Configurare un profilo certificato per i dispositivi in Microsoft IntuneConfigure a certificate profile for your devices in Microsoft Intune

Quando si concede agli utenti l'accesso alle risorse aziendali tramite profili VPN, Wi-Fi o di posta elettronica, è possibile autenticare queste connessioni mediante i certificati.When you give users access to corporate resources through VPN, Wi-Fi, or email profiles, you can authenticate these connections by using certificates. Quando si usano i certificati, non è necessario immettere nomi utente e password per l'autenticazione delle connessioniWhen you use certificates, you don't need to enter user names and passwords to authenticate connections

È possibile usare Intune per assegnare questi certificati ai dispositivi gestiti.You can use Intune to assign these certificates to devices you manage. Intune supporta l'assegnazione e la gestione dei tipi di certificato seguenti:Intune supports assigning and managing the following certificate types:

  • Simple Certificate Enrollment Protocol (SCEP)Simple Certificate Enrollment Protocol (SCEP)
  • PKCS#12 (o PFX)PKCS#12 (or PFX)

Ognuno di questi tipi di certificato ha prerequisiti e requisiti di infrastruttura specifici.Each of these certificate types has its own prerequisites and infrastructure requirements.

PanoramicaOverview

  1. Assicurarsi di avere l'infrastruttura di certificazione corretta.Ensure you have the correct certificate infrastructure in place. È possibile usare certificati SCEP e certificati PKCS.You can use SCEP certificates, and PKCS certificates.

  2. Installare un certificato radice o un certificato dell'autorità di certificazione (CA) intermedio in ogni dispositivo, in modo che il dispositivo riconosca la legittimità dell'autorità di certificazione.Install a root certificate or an intermediate Certification Authority (CA) certificate on each device so that the device recognizes the legitimacy of your CA. A tale scopo, creare e assegnare un profilo certificato attendibile.To do this, create and assign a trusted certificate profile. Quando si assegna questo profilo, i dispositivi gestiti con Intune richiedono e ricevono il certificato radice.When you assign this profile, the devices that you manage with Intune request and receive the root certificate. È necessario creare un profilo separato per ogni piattaforma.You must create a separate profile for each platform. I profili certificato attendibili sono disponibili per le piattaforme seguenti:Trusted certificate profiles are available for the following platforms:

    • iOS 8.0 e versioni successiveiOS 8.0 and later
    • macOS 10.11 e versioni successivemacOS 10.11 and later
    • Android 4.0 e versioni successiveAndroid 4.0 and later
    • Android for WorkAndroid for Work
    • Windows 8.1 e versioni successiveWindows 8.1 and later
    • Windows Phone 8.1 e versioni successiveWindows Phone 8.1 and later
    • Windows 10 e versioni successiveWindows 10 and later
  3. Creare i profili certificato in modo che i dispositivi richiedano un certificato da usare per l'autenticazione dell'accesso a VPN, Wi-Fi e posta elettronica.Create certificate profiles so that devices request a certificate to be used for authentication of VPN, Wi-Fi, and email access. È possibile creare e assegnare un profilo certificato PKCS o SCEP per i dispositivi che eseguono le piattaforme seguenti:You can create and assign a PKCS or SCEP certificate profile for devices running the following platforms:

    • iOS 8.0 e versioni successiveiOS 8.0 and later
    • Android 4.0 e versioni successiveAndroid 4.0 and later
    • Android for WorkAndroid for Work
    • Windows 10 (per dispositivi desktop e mobili) e versioni successiveWindows 10 (desktop and mobile) and later

    È possibile usare un profilo certificato SCEP solo per i dispositivi che eseguono le piattaforme seguenti:You can only use a SCEP certificate profile for devices running the following platforms:

    • macOS 10.9 e versioni successivemacOS 10.9 and later
    • Windows Phone 8.1 e versioni successiveWindows Phone 8.1 and later

Assicurarsi di creare un profilo separato per ogni piattaforma dei dispositivi.Be sure to create a separate profile for each device platform. Quando si crea il profilo, questo viene associato al profilo del certificato radice attendibile già creato.When you create the profile, associate it with the trusted root certificate profile that you've already created.

Altre considerazioniFurther considerations

  • Se non è presente un'autorità di certificazione globale (enterprise), è necessario crearlaIf you don't have an Enterprise Certification Authority, you must create one
  • Se si usano profili SCEP, è necessario configurare un server del servizio Registrazione dispositivi di reteIf you use SCEP profiles, configure a Network Device Enrollment Service (NDES) server
  • Se si prevede di usare i profili SCEP o PKCS, è necessario scaricare e configurare il Connettore di certificati di Microsoft IntuneWhether you plan to use SCEP or PKCS profiles, download and configure the Microsoft Intune Certificate Connector

Passaggio 1: configurare l'infrastruttura di certificazioneStep 1: Configure your certificate infrastructure

Vedere uno degli argomenti seguenti per informazioni sulla configurazione dell'infrastruttura per i diversi tipi di profilo del certificato:See one of the following topics for help configuring the infrastructure for each type of certificate profile:

Passaggio 2: esportare il certificato CA radice attendibileStep 2: Export your trusted root CA certificate

Esportare il certificato dell'Autorità di certificazione radice disponibile nell'elenco locale (CA) come certificato pubblico con estensione cer dalla CA emittente o da qualsiasi dispositivo che consideri attendibile la CA emittente.Export the Trusted Root Certification Authorities (CA) certificate as a public certificate (.cer) from the issuing CA, or from any device that trusts your issuing CA. Non esportare la chiave privata (con estensione pfx).Do not export the private key (.pfx).

