Configurare e gestire i certificati SCEP con IntuneConfigure and manage SCEP certificates with Intune

Si applica a: Intune nel Portale di AzureApplies to: Intune in the Azure portal
Serve documentazione su Intune nel portale classico?Looking for documentation about Intune in the classic portal? Fare clic qui.Go here.

Questo argomento illustra come configurare l'infrastruttura e quindi creare e assegnare i profili certificato Simple Certificate Enrollment Protocol (SCEP) con Intune.This topic shows how to configure your infrastructure, then create and assign Simple Certificate Enrollment Protocol (SCEP) certificate profiles with Intune.

Configurare l'infrastruttura localeConfigure on-premises infrastructure

  • Dominio di Active Directory: tutti i server elencati in questa sezione (tranne il server proxy applicazione Web) devono essere aggiunti al dominio di Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Autorità di certificazione (CA): un'autorità di certificazione dell'organizzazione (CA) eseguita in un'edizione Enterprise di Windows Server 2008 R2 o versioni successive.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. L'opzione CA autonoma non è supportata.A Standalone CA is not supported. Per informazioni dettagliate, vedere Install the Certification Authority (Installare l'autorità di certificazione).For details, see Install the Certification Authority. Se la CA esegue Windows Server 2008 R2, è necessario installare l'hotfix di KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Server NDES: nei server che eseguono Windows Server 2012 R2 o versioni successive è necessario installare il servizio Registrazione dispositivi di rete (NDES, Network Device Enrollment Service).NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Intune non supporta l'uso di NDES se viene eseguito su un server con Enterprise CA.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Vedere Linee guida per il servizio Registrazione dispositivi di rete per istruzioni su come configurare Windows Server 2012 R2 per ospitare il Servizio Registrazione dispositivi di rete.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Il server NDES deve appartenere al dominio che ospita la CA e non trovarsi nello stesso server di questa.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. Altre informazioni sulla distribuzione del server NDES in una foresta separata, in una rete isolata o in un dominio interno sono disponibili in Uso di un Modulo criteri con il servizio Registrazione dispositivi di rete.More information about deploying the NDES server in a separate forest, isolated network, or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Connettore di certificati di Microsoft Intune: usare il portale di Azure per scaricare il programma di installazione del Connettore di certificati (ndesconnectorssetup.exe).Microsoft Intune Certificate Connector: Use the Azure portal to download the Certificate Connector installer (ndesconnectorssetup.exe). È quindi possibile eseguire ndesconnectorssetup.exe nel computer in cui si vuole installare Connettore di certificati.Then you can run ndesconnectorssetup.exe on the computer where you want to install the Certificate Connector.

  • Server proxy applicazione Web (facoltativo): usare un server che esegue Windows Server 2012 R2 o versioni successive come server proxy applicazione Web (WAP, Web Application Proxy) .Web Application Proxy Server (optional): Use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Questa configurazione:This configuration:

    • Consente ai dispositivi di ricevere i certificati usando una connessione Internet.Allows devices to receive certificates using an Internet connection.
    • Vale come raccomandazione di sicurezza quando i dispositivi usano la connessione a Internet per ricevere e rinnovare i certificati.Is a security recommendation when devices connect through the Internet to receive and renew certificates.

    Nota

Requisiti di reteNetwork requirements

Da Internet alla rete perimetrale, aprire la porta 443 da tutti gli host o da tutti gli indirizzi IP in Internet al server NDES.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

Dalla rete perimetrale a una rete attendibile, aprire tutte le porte e consentire tutti i protocolli necessari per l'accesso al dominio per il server NDES appartenente al dominio.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Il server NDES deve accedere ai server di certificazione, ai server DNS, ai server di Configuration Manager e ai controller di dominio.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers, and domain controllers.

È consigliabile pubblicare il server NDES tramite un proxy, ad esempio Proxy di applicazione di Azure AD, Proxy di accesso Web o un proxy di terze parti.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Certificati e modelliCertificates and templates

OggettoObject DettagliDetails
Modello di certificatoCertificate Template Configurare questo modello nella CA emittente.Configure this template on your issuing CA.
Certificato di autenticazione clientClient authentication certificate Necessario alla CA emittente o alla CA pubblica, questo certificato viene installato nel server NDES.Requested from your issuing CA or public CA; you install this certificate on the NDES Server.
Certificato di autenticazione serverServer authentication certificate Necessario alla CA emittente o alla CA pubblica, questo certificato SSL viene installato e associato in IIS nel server NDES.Requested from your issuing CA or public CA; you install and bind this SSL certificate in IIS on the NDES server.
Certificato CA radice attendibileTrusted Root CA certificate Questo certificato viene esportato come file con estensione cer dalla CA radice o da qualsiasi dispositivo che considera attendibile la CA radice e viene assegnato ai dispositivi tramite il profilo certificato CA attendibile.You export this certificate as a .cer file from the root CA or any device that trusts the root CA, and assign it to devices by using the Trusted CA certificate profile.

