Configurare e usare i certificati SCEP con IntuneConfigure and use SCEP certificates with Intune

Questo articolo illustra come configurare l'infrastruttura e quindi creare e assegnare i profili certificato Simple Certificate Enrollment Protocol (SCEP) con Intune.This article shows how to configure your infrastructure, then create and assign Simple Certificate Enrollment Protocol (SCEP) certificate profiles with Intune.

Configurare l'infrastruttura localeConfigure on-premises infrastructure

  • Dominio di Active Directory: tutti i server elencati in questa sezione (tranne il server proxy applicazione Web) devono essere aggiunti al dominio di Active Directory.Active Directory domain: All servers listed in this section (except for the Web Application Proxy Server) must be joined to your Active Directory domain.

  • Autorità di certificazione (CA): un'autorità di certificazione dell'organizzazione (CA) eseguita in un'edizione Enterprise di Windows Server 2008 R2 o versioni successive.Certification Authority (CA): An Enterprise Certification Authority (CA) that runs on an Enterprise edition of Windows Server 2008 R2 or later. L'opzione CA autonoma non è supportata.A Standalone CA is not supported. Per informazioni dettagliate, vedere Install the Certification Authority (Installare l'autorità di certificazione).For details, see Install the Certification Authority. Se la CA esegue Windows Server 2008 R2, è necessario installare l'hotfix di KB2483564.If your CA runs Windows Server 2008 R2, you must install the hotfix from KB2483564.

  • Server NDES: nei server che eseguono Windows Server 2012 R2 o versioni successive è necessario installare il servizio Registrazione dispositivi di rete (NDES, Network Device Enrollment Service).NDES Server: On a server that runs Windows Server 2012 R2 or later, you must set up the Network Device Enrollment Service (NDES). Intune non supporta l'uso di NDES se viene eseguito su un server con Enterprise CA.Intune does not support using NDES when it runs on a server that also runs the Enterprise CA. Vedere Linee guida per il servizio Registrazione dispositivi di rete per istruzioni su come configurare Windows Server 2012 R2 per ospitare il Servizio Registrazione dispositivi di rete.See Network Device Enrollment Service Guidance for instructions on how to configure Windows Server 2012 R2 to host the Network Device Enrollment Service. Il server NDES deve appartenere al dominio che ospita la CA e non trovarsi nello stesso server di questa.The NDES server must be domain joined to the domain that hosts the CA, and not be on the same server as the CA. Altre informazioni sulla distribuzione del server NDES in una foresta separata, in una rete isolata o in un dominio interno sono disponibili in Uso di un Modulo criteri con il servizio Registrazione dispositivi di rete.More information about deploying the NDES server in a separate forest, isolated network, or internal domain can be found in Using a Policy Module with the Network Device Enrollment Service.

  • Connettore di certificati di Microsoft Intune: usare il portale di Azure per scaricare il programma di installazione del Connettore di certificati (NDESConnectorSetup.exe).Microsoft Intune Certificate Connector: Use the Azure portal to download the Certificate Connector installer (NDESConnectorSetup.exe). È quindi possibile eseguire NDESConnectorSetup.exe nel server che ospita il ruolo del servizio Registrazione dispositivi di rete (NDES) in cui si vuole installare il connettore di certificati.Then you can run NDESConnectorSetup.exe on the server hosting the Network Device Enrollment Service (NDES) role where you want to install the Certificate Connector.

    • Il connettore di certificati del servizio Registrazione dispositivi di rete supporta anche la modalità FIPS (Federal Information Processing Standard).The NDES Certificate connector also supports Federal Information Processing Standard (FIPS) mode. FIPS non è obbligatorio, ma è possibile emettere e revocare i certificati quando è abilitato.FIPS is not required, but you can issue and revoke certificates when it's enabled.
  • Server proxy applicazione Web (facoltativo): usare un server che esegue Windows Server 2012 R2 o versioni successive come server proxy applicazione Web (WAP, Web Application Proxy) .Web Application Proxy Server (optional): Use a server that runs Windows Server 2012 R2 or later as a Web Application Proxy (WAP) server. Questa configurazione:This configuration:

    • Consente ai dispositivi di ricevere i certificati usando una connessione Internet.Allows devices to receive certificates using an Internet connection.
    • Vale come raccomandazione di sicurezza quando i dispositivi usano la connessione a Internet per ricevere e rinnovare i certificati.Is a security recommendation when devices connect through the Internet to receive and renew certificates.

Ulteriori informazioniAdditional

  • Il server che ospita WAP deve installare un aggiornamento che abilita il supporto per gli URL lunghi usati dal servizio Registrazione dispositivi di rete.The server that hosts WAP must install an update that enables support for the long URLs that are used by the Network Device Enrollment Service. Questo aggiornamento è incluso nell' aggiornamento cumulativo di dicembre 2014oppure può essere scaricato singolarmente da KB3011135.This update is included with the December 2014 update rollup, or individually from KB3011135.
  • Il server WAP deve avere un certificato SSL che corrisponde al nome pubblicato nei client esterni e deve riconoscere come attendibile il certificato SSL usato nel server NDES.The WAP server must have an SSL certificate that matches the name being published to external clients, and trust the SSL certificate used on the NDES server. Questi certificati consentono al server WAP di chiudere la connessione SSL dai client e creare una nuova connessione SSL nel server NDES.These certificates enable the WAP server to terminate the SSL connection from clients, and create a new SSL connection to the NDES server.

Per altre informazioni, vedere Plan certificates for WAP (Pianificare i certificati per WAP) e le informazioni generali sui server WAP.For more information, see Plan certificates for WAP and general information about WAP servers.

Requisiti di reteNetwork requirements

Da Internet alla rete perimetrale, aprire la porta 443 da tutti gli host o da tutti gli indirizzi IP in Internet al server NDES.From the Internet to perimeter network, allow port 443 from all hosts/IP addresses on the internet to the NDES server.

Dalla rete perimetrale a una rete attendibile, aprire tutte le porte e consentire tutti i protocolli necessari per l'accesso al dominio per il server NDES appartenente al dominio.From the perimeter network to trusted network, allow all ports and protocols needed for domain access on the domain-joined NDES server. Il server NDES deve accedere ai server di certificazione, ai server DNS, ai server di Configuration Manager e ai controller di dominio.The NDES server needs access to the certificate servers, DNS servers, Configuration Manager servers, and domain controllers.

È consigliabile pubblicare il server NDES tramite un proxy, ad esempio Proxy di applicazione di Azure AD, Proxy di accesso Web o un proxy di terze parti.We recommend publishing the NDES server through a proxy, such as the Azure AD application proxy, Web Access Proxy, or a third-party proxy.

Certificati e modelliCertificates and templates

OggettoObject DettagliDetails
Modello di certificatoCertificate Template Configurare questo modello nella CA emittente.Configure this template on your issuing CA.
Certificato di autenticazione clientClient authentication certificate Necessario alla CA emittente o alla CA pubblica, questo certificato viene installato nel server NDES.Requested from your issuing CA or public CA; you install this certificate on the NDES Server.
Certificato di autenticazione serverServer authentication certificate Necessario alla CA emittente o alla CA pubblica, questo certificato SSL viene installato e associato in IIS nel server NDES.Requested from your issuing CA or public CA; you install and bind this SSL certificate in IIS on the NDES server.
Certificato CA radice attendibileTrusted Root CA certificate Questo certificato viene esportato come file con estensione cer dalla CA radice o da qualsiasi dispositivo che considera attendibile la CA radice e viene assegnato ai dispositivi tramite il profilo certificato CA attendibile.You export this certificate as a .cer file from the root CA or any device that trusts the root CA, and assign it to devices by using the Trusted CA certificate profile.

