Configurare e gestire i certificati PKCS con IntuneConfigure and manage PKCS certificates with Intune

Si applica a: Intune in AzureApplies to: Intune on Azure
Serve documentazione su Intune nella console classica?Looking for documentation about Intune in the classic console? Fare clic qui.Go to here.

Questo argomento illustra come configurare l'infrastruttura e quindi creare e assegnare profili certificato PKCS con Intune.This topic shows how to configure your infrastructure, then create and assign PKCS certificate profiles with Intune.

Per eseguire qualsiasi autenticazione basata su certificati all'interno dell'azienda, è necessaria un'autorità di certificazione dell'organizzazione.To do any certificate-based authentication in your organization, you need an Enterprise Certification Authority.

Per usare i profili di certificato PKCS, oltre all'autorità di certificazione dell'organizzazione, è anche necessario:To use PKCS Certificate profiles, in addition to the Enterprise Certification Authority, you also need:

  • Un computer che può comunicare con l'autorità di certificazione. In alternativa, è possibile usare il computer dell'autorità di certificazione stessa.A computer that can communicate with the Certification Authority, or you can use the Certification Authority computer itself.

  • Il Connettore di certificati di Intune, che viene eseguito sul computer che può comunicare con l'autorità di certificazione.The Intune Certificate Connector, which runs on the computer that can communicate with the Certification Authority.

Termini importantiImportant terms

  • Dominio di Active Directory: tutti i server elencati in questa sezione (tranne il server proxy applicazione Web) devono essere aggiunti al dominio di Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Autorità di certificazione: un'autorità di certificazione dell'organizzazione (CA) eseguita in un'edizione Enterprise di Windows Server 2008 R2 o versione successiva.Certification Authority: An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. L'opzione CA autonoma non è supportata.A Standalone CA is not supported. Per istruzioni su come configurare un'autorità di certificazione, vedere Installare l'autorità di certificazione.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Se la CA esegue Windows Server 2008 R2, è necessario installare l'hotfix di KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Computer che possono comunicare con Autorità di certificazione: in alternativa, è possibile usare il computer dell'autorità di certificazione stessa.Computer that can communicate with Certification Authority: Alternatively, use the Certification Authority computer itself.

  • Connettore di certificati di Microsoft Intune: dal portale di Azure scaricare il programma di installazione di Connettore di certificati (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: From the Azure portal, you download the Certificate Connector installer (ndesconnectorssetup.exe). È quindi possibile eseguire ndesconnectorssetup.exe nel computer in cui si vuole installare Connettore di certificati.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector. Per i profili di certificato PKCS installare il Connettore di certificati nel computer che comunica con l'autorità di certificazione.For PKCS Certificate profiles, install the Certificate Connector on the computer that communicates with the Certification Authority.
  • Server Proxy applicazione Web (facoltativo): è possibile usare un server che esegue Windows Server 2012 R2 o versione successiva come Server Proxy applicazione Web (WAP).Web Application Proxy server (optional): You can use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Questa configurazione:This configuration:

    • Consente ai dispositivi di ricevere i certificati usando una connessione Internet.Allows devices to receive certificates using an Internet connection.
    • Vale come raccomandazione di sicurezza quando i dispositivi usano la connessione a Internet per ricevere e rinnovare i certificati.Is a security recommendation when devices connect through the Internet to receive and renew certificates.
    Nota

Certificati e modelliCertificates and templates

OggettoObject DettagliDetails
Modello di certificatoCertificate Template Questo modello viene configurato nella CA emittente.You configure this template on your issuing CA.
Certificato CA radice attendibileTrusted Root CA certificate Questo certificato viene esportato come file con estensione CER dalla CA emittente o da qualsiasi dispositivo che considera attendibile la CA emittente, e viene assegnato ai dispositivi usando il profilo certificato della CA attendibile.You export this as a .cer file from the issuing CA or any device which trusts the issuing CA, and assign it to devices by using the Trusted CA certificate profile.

Viene usato un certificato CA radice attendibile per ogni piattaforma di sistema e lo si associa con ogni profilo del certificato radice attendibile creato.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

È possibile usare certificati CA radice attendibili aggiuntivi, se necessario.You can use additional Trusted Root CA certificates when needed. Ad esempio, è possibile farlo per fornire un trust a un'autorità di certificazione che firma i certificati di autenticazione del server per i punti di accesso Wi-Fi.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

Configurare l'infrastrutturaConfigure your infrastructure

Prima di poter configurare i profili certificato, è necessario completare i passaggi seguenti.Before you can configure certificate profiles, you must complete the following steps. Questi passaggi richiedono la conoscenza di Windows Server 2012 R2 e dei Servizi certificati Active Directory (ADCS):These steps require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

  • Passaggio 1: configurare modelli di certificato nell'autorità di certificazione.Step 1 - Configure certificate templates on the certification authority.
  • Passaggio 2: abilitare, installare e configurare il Connettore di certificati di Intune.Step 2 - Enable, install, and configure the Intune Certificate Connector.

