, right-click Certificate Templates, New, Certificate Template to Issue.

    • Scegliere il modello creato nei passaggi precedenti e selezionare OK.Choose the template that you created in the preceding steps, and select OK.
  14. Per consentire al server di gestire i certificati per conto di utenti e dispositivi registrati in Intune, seguire questa procedura:For the server to manage certificates on behalf of Intune enrolled devices and users, follow these steps:

    a.a. Fare clic con il pulsante destro del mouse sull'autorità di certificazione e scegliere Proprietà.Right-click the Certification Authority, choose Properties.

    b.b. Nella scheda della sicurezza aggiungere l'account computer relativo al server in cui è in esecuzione il connettore di certificati di Microsoft Intune.On the security tab, add the Computer account of the server where you run the Microsoft Intune Certificate Connector.

    • Assegnare all'account le autorizzazioni Rilascio e gestione certificati e Richiesta certificati.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  15. Disconnettersi dall'autorità di certificazione globale (enterprise).Sign out of the Enterprise CA.

Scaricare, installare e configurare il connettore di certificati di Microsoft IntuneDownload install and configure the Microsoft Intune Certificate Connector

ConnectorDownloadConnectorDownload

  1. Nel portale di Azure selezionare Tutti i servizi e filtrare per Intune.In the Azure portal, select All services, and filter for Intune. Selezionare Microsoft Intune e quindi Configurazione del dispositivo.Select Microsoft Intune, and then select Device Configuration.

  2. Selezionare Autorità di certificazione, Aggiungi e quindi Scaricare il file del connettore.Select Certification Authority, select Add, and then select Download the Connector file. Salvare il file scaricato in un percorso a cui è possibile accedere dal server in cui verrà installato.Save the download to a location where you can access it from the server where it will be installed.

  3. Accedere a questo server ed eseguire il programma di installazione:Sign in to this server, and run the installer:

    1. Accettare il percorso predefinito.Accept the default location. Il connettore viene installato in \Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.It installs the connector to \Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.
    2. Selezionare Distribuzione PFX nelle opzioni di installazione e selezionare Avanti.In Installer Options, select PFX Distribution, and select Next.
    3. Fare clic su Installa e attendere il completamento dell'installazione.Install, and wait for installation to complete.
    4. Al termine, selezionare Avvia Intune Connector e quindi Fine.When it completes, check Launch Intune Connector, and then Finish.
  4. La finestra del connettore NDES si apre sulla scheda Registrazione. Per abilitare la connessione a Intune, selezionare Accedi e specificare un account con autorizzazioni amministrative globali.The NDES Connector window should open to the Enrollment tab. To enable the connection to Intune, select Sign In, and enter an account with global administrative permissions.

  5. Nella scheda Avanzate lasciare selezionata l'opzione Usa l'account di sistema del computer (impostazione predefinita).On the Advanced tab, leave Use this computer's SYSTEM account (default) selected.

  6. Fare clic su Applica, quindi su Chiudi.Apply, and then Close.

  7. Tornare al portale di Azure (Intune > Configurazione dispositivo > Autorità di certificazione).Go back to the Azure portal (Intune > Device Configuration > Certification Authority). Dopo alcuni minuti, viene visualizzato un segno di spunta verde e lo stato della connessione è attivo.After a few minutes, a green check mark displays, and the Connection status is Active. Il server del connettore ora può comunicare con Intune.Your connector server can now communicate with Intune.

Creare un profilo di configurazione del dispositivoCreate a device configuration profile

  1. Accedere al portale di Azure.Sign in to the Azure portal.

  2. Accedere a Intune, Configurazione dispositivo, Profili e selezionare Crea profilo.Go to Intune, Device configuration, Profiles, and select Create profile.

    NavigateIntuneNavigateIntune

  3. Immettere le seguenti proprietà:Enter the following properties:

    • Nome del profiloName for the profile
    • Inserire eventualmente una descrizioneOptionally set a description
    • Piattaforma in cui distribuire il profiloPlatform to deploy the profile to
    • Impostare Tipo di profilo su Certificato attendibileSet Profile type to Trusted certificate
  4. Accedere a Impostazioni e specificare il file CER del certificato CA radice esportato in precedenza.Go to Settings, and enter the .cer file Root CA Certificate you previously exported.