Viene usato un certificato CA radice attendibile per ogni piattaforma di sistema e lo si associa con ogni profilo del certificato radice attendibile creato.You use a single Trusted Root CA certificate per operating system platform, and associate it with each Trusted Root Certificate profile you create.

È possibile usare certificati CA radice attendibili aggiuntivi, se necessario.You can use additional Trusted Root CA certificates when needed. Ad esempio, è possibile farlo per fornire un trust a un'autorità di certificazione che firma i certificati di autenticazione del server per i punti di accesso Wi-Fi.For example, you might do this to provide a trust to a CA that signs the server authentication certificates for your Wi-Fi access points.

AccountAccounts

NameName DettagliDetails
Account di servizio NDESNDES service account Specificare un account utente di dominio da usare come account del servizio NDES.Enter a domain user account to use as the NDES Service account.

Configurare l'infrastrutturaConfigure your infrastructure

Prima di configurare i profili certificato, completare i passaggi seguenti.Before you can configure certificate profiles, complete the following steps. Questi passaggi richiedono la conoscenza di Windows Server 2012 R2 e versioni successive e dei Servizi certificati Active Directory (ADCS):These steps require knowledge of Windows Server 2012 R2 and later, and Active Directory Certificate Services (ADCS):

Passaggio 1: creare un account del servizio NDESStep 1 - Create an NDES service account

Creare un account utente di dominio da usare come account del servizio NDES.Create a domain user account to use as the NDES service account. Specificare l'account quando si configurano i modelli nella CA emittente prima di installare e configurare NDES.You enter this account when you configure templates on the issuing CA before you install and configure NDES. Assicurarsi che l'utente abbia i diritti predefiniti, accesso locale, accesso come servizio e accesso come processo batch.Make sure the user has the default rights, Logon Locally, Logon as a Service and Logon as a batch job rights. In alcune organizzazioni sono attivi criteri di protezione avanzata che disabilitano tali diritti.Some organizations have hardening policies that disable those rights.

Passaggio 2: configurare i modelli di certificato nell'autorità di certificazioneStep 2 - Configure certificate templates on the certification authority

In questa attività sarà possibile:In this task, you:

  • Configurare un modello di certificato per NDESConfigure a certificate template for NDES
  • Pubblicare il modello di certificato per NDESPublish the certificate template for NDES
Configurare l'autorità di certificazioneConfigure the certification authority
  1. Accedere come amministratore dell'organizzazione.Sign in as an enterprise administrator.

  2. Nell'unità di certificazione emittente, usare lo snap-in Modelli di certificato per creare un nuovo modello personalizzato.On the issuing CA, use the Certificate Templates snap-in to create a new custom template. In alternativa copiare un modello esistente, quindi aggiornare il modello esistente (ad esempio, il modello Utente) per l'uso con NDES.Or, copy an existing template, and then update the existing template (like the User template) for use with NDES.

    Nota

    Il modello di certificato NDES deve essere basato su un modello di certificato v2 (che include la compatibilità con Windows 2003).The NDES certificate template must be based off a v2 Certificate Template (with Windows 2003 compatibility).

    Il modello deve avere le seguenti configurazioni:The template must have the following configurations:

    • Specificare un Nome visualizzato modello descrittivo per il modello.Enter a friendly Template display name for the template.

    • In Nome soggetto selezionare Inserisci nella richiesta.In Subject Name, select Supply in the request. (La sicurezza viene applicata con il modulo dei criteri di Intune per NDES).(Security is enforced by the Intune policy module for NDES).

    • In Estensioni verificare che la descrizione dei criteri dell'applicazione includa Autenticazione client.In Extensions, confirm the Description of Application Policies includes Client Authentication.

      Importante

      Per i modelli di certificato iOS e macOS, nella scheda Estensioni modificare Utilizzo chiavi e verificare che l'opzione Firma come prova dell'origine non sia selezionata.For iOS and macOS certificate templates, on the Extensions tab, edit Key Usage, and confirm Signature is proof of origin is not selected.

    • In Sicurezza aggiungere l'account del servizio NDES e assegnare all'account le autorizzazioni di registrazione al modello.In Security, add the NDES service account, and give it Enroll permissions to the template. È necessario che gli amministratori di Intune che creano profili SCEP abbiano i diritti di lettura per selezionare il modello durante la creazione dei profili.Intune admins who create SCEP profiles require Read rights so that they can browse to the template when creating SCEP profiles.

      Nota

      Per revocare i certificati, l'account del servizio NDES ha bisogno dei diritti Rilascio e gestione certificati per ogni modello di certificato usato da un profilo di certificato.To revoke certificates, the NDES service account needs Issue and Manage Certificates rights for each certificate template used by a certificate profile.

  3. Esaminare il periodo di validità nella scheda Generale del modello.Review the Validity period on the General tab of the template. Per impostazione predefinita, Intune usa il valore configurato nel modello.By default, Intune uses the value configured in the template. È tuttavia possibile configurare la CA per consentire al richiedente di immettere un valore diverso, che è poi possibile impostare dalla console di amministrazione di Intune.However, you have the option to configure the CA to allow the requester to enter a different value, which you can then set from within the Intune Administrator console. Per usare sempre il valore nel modello, ignorare il resto del passaggio.If you want to always use the value in the template, skip the remainder of this step.

    Importante

    iOS e macOS usano sempre il valore impostato nel modello, indipendentemente dalle altre configurazioni definite.iOS and macOS always use the value set in the template, regardless of other configurations you make.

Esempio di configurazione del modello:Example template configuration:

Modello, scheda di gestione delle richieste

Modello, scheda relativa al nome soggetto

Modello, scheda della sicurezza

Modello, scheda delle estensioni

Modello, scheda dei requisiti di rilascio

Importante

Per i criteri di applicazione, aggiungere solo i criteri necessari.For Application Policies, only add the application policies required. Verificare le scelte effettuate con gli amministratori della sicurezza.Confirm your choices with your security admins.

Configurare la CA in modo che consenta al richiedente di immettere il periodo di validità:Configure the CA to allow the requester to enter the validity period:

  1. Nella CA eseguire i comandi seguenti:On the CA run the following commands:

    • certutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATEcertutil -setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE
    • net stop certsvcnet stop certsvc
    • net start certsvcnet start certsvc
  2. Nella CA emittente usare lo snap-in dell'autorità di certificazione per pubblicare il modello di certificato.On the issuing CA, use the Certification Authority snap-in to publish the certificate template. Selezionare il nodo Modelli di certificato, fare clic su Azione > Nuovo > Modello di certificato da rilasciare, quindi selezionare il modello creato nel passaggio 2.Select the Certificate Templates node, click Action > New > Certificate Template to Issue, and then select the template you created in step 2.

