Configurare e gestire i certificati PKCS con IntuneConfigure and manage PKCS certificates with Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

RequisitiRequirements

Per usare i certificati PKCS con Intune, è necessario avere l'infrastruttura seguente:To use PKCS certificates with Intune, you must have the following infrastructure:

  • Un dominio Active Directory Domain Services (AD DS) esistente configurato.An existing Active Directory Domain Services (AD DS) domain configured.

    Se sono necessarie altre informazioni su come installare e configurare AD DS, vedere l'articolo Pianificazione e progettazione di Servizi di dominio Active Directory.If you need more information about how to install and configure AD DS see the article AD DS Design and Planning.

  • Un'autorità di certificazione (CA) globale (enterprise) esistente configurata.An existing Enterprise Certification Authority (CA) configured.

    Se sono necessarie altre informazioni su come installare e configurare Servizi certificati Active Directory (AD CS), vedere l'articolo Guida dettagliata di Servizi certificati Active Directory di Windows Server.If you need more information about how to install and configure Active Directory Certificate Services (AD CS) see the article Active Directory Certificate Services Step-by-Step Guide.

    Avviso

    Intune richiede l'esecuzione di Servizi certificati Active Directory con un'autorità di certificazione globale (enterprise), non con un'autorità di certificazione autonoma (Standalone).Intune requires you to run AD CS with an Enterprise Certification Authority (CA), not a Standalone CA.

  • Un client con connettività all'autorità di certificazione globale (enterprise).A client that has connectivity to the Enterprise CA.

  • Una copia del certificato radice esportato dall'autorità di certificazione globale (enterprise).An exported copy of your root certificate from your Enterprise CA.
  • Il connettore di certificati di Microsoft Intune (NDESConnectorSetup.exe) scaricato dal portale di Intune.The Microsoft Intune Certificate Connector (NDESConnectorSetup.exe) downloaded from your Intune Portal.
  • Un server Windows disponibile per ospitare il connettore di certificati di Microsoft Intune (NDESConnectorSetup.exe).A Windows Server available to host the Microsoft Intune Certificate Connector (NDESConnectorSetup.exe).

Esportare il certificato radice dall'autorità di certificazione globale (enterprise)Export the root certificate from the Enterprise CA

Per ogni dispositivo è necessario un certificato CA radice o intermedio per l'autenticazione con VPN, WiFi e altre risorse.You need a root or intermediate CA certificate on each device for authentication with VPN, WiFi, and other resources. La procedura seguente illustra come ottenere il certificato richiesto dall'autorità di certificazione globale (enterprise).The following steps explain how to get the required certificate from your Enterprise CA.

  1. Accedere all'autorità di certificazione globale (enterprise) con un account che abbia privilegi amministrativi.Log in to your Enterprise CA with an account that has administrative privileges.
  2. Aprire un prompt dei comandi come amministratore.Open a command prompt as an administrator.
  3. Esportare il certificato CA radice in un percorso a cui è possibile accedere in un secondo momento.Export the Root CA Certificate to a location where you can access it later.

    Ad esempio:For example:

  4. Al termine della procedura guidata, prima di chiuderla, fare clic su Avvia l'interfaccia utente di Connettore di certificati.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    certutil -ca.cert certnew.cer

    Per altre informazioni, vedere Operazioni certutil per la gestione dei certificati.For more information, see Certutil tasks for managing certificates.

Configurare i modelli di certificato nell'autorità di certificazioneConfigure certificate templates on the certification authority

  1. Accedere all'autorità di certificazione globale (enterprise) con un account che abbia privilegi amministrativi.Log in to your Enterprise CA with an account that has administrative privileges.
  2. Aprire la console Autorità di certificazione.Open the Certification Authority console.
  3. Fare clic con il pulsante destro del mouse su Modelli di certificato e scegliere Gestisci.Right-click Certificate Templates and choose Manage.
  4. Individuare il modello di certificato User, fare clic con il pulsante destro del mouse su di esso e scegliere Duplica modello.Locate the User certificate template, right-click it and choose Duplicate Template. Viene visualizzata la finestra Proprietà nuovo modello.A window opens, Properties of New Template.
  5. Nella scheda CompatibilitàOn the Compatibility tab
    • Impostare Autorità di certificazione su Windows Server 2008 R2Set Certification Authority to Windows Server 2008 R2
    • Impostare Destinatario certificato su Windows 7 / Server 2008 R2Set Certificate recipient to Windows 7 / Server 2008 R2
  6. Fare clic sulla scheda Generale :On the General tab:

    • Impostare Nome visualizzato modello su un valore significativo.Set Template display name to something meaningful to you.

    Avviso

    Per impostazione predefinita, il parametro Nome modello corrisponde al valore Nome visualizzato modello senza spazi.Template name by default is the same as Template display name with no spaces. Prendere nota del nome del modello per un uso successivo.Note the template name for later use.

  7. Nella scheda Gestione richieste selezionare la casella Rendi la chiave privata esportabile.On the Request Handling tab, check the Allow private key to be exported box.