Viene usato un certificato CA radice attendibile per ogni piattaforma di sistema e lo si associa con ogni profilo del certificato radice attendibile creato.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

È possibile usare certificati CA radice attendibili aggiuntivi, se necessario.You can use additional Trusted Root CA certificates when needed. Ad esempio, è possibile farlo per fornire un trust a un'autorità di certificazione che firma i certificati di autenticazione del server per i punti di accesso Wi-Fi.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

AccountAccounts

NomeName DettagliDetails
Account di servizio NDESNDES service account Specificare un account utente di dominio da usare come account del servizio NDES.Specify a domain user account to use as the NDES Service account.

Configurare l'infrastrutturaConfigure your infrastructure

Prima di configurare i profili di certificato, è necessario completare le seguenti attività, che richiedono una conoscenza preliminare di Windows Server 2012 R2 e Servizi certificati Active Directory (ADCS):Before you can configure certificate profiles you must complete the following tasks, which require knowledge of Windows Server 2012 R2 and Active Directory Certificate Services (ADCS):

Passaggio 1: creare un account del servizio NDESStep 1: Create an NDES service account

Passaggio 2: configurare i modelli di certificato nell'autorità di certificazioneStep 2: Configure certificate templates on the certification authority

Passaggio 3: configurare i prerequisiti nel server NDESStep 3: Configure prerequisites on the NDES server

Passaggio 4: configurare NDES per l'uso con IntuneStep 4: Configure NDES for use with Intune

Passaggio 5: abilitare, installare e configurare il Connettore di certificati di IntuneStep 5: Enable, install, and configure the Intune Certificate Connector

Passaggio 1: creare un account del servizio NDESStep 1 - Create an NDES service account

Creare un account utente di dominio da usare come account del servizio NDES.Create a domain user account to use as the NDES service account. L'account viene specificato quando si configurano i modelli nella CA emittente prima di installare e configurare NDES.You specify this account when you configure templates on the issuing CA before you install and configure NDES. Assicurarsi che l'utente abbia i diritti predefiniti, accesso locale, accesso come servizio e accesso come processo batch.Make sure the user has the default rights, Logon Locally, Logon as a Service and Logon as a batch job rights. In alcune organizzazioni sono attivi criteri di protezione avanzata che disabilitano tali diritti.Some organizations have hardening policies that disable those rights.

Passaggio 2: configurare i modelli di certificato nell'autorità di certificazioneStep 2 - Configure certificate templates on the certification authority

In questa attività sarà possibile:In this task you will:

  • Configurare un modello di certificato per NDESConfigure a certificate template for NDES

  • Pubblicare il modello di certificato per NDESPublish the certificate template for NDES

Per configurare l'autorità di certificazioneTo configure the certification authority
  1. Accedere come amministratore dell'organizzazione.Log on as an enterprise administrator.

  2. Nella CA emittente usare lo snap-in Modelli di certificato per creare un nuovo modello personalizzato o copiare un modello esistente (ad esempio, il modello Utente) e modificarlo per l'utilizzo con NDES.On the issuing CA, use the Certificate Templates snap-in to create a new custom template or copy an existing template and then edit an existing template (like the User template), for use with NDES.

    Nota

    Il modello di certificato NDES deve essere basato su un modello di certificato v2 (che include la compatibilità con Windows 2003).The NDES certificate template must be based off a v2 Certificate Template (with Windows 2003 compatibility).

    Il modello deve avere le seguenti configurazioni:The template must have the following configurations:

    • Specificare un nome visualizzato descrittivo per il modello.Specify a friendly Template display name for the template.

    • Nella scheda Nome soggetto selezionare Fornisci nella richiesta.On the Subject Name tab, select Supply in the request. (La sicurezza viene applicata con il modulo dei criteri di Intune per NDES).(Security is enforced by the Intune policy module for NDES).

    • Nella scheda Estensioni verificare che la descrizione dei criteri dell'applicazione includa Autenticazione client.On the Extensions tab, ensure the Description of Application Policies includes Client Authentication.

      Importante

      Per i modelli di certificato iOS e macOS, nella scheda Estensioni modificare Utilizzo chiavi e verificare che l'opzione Firma come prova dell'origine non sia selezionata.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage and ensure Signature is proof of origin is not selected.

    • Nella scheda Sicurezza aggiungere l'account del servizio NDES e dargli le autorizzazioni di registrazione al modello.On the Security tab, add the NDES service account, and give it Enroll permissions to the template. È necessario che gli amministratori di Intune che creano profili SCEP abbiano i diritti di lettura per selezionare il modello durante la creazione dei profili.Intune admins who create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

    Nota

    Per revocare i certificati, l'account del servizio NDES ha bisogno dei diritti Rilascio e gestione certificati per ogni modello di certificato usato da un profilo di certificato.To revoke certificates the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Esaminare il periodo di validità nella scheda Generale del modello.Review the Validity period on the General tab of the template. Per impostazione predefinita, Intune usa il valore configurato nel modello.By default, Intune uses the value configured in the template. Tuttavia, è possibile configurare la CA per consentire al richiedente di specificare un valore diverso, che è poi possibile impostare dalla console di amministrazione di Intune.However, you have the option to configure the CA to allow the requester to specify a different value, which you can then set from within the Intune Administrator console. Per usare sempre il valore nel modello, ignorare il resto del passaggio.If you want to always use the value in the template, skip the remainder of this step.