  3. Verificare che il modello sia stato pubblicato visualizzandolo nella cartella Modelli di certificato .Validate that the template published by viewing it under the Certificate Templates folder.

Passaggio 3: configurare i prerequisiti nel server NDESStep 3 - Configure prerequisites on the NDES server

In questa attività sarà possibile:In this task, you:

  • Aggiungere NDES a Windows Server e configurare IIS per supportare NDESAdd NDES to a Windows Server and configure IIS to support NDES
  • Aggiungere l'account del servizio NDES al gruppo IIS_IUSRAdd the NDES Service account to the IIS_IUSR group
  • Impostare SPN per l'account del servizio NDESSet the SPN for the NDES Service account
  1. Nel server che ospita NDES, accedere come amministratore dell'organizzazione, quindi usare l'Aggiunta guidata ruoli e funzionalità per installare NDES:On the server that hosts NDES, sign in as an Enterprise Administrator, and then use the Add Roles and Features Wizard to install NDES:

    1. Nella procedura guidata selezionare Servizi certificati Active Directory per ottenere l'accesso ai servizi di ruolo AD CS.In the Wizard, select Active Directory Certificate Services to gain access to the AD CS Role Services. Selezionare il servizio Registrazione dispositivi di rete, deselezionare Autorità di certificazione, quindi completare la procedura guidata.Select the Network Device Enrollment Service, uncheck Certification Authority, and then complete the wizard.

      Suggerimento

      In Stato dell'installazione non selezionare Chiudi.In Installation progress, do not check Close. Selezionare invece il collegamento per configurare i Servizi certificati Active Directory nel server di destinazione.Instead, select the Configure Active Directory Certificate Services on the destination server link. Si apre la procedura guidata Configurazione AD CS, che viene usata per l'attività successiva.The AD CS Configuration wizard opens, which you use for the next task. Dopo aver aperto Configurazione AD CS, è possibile chiudere la procedura guidata per l'aggiunta di ruoli e funzionalità.After AD CS Configuration opens, you can close the Add Roles and Features wizard.

    2. Quando NDES viene aggiunto al server, la procedura guidata installa anche IIS.When NDES is added to the server, the wizard also installs IIS. Verificare che IIS abbia le seguenti configurazioni:Ensure IIS has the following configurations:

    3. Server Web > Sicurezza > Filtro richiesteWeb Server > Security > Request Filtering

    4. Server Web > Sviluppo applicazioni > ASP.NET 3.5.Web Server > Application Development > ASP.NET 3.5. Installando ASP.NET 3.5 viene installato anche .NET Framework 3.5.Installing ASP.NET 3.5 installs .NET Framework 3.5. Quando si installa .NET Framework 3.5, installare la funzionalità di base di .NET Framework 3.5 e Attivazione HTTP.When installing .NET Framework 3.5, install both the core .NET Framework 3.5 feature and HTTP Activation.

    5. Server Web > Sviluppo applicazioni > ASP.NET 4.5.Web Server > Application Development > ASP.NET 4.5. Installando ASP.NET 4.5 viene installato anche .NET Framework 4.5.Installing ASP.NET 4.5 installs .NET Framework 4.5. Quando si installa .NET Framework 4.5, installare anche la funzionalità di base .NET Framework 4.5, ASP.NET 4.5 e la funzionalità Servizi WCF > Attivazione HTTP.When installing .NET Framework 4.5, install the core .NET Framework 4.5 feature, ASP.NET 4.5, and the WCF Services > HTTP Activation feature.

    6. Strumenti di gestione > Compatibilità gestione IIS 6 > Compatibilità metabase IIS 6Management Tools > IIS 6 Management Compatibility > IIS 6 Metabase Compatibility

    7. Strumenti di gestione > Compatibilità gestione IIS 6 > Compatibilità IIS 6 WMIManagement Tools > IIS 6 Management Compatibility > IIS 6 WMI Compatibility

    8. Nel server aggiungere l'account del servizio NDES come membro del gruppo IIS_IUSR.On the server, add the NDES service account as a member of the IIS_IUSR group.

  2. Al prompt dei comandi con privilegi elevati, eseguire questo comando per impostare il nome SPN dell'account del servizio NDES:In an elevated command prompt, run the following command to set the SPN of the NDES Service account:

    setspn -s http/<DNS name of NDES Server> <Domain name>\<NDES Service account name>

    Ad esempio, se il server NDES è denominato Server01, il dominio è Contoso.come l'account del servizio è NDESService, usare:For example, if your NDES Server is named Server01, your domain is Contoso.com, and the service account is NDESService, use:

    setspn –s http/Server01.contoso.com contoso\NDESService

Passaggio 4: configurare NDES per l'uso con IntuneStep 4 - Configure NDES for use with Intune

In questa attività sarà possibile:In this task, you:

  • Configurare NDES per l'utilizzo con la CA emittenteConfigure NDES for use with the issuing CA
  • Associare il certificato di autenticazione server (SSL) in IISBind the server authentication (SSL) certificate in IIS
  • Configurare il filtro richieste in IISConfigure Request Filtering in IIS
  1. Nel server NDES aprire la procedura guidata Configurazione AD CS, quindi completare gli aggiornamenti seguenti:On the NDES Server, open the AD CS Configuration wizard, and then make the following updates:

    Suggerimento

    Se nell'attività precedente è stato selezionato il collegamento, questa procedura guidata è già aperta.If you clicked the link in the previous task, this wizard is already open. In caso contrario, aprire Server Manager per accedere alla configurazione di post-distribuzione per i Servizi certificati Active Directory.Otherwise, open Server Manager to access the post-deployment configuration for Active Directory Certificate Services.

    • In Servizi ruolo selezionare Servizio Registrazione dispositivi di rete.In Role Services, select the Network Device Enrollment Service
    • Nella pagina Account del servizio per NDES specificare l'account del servizio NDES.In Service Account for NDES, enter the NDES Service Account
    • In CA per NDES fare clic su Seleziona, quindi selezionare la CA emittente in cui è stato configurato il modello di certificato.In CA for NDES, click Select, and then select the issuing CA where you configured the certificate template
    • In Crittografia per NDES impostare la lunghezza della chiave in modo da soddisfare i requisiti aziendali.In Cryptography for NDES, set the key length to meet your company requirements.
    • Nella pagina Conferma selezionare Configura per completare la procedura guidata.In Confirmation, select Configure to complete the wizard.
  2. Dopo il completamento della procedura guidata, modificare la seguente chiave del Registro di sistema nel server NDES:After the wizard completes, update the following registry key on the NDES Server:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\MSCEP\

    Per aggiornare questa chiave, identificare il valore Scopo del modello del certificato (disponibile nella scheda Gestione richieste).To update this key, identify the certificate template's Purpose (found on its Request Handling tab). Aggiornare la voce del Registro di sistema corrispondente sostituendo i dati esistenti con il nome del modello di certificato (non il nome visualizzato del modello) specificato nell'attività 1.Then, update the corresponding registry entry by replacing the existing data with the name of the certificate template (not the display name of the template) that you specified in Task 1. Nella tabella seguente viene eseguito il mapping lo scopo del modello di certificato per i valori del Registro di sistema:The following table maps the certificate template purpose to the values in the registry:

    Scopo del modello di certificato (nella scheda Gestione richieste)Certificate template Purpose (On the Request Handling tab) Valore del Registro di sistema da modificareRegistry value to edit Valore visualizzato nella console di amministrazione di Intune per il profilo SCEPValue seen in the Intune admin console for the SCEP profile
    FirmaSignature SignatureTemplateSignatureTemplate Firma digitaleDigital Signature
    CrittografiaEncryption EncryptionTemplateEncryptionTemplate Crittografia chiaveKey Encipherment
    Firma e crittografiaSignature and encryption GeneralPurposeTemplateGeneralPurposeTemplate Crittografia chiaveKey Encipherment
    Firma digitaleDigital Signature

    Ad esempio, se lo scopo del modello di certificato è Crittografia, modificare il valore EncryptionTemplate in modo che corrisponda al nome del modello di certificato.For example, if the Purpose of your certificate template is Encryption, then edit the EncryptionTemplate value to be the name of your certificate template.