  8. Nella scheda Crittografia verificare che il campo Dimensioni minime chiave sia impostato su 2048.On the Cryptography tab, confirm that the Minimum key size is set to 2048.
  9. Nella scheda Nome soggetto scegliere il pulsante di opzione Inserisci nella richiesta.On the Subject Name tab, choose the radio button Supply in the request.
  10. Nella scheda Estensioni assicurarsi che nell'area Criteri di applicazione siano presenti Crittografia file system, Posta elettronica sicura e Autenticazione client.On the Extensions tab, confirm that you see Encrypting File System, Secure Email, and Client Authentication under Application Policies.

    Importante

    Per i modelli di certificato iOS e macOS, nella scheda Estensioni modificare Utilizzo chiavi e verificare che l'opzione Firma come prova dell'origine non sia selezionata.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure that Signature is proof of origin is not selected.

  11. Nella scheda Sicurezza aggiungere l'account computer relativo al server in cui si installa il connettore di certificati di Microsoft Intune.On the Security tab, add the Computer Account for the server where you install the Microsoft Intune Certificate Connector.

    • Assegnare all'account le autorizzazioni Lettura e Registrazione.Allow this account Read and Enroll permissions.
  12. Fare clic su Applica e quindi su OK per salvare il modello di certificato.Click Apply, then click OK to save the certificate template.
  13. Chiudere la Console dei modelli di certificato.Close the Certificate Templates Console.
  14. Nella console Autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato, Nuovo e Modello di certificato da rilasciare.From the Certification Authority console, right-click Certificate Templates, New, Certificate Template to Issue.
    • Scegliere il modello creato nei passaggi precedenti e fare clic su OK.Choose the template that you created in the preceding steps and click OK.
  15. Per consentire al server di gestire i certificati per conto di utenti e dispositivi registrati in Intune, seguire questa procedura:For the server to manage certificates on behalf of Intune enrolled devices and users, follow these steps:

    a.a. Fare clic con il pulsante destro del mouse sull'autorità di certificazione e scegliere Proprietà.Right-click the Certification Authority, choose Properties.

    b.b. Nella scheda della sicurezza aggiungere l'account computer relativo al server in cui è in esecuzione il connettore di certificati di Microsoft Intune.On the security tab, add the Computer account of the server where you run the Microsoft Intune Certificate Connector.

    • Assegnare all'account le autorizzazioni Rilascio e gestione certificati e Richiesta certificati.Grant Issue and Manage Certificates and Request Certificates Allow permissions to the computer account.
  16. Disconnettersi dall'autorità di certificazione globale (enterprise).Log out of the Enterprise CA.

Scaricare, installare e configurare il connettore di certificati di Microsoft IntuneDownload install and configure the Microsoft Intune Certificate Connector

ConnectorDownloadConnectorDownload

  1. Nel portale di Azure selezionare Altri servizi > Monitoraggio e gestione > Intune.In the Azure portal, select More Services > Monitoring + Management > Intune.
  2. Nel pannello Intune selezionare Configurazione del dispositivo.On the Intune blade, select Device Configuration.
  3. Nel pannello Configurazione del dispositivo selezionare Autorità di certificazione.On the Device Configuration blade, select Certification Authority.
  4. Fare clic su Aggiungi e selezionare Scaricare il file del connettore.Click Add and select Download Connector file. Salvare il file scaricato in un percorso a cui è possibile accedere dal server in cui verrà installato.Save the download to a location where you can access it from the server where you are going to install it.
  5. Accedere al server in cui verrà installato il connettore di certificati di Microsoft Intune.Log in to the server where you will install the Microsoft Intune Certificate Connector.
  6. Eseguire il programma di installazione e accettare il percorso predefinito.Run the installer and accept the default location. Il connettore viene installato in C:\Programmi\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.It installs the connector to C:\Program Files\Microsoft Intune\NDESConnectorUI\NDESConnectorUI.exe.
    1. Nella pagina delle opzioni del programma di installazione scegliere Distribuzione PFX e fare clic su Avanti.On the Installer Options page chose PFX Distribution and click Next.
    2. Fare clic su Installa e attendere il completamento dell'installazione.Click Install and wait for installation to complete.
    3. Nella pagina Completamento selezionare la casella Avvia Intune Connector e fare clic su Fine.On the Completion page, check the box labeled Launch Intune Connector and click Finish.
  7. La finestra di NDES Connector viene aperta sulla scheda Registrazione. Per abilitare la connessione a Intune, fare clic su Accedi e specificare un account con autorizzazioni amministrative.The NDES Connector window should now open to the Enrollment tab. To enable the connection to Intune, click Sign In and provide an account with administrative permissions.
  8. Nella scheda Avanzate è possibile lasciare selezionato il pulsante di opzione Usa l'account di sistema del computer (impostazione predefinita).On the Advanced tab, you can leave the radio button Use this computer's SYSTEM account (default) selected.
  9. Fare clic su Applica e quindi su Chiudi.Click Apply then Close.
  10. Tornare al portale di Azure.Now go back on the Azure portal. Dopo alcuni minuti dovrebbero essere visualizzati un segno di spunta verde e il termine Attivo nell'area Stato di connessione in Intune > Configurazione del dispositivo > Autorità di certificazione.After a few minutes, you should see a green check mark and the word Active under Connection status in Intune > Device Configuration > Certification Authority. In questo modo si ha la conferma che il server connettore può comunicare con Intune.This confirmation lets you know that your connector server can communicate with Intune.