    Importante

    iOS e macOS usano sempre il valore impostato nel modello, indipendentemente dalle altre configurazioni definite.iOS and macOS always use the value set in the template regardless of other configurations you make.

Ecco alcuni screenshot di una configurazione di esempio del modello.Here are screenshots of an example template configuration.

Modello, scheda di gestione delle richieste

Modello, scheda relativa al nome soggetto

Modello, scheda della sicurezza

Modello, scheda delle estensioni

Modello, scheda dei requisiti di rilascio

Importante

Per i criteri di applicazione, aggiungere solo i criteri necessari.For Application Policies, only add the application policies required. Verificare le scelte effettuate con gli amministratori della sicurezza.Confirm your choices with your security admins.

Per configurare la CA in modo che consenta al richiedente di specificare il periodo di validità:To configure the CA to allow the requester to specify the validity period:

  1. Nella CA eseguire i comandi seguenti:On the CA run the following commands:
    • certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    • net stop certsvcnet stop certsvc
    • net start certsvcnet start certsvc
  2. Nella CA emittente usare lo snap-in dell'autorità di certificazione per pubblicare il modello di certificato.On the issuing CA, use the Certification Authority snap-in to publish the certificate template. Selezionare il nodo Modelli di certificato, fare clic su Azione-> Nuovo > Modello di certificato da rilasciare e quindi selezionare il modello creato nel passaggio 2.Select the Certificate Templates node, click Action-> New > Certificate Template to Issue, and then select the template you created in step 2.
  3. Verificare che il modello sia stato pubblicato visualizzandolo nella cartella Modelli di certificato .Validate that the template published by viewing it under the Certificate Templates folder.

Passaggio 3: configurare i prerequisiti nel server NDESStep 3 - Configure prerequisites on the NDES server

In questa attività sarà possibile:In this task you will:

  • Aggiungere NDES a Windows Server e configurare IIS per supportare NDESAdd NDES to a Windows Server and configure IIS to support NDES

  • Aggiungere l'account del servizio NDES al gruppo IIS_IUSRAdd the NDES Service account to the IIS_IUSR group

  • Impostare SPN per l'account del servizio NDESSet the SPN for the NDES Service account

  1. Nel server che ospiterà NDES, è necessario accedere come amministratore dell'organizzazione, quindi usare l'Aggiunta guidata ruoli e funzionalità per installare NDES:On the server that will hosts NDES, you must log on as an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. Nella procedura guidata selezionare Servizi certificati Active Directory per ottenere l'accesso ai servizi di ruolo AD CS.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Selezionare il servizio Registrazione dispositivi di rete, deselezionare Autorità di certificazione, quindi completare la procedura guidata.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Suggerimento

      Nella pagina Stato dell'installazione della procedura guidata, non fare clic su Chiudi.On the Installation progress page of the wizard, do not click Close. Fare clic, invece, sul collegamento per configurare i Servizi certificati Active Directory nel server di destinazione.Instead, click the link for Configure Active Directory Certificate Services on the destination server. Si apre la procedura guidata Configurazione AD CS che verrà usata per l'attività successiva.This opens the AD CS Configuration wizard that you use for the next task. Dopo aver aperto Configurazione AD CS, è possibile chiudere la procedura guidata per l'aggiunta di ruoli e funzionalità.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Quando NDES viene aggiunto al server, la procedura guidata installa anche IIS.When NDES is added to the server, the wizard also installs IIS. Verificare che IIS abbia le seguenti configurazioni:Ensure IIS has the following configurations:

      • Server Web > Sicurezza > Filtro richiesteWeb Server > Security > Request Filtering

      • Server Web > Sviluppo applicazioni > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Installando ASP.NET 3.5 viene installato anche .NET Framework 3.5.Installing ASP.NET 3.5 installs .NET Framework 3.5. Quando si installa .NET Framework 3.5, installare la funzionalità di base di .NET Framework 3.5 e Attivazione HTTP.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

      • Server Web > Sviluppo applicazioni > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Installando ASP.NET 4.5 viene installato anche .NET Framework 4.5.Installing ASP.NET 4.5 installs .NET Framework 4.5. Quando si installa .NET Framework 4.5, installare la funzionalità di base di .NET Framework 4.5, ASP.NET 4.5 e la funzionalità Servizi WCF > Attivazione HTTP.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

      • Strumenti di gestione > Compatibilità gestione IIS 6 > Compatibilità metabase IIS 6Management Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