  3. Il server NDES riceve URL (query) lunghi, che richiedono l'aggiunta di due voci del Registro di sistema:The NDES server receives long URLs (queries), which require you to add two registry entries:

    PercorsoLocation ValoreValue TipoType DatiData
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxFieldLengthMaxFieldLength DWORDDWORD 65534 (decimale)65534 (decimal)
    HKLM\SYSTEM\CurrentControlSet\Services\HTTP\ParametersHKLM\SYSTEM\CurrentControlSet\Services\HTTP\Parameters MaxRequestBytesMaxRequestBytes DWORDDWORD 65534 (decimale)65534 (decimal)
  4. In IIS Manager selezionare Sito Web predefinito > Filtro richieste > Modifica impostazioni funzionalità.In IIS manager, select Default Web Site > Request Filtering > Edit Feature Setting. Impostare Lunghezza massima URL e Lunghezza massima stringa di query su 65534, come visualizzato di seguito:Change the Maximum URL length and Maximum query string to 65534, as shown:

    Lunghezza massima URL IIS e lunghezza query

  5. Riavviare il server.Restart the server. L'esecuzione di iisreset nel server non è sufficiente per finalizzare le modifiche.Running iisreset on the server is not sufficient to finalize these changes.

  6. Passare a http://*FQDN*/certsrv/mscep/mscep.dll.Browse to http://*FQDN*/certsrv/mscep/mscep.dll. Viene visualizzata una pagina NDES simile alla seguente:You should see an NDES page similar to the following:

    Test NDES

    Se viene visualizzato l'errore 503 - Servizio non disponibile, controllare nel visualizzatore eventi.If you get a 503 Service unavailable, check the event viewer. È probabile che il pool di applicazioni si sia arrestato perché l'utente NDES non dispone di un diritto.It's likely that the application pool is stopped due to a missing right for the NDES user. Tali diritti sono descritti nell'attività 1.Those rights are described in Task 1.

Installare e associare i certificati nel server NDESInstall and bind certificates on the NDES Server
  1. Nel server NDES richiedere e installare un certificato autenticazione server dalla CA interna o dalla CA pubblica.On your NDES Server, request and install a server authentication certificate from your internal CA or public CA. Quindi associare questo certificato SSL in IIS.You then bind this SSL certificate in IIS.

    Suggerimento

    Dopo aver associato il certificato SSL in IIS, installare un certificato di autenticazione client.After you bind the SSL certificate in IIS, install a client authentication certificate. Questo certificato può essere emesso da qualsiasi CA considerata attendibile dal server NDES.This certificate can be issued by any CA that is trusted by the NDES Server. Sebbene non sia una procedura consigliata, è possibile usare lo stesso certificato per l'autenticazione server e client, a condizione che il certificato abbia entrambi gli EKU.Although it's not a best practice, you can use the same certificate for both server and client authentication as long as the certificate has both Enhance Key Usages (EKUs). Esaminare i seguenti passaggi per informazioni su questi certificati di autenticazione.Review the following steps for information about these authentication certificates.

    1. Dopo avere ottenuto il certificato di autenticazione del server, aprire IIS Manager e selezionare Sito Web predefinito.After you get the server authentication certificate, open IIS Manager, and select the Default Web Site. Nel riquadro Azioni selezionare Binding.In the Actions pane, select Bindings .

    2. Selezionare Aggiungi, impostare Tipo su https, quindi verificare che la porta sia 443.Select Add, set Type to https, and then confirm the port is 443. Per la configurazione autonoma di Intune è supportata solo la porta 443.Only port 443 is supported for standalone Intune.

    3. Per Certificato SSL specificare il certificato di autenticazione server.For SSL certificate, enter the server authentication certificate.

      Nota

      Se il server NDES usa un nome esterno e uno interno per un unico indirizzo di rete, il certificato di autenticazione server deve avere:If the NDES server uses an external and internal name for a single network address, then the server authentication certificate must have:

      • Un Nome soggetto con un nome server pubblico esternoA Subject Name with an external public server name
      • Un Nome alternativo soggetto che include il nome server internoA Subject Alternative Name that includes the internal server name
  2. Nel server NDES, richiedere e installare un certificato di autenticazione client dalla CA interna o pubblica.On your NDES Server, request and install a client authentication certificate from your internal CA, or a public certificate authority. Può essere lo stesso certificato del certificato di autenticazione server, se il certificato ha entrambe le funzionalità.This can be the same certificate as the server authentication certificate if that certificate has both capabilities.

    Il certificato di autenticazione client deve avere le seguenti proprietà:The client authentication certificate must have the following properties:

    • Utilizzo chiavi avanzato: questo valore deve includere Autenticazione client.Enhanced Key Usage: This value must include Client Authentication

    • Nome soggetto: deve essere uguale al nome DNS del server in cui si installa il certificato (server NDES).Subject Name: This value must be equal to the DNS name of the server where you are installing the certificate (the NDES Server)

Configurare il filtro di richieste IISConfigure IIS request filtering
  1. Nel server NDES aprire Gestione IIS, selezionare Sito Web predefinito nel riquadro Connessioni e aprire Filtro richieste.On the NDES Server, open IIS Manager, select the Default Web Site in the Connections pane, and then open Request Filtering.

  2. Selezionare Modifica impostazioni funzionalità, quindi impostare i valori seguenti:Select Edit Feature Settings, and then set the values:

    • Lunghezza massima stringa di query (byte) = 65534query string (Bytes) = 65534
    • Lunghezza massima URL (byte) = 65534Maximum URL length (Bytes) = 65534
  3. Esaminare la seguente chiave del Registro di sistema:Review the following registry key:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\HTTP\Parameters

    Verificare che i seguenti valori siano impostati come voci DWORD:Confirm the following values are set as DWORD entries:

    • Nome: MaxFieldLength, con un valore decimale di 65534Name: MaxFieldLength, with a decimal value of 65534
    • Nome: MaxRequestBytes, con un valore decimale di 65534Name: MaxRequestBytes, with a decimal value of 65534
  4. Riavviare il server NDES.Reboot the NDES server. Il server è pronto per supportare Connettore di certificati.The server is now ready to support the Certificate Connector.