Passaggio 1: configurare modelli di certificato nell'autorità di certificazioneStep 1 - Configure certificate templates on the certification authority

Per configurare l'autorità di certificazioneTo configure the certification authority

  1. Nella CA emittente usare lo snap-in Modelli di certificato per creare un nuovo modello personalizzato o copiare e modificare un modello esistente (ad esempio, il modello Utente) per l'uso con il profilo PKCS.On the issuing CA, use the Certificate Templates snap-in to create a new custom template, or copy and edit an existing template (like the User template), for use with PKCS.

    Il modello deve includere quanto segue:The template must include the following:

    • Specificare un nome visualizzato descrittivo per il modello.Specify a friendly Template display name for the template.

    • Nella scheda Nome soggetto selezionare Fornisci nella richiesta.On the Subject Name tab, select Supply in the request. (La sicurezza viene applicata con il modulo dei criteri di Intune per NDES).(Security is enforced by the Intune policy module for NDES).

    • Nella scheda Estensioni verificare che la descrizione dei criteri dell'applicazione includa Autenticazione client.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Importante

      Per i modelli di certificato iOS e macOS, nella scheda Estensioni modificare Utilizzo chiavi e verificare che l'opzione Firma come prova dell'origine non sia selezionata.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  2. Esaminare il periodo di validità nella scheda Generale del modello.Review the Validity period on the General tab of the template. Per impostazione predefinita, Intune usa il valore configurato nel modello.By default, Intune uses the value configured in the template. Tuttavia, è possibile configurare la CA per consentire al richiedente di specificare un valore diverso, che è poi possibile impostare dalla console di amministrazione di Intune.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Per usare sempre il valore nel modello, ignorare il resto del passaggio.If you want to always use the value in the template, skip the remainder of this step.

    Importante

    iOS e macOS usano sempre il valore impostato nel modello, indipendentemente dalle altre configurazioni definite.iOS and macOS always use the value set in the template, regardless of other configurations you make.

    Per configurare la CA in modo che consenta al richiedente di specificare il periodo di validità, eseguire questi comandi nella CA:To configure the CA to allow the requester to specify the validity period, run the following commands on the CA:

    a.a. certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE

    b.b. net stop certsvcnet stop certsvc

    c.c. net start certsvcnet start certsvc

  3. Nella CA emittente usare lo snap-in dell'autorità di certificazione per pubblicare il modello di certificato.On the issuing CA, use the Certification Authority snap-in to publish the certificate template.

    a.a. Selezionare il nodo Modelli di certificato, fare clic su Azione-> Nuovo > Modello di certificato da rilasciare e quindi selezionare il modello creato nel passaggio 2.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.

    b.b. Verificare che il modello sia stato pubblicato visualizzandolo nella cartella Modelli di certificato .Validate that the template published by viewing it under the Certificate Templates folder.

  4. Nel computer della CA assicurarsi che il computer che ospita il Connettore di certificati di Intune abbia l'autorizzazione di registrazione per poter accedere al modello usato nella creazione del profilo PKCS.On the CA computer, ensure that the computer that hosts the Intune Certificate Connector has enroll permission, so that it can access the template used in creating the PKCS certificate profile. Impostare l'autorizzazione nella scheda Sicurezza delle proprietà del computer della CA.Set that permission on the Security tab of the CA computer properties.

Passaggio 2: abilitare, installare e configurare il Connettore di certificati di IntuneStep 2 - Enable, install, and configure the Intune certificate connector

In questo passaggio verranno eseguite le operazioni seguenti:In this step you will:

  • Abilitare il supporto per il Connettore di certificatiEnable support for the Certificate Connector
  • Scaricare, installare e configurare Connettore di certificati.Download, install, and configure the Certificate Connector.

Per abilitare il supporto per il Connettore di certificatiTo enable support for the certificate connector

  1. Accedere al portale Azure.Sign into the Azure portal.
  2. Scegliere Altri servizi > Monitoraggio e gestione > Intune.Choose More Services > Monitoring + Management > Intune.
  3. Nel pannello Intune scegliere Configura i dispositivi.On the Intune blade, choose Configure devices.
  4. Nel pannello Configurazione del dispositivo scegliere Installazione > Autorità di certificazione.On the Device Configuration blade, choose Setup > Certificate Authority.
  5. Nel passaggio 1 scegliere Abilita.Under Step 1, choose Enable.