    Nota

    In base alla piattaforma selezionata nel passaggio 3, si può avere la possibilità di scegliere l'archivio di destinazione per il certificato.Depending on the platform you chose in Step 3, you may or may not have an option to choose the Destination store for the certificate.

    ProfileSettingsProfileSettings

  5. Selezionare OK e quindi Crea per salvare il profilo.Select OK, and then Create to save your profile.

  6. Per assegnare il nuovo profilo a uno o più dispositivi, vedere Come assegnare i profili di dispositivo con Microsoft Intune.To assign the new profile to one or more devices, see How to assign Microsoft Intune device profiles.

Creare un profilo certificato PKCSCreate a PKCS Certificate profile

  1. Accedere al portale di Azure.Sign in to the Azure portal.

  2. Accedere a Intune, Configurazione dispositivo, Profili e selezionare Crea profilo.Go to Intune, Device configuration, Profiles, and select Create profile.

  3. Immettere le seguenti proprietà:Enter the following properties:

    • Nome del profiloName for the profile
    • Inserire eventualmente una descrizioneOptionally set a description
    • Piattaforma in cui distribuire il profiloPlatform to deploy the profile to
    • Impostare Tipo di profilo su Certificato PKCSSet Profile type to PKCS Certificate
  4. Accedere a Impostazioni e immettere le proprietà seguenti:Go to Settings, and enter the following properties:

    • Soglia di rinnovo (%): il valore consigliato è 20%.Renewal threshold (%) - Recommended is 20%.
    • Periodo di validità del certificato: se il modello di certificato non è stato cambiato, questa opzione può essere impostata su un anno.Certificate validity period - If you didn't change the certificate template, this option may be set to one year.
    • Autorità di certificazione: visualizza il nome di dominio completo interno dell'autorità di certificazione globale (enterprise).Certification authority - Displays the internal fully qualified domain name (FQDN) of your Enterprise CA.
    • Nome dell'autorità di certificazione: specifica il nome dell'autorità di certificazione globale (enterprise) e può essere diversa rispetto al valore precedente.Certification authority name - Lists the name of your Enterprise CA, and it may be different than the previous item.
    • Nome del modello di certificato: nome del modello creato in precedenza.Certificate template name - The name of the template created earlier. Ricordarsi che, per impostazione predefinita, il parametro Nome modello corrisponde al valore Nome visualizzato modello senza spazi.Remember Template name by default is the same as Template display name with no spaces.
    • Formato nome soggetto: impostare questa opzione su Nome comune, se non diversamente richiesto.Subject name format - Set this option to Common name unless otherwise required.
    • Nome alternativo del soggetto: impostare questa opzione su Nome dell'entità utente (UPN), se non diversamente richiesto.Subject alternative name - Set this option to User principal name (UPN) unless otherwise required.
    • Utilizzo chiavi avanzato: se sono state usate le impostazioni predefinite nel passaggio 10 della sezione Configurare i modelli di certificato nell'autorità di certificazione di questo articolo, aggiungere i seguenti valori predefiniti dalla selezione:Extended key usage - As long as you used the default settings in Step 10 in the Configure certificate templates on the certification authority section (in this article), add the following Predefined values from the selection:
      • Qualsiasi scopoAny Purpose
      • Autenticazione clientClient Authentication
      • Posta elettronica sicuraSecure Email
    • Certificato radice (per profili Android): specifica il file CER esportato nel passaggio 3 della sezione Esportare il certificato radice dall'autorità di certificazione globale (enterprise) di questo articolo.Root Certificate - (For Android Profiles) Lists the .cer file exported in Step 3 in the Export the root certificate from the Enterprise CA section (in this article).
  5. Selezionare OK e quindi Crea per salvare il profilo.Select OK, then Create to save your profile.

  6. Per assegnare il nuovo profilo a uno o più dispositivi, vedere l'articolo Come assegnare i profili di dispositivo con Microsoft Intune.To assign the new profile to one or more devices, see the article How to assign Microsoft Intune device profiles.