Passaggio 5: abilitare, installare e configurare il Connettore di certificati di IntuneStep 5 - Enable, install, and configure the Intune certificate connector

In questa attività sarà possibile:In this task, you:

  • Abilitare il supporto per NDES in Intune.Enable support for NDES in Intune.
  • Scaricare, installare e configurare il Connettore di certificati nel server che ospita il ruolo del servizio Registrazione dispositivi di rete (NDES) nell'ambiente in uso.Download, install, and configure the Certificate Connector on the server hosting the Network Device Enrollment Service (NDES) role a server in your environment. Per aumentare la scala dell'implementazione di NDES nell'organizzazione, è possibile installare più server NDES con un Connettore di certificati di Microsoft Intune in ogni server NDES.To increase the scale of the NDES implementation in your organization, you can install multiple NDES servers with a Microsoft Intune Certificate Connector on each NDES server.
Scaricare, installare e configurare il connettore di certificatiDownload, install, and configure the certificate connector

Download connettore

  1. Accedere al portale di Azure.Sign in to the Azure portal.

  2. Selezionare Tutti i servizi, filtrare per Intune e selezionare Microsoft Intune.Select All services, filter on Intune, and select Microsoft Intune.

  3. Selezionare Configurazione dispositivo e quindi selezionare Autorità di certificazione.Select Device configuration, and then select Certification Authority.

  4. Selezionare Aggiungi e quindi Scaricare il file del connettore.Select Add, and Download the connector file. Salvare il file scaricato in un percorso a cui è possibile accedere dal server in cui verrà installato.Save the download to a location where you can access it from the server where you're going to install it.

  5. Al completamento del download, passare al server che ospita il ruolo del servizio Registrazione dispositivi di rete (NDES).After the download completes, go to the server hosting the Network Device Enrollment Service (NDES) role. Quindi:Then:

    1. Assicurarsi che .NET Framework 4.5 sia installato, perché è richiesto per NDES Connector per i certificati.Be sure .NET 4.5 Framework is installed, as it's required by the NDES Certificate connector. .NET Framework 4.5 è incluso automaticamente con Windows Server 2012 R2 e versioni più recenti..NET 4.5 Framework is automatically included with Windows Server 2012 R2 and newer versions.
    2. Eseguire il programma di installazione (NDESConnectorSetup.exe).Run the installer (NDESConnectorSetup.exe). Il programma di installazione installa anche il modulo di criteri per NDES e il servizio Web CRP.The installer also installs the policy module for NDES and the CRP Web Service. Il servizio Web CRP, CertificateRegistrationSvc, viene eseguito come applicazione in IIS.The CRP Web Service, CertificateRegistrationSvc, runs as an application in IIS.

    Nota

    Quando si installa NDES per la configurazione autonoma di Intune, il servizio CRP viene installato automaticamente con Connettore di certificati.When you install NDES for standalone Intune, the CRP service automatically installs with the Certificate Connector. Quando si usa Intune con Configuration Manager, viene installato il punto di registrazione certificati come ruolo separato del sistema del sito.When you use Intune with Configuration Manager, you install the Certificate Registration Point as a separate site system role.

  6. Quando viene chiesto il certificato client di Connettore di certificati, scegliere Seleziona e selezionare il certificato di autenticazione client installato nel server NDES nell'Attività 3.When prompted for the client certificate for the Certificate Connector, choose Select, and select the client authentication certificate you installed on your NDES Server in Task 3.

    Dopo aver selezionato il certificato di autenticazione client, viene visualizzato di nuovo il certificato client per Connettore di certificati di Microsoft Intune .After you select the client authentication certificate, you are returned to the Client Certificate for Microsoft Intune Certificate Connector surface. Anche se il certificato selezionato non viene visualizzato, selezionare Avanti per visualizzare le proprietà del certificato.Although the certificate you selected is not shown, select Next to view the properties of that certificate. Selezionare Avanti e quindi Installa.Select Next, and then Install.

    Importante

    Connettore di certificati di Intune non può essere registrato in un dispositivo con Sicurezza avanzata di Internet Explorer abilitata.The Intune Certificate Connector can't be enrolled on a device with Internet Explorer Enhanced Security Configuration enabled. Per usare Connettore di certificati di Intune, disabilitare Configurazione sicurezza avanzata IE.To use the Intune Certificate Connector, disable IE Enhanced security configuration.

  7. Al termine della procedura guidata, prima di chiuderla, fare clic su Launch the Certificate Connector UI (Avvia l'interfaccia utente di Connettore di certificati).After the wizard completes, but before closing the wizard, Launch the Certificate Connector UI.

    Suggerimento

    Se si chiude la procedura guidata prima di avviare l'interfaccia utente di Connettore di certificati, è possibile riaprirla con il comando seguente:If you close the wizard before launching the Certificate Connector UI, you can reopen it by running the following command:

    <install_Path>\NDESConnectorUI\NDESConnectorUI.exe<install_Path>\NDESConnectorUI\NDESConnectorUI.exe

  8. Nell'interfaccia utente di Connettore di certificati :In the Certificate Connector UI:

    Selezionare Accedi e immettere le credenziali di amministratore del servizio di Intune oppure le credenziali di amministratore tenant con le autorizzazioni di amministrazione globali.Select Sign In, and enter your Intune service administrator credentials, or credentials for a tenant administrator with the global administration permission.

    Importante

    All'account utente deve essere assegnata una licenza di Intune valida.The user account must be assigned a valid Intune license. Se l'account utente non ha una licenza di Intune valida, l'esecuzione di NDESConnectorUI.exe non riesce.If the user account does not have a valid Intune license, then NDESConnectorUI.exe fails.

    Se l'organizzazione usa un server proxy e il proxy è necessario al server NDES per accedere a Internet, selezionare Usa server proxy, quindi specificare il nome del server proxy, la porta e le credenziali dell'account per la connessione.If your organization uses a proxy server and the proxy is needed for the NDES server to access the Internet, select Use proxy server, and then enter the proxy server name, port, and account credentials to connect.

    Selezionare la scheda Avanzate e quindi immettere le credenziali per un account con l'autorizzazione Rilascio e gestione certificati sulla CA emittente.Select the Advanced tab, and then enter credentials for an account that has the Issue and Manage Certificates permission on your issuing Certificate Authority. Scegliere Applica per applicare le modifiche.Apply your changes.

    Ora è possibile chiudere l'interfaccia utente di Connettore di certificati.You can now close the Certificate Connector UI.

  9. Aprire un prompt dei comandi, immettere services.msc, quindi premere INVIO.Open a command prompt, enter services.msc, and then Enter. Fare clic con il pulsante destro del mouse su Servizio Intune Connector e scegliere Riavvia.Right-click the Intune Connector Service, and Restart.

Per confermare che il servizio sia in esecuzione, aprire un browser e immettere il seguente URL.To validate that the service is running, open a browser, and enter the following URL. L'operazione dovrebbe restituire un errore 403:It should return a 403 error:

http://<FQDN_of_your_NDES_server>/certsrv/mscep/mscep.dll

Nota

Il supporto di TLS 1.2 è incluso con NDES Connector per i certificati.TLS 1.2 support is included with the NDES Certificate connector. Pertanto, se il server in cui è installato NDES Connector per i certificati supporta TLS 1.2, viene usato TLS 1.2.So if the server with NDES Certificate connector installed supports TLS 1.2, then TLS 1.2 is used. Se il server non supporta TLS 1.2, viene usato TLS 1.1.If the server doesn't support TLS 1.2, then TLS 1.1 is used. Attualmente, TLS 1.1 viene usato per l'autenticazione tra i dispositivi e il server.Currently, TLS 1.1 is used for authentication between the devices and server.