      • Strumenti di gestione > Compatibilità gestione IIS 6 > Compatibilità WMI con IIS 6Management Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    3. Nel server aggiungere l'account del servizio NDES come membro del gruppo IIS_IUSR.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Al prompt dei comandi con privilegi elevati, eseguire questo comando per impostare il nome SPN dell'account del servizio NDES:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

**setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>**

Ad esempio, se il server NDES è denominato Server01, il dominio è Contoso.come l'account del servizio è NDESService, usare:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

**setspn –s http/Server01.contoso.com contoso\NDESService**

Passaggio 4: configurare NDES per l'uso con IntuneStep 4 - Configure NDES for use with Intune

In questa attività sarà possibile:In this task you will:

  • Configurare NDES per l'utilizzo con la CA emittenteConfigure NDES for use with the issuing CA

  • Associare il certificato di autenticazione server (SSL) in IISBind the server authentication (SSL) certificate in IIS

  • Configurare il filtro richieste in IISConfigure Request Filtering in IIS

  1. Nel server NDES aprire la procedura guidata Configurazione AD CS, quindi completare le configurazioni seguenti:On the NDES Server, open the AD CS Configuration wizard and then make the following configurations:

    Suggerimento

    Se nell'attività precedente è stato selezionato il collegamento, questa procedura guidata è già aperta.If you clicked the link in the previous task, this wizard is already open. In caso contrario, aprire Server Manager per accedere alla configurazione di post-distribuzione per i Servizi certificati Active Directory.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • Nella pagina Servizi di ruolo selezionare Servizio Registrazione dispositivi di rete.On the Role Services Page, select the Network Device Enrollment Service.

    • Nella pagina Account del servizio per NDES specificare l'account del servizio NDES.On the Service Account for NDES page, specify the NDES Service Account.

    • Nella pagina CA per NDES fare clic su Seleziona, quindi selezionare la CA emittente in cui è stato configurato il modello di certificato.On the CA for NDES page, click Select, and then select the issuing CA where you configured the certificate template.

    • Nella pagina Crittografia per NDES impostare la lunghezza della chiave per soddisfare i requisiti aziendali.On the Cryptography for NDES page, set the key length to meet your company requirements.

    Nella pagina Conferma fare clic su Configura per completare la procedura guidata.On the Confirmation page, click Configure to complete the wizard.

  2. Dopo aver completato la procedura guidata, modificare la seguente chiave del Registro di sistema nel server NDES:After the wizard completes, edit the following registry key on the NDES Server:

    • HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Per modificare questa chiave, identificare lo scopo del modello del certificato, come disponibile nella relativa scheda Gestione richiesta, quindi modificare la voce corrispondente nel Registro di sistema sostituendo i dati esistenti con il nome del modello di certificato (non il nome visualizzato del modello) specificato nell'attività 1.To edit this key, identify the certificate template's Purpose, as found on its Request Handling tab, and then edit the corresponding entry in the registry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. Nella tabella seguente viene eseguito il mapping lo scopo del modello di certificato per i valori del Registro di sistema:The following table maps the certificate template purpose to the values in the registry:

    Scopo del modello di certificato (nella scheda Gestione richieste)Certificate template Purpose (On the Request Handling tab) Valore del Registro di sistema da modificareRegistry value to edit Valore visualizzato nella console di amministrazione di Intune per il profilo SCEPValue seen in the Intune admin console for the SCEP profile
    FirmaSignature SignatureTemplateSignatureTemplate Firma digitaleDigital Signature
    CrittografiaEncryption EncryptionTemplateEncryptionTemplate Crittografia chiaveKey Encipherment
    Firma e crittografiaSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate Crittografia chiaveKey Encipherment

    Firma digitaleDigital Signature

    Ad esempio, se lo scopo del modello di certificato è Crittografia, modificare il valore EncryptionTemplate in modo che corrisponda al nome del modello di certificato.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Il server NDES riceve URL (query) lunghi che richiedono l'aggiunta di due voci del Registro di sistema:The NDES server receives long URLs (queries), which require that you add two registry entries:

    PercorsoLocation ValoreValue TipoType DatiData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (decimale)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (decimale)65534 (decimal)
  4. In Gestione IIS scegliere Sito Web predefinito -> Filtro richieste -> Modifica impostazioni funzionalità e modificare Lunghezza massima URL e Lunghezza massima stringa di query in 65534, come illustrato.In IIS manager, choose Default Web Site -> Request Filtering -> Edit Feature Setting, and change the Maximum URL length and Maximum query string to 65534, as shown.

    Lunghezza massima URL IIS e lunghezza query

  5. Riavviare il server.Restart the server. L'esecuzione di iisreset nel server non è sufficiente per finalizzare le modifiche.Running iisreset on the server is not sufficient to finalize these changes.