Creare un profilo di configurazione del dispositivoCreate a device configuration profile

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Passare a Intune, Configurazione del dispositivo, Profili e fare clic su Crea profilo.Navigate to Intune, Device configuration, Profiles, and click Create profile.

    NavigateIntuneNavigateIntune

  3. Specificare le informazioni seguenti:Populate the following information:

    • Nome del profiloName for the profile
    • Inserire eventualmente una descrizioneOptionally set a description
    • Piattaforma in cui distribuire il profiloPlatform to deploy the profile to
    • Impostare Tipo di profilo su Certificato attendibileSet Profile type to Trusted certificate
  4. Passare a Impostazioni e fornire il file con estensione cer del certificato CA radice esportato in precedenza.Navigate to Settings and provide the .cer file Root CA Certificate exported previously.

    Nota

    A seconda della piattaforma selezionata in Passaggio 3, può essere possibile scegliere l'Archivio di destinazione del certificato.Depending on the Platform you chose in Step 3 you may or may not have an option to choose the Destination store for the certificate.

    ProfileSettingsProfileSettings

  5. Fare clic su OK e quindi su Crea per salvare il profilo.Click OK then Create to save your profile.

  6. Per assegnare il nuovo profilo a uno o più dispositivi, vedere Come assegnare i profili di dispositivo con Microsoft Intune.To assign the new profile to one or more devices see How to assign Microsoft Intune device profiles.

Creare un profilo certificato PKCSCreate a PKCS Certificate profile

  1. Accedere al portale di Azure.Sign in to the Azure portal.
  2. Passare a Intune, Configurazione del dispositivo, Profili e fare clic su Crea profilo.Navigate to Intune, Device configuration, Profiles, and click Create profile.
  3. Specificare le informazioni seguenti:Populate the following information:
    • Nome del profiloName for the profile
    • Inserire eventualmente una descrizioneOptionally set a description
    • Piattaforma in cui distribuire il profiloPlatform to deploy the profile to
    • Impostare Tipo di profilo su Certificato PKCSSet Profile type to PKCS Certificate
  4. Passare a Impostazioni e specificare le informazioni seguenti:Navigate to Settings and provide the following information:

    • Soglia di rinnovo (%): il valore consigliato è 20%.Renewal threshold (%) - Recommended is 20%.
    • Periodo di validità del certificato: se il modello di certificato non è stato cambiato, questa opzione deve essere impostata su un anno.Certificate validity period - If you did not change the certificate template this option should be set to one year.
    • Autorità di certificazione: questa opzione corrisponde al nome di dominio completo interno dell'autorità di certificazione globale (enterprise).Certification authority - This option is the internal fully qualified domain name (FQDN) of your Enterprise CA.
    • Nome dell'autorità di certificazione: questa opzione corrisponde al nome dell'autorità di certificazione globale (enterprise) e può essere diversa rispetto al valore precedente.Certification authority name - This option is the name of your Enterprise CA and may be different than the previous item.
    • Nome del modello di certificato: questa opzione corrisponde al nome del modello creato in precedenza.Certificate template name - This option is the name of the template created earlier. Ricordarsi che, per impostazione predefinita, il parametro Nome modello corrisponde al valore Nome visualizzato modello senza spazi.Remember Template name by default is the same as Template display name with no spaces.
    • Formato nome soggetto: impostare questa opzione su Nome comune, se non diversamente richiesto.Subject name format - Set this option to Common name unless otherwise required.
    • Nome alternativo del soggetto: impostare questa opzione su Nome dell'entità utente (UPN), se non diversamente richiesto.Subject alternative name - Set this option to User principal name (UPN) unless otherwise required.
    • Utilizzo chiavi avanzato: se sono state usate le impostazioni predefinite nel passaggio 10 della sezione precedente Configurare i modelli di certificato nell'autorità di certificazione, aggiungere i Valori predefiniti seguenti dalla casella di selezione:Extended key usage - As long as you used the default settings in Step 10 in the preceding section Configure certificate templates on the certification authority, add the following Predefined values from the selection box:
      • Qualsiasi scopoAny Purpose
      • Autenticazione clientClient Authentication
      • Posta elettronica sicuraSecure Email
    • Certificato radice (per profili Android): questa opzione corrisponde al file con estensione cer esportato nel passaggio 3 della sezione precedente Esportare il certificato radice dall'autorità di certificazione globale (enterprise).Root Certificate - (For Android Profiles) This option is the .cer file exported in Step 3 under the previous section Export the root certificate from the Enterprise CA.
  5. Fare clic su OK e quindi su Crea per salvare il profilo.Click OK, then click Create to save your profile.

  6. Per assegnare il nuovo profilo a uno o più dispositivi, vedere l'articolo Come assegnare i profili di dispositivo con Microsoft Intune.To assign the new profile to one or more devices, see the article How to assign Microsoft Intune device profiles.