Creare un profilo certificato SCEPCreate a SCEP certificate profile

  1. Nel portale di Azure, aprire Microsoft Intune.In the Azure portal, open Microsoft Intune.

  2. Selezionare Configurazione del dispositivo > Profili > Crea profilo.Select Device configuration > Profiles > Create profile.

  3. Immettere Nome e Descrizione per il profilo certificato SCEP.Enter a Name and Description for the SCEP certificate profile.

  4. Dall'elenco a discesa Piattaforma selezionare la piattaforma del dispositivo per questo certificato SCEP.From the Platform drop-down list, select the device platform for this SCEP certificate. Attualmente, è possibile selezionare una delle piattaforme seguenti per le impostazioni delle restrizioni del dispositivo:Currently, you can select one of the following platforms for device restriction settings:

    • AndroidAndroid
    • iOSiOS
    • macOSmacOS
    • Windows Phone 8.1Windows Phone 8.1
    • Windows 8.1 e versioni successiveWindows 8.1 and later
    • Windows 10 e versioni successiveWindows 10 and later
  5. Nell'elenco a discesa Tipo di profilo selezionare Certificato SCEP.From the Profile type drop-down list, select SCEP certificate.

  6. Nel riquadro Certificato SCEP configurare le impostazioni seguenti:On the SCEP Certificate pane, configure the following settings:

    • Periodo di validità del certificato: se nella CA emittente è stato eseguito il comando certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE, che consente un periodo di validità personalizzato, è possibile specificare la quantità di tempo rimanente prima della scadenza del certificato.Certificate validity period: If you ran the certutil - setreg Policy\EditFlags +EDITF_ATTRIBUTEENDDATE command on the issuing CA, which allows a custom validity period, you can enter the amount of remaining time before the certificate expires.
      È possibile immettere un valore inferiore, ma non superiore, al periodo di validità presente nel modello di certificato.You can enter a value that is lower than the validity period in the certificate template, but not higher. Se ad esempio il periodo di validità del certificato nel modello di certificato è di due anni, è possibile immettere un valore di un anno ma non un valore di cinque anni.For example, if the certificate validity period in the certificate template is two years, you can enter a value of one year, but not a value of five years. Inoltre, il valore deve essere inferiore rispetto al periodo di validità rimanente del certificato della CA emittente.The value must also be lower than the remaining validity period of the issuing CA's certificate.

    • Provider di archiviazione chiavi (KSP) (Windows Phone 8.1, Windows 8.1, Windows 10): specificare dove viene archiviata la chiave per il certificato.Key storage provider (KSP) (Windows Phone 8.1, Windows 8.1, Windows 10): Enter where the key to the certificate is stored. Scegliere tra uno dei seguenti valori:Choose from one of the following values:

      • Registra nel provider di archiviazione chiavi Trusted Platform Module (TPM) se presente, altrimenti nel provider di archiviazione chiavi softwareEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Registra nel provider di archiviazione chiavi Trusted Platform Module (TPM) oppure genera erroreEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Registra in Passport oppure genera errore (Windows 10 e versioni successive)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Registra nel provider di archiviazione chiavi softwareEnroll to Software KSP
    • Formato nome soggetto: selezionare nell'elenco la modalità con la quale Intune crea automaticamente il nome soggetto nella richiesta certificato.Subject name format: From the list, select how Intune automatically creates the subject name in the certificate request. Se il certificato è per un utente, è anche possibile includere l'indirizzo di posta elettronica dell'utente nel nome del soggetto.If the certificate is for a user, you can also include the user's email address in the subject name. Scegliere tra:Choose from:

      • Non configuratoNot configured

      • Nome comuneCommon name

      • Nome comune incluso l'indirizzo di posta elettronicaCommon name including email

      • Nome comune come indirizzo di posta elettronicaCommon name as email

      • IMEI (International Mobile Equipment Identity)IMEI (International Mobile Equipment Identity)

      • Numero di serieSerial number

      • Personalizzato: quando si seleziona questa opzione, viene visualizzato un altro campo a discesa.Custom: When you select this option, another drop-down field is displayed. Usare questo campo per immettere un formato di nome soggetto personalizzato.Use this field to enter a custom subject name format. Le due variabili supportate per il nome personalizzato sono CN (Nome comune) ed E (Posta elettronica).Custom format supports two variables: Common Name (CN) and Email (E). CN (Nome comune) può essere impostata su una delle variabili seguenti:Common Name (CN) can be set to any of the following variables:

        • CN={{UserName}}: nome principale dell'utente, ad esempio janedoe@contoso.comCN={{UserName}}: The user principle name of the user, such as janedoe@contoso.com

        • CN={{AAD_Device_ID}}: ID assegnato quando si registra un dispositivo in Azure Active Directory (AD).CN={{AAD_Device_ID}}: An ID assigned when you register a device in Azure Active Directory (AD). Questo ID è in genere usato per l'autenticazione con Azure AD.This ID is typically used to authenticate with Azure AD.

        • CN={{SERIALNUMBER}}: numero di serie (SN) unico usato in genere dal produttore per identificare un dispositivoCN={{SERIALNUMBER}}: The unique serial number (SN) typically used by the manufacturer to identify a device

        • CN={{IMEINumber}}: numero unico IMEI (International Mobile Equipment Identity) usato per identificare un telefono cellulareCN={{IMEINumber}}: The International Mobile Equipment Identity (IMEI) unique number used to identify a mobile phone

        • CN={{OnPrem_Distinguished_Name}}: sequenza di nomi distinti relativi separati da virgole, ad esempio CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=comCN={{OnPrem_Distinguished_Name}}: A sequence of relative distingushed names separated by comma, such as CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com

          Per usare la variabile {{OnPrem_Distinguished_Name}}, assicurarsi di sincronizzare l'attributo utente onpremisesdistingishedname usando Azure AD Connect con Azure AD.To use the {{OnPrem_Distinguished_Name}} variable, be sure to sync the onpremisesdistingishedname user attribute using Azure AD Connect to your Azure AD.

        • CN={{onPremisesSamAccountName}}: gli amministratori possono sincronizzare l'attributo samAccountName da Active Directory ad Azure AD usando Azure AD Connect in un attributo denominato onPremisesSamAccountName.CN={{onPremisesSamAccountName}}: Admins can sync the samAccountName attribute from Active Directory to Azure AD using Azure AD connect into an attribute called onPremisesSamAccountName. Intune può sostituire tale variabile come parte di una richiesta di rilascio di certificati nel soggetto di un certificato SCEP.Intune can substitute that variable as part of a certificate issuance request in the subject of a SCEP certificate. L'attributo samAccountName è il nome di accesso utente usato per supportare i client e i server da una versione precedente di Windows (precedente a Windows 2000).The samAccountName attribute is the user logon name used to support clients and servers from a previous version of Windows (pre-Windows 2000). Il formato del nome di accesso utente è: DomainName\testUser o solo testUser.The user logon name format is: DomainName\testUser, or only testUser.