  6. Passare a http://FQDN/certsrv/mscep/mscep.dll.Browse to http://FQDN/certsrv/mscep/mscep.dll. Verrà visualizzata una pagina NDES simile alla seguente:You should see an NDES page similar to this:

    Test NDES

    Se viene visualizzato l'errore 503 - Servizio non disponibile, controllare nel visualizzatore eventi.If you get a 503 Service unavailable, check the event viewer. È probabile che il pool di applicazioni si sia arrestato perché l'utente NDES non dispone di un diritto.It's likely that the application pool is stopped due to a missing right for the NDES user. Tali diritti sono descritti nell'attività 1.Those rights are described in Task 1.

Per installare e associare i certificati nel server NDESTo Install and bind certificates on the NDES Server
  1. Nel server NDES richiedere e installare un certificato autenticazione server dalla CA interna o dalla CA pubblica.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Quindi associare questo certificato SSL in IIS.You then bind this SSL certificate in IIS.

    Suggerimento

    Dopo aver associato il certificato SSL in IIS, installare anche un certificato di autenticazione client.After you bind the SSL certificate in IIS, you will also install a client authentication certificate. Questo certificato può essere emesso da qualsiasi CA considerata attendibile dal server NDES.This certificate can be issued by any CA that is trusted by the NDES Server. Sebbene non sia una procedura consigliata, è possibile usare lo stesso certificato per l'autenticazione server e client, a condizione che il certificato abbia entrambi gli EKU.Although it is not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKUs). Esaminare i seguenti passaggi per informazioni su questi certificati di autenticazione.Review the following steps for information about these authentication certificates.

    1. Dopo aver ottenuto il certificato di autenticazione server, aprire Gestione IIS, selezionare Sito Web predefinito nel riquadro Connessioni , quindi fare clic su Binding nel riquadro Azioni .After you obtain the server authentication certificate, open IIS Manager, select the Default Web Site in the Connections pane, and then click Bindings in the Actions pane.

    2. Fare clic su Aggiungi, impostare Tipo su https, quindi verificare che la porta sia 443.Click Add, set Type to https, and then ensure the port is 443. Per la configurazione autonoma di Intune è supportata solo la porta 443.(Only port 443 is supported for standalone Intune.

    3. Per Certificato SSL, specificare il certificato di autenticazione server.For SSL certificate, specify the server authentication certificate.

      Nota

      Se il server NDES usa un nome esterno e uno interno per un unico indirizzo di rete, il certificato di autenticazione server deve avere un Nome soggetto con un nome server pubblico esterno e Nome alternativo soggetto che include il nome server interno.If the NDES server uses both an external and internal name for a single network address, the server authentication certificate must have a Subject Name with an external public server name, and a Subject Alternative Name that includes the internal server name.

  2. Nel server NDES, richiedere e installare un certificato di autenticazione client dalla CA interna o pubblica.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Può essere lo stesso certificato del certificato di autenticazione server, se il certificato ha entrambe le funzionalità.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Il certificato di autenticazione client deve avere le seguenti proprietà:The client authentication certificate must have the following properties:

    Utilizzo chiavi avanzato: deve includere Autenticazione client.Enhanced Key Usage - This must include Client Authentication.

    Nome soggetto: deve essere uguale al nome DNS del server in cui si installa il certificato (server NDES).Subject Name - This must be equal to the DNS name of the server where you are installing the certificate (the NDES Server).

Per configurare il filtro di richieste IISTo configure IIS request filtering
  1. Nel server NDES aprire Gestione IIS, selezionare Sito Web predefinito nel riquadro Connessioni , quindi aprire Filtro richieste.On the NDES Server open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Fare clic su Modifica impostazioni funzionalità, quindi impostare i valori seguenti:Click Edit Feature Settings, and then set the values:

    Lunghezza massima stringa di query (byte) = 65534query string (Bytes) = 65534

    Lunghezza massima URL (byte) = 65534Maximum URL length (Bytes) = 65534

  3. Esaminare la seguente chiave del Registro di sistema:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Verificare che i seguenti valori siano impostati come voci DWORD:Ensure the following values are set as DWORD entries:

    Nome: MaxFieldLength, con un valore decimale di 65534Name: MaxFieldLength, with a decimal value of 65534

    Nome: MaxRequestBytes, con un valore decimale di 65534Name: MaxRequestBytes, with a decimal value of 65534

  4. Riavviare il server NDES.Reboot the NDES server. Il server è pronto per supportare Connettore di certificati.The server is now ready to support the Certificate Connector.

Passaggio 5: abilitare, installare e configurare il Connettore di certificati di IntuneStep 5 - Enable, install, and configure the Intune certificate connector

In questa attività sarà possibile:In this task you will:

  • Abilitare il supporto per NDES in Intune.Enable support for NDES in Intune.

  • Scaricare, installare e configurare Connettore di certificati nel server NDES.Download, install, and configure the Certificate Connector on the NDES Server.

    Nota

    Per supportare la disponibilità elevata, è possibile installare più istanze del Connettore di certificati.To support high availability, you can install multiple Certificate Connector instances.