Scaricare, installare e configurare il Connettore di certificatiTo download, install, and configure the certificate connector

  1. Nel pannello Configura i dispositivi scegliere Installazione > Autorità di certificazione.On the Configure devices blade, choose Setup > Certificate Authority.
  2. Scegliere Scarica il connettore del certificato.choose Download the certificate connector.
  3. Al termine del download, eseguire il programma di installazione scaricato (ndesconnectorssetup.exe).After the download completes, run the downloaded installer (ndesconnectorssetup.exe). Eseguire il programma di installazione nel computer che può connettersi all'autorità di certificazione.Run the installer on the computer that is able to connect with the Certification Authority. Scegliere l'opzione di distribuzione PFX e quindi fare clic su Installa.Choose the PKCS (PFX) Distribution option, and then choose Install. Al termine dell'installazione, procedere alla creazione di un profilo certificato come descritto in Configure certificate profiles (Configurare i profili certificato).When the installation has completed, continue by creating a certificate profile as described in How to configure certificate profiles.

  4. Quando viene richiesto il certificato client di Connettore di certificati, scegliere Seleziona e selezionare il certificato di autenticazione client installato.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed.

    Dopo aver selezionato il certificato di autenticazione client, viene visualizzato di nuovo il certificato client per Connettore di certificati di Microsoft Intune .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Anche se il certificato selezionato non viene visualizzato, scegliere Avanti per visualizzare le proprietà del certificato.Although the certificate you selected is not shown, choose Next to view the properties of that certificate. Scegliere Avanti e quindi Installa.Then choose Next, and then Install.

  5. Al termine della procedura guidata, prima di chiuderla, fare clic su Avvia l'interfaccia utente di Connettore di certificati.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Suggerimento

    Se si chiude la procedura guidata prima di avviare l'interfaccia utente di Connettore di certificati, è possibile riaprirla con il comando seguente:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <percorso_installazione>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  6. Nell'interfaccia utente di Connettore di certificati :In the Certificate Connector UI:

    a.a. Scegliere Accedi e immettere le credenziali di amministratore del servizio di Intune oppure le credenziali di amministratore tenant con autorizzazioni di amministrazione globali.Choose Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    b.b. Selezionare la scheda Avanzate e quindi fornire le credenziali per un account con l'autorizzazione Rilascio e gestione certificati sulla CA emittente.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority.

    c.c. Scegliere Applica.Choose Apply.

    Ora è possibile chiudere l'interfaccia utente di Connettore di certificati.You can now close the Certificate Connector UI.

  7. Aprire un prompt dei comandi e digitareservices.msc.Open a command prompt and type services.msc. Premere INVIO, fare clic con il pulsante destro del mouse su Servizio Intune Connector e scegliere Riavvia.Then press Enter, right-click the Intune Connector Service, and choose Restart.

Per confermare che il servizio sia in esecuzione, aprire un browser e immettere il seguente URL, che deve restituire un errore 403 :To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

http://<FQDN_del_server_NDES>/certsrv/mscep/mscep.dllhttp:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

Come creare un profilo certificato PKCSHow to create a PKCS certificate profile

Nel portale di Azure selezionare il carico di lavoro Configura i dispositivi.In the Azure Portal, select the Configure devices workload.