          Per usare la variabile {{onPremisesSamAccountName}}, assicurarsi di sincronizzare l'attributo utente onPremisesSamAccountName usando Azure AD Connect con Azure AD.To use the {{onPremisesSamAccountName}} variable, be sure to sync the onPremisesSamAccountName user attribute using Azure AD Connect to your Azure AD.

        Usando una combinazione di una o più di queste variabili e stringhe statiche è possibile creare un formato di nome soggetto personalizzato, ad esempio: CN={{UserName}},E={{EmailAddress}},OU=Cellulare,O=Settore Finanze,L=Redmond,ST=Washington,C=USA.By using a combination of one or many of these variables and static strings, you can create a custom subject name format, such as: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US.
        In questo esempio è stato creato un formato di nome soggetto che, oltre alle variabili CN ed E, usa stringhe per i valori Unità organizzativa, Organizzazione, Località, Stato e Paese.In this example, you created a subject name format that, in addition to the CN and E variables, uses strings for Organizational Unit, Organization, Location, State, and Country values. L'argomento Funzione CertStrToName visualizza questa funzione e le relative stringhe supportate.CertStrToName function describes this function, and its supported strings.

  • Nome alternativo soggetto: specificare in che modo Intune crea automaticamente i valori per il nome alternativo soggetto (SAN) nella richiesta certificato.Subject alternative name: Enter how Intune automatically creates the values for the subject alternative name (SAN) in the certificate request. Se ad esempio si seleziona un tipo di certificato utente, è possibile includere il nome dell'entità utente (UPN) nel nome alternativo soggetto.For example, if you select a user certificate type, you can include the user principal name (UPN) in the subject alternative name. Se il certificato client viene usato per eseguire l'autenticazione in un server dei criteri di rete, è necessario impostare il nome alternativo oggetto sul nome dell'entità utente.If the client certificate is used to authenticate to a Network Policy Server, you must set the subject alternative name to the UPN.
  • Utilizzo chiavi: specificare le opzioni d'uso della chiave per il certificato.Key usage: Enter the key usage options for the certificate. Le opzioni disponibili sono:Your options:
    • Crittografia chiave: consentire lo scambio di chiavi solo quando la chiave viene crittografata.Key encipherment: Allow key exchange only when the key is encrypted
    • Firma digitale: consentire lo scambio di chiavi soltanto se una firma digitale consente di proteggere la chiave.Digital signature: Allow key exchange only when a digital signature helps protect the key
  • Dimensioni chiave (bit): selezionare il numero di bit contenuti nella chiave.Key size (bits): Select the number of bits contained in the key
  • Algoritmo hash (Android, Windows Phone 8.1, Windows 8.1, Windows 10): selezionare uno dei tipi di algoritmo hash disponibili da usare con il certificato.Hash algorithm (Android, Windows Phone 8.1, Windows 8.1, Windows 10): Select one of the available hash algorithm types to use with this certificate. Selezionare il livello di sicurezza più avanzato supportato dai dispositivi che verranno connessi.Select the strongest level of security that the connecting devices support.
  • Certificato radice: scegliere un profilo del certificato radice della CA già configurato e assegnato all'utente o al dispositivo.Root Certificate: Choose a root CA certificate profile you previously configured and assigned to the user or device. Questo certificato CA deve essere il certificato radice per l'autorità di certificazione che rilascia il certificato che si sta configurando in questo profilo certificato.This CA certificate must be the root certificate for the CA that issues the certificate that you are configuring in this certificate profile.
  • Utilizzo chiavi avanzato: scegliere Aggiungi per aggiungere valori per lo scopo designato del certificato.Extended key usage: Add values for the certificate's intended purpose. Nella maggior parte dei casi il certificato richiede l' Autenticazione Client in modo che l'utente o il dispositivo possa eseguire l'autenticazione in un server.In most cases, the certificate requires Client Authentication so that the user or device can authenticate to a server. È comunque possibile aggiungere altri utilizzi di chiavi secondo necessità.However, you can add any other key usages as required.
  • Impostazioni di registrazioneEnrollment Settings
    • Soglia di rinnovo (%): specificare la percentuale di durata residua del certificato prima che il dispositivo ne richieda il rinnovo.Renewal threshold (%): Enter the percentage of the certificate lifetime that remains before the device requests renewal of the certificate.
    • URL server SCEP: specificare uno o più URL per i server NDES che emettono certificati tramite SCEP.SCEP Server URLs: Enter one or more URLs for the NDES Servers that issues certificates via SCEP.
    • Selezionare OK, quindi Crea per creare il profilo.Select OK, and Create your profile.

Il profilo viene creato e visualizzato nel riquadro dell'elenco dei profili.The profile is created and appears on the profiles list pane.

Assegnare il profilo certificatoAssign the certificate profile

Prima di assegnare i profili certificato ai gruppi, considerare quanto segue:Consider the following before you assign certificate profiles to groups:

  • Quando si assegnano i profili certificato ai gruppi, il file del certificato dal profilo certificato CA attendibile viene installato nel dispositivo.When you assign certificate profiles to groups, the certificate file from the Trusted CA certificate profile is installed on the device. Il dispositivo usa il profilo certificato SCEP per creare una richiesta certificato.The device uses the SCEP certificate profile to create a certificate request by the device.

  • I profili certificato vengono installati solo nei dispositivi che eseguono la piattaforma usata durante la creazione del profilo.Certificate profiles install only on devices running the platform you use when you created the profile.

  • È possibile assegnare profili certificato alle raccolte di utenti o di dispositivi.You can assign certificate profiles to user collections or to device collections.

  • Per pubblicare rapidamente un certificato in un dispositivo dopo la registrazione del dispositivo, assegnare il profilo certificato a un gruppo di utenti invece che a un gruppo di dispositivi.To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. Se si assegna il profilo certificato a un gruppo di dispositivi, è necessario eseguire una registrazione completa dei dispositivi prima che questi ricevano i criteri.If you assign to a device group, a full device registration is required before the device receives policies.

  • Sebbene ogni profilo venga assegnato separatamente, è anche necessario assegnare la CA radice attendibile e il profilo SCEP o PKCS.Although you assign each profile separately, you also need to assign the Trusted Root CA and the SCEP or PKCS profile. In caso contrario, i criteri di certificato SCEP o PKCS hanno esito negativo.Otherwise, the SCEP or PKCS certificate policy fails.

    Nota

    Per iOS, se si distribuiscono più profili di risorse che usano lo stesso profilo di certificato, è possibile che vengano visualizzate più copie del certificato nel profilo di gestione.For iOS, you should expect to see multiple copies of the certificate in the management profile if you deploy multiple resource profiles that use the same certificate profile.

Per informazioni su come assegnare profili, vedere Assegnare i profili di dispositivo.For information about how to assign profiles, see assign device profiles.