Il certificato viene importato quando si configura un profilo certificato attendibile.You import this certificate when you set up a trusted certificate profile.

Passaggio 3: creare profili certificato attendibileStep 3: Create trusted certificate profiles

Creare un profilo certificato attendibile prima di creare un profilo certificato SCEP o PKCS.Create a trusted certificate profile before you can create a SCEP or PKCS certificate profile. Sono necessari un profilo certificato attendibile e un profilo SCEP o PKCS per ogni piattaforma del dispositivo.A trusted certificate profile and a SCEP or PKCS profile are needed for each device platform. La procedura per la creazione di certificati attendibili è simile per tutte le piattaforme dei dispositivi.The steps to create trusted certificates is similar for each device platform.

  1. Accedere al portale Azure.Sign into the Azure portal.

  2. Scegliere Tutti i servizi > Intune.Choose All services > Intune. Intune si trova nella sezione Monitoraggio e gestione.Intune is located in the Monitoring + Management section.

  3. Nel riquadro Intune scegliere Configurazione del dispositivo.On the Intune pane, choose Device configuration.

  4. Nel riquadro Configurazione del dispositivo scegliere Gestisci > Profili.On the Device configuration pane, choose Manage > Profiles.

  5. Nel riquadro dei profili scegliere Crea profilo.On the profiles pane, choose Create profile.

  6. Nel riquadro Crea profilo immettere un nome e una descrizione per il profilo certificato attendibile.On the Create profile pane, enter a Name and Description for the trusted certificate profile.

  7. Dall'elenco a discesa Piattaforma selezionare la piattaforma del dispositivo per questo certificato attendibile.From the Platform drop-down list, select the device platform for this trusted certificate. È attualmente possibile scegliere una delle piattaforme seguenti per le impostazioni del certificato:Currently, you can choose one of the following platforms for certificate settings:

    • AndroidAndroid
    • Android for WorkAndroid for Work
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 e versioni successiveWindows 8.1 and later
    • Windows 10 e versioni successiveWindows 10 and later
  8. Dall'elenco a discesa Tipo di profilo scegliere Certificato attendibile.From the Profile type drop-down list, choose Trusted certificate.

  9. Passare al certificato salvato nell'attività 1, quindi fare clic su OK.Browse to the certificate you saved in task 1, then click OK.

  10. Solo per i dispositivi Windows 8.1 e Windows 10, selezionare l'Archivio di destinazione per il certificato attendibile da:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:

    • Archivio certificati computer - RadiceComputer certificate store - Root
    • Archivio certificati computer - IntermedioComputer certificate store - Intermediate
    • Archivio certificati utente - IntermedioUser certificate store - Intermediate
  11. Al termine scegliere OK, tornare alla pagina Crea profilo e selezionare Crea.When you're done, choose OK, go back to the Create profile pane, and select Create.

Il profilo viene creato e quindi visualizzato nell'elenco.The profile is created and appears on the list. Per assegnare il profilo ai gruppi, vedere Come assegnare i profili di dispositivo con Microsoft Intune.To assign this profile to groups, see assign device profiles.

È possibile che nei dispositivi Android venga visualizzato un messaggio che indica che un certificato attendibile è stato installato da terze parti.Android devices may display a message that a third party has installed a trusted certificate.

Passaggio 4: creare profili certificato SCEP o PKCSStep 4: Create SCEP or PKCS certificate profiles

Per informazioni sulla configurazione e l'assegnazione dei diversi tipi di profilo del certificato, vedere uno degli argomenti seguenti:See one of the following topics for help configuring and assigning each type of certificate profile:

Dopo aver creato un profilo certificato attendibile, creare i profili certificato SCEP o PKCS per ogni piattaforma che si vuole usare.After you create a trusted certificate profile, create SCEP or PKCS certificate profiles for each platform you want to use. Quando si crea un profilo certificato SCEP, è necessario specificare un profilo certificato attendibile per la stessa piattaforma.When you create a SCEP certificate profile, enter a trusted certificate profile for that same platform. In questo modo i due profili certificato risultano collegati, anche se è ancora necessario assegnarli separatamente.This step links the two certificate profiles, but you still must assign each profile separately.

Passaggi successiviNext steps

Vedere Come assegnare i profili di dispositivo per informazioni generali sull'assegnazione dei profili di dispositivo.See How to assign device profiles for general information about how to assign device profiles.