  1. Nel pannello Configurazione del dispositivo scegliere Gestisci > Profili.On the Device configuration blade, choose Manage > Profiles.
  2. Nel pannello dei profili fare clic su Crea profilo.On the profiles blade, click Create Profile.
  3. Nel pannello Crea profilo immettere un nome e una descrizione per il profilo certificato PKCS.On the Create Profile blade, enter a Name and Description for the PKCS certificate profile.
  4. Dall'elenco a discesa Piattaforma selezionare la piattaforma del dispositivo per questo certificato PKCS:From the Platform drop-down list, select the device platform for this PKCS certificate from:
    • AndroidAndroid
    • Android for WorkAndroid for Work
    • iOSiOS
    • Windows 10 e versioni successiveWindows 10 and later
  5. Dall'elenco a discesa dei tipi di profilo scegliere Certificato PKCS.From the Profile type drop-down list, choose PKCS certificate.
  6. Nel pannello Certificato PKCS è possibile configurare le impostazioni seguenti:On the PKCS Certificate blade, configure the following settings:
    • Soglia di rinnovo (%): specificare la percentuale di durata residua del certificato prima che il dispositivo ne richieda il rinnovo.Renewal threshold (%) - Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
    • Periodo di validità del certificato: se il comando certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE è stato eseguito nella CA emittente, che consente un periodo di validità personalizzato, è possibile specificare la quantità di tempo rimanente prima della scadenza del certificato.Certificate validity period - If you have run the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can specify the amount of remaining time before the certificate expires.
      È possibile specificare un valore inferiore, ma non superiore rispetto al periodo di validità nel modello di certificato indicato.You can specify a value that is lower than the validity period in the specified certificate template, but not higher. Ad esempio, se il periodo di validità del certificato nel modello di certificato è di due anni, è possibile specificare un valore di un anno ma non un valore di cinque anni.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year but not a value of five years. Inoltre, il valore deve essere inferiore rispetto al periodo di validità rimanente del certificato della CA emittente.The value must also be lower than the remaining validity period of the issuing CA's certificate.
    • Provider di archiviazione chiavi (KSP) (Windows 10) Specificare dove archiviare la chiave per il certificato.Key storage provider (KSP) (Windows 10) - Specify where the key to the certificate will be stored. Scegliere tra uno dei seguenti valori:Choose from one of the following values:
      • Registra nel provider di archiviazione chiavi Trusted Platform Module (TPM) se presente, altrimenti nel provider di archiviazione chiavi softwareEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Registra nel provider di archiviazione chiavi Trusted Platform Module (TPM) oppure genera erroreEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Registra in Passport oppure genera errore (Windows 10 e versioni successive)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Registra nel provider di archiviazione chiavi softwareEnroll to Software KSP
    • Autorità di certificazione: un'autorità di certificazione globale eseguita in un'edizione Enterprise di Windows Server 2008 R2 o versioni successive.Certification authority - An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. L'opzione CA autonoma non è supportata.A Standalone CA is not supported. Per istruzioni su come configurare un'autorità di certificazione, vedere Installare l'autorità di certificazione.For instructions on how to set up a Certification Authority, see Install the Certification Authority. Se la CA esegue Windows Server 2008 R2, è necessario installare l'hotfix di KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.
    • Nome dell'autorità di certificazione: immettere il nome dell'autorità di certificazione.Certification authority name - Enter the name of your certification authority.
    • Nome modello di certificato: immettere il nome di un modello di certificato configurato per essere usato dal servizio Registrazione dispositivi di rete e che è stato aggiunto a una CA emittente.Certificate template name - Enter the name of a certificate template that the Network Device Enrollment Service is configured to use and that has been added to an issuing CA. Assicurarsi che il nome corrisponda esattamente a uno dei modelli del certificato elencati nel registro di sistema del server che esegue il servizio Registrazione dispositivi di rete.Make sure that the name exactly matches one of the certificate templates that are listed in the registry of the server that is running the Network Device Enrollment Service. Accertarsi di specificare il nome del modello del certificato e non il nome visualizzato del modello del certificato.Make sure that you specify the name of the certificate template and not the display name of the certificate template. Per trovare i nomi dei modelli di certificato, individuare la seguente chiave: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP.To find the names of certificate templates, browse to the following key: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP. I modelli di certificato verranno visualizzati come i valori per EncryptionTemplate, GeneralPurposeTemplatee SignatureTemplate.You will see the certificate templates listed as the values for EncryptionTemplate, GeneralPurposeTemplate, and SignatureTemplate. Per impostazione predefinita, il valore per i tre modelli di certificato è IPSECIntermediateOffline, che è associato al nome visualizzato del modello IPSec (Offline request).By default, the value for all three certificate templates is IPSECIntermediateOffline, which maps to the template display name of IPSec (Offline request).
    • Formato nome soggetto: dall'elenco, selezionare in che modo Intune crea automaticamente il nome soggetto nella richiesta certificato.Subject name format - From the list, select how Intune automatically creates the subject name in the certificate request. Se il certificato è per un utente, è anche possibile includere l'indirizzo di posta elettronica dell'utente nel nome del soggetto.If the certificate is for a user, you can also include the user's email address in the subject name. È possibile scegliere tra:Choose from:
      • Non configuratoNot configured
      • Nome comuneCommon name
      • Nome comune incluso l'indirizzo di posta elettronicaCommon name including email
      • Nome comune come indirizzo di posta elettronicaCommon name as email
    • Nome alternativo soggetto: specificare in che modo Intune crea automaticamente i valori per il nome alternativo soggetto (SAN) nella richiesta certificato.Subject alternative name - Specify how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Ad esempio, se si seleziona un tipo di certificato utente, è possibile includere il nome dell'entità utente (UPN) nel nome alternativo oggetto.For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Se il certificato client viene usato per eseguire l'autenticazione in un server dei criteri di rete, impostare il nome alternativo oggetto sul nome dell'entità utente.If the client certificate is used to authenticate to a Network Policy Server, set the subject alternative name to the UPN. È anche possibile selezionare Custom Azure AD attribute (Attributo Azure AD personalizzato).You can also select Custom Azure AD attribute. Quando si seleziona questa opzione, viene visualizzato un altro campo a discesa.When you select this option, another drop-down field is displayed. Nel campo Custom Azure AD attribute (Attributo di Azure AD personalizzato) è disponibile una sola opzione Reparto.From the Custom Azure AD attribute drop-down field, there is one option: Department. Quando si seleziona questa opzione, se il reparto non è identificato in Azure AD, il certificato non viene rilasciato.When you select this option, if the department is not identified in Azure AD, the certificate is not issued. Per risolvere questo problema, identificare il reparto e salvare le modifiche.To resolve this issue, identify the department and save the changes. In occasione del successivo accesso del dispositivo, il problema viene risolto e il certificato viene rilasciato.At the next device checkin, the problem is resolved and certificate is issued. ASN. 1 è la notazione usata per questo campo.ASN.1 is the notation used for this field.
    • Utilizzo chiave esteso (Android): scegliere Aggiungi per aggiungere valori per lo scopo designato del certificato.Extended key usage (Android) - Choose Add to add values for the certificate's intended purpose. Nella maggior parte dei casi il certificato richiederà l' Autenticazione Client in modo che l'utente o il dispositivo possa eseguire l'autenticazione a un server.In most cases, the certificate will require Client Authentication so that the user or device can authenticate to a server. È comunque possibile aggiungere altri utilizzi di chiavi secondo necessità.However, you can add any other key usages as required.
    • Certificato radice (Android): scegliere un profilo del certificato radice della CA già configurato e assegnato all'utente o al dispositivo.Root Certificate (Android) - Choose a root CA certificate profile that you have previously configured and assigned to the user or device. Questo certificato CA deve essere il certificato radice per l'autorità di certificazione che rilascerà il certificato che si sta configurando in questo profilo certificato.This CA certificate must be the root certificate for the CA that will issue the certificate that you are configuring in this certificate profile. Questo è il profilo certificato attendibile creato in precedenza.This is the trusted certificate profile that you created previously.
  7. Al termine tornare al pannello Crea profilo e fare clic su Crea.When you're done, go back to the Create Profile blade, and click Create.