Verifica dell'installazione di Intune Connector e risoluzione dei problemiIntune Connector setup verification and troubleshooting

Per risolvere i problemi e verificare l'installazione di Intune Connector, vedere gli esempi di script di Autorità di certificazioneTo troubleshoot issues and verify the Intune Connector setup, see Certificate Authority script samples

Eventi di Intune Connector e codici di diagnosticaIntune Connector events and diagnostic codes

A partire dalla versione 6.1806.x.x, il servizio Intune Connector registra gli eventi nel Visualizzatore eventi (Registri applicazioni e servizi > Microsoft Intune Connector).Starting with version 6.1806.x.x, the Intune Connector Service logs events in the Event Viewer (Applications and Services Logs > Microsoft Intune Connector). Questi eventi consentono di risolvere potenziali problemi nella configurazione di Intune Connector,Use these events to help troubleshoot potential issues in the configuration of the Intune Connector. registrano le operazioni riuscite e non riuscite e contengono anche i codici di diagnostica e i messaggi con i quali l'amministratore IT può risolvere i problemi.These events log successes and failures of an operation, and also contain diagnostic codes with messages to help the IT admin troubleshoot.

ID eventi e descrizioniEvent IDs and descriptions

Nota

Per informazioni dettagliate sui codici di diagnostica corrispondenti a ogni evento, vedere la tabella Codici di diagnostica in questo articolo.For details on the Related Diagnostic Codes for each event, use the Diagnostic codes table (in this article).

ID dell'eventoEvent ID Nome eventoEvent Name Descrizione eventoEvent Description Codici di diagnostica correlatiRelated Diagnostic Codes
1001010010 StartedConnectorServiceStartedConnectorService Servizio Connector avviatoConnector service started 0x00000000, 0x0FFFFFFF0x00000000, 0x0FFFFFFF
1002010020 StoppedConnectorServiceStoppedConnectorService Servizio Connector arrestatoConnector service stopped 0x00000000, 0x0FFFFFFF0x00000000, 0x0FFFFFFF
1010010100 CertificateRenewal_SuccessCertificateRenewal_Success Certificato di registrazione a Connector rinnovatoConnector enrollment certificate successfully renewed 0x00000000, 0x0FFFFFFF0x00000000, 0x0FFFFFFF
1010210102 CertificateRenewal_FailureCertificateRenewal_Failure Certificato di registrazione a Connector non rinnovato.Connector enrollment certificate failed to renew. Reinstallare il connettore.Reinstall the connector. 0x00000000, 0x00000405, 0x0FFFFFFF0x00000000, 0x00000405, 0x0FFFFFFF
1030210302 RetrieveCertificate_ErrorRetrieveCertificate_Error Non è possibile recuperare il certificato di registrazione al connettore dal Registro di sistema.Failed to retrieve the connector enrollment certificate from the registry. Esaminare i dettagli evento per l'identificazione personale del certificato corrispondente a questo evento.Review event details for the certificate thumbprint related to this event. 0x00000000, 0x00000404, 0x0FFFFFFF0x00000000, 0x00000404, 0x0FFFFFFF
1030110301 RetrieveCertificate_WarningRetrieveCertificate_Warning Controllare le informazioni di diagnostica nei dettagli evento.Check diagnostic information in event details. 0x00000000, 0x00000403, 0x0FFFFFFF0x00000000, 0x00000403, 0x0FFFFFFF
2010020100 PkcsCertIssue_SuccessPkcsCertIssue_Success È stato rilasciato un certificato PKCS.Successfully issued a PKCS certificate. Esaminare i dettagli evento per ID dispositivo, ID utente, nome CA, nome modello certificato e identificazione personale del certificato corrispondenti a questo evento.Review event details for the device ID, user ID, CA name, certificate template name, and certificate thumbprint related to this event. 0x00000000, 0x0FFFFFFF0x00000000, 0x0FFFFFFF
2010220102 PkcsCertIssue_FailurePkcsCertIssue_Failure Non è possibile rilasciare un certificato PKCS.Failed to issue a PKCS certificate. Esaminare i dettagli evento per ID dispositivo, ID utente, nome CA, nome modello certificato e identificazione personale del certificato corrispondenti a questo evento.Review event details for the device ID, user ID, CA name, certificate template name, and certificate thumbprint related to this event. 0x00000000, 0x00000400, 0x00000401, 0x0FFFFFFF0x00000000, 0x00000400, 0x00000401, 0x0FFFFFFF
2020020200 RevokeCert_SuccessRevokeCert_Success Il certificato è stato revocato.Successfully revoked the certificate. Esaminare i dettagli evento per ID dispositivo, ID utente, nome CA e numero di serie del certificato corrispondenti a questo evento.Review event details for the device ID, user ID, CA name, and certificate serial number related to this event. 0x00000000, 0x0FFFFFFF0x00000000, 0x0FFFFFFF
2020220202 RevokeCert_FailureRevokeCert_Failure Non è possibile revocare il certificato.Failed to revoke the certificate. Esaminare i dettagli evento per ID dispositivo, ID utente, nome CA e numero di serie del certificato corrispondenti a questo evento.Review event details for the device ID, user ID, CA name, and certificate serial number related to this event. Per altre informazioni, vedere i registri SVC NDES.For additional information, see the NDES SVC Logs. 0x00000000, 0x00000402, 0x0FFFFFFF0x00000000, 0x00000402, 0x0FFFFFFF
2030020300 Upload_SuccessUpload_Success Upload eseguito della richiesta di certificato o dei dati di revoca.Successfully uploaded the certificate’s request or revocation data. Esaminare i dettagli evento per i dettagli sul caricamento.Review the event details for the upload details. 0x00000000, 0x0FFFFFFF 0x00000000, 0x0FFFFFFF
2030220302 Upload_FailureUpload_Failure Non è possibile caricare la richiesta di certificato o i dati di revoca.Failed to upload the certificate’s request or revocation data. Esaminare i dettagli evento nello stato di caricamento per determinare il punto in cui si è verificato l'errore.Review the event details > Upload State to determine the point of failure. 0x00000000, 0x0FFFFFFF 0x00000000, 0x0FFFFFFF
2040020400 Download_SuccessDownload_Success Download della richiesta eseguito per firmare un certificato, scaricare un certificato client o revocare un certificato.Successfully downloaded request to sign a certificate, download a client certificate, or revoke a certificate. Esaminare i dettagli evento per i dettagli sul download.Review the event details for the download details. 0x00000000, 0x0FFFFFFF 0x00000000, 0x0FFFFFFF
2040220402 Download_FailureDownload_Failure Non è possibile scaricare la richiesta per firmare un certificato, scaricare un certificato client o revocare un certificato.Failed to download request to sign a certificate, download client certificate, or revoke a certificate. Esaminare i dettagli evento per i dettagli sul download.Review the event details for the download details. 0x00000000, 0x0FFFFFFF 0x00000000, 0x0FFFFFFF
2050020500 CRPVerifyMetric_SuccessCRPVerifyMetric_Success Il punto di registrazione certificati ha riscontrato un problema di clientCertificate Registration Point successfully verified a client challenge 0x00000000, 0x0FFFFFFF 0x00000000, 0x0FFFFFFF
2050120501 CRPVerifyMetric_WarningCRPVerifyMetric_Warning Il punto di registrazione certificati è stato completato, ma ha rifiutato la richiesta.Certificate Registration Point completed but rejected the request. Vedere il codice di diagnostica e il messaggio per altri dettagli.See diagnostic code and message for more details. 0x00000000, 0x00000411, 0x0FFFFFFF0x00000000, 0x00000411, 0x0FFFFFFF
2050220502