Come configurare i certificati in Microsoft IntuneHow to configure certificates in Microsoft Intune

Si applica a: Intune in AzureApplies to: Intune on Azure
Serve documentazione su Intune nella console classica?Looking for documentation about Intune in the classic console? Fare clic qui.Go to here.

Quando si concede agli utenti l'accesso alle risorse aziendali tramite profili VPN, Wi-Fi o di posta elettronica, è possibile autenticare queste connessioni mediante i certificati.When you give users access to corporate resources through VPN, Wi-Fi, or email profiles, you can authenticate these connections by using certificates. I certificati rendono superflua l'immissione di nomi utente e password per l'autenticazione delle connessioni.These remove the need to enter user names and passwords to authenticate connections.

È possibile usare Intune per assegnare questi certificati ai dispositivi gestiti.You can use Intune to assign these certificates to devices you manage. Intune supporta l'assegnazione e la gestione dei tipi di certificato seguenti:Intune supports assigning and managing these certificate types:

  • Simple Certificate Enrollment Protocol (SCEP)Simple Certificate Enrollment Protocol (SCEP)
  • PKCS#12 (o PFX)PKCS#12 (or PFX)

Ognuno di questi tipi di certificato ha prerequisiti e requisiti di infrastruttura propri.Each of these certificate types has it's own prerequisites, and infrastructure requirements.

Flusso di lavoro generaleGeneral workflow

  1. Assicurarsi di disporre dell'infrastruttura di certificazione corretta.Ensure you have the right certificate infrastructure in place. È possibile usare certificati SCEP e certificati PKCS.You can use SCEP certificates, and PKCS certificates.
  2. Installare un certificato radice o un certificato dell'autorità di certificazione (CA) intermedio in ogni dispositivo, in modo che il dispositivo riconosca la legittimità dell'autorità di certificazione.Install a root certificate or an intermediate Certification Authority (CA) certificate on each device so that the device recognizes the legitimacy of your CA. A tale scopo, creare e assegnare un profilo certificato attendibile.To do this, create and assign a trusted certificate profile. Quando si assegna questo profilo, i dispositivi da gestire con Intune richiederanno e riceveranno il certificato radice.When you assign this profile, the devices that you manage with Intune will request and receive the root certificate. È necessario creare un profilo separato per ogni piattaforma.You have to create a separate profile for each platform. I profili certificato attendibile sono disponibili per le piattaforme seguenti:Trusted certificate profiles are available for these platforms:
    • iOS 8.0 e versioni successiveiOS 8.0 and later
    • macOS 10.9 e versioni successivemacOS 10.9 and later
    • Android 4.0 e versioni successiveAndroid 4.0 and later
    • Android for WorkAndroid for Work
    • Windows 8.1 e versioni successiveWindows 8.1 and later
    • Windows Phone 8.1 e versioni successiveWindows Phone 8.1 and later
    • Windows 10 e versioni successiveWindows 10 and later
  3. Creare i profili certificato in modo che i dispositivi richiedano un certificato da usare per l'autenticazione dell'accesso a VPN, Wi-Fi e posta elettronica.Create certificate profiles so that devices request a certificate to be used for authentication of VPN, Wi-Fi, and email access. È possibile creare e assegnare un profilo certificato PKCS o SCEP per i dispositivi che eseguono queste piattaforme:You can create and assign a PKCS or a SCEP certificate profile for devices running these platforms:

    • iOS 8.0 e versioni successiveiOS 8.0 and later
    • Android 4.0 e versioni successiveAndroid 4.0 and later
    • Android for WorkAndroid for Work
    • Windows 10 (per dispositivi desktop e mobili) e versioni successiveWindows 10 (desktop and mobile) and later

      È possibile usare solo un profilo certificato SCEP su queste piattaforme:You can only use a SCEP certificate profile with these platforms:

  • macOS 10.9 e versioni successivemacOS 10.9 and later
  • Windows Phone 8.1 e versioni successiveWindows Phone 8.1 and later

È necessario creare un profilo separato per ogni piattaforma dei dispositivi.You must create a separate profile for each device platform. Quando si crea il profilo, questo viene associato al profilo del certificato radice attendibile già creato.When you create the profile, associate it with the trusted root certificate profile that you've already created.

Altre considerazioniFurther considerations

  • Se non è presente un'autorità di certificazione globale (enterprise), è necessario crearla.If you don't have an Enterprise Certification Authority, you must create one.
  • Se, in base alle piattaforme dei dispositivi, si decide di usare il profilo Simplified Certificate Enrollment Protocol (SCEP), è necessario anche configurare un server del servizio Registrazione dispositivi di rete (NDES).If you decide, based on your device platforms, to use the Simplified Certificate Enrollment Protocol (SCEP) profile, you'll also need to configure a Network Device Enrollment Service (NDES) server.
  • Se si prevede di usare i profili SCEP o PKCS, è necessario scaricare e configurare Connettore di certificati di Microsoft Intune.Whether you plan to use SCEP or PKCS profiles, you must download and configure the Microsoft Intune Certificate Connector.

Passaggio 1: configurare l'infrastruttura di certificazioneStep 1- Configure your certificate infrastructure

Vedere uno degli argomenti seguenti per informazioni sulla configurazione dell'infrastruttura per i diversi tipi di profilo del certificato:See one of the following topics for help configuring the infrastructure for each type of certificate profile:

Passaggio 2: esportare il certificato CA radice attendibileStep 2 - Export your trusted root CA certificate

Esportare il certificato dell'Autorità di certificazione radice disponibile nell'elenco locale come file con estensione cer dalla CA emittente o da qualsiasi dispositivo che consideri attendibile la CA emittente.Export the Trusted Root Certification Authorities (CA) certificate as a .cer file from the issuing CA, or from any device that trusts your issuing CA. Non esportare la chiave privata.Do not export the private key.

Il certificato viene importato quando si configura un profilo certificato attendibile.You'll import this certificate when you set up a trusted certificate profile.

Passaggio 3: creare profili certificato attendibileStep 3: Create trusted certificate profiles

È necessario creare un profilo certificato attendibile prima di creare un profilo certificato SCEP o PKCS.You must create a trusted certificate profile before you can create a SCEP or PKCS certificate profile. Sono necessari un profilo certificato attendibile e un profilo SCEP o PKCS per ogni piattaforma del dispositivo.You need a trusted certificate profile and a SCEP or PKCS profile for each device platform. Il flusso per la creazione di certificati attendibili è simile per tutte le piattaforme per i dispositivi.The flow for creating trusted certificates is similar for each device platform.

Per creare un profilo certificato attendibileTo create a trusted certificate profile

  1. Accedere al portale Azure.Sign into the Azure portal.
  2. Scegliere Altri servizi > Monitoraggio e gestione > Intune.Choose More Services > Monitoring + Management > Intune.
  3. Nel pannello Intune scegliere Configurazione del dispositivo.On the Intune blade, choose Device configuration.
  4. Nel pannello Configurazione del dispositivo scegliere Gestisci > Profili.On the Device Configuration blade, choose Manage > Profiles.
  5. Nel pannello dei profili scegliere Crea profilo.On the profiles blade, choose Create Profile.
  6. Nel pannello Crea profilo immettere un nome e una descrizione per il profilo certificato attendibile.On the Create Profile blade, enter a Name and Description for the trusted certificate profile.
  7. Dall'elenco a discesa Piattaforma selezionare la piattaforma del dispositivo per questo certificato attendibile.From the Platform drop-down list, select the device platform for this trusted certificate. È attualmente possibile scegliere una delle piattaforme seguenti per le impostazioni del certificato:Currently, you can choose one of the following platforms for certificate settings:
    • AndroidAndroid
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 e versioni successiveWindows 8.1 and later
    • Windows 10 e versioni successiveWindows 10 and later
  8. Dall'elenco a discesa Tipo di profilo selezionare Certificato attendibile.From the Profile type type drop-down list, choose Trusted certificate.
  9. Passare al certificato salvato nell'attività 1, quindi fare clic su OK.Browse to the certificate you saved in task 1, then click OK.
  10. Solo per i dispositivi Windows 8.1 e Windows 10, selezionare l'Archivio di destinazione per il certificato attendibile da:For Windows 8.1 and Windows 10 devices only, select the Destination Store for the trusted certificate from:
    • Archivio certificati computer - RadiceComputer certificate store - Root
    • Archivio certificati computer - IntermedioComputer certificate store - Intermediate
    • Archivio certificati utente - IntermedioUser certificate store - Intermediate
  11. Al termine, scegliere OK, tornare al pannello Crea profilo e fare clic su Crea.When you're done, choose OK, go back to the Create Profile blade, and hit Create.

Il profilo verrà creato e visualizzato nel pannello dell'elenco dei profili.The profile will be created and appears on the profiles list blade.

Se si desidera proseguire e assegnare il profilo ai gruppi, vedere Come assegnare i profili di dispositivo.If you want to go ahead and assign this profile to groups, see How to assign device profiles.

Nota

I dispositivi Android visualizzano un avviso che indica che altri produttori hanno installato un certificato attendibile.Android devices will display a notice that a third party has installed a trusted certificate.

Passaggio 4: creare profili certificato SCEP o PKCSStep 4: Create SCEP or PKCS certificate profiles

Per informazioni sulla configurazione e l'assegnazione dei diversi tipi di profilo del certificato, vedere uno degli argomenti seguenti:See one of the following topics for help configuring and assigning each type of certificate profile:

Dopo aver creato un profilo certificato attendibile, creare i profili certificato SCEP o PKCS per ogni piattaforma che si vuole usare.After you create a trusted certificate profile, create SCEP or PKCS certificate profiles for each platform you want to use. Quando si crea un profilo certificato SCEP, è necessario specificarne uno attendibile per la stessa piattaforma.When you create a SCEP certificate profile, you must specify a trusted certificate profile for that same platform. In questo modo i due profili certificato risultano collegati, anche se è ancora necessario assegnarli separatamente.This links the two certificate profiles, but you still must assign each profile separately.

Passaggi successiviNext steps

Vedere Come assegnare i profili di dispositivo per informazioni generali sull'assegnazione dei profili di dispositivo.See How to assign device profiles for general information about how to assign device profiles.

Per inviare commenti e suggerimenti sul prodotto, visita la pagina Intune Feedback