Il profilo verrà creato e visualizzato nel pannello dell'elenco dei profili.The profile is created and is displayed on the profiles list blade.

Come assegnare il profilo certificatoHow to assign the certificate profile

Prima di assegnare i profili certificato ai gruppi, considerare quanto segue:Consider the following before you assign certificate profiles to groups:

  • Quando si assegnano i profili certificato ai gruppi, il file del certificato dal profilo certificato CA attendibile viene installato nel dispositivo.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Il dispositivo usa il profilo certificato SCEP per creare una richiesta di certificato tramite il dispositivo.The device uses the PKCS certificate profile to create a certificate request by the device.
  • I profili certificato vengono installati solo nei dispositivi che eseguono la piattaforma usata durante la creazione del profilo.Certificate profiles install only on devices running the platform you use when you created the profile.
  • È possibile assegnare profili certificato alle raccolte di utenti o di dispositivi.You can assign certificate profiles to user collections or to device collections.
  • Per pubblicare rapidamente un certificato in un dispositivo dopo la registrazione del dispositivo, assegnare il profilo certificato a un gruppo di utenti invece che a un gruppo di dispositivi.To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Se si assegna il profilo certificato a un gruppo di dispositivi, è necessario eseguire una registrazione completa dei dispositivi prima che questi ricevano i criteri.If you assign to a device group, a full device registration is required before the device receives policies.
  • Sebbene ogni profilo venga assegnato separatamente, è necessario assegnare anche la CA radice attendibile e il profilo PKCS.Although you assign each profile separately, you also need to assign the Trusted Root CA and the PKCS profile. In caso contrario, i criteri di certificato PKCS avranno esito negativo.Otherwise, the PKCS certificate policy will fail.

Per informazioni su come assegnare profili, vedere Come assegnare i profili di dispositivo.For information about how to assign profiles, see How to assign device profiles.

Per inviare commenti e suggerimenti sul prodotto, visita la pagina Intune Feedback