Per abilitare il supporto per il Connettore di certificatiTo enable support for the certificate connector
  1. Accedere al portale Azure.Sign into the Azure portal.
  2. Scegliere Altri servizi > Monitoraggio e gestione > Intune.Choose More Services > Monitoring + Management > Intune.
  3. Nel pannello Intune scegliere Configura i dispositivi.On the Intune blade, choose Configure devices.
  4. Nel pannello Configurazione del dispositivo scegliere Autorità di certificazione.On the Device Configuration blade, choose Certification Authority.
  5. Selezionare Abilita Connettore di certificati.Select Enable Certificate Connector.
Per scaricare, installare e configurare il connettore di certificatiTo download, install and configure the certificate connector
  1. Accedere al portale Azure.Sign into the Azure portal.
  2. Scegliere Altri servizi > Monitoraggio e gestione > Intune.Choose More Services > Monitoring + Management > Intune.
  3. Nel pannello Intune scegliere Configura i dispositivi.On the Intune blade, choose Configure devices.
  4. Nel pannello Configurazione del dispositivo scegliere Autorità di certificazione.On the Device Configuration blade, choose Certification Authority.
  5. Scegliere Scarica Connettore di certificati.Choose Download Certificate Connector.
  6. Al termine del download, eseguire il programma di installazione scaricato (ndesconnectorssetup.exe) in un server Windows Server 2012 R2.After the download completes, run the downloaded installer (ndesconnectorssetup.exe) on a Windows Server 2012 R2 server. Il programma di installazione installa anche il modulo di criteri per NDES e il servizio Web CRP.The installer also installs the policy module for NDES and the CRP Web Service. (Il servizio Web CRP, CertificateRegistrationSvc, viene eseguito come applicazione in IIS).(The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.)

    Nota

    Quando si installa NDES per la configurazione autonoma di Intune, il servizio CRP viene installato automaticamente con Connettore di certificati.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Quando si usa Intune con Configuration Manager, viene installato il punto di registrazione certificati come ruolo separato del sistema del sito.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  7. Quando viene chiesto il certificato client di Connettore di certificati, scegliere Seleziona e selezionare il certificato di autenticazione client installato nel server NDES nell'Attività 3.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Dopo aver selezionato il certificato di autenticazione client, viene visualizzato di nuovo il certificato client per Connettore di certificati di Microsoft Intune .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Anche se il certificato selezionato non viene visualizzato, fare clic su Avanti per visualizzare le proprietà del certificato.Although the certificate you selected is not shown, click Next to view the properties of that certificate. Fare clic su Avanti, quindi su Installa.Then click Next, and then click Install.

  8. Al termine della procedura guidata, prima di chiuderla, fare clic su Avvia l'interfaccia utente di Connettore di certificati.After the wizard completes, but before closing the wizard, click Launch the Certificate Connector UI.

    Suggerimento

    Se si chiude la procedura guidata prima di avviare l'interfaccia utente di Connettore di certificati, è possibile riaprirla con il comando seguente:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <percorso_installazione>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  9. Nell'interfaccia utente di Connettore di certificati :In the Certificate Connector UI:

    Fare clic su Accedi e immettere le credenziali di amministratore del servizio di Intune oppure le credenziali di amministratore tenant con autorizzazioni di amministrazione globali.Click Sign In and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Se l'organizzazione usa un server proxy e il proxy è necessario al server NDES per accedere a Internet, fare clic su Usa server proxy, quindi specificare il nome del server proxy, la porta e le credenziali dell'account per la connessione.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, click Use proxy server and then provide the proxy server name, port, and account credentials to connect.

    Selezionare la scheda Avanzate , quindi fornire le credenziali per un account con l'autorizzazione Rilascio e gestione certificati sulla CA emittente, quindi fare clic su Applica.Select the Advanced tab, and then provide credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority, and then click Apply.

    Ora è possibile chiudere l'interfaccia utente di Connettore di certificati.You can now close the Certificate Connector UI.

  10. Aprire il prompt dei comandi e digitare services.msc, quindi premere Invio, fare clic con il pulsante destro del mouse su Servizio Intune Connector e scegliere Riavvia.Open a command prompt and type services.msc, and then press Enter, right-click the Intune Connector Service, and then click Restart.

Per confermare che il servizio sia in esecuzione, aprire un browser e immettere il seguente URL, che deve restituire un errore 403 :To validate that the service is running, open a browser and enter the following URL, which should return a 403 error:

http://<FQDN_del_server_NDES>/certsrv/mscep/mscep.dllhttp:// <FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

Come creare un profilo certificato SCEPHow to create a SCEP certificate profile

  1. Nel portale di Azure selezionare il carico di lavoro Configura i dispositivi.In the Azure portal, select the Configure devices workload.
  2. Nel pannello Configurazione del dispositivo scegliere Gestisci > Profili.On the Device Configuration blade, choose Manage > Profiles.
  3. Nel pannello dei profili scegliere Crea profilo.On the profiles blade, choose Create Profile.
  4. Nel pannello Crea profilo immettere un nome e una descrizione per il profilo certificato SCEP.On the Create Profile blade, enter a Name and Description for the SCEP certificate profile.
  5. Dall'elenco a discesa Piattaforma selezionare la piattaforma del dispositivo per questo certificato SCEP.From the Platform drop-down list, select the device platform for this SCEP certificate. Attualmente, è possibile scegliere una tra le piattaforme seguenti per le impostazioni delle restrizioni del dispositivo:Currently, you can choose one of the following platforms for device restriction settings:
    • AndroidAndroid
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 e versioni successiveWindows 8.1 and later
    • Windows 10 e versioni successiveWindows 10 and later
  6. Dall'elenco a discesa dei tipi di profilo scegliere Certificato SCEP.From the Profile type drop-down list, choose SCEP certificate.
  7. Nel pannello Certificato SCEP è possibile configurare le impostazioni seguenti:On the SCEP Certificate blade, configure the following settings:

    • Periodo di validità del certificato: se il comando certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE è stato eseguito nella CA emittente, che consente un periodo di validità personalizzato, è possibile specificare la quantità di tempo rimanente prima della scadenza del certificato.Certificate validity period - If you have run the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can specify the amount of remaining time before the certificate expires.
      È possibile specificare un valore inferiore, ma non superiore rispetto al periodo di validità nel modello di certificato indicato.You can specify a value that is lower than the validity period in the specified certificate template, but not higher. Ad esempio, se il periodo di validità del certificato nel modello di certificato è di due anni, è possibile specificare un valore di un anno ma non un valore di cinque anni.For example, if the certificate validity period in the certificate template is two years, you can specify a value of one year but not a value of five years. Inoltre, il valore deve essere inferiore rispetto al periodo di validità rimanente del certificato della CA emittente.The value must also be lower than the remaining validity period of the issuing CA's certificate.
    • Provider di archiviazione chiavi (KSP) (Windows Phone 8.1, Windows 8.1, Windows 10): specificare dove viene archiviata la chiave per il certificato.Key storage provider (KSP) (Windows Phone 8.1, Windows 8.1, Windows 10) - Specify where the key to the certificate is stored. Scegliere tra uno dei seguenti valori:Choose from one of the following values:
      • Registra nel provider di archiviazione chiavi Trusted Platform Module (TPM) se presente, altrimenti nel provider di archiviazione chiavi softwareEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Registra nel provider di archiviazione chiavi Trusted Platform Module (TPM) oppure genera erroreEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Registra in Passport oppure genera errore (Windows 10 e versioni successive)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Registra nel provider di archiviazione chiavi softwareEnroll to Software KSP
    • Formato nome soggetto: dall'elenco, selezionare in che modo Intune crea automaticamente il nome soggetto nella richiesta certificato.Subject name format - From the list, select how Intune automatically creates the subject name in the certificate request. Se il certificato è per un utente, è anche possibile includere l'indirizzo di posta elettronica dell'utente nel nome del soggetto.If the certificate is for a user, you can also include the user's email address in the subject name. È possibile scegliere tra:Choose from:

      • Non configuratoNot configured
      • Nome comuneCommon name
      • Nome comune incluso l'indirizzo di posta elettronicaCommon name including email
      • Nome comune come indirizzo di posta elettronicaCommon name as email
      • IMEI (International Mobile Equipment Identity)IMEI (International Mobile Equipment Identity)
      • Numero di serieSerial number
      • Personalizzato - Quando si seleziona questa opzione, viene visualizzato un altro campo a discesa.Custom - When you select this option, another drop-down field is displayed. Usare questo campo per immettere un formato di nome soggetto personalizzato.You use this field to enter a custom subject name format. Le due variabili supportate per il nome personalizzato sono CN (Nome comune) ed E (Posta elettronica).The two variables supported for the custom format are Common Name (CN) and Email (E). Usando una combinazione di una o più di queste variabili e stringhe statiche, è possibile creare un formato del nome soggetto personalizzato, come il seguente: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US In questo esempio è stato creato un formato del nome soggetto che, oltre alle variabili CN ed E, usa stringhe per i valori Organizational Unit, Organization, Location, State e Country.By using a combination of one or many of these variables and static strings, you can create a custom subject name format, like this one: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US In this example, you created a subject name format that, in addition to the CN and E variables, uses strings for Organizational Unit, Organization, Location, State, and Country values. Questo argomento mostra la funzione CertStrToName e le relative stringhe supportate.This topic shows the CertStrToName function and its supported strings.
    • Nome alternativo soggetto: specificare in che modo Intune crea automaticamente i valori per il nome alternativo soggetto (SAN) nella richiesta certificato.Subject alternative name - Specify how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Ad esempio, se si seleziona un tipo di certificato utente, è possibile includere il nome dell'entità utente (UPN) nel nome alternativo oggetto.For example, if you selected a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Se il certificato client viene usato per eseguire l'autenticazione in un server dei criteri di rete, è necessario impostare il nome alternativo oggetto sul nome dell'entità utente.If the client certificate is used to authenticate to a Network Policy Server, you must set the subject alternative name to the UPN.

    • Utilizzo chiave: specificare le opzioni d'uso della chiave per il certificato.Key usage - Specify key usage options for the certificate. È possibile scegliere una delle opzioni seguenti:You can choose from the following options:
      • Crittografia chiave: consentire lo scambio di chiavi solo quando la chiave viene crittografata.Key encipherment: Allow key exchange only when the key is encrypted.
      • Firma digitale: consentire lo scambio di chiavi soltanto se una firma digitale consente di proteggere la chiave.Digital signature: Allow key exchange only when a digital signature helps protect the key.
    • Dimensioni chiave (bit): selezionare il numero di bit contenuti nella chiave.Key size (bits) - Select the number of bits that is contained in the key.
    • Algoritmo hash (Android, Windows Phone 8.1, Windows 8.1, Windows 10): selezionare uno dei tipi di algoritmo hash disponibili da usare con il certificato.Hash algorithm (Android, Windows Phone 8.1, Windows 8.1, Windows 10) - Select one of the available hash algorithm types to use with this certificate. Selezionare il livello di sicurezza più avanzato supportato dai dispositivi che verranno connessi.Select the strongest level of security that the connecting devices support.
    • Certificato radice: scegliere un profilo del certificato radice della CA già configurato e assegnato all'utente o al dispositivo.Root Certificate - Choose a root CA certificate profile that you have previously configured and assigned to the user or device. Questo certificato CA deve essere il certificato radice per l'autorità di certificazione che rilascia il certificato che si sta configurando in questo profilo certificato.This CA certificate must be the root certificate for the CA that issues the certificate that you are configuring in this certificate profile.
    • Utilizzo chiave esteso: scegliere Aggiungi per aggiungere valori per lo scopo designato del certificato.Extended key usage - Choose Add to add values for the certificate's intended purpose. Nella maggior parte dei casi il certificato richiede l' Autenticazione Client in modo che l'utente o il dispositivo possa eseguire l'autenticazione in un server.In most cases, the certificate requires Client Authentication so that the user or device can authenticate to a server. È comunque possibile aggiungere altri utilizzi di chiavi secondo necessità.However, you can add any other key usages as required.
    • Impostazioni di registrazioneEnrollment Settings
      • Soglia di rinnovo (%): specificare la percentuale di durata residua del certificato prima che il dispositivo ne richieda il rinnovo.Renewal threshold (%) - Specify the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
      • URL server SCEP: specificare uno o più URL per i server NDES che emettono certificati tramite SCEP.SCEP Server URLs - Specify one or more URLs for the NDES Servers that issues certificates via SCEP.
  8. Al termine tornare al pannello Crea profilo e fare clic su Crea.When you're done, go back to the Create Profile blade, and hit Create.

Il profilo viene creato e visualizzato nel pannello dell'elenco dei profili.The profile is created and appears on the profiles list blade.

Come assegnare il profilo certificatoHow to assign the certificate profile

Prima di assegnare i profili certificato ai gruppi, considerare quanto segue:Consider the following before you assign certificate profiles to groups:

  • Quando si assegnano i profili certificato ai gruppi, il file del certificato dal profilo certificato CA attendibile viene installato nel dispositivo.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Il dispositivo usa il profilo certificato SCEP per creare una richiesta certificato.The device uses the SCEP certificate profile to create a certificate request by the device.
  • I profili certificato vengono installati solo nei dispositivi che eseguono la piattaforma usata durante la creazione del profilo.Certificate profiles install only on devices running the platform you use when you created the profile.
  • È possibile assegnare profili certificato alle raccolte di utenti o di dispositivi.You can assign certificate profiles to user collections or to device collections.
  • Per pubblicare rapidamente un certificato in un dispositivo dopo la registrazione del dispositivo, assegnare il profilo certificato a un gruppo di utenti invece che a un gruppo di dispositivi.To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Se si assegna il profilo certificato a un gruppo di dispositivi, è necessario eseguire una registrazione completa dei dispositivi prima che questi ricevano i criteri.If you assign to a device group, a full device registration is required before the device receives policies.
  • Sebbene ogni profilo venga assegnato separatamente, è anche necessario assegnare la CA radice attendibile e il profilo SCEP o PKCS.Although you assign each profile separately, you also need to assign the Trusted Root CA and the SCEP or PKCS profile. In caso contrario, i criteri di certificato SCEP o PKCS hanno esito negativo.Otherwise, the SCEP or PKCS certificate policy fails.

Per informazioni su come assegnare profili, vedere Come assegnare i profili di dispositivo.For information about how to assign profiles, see How to assign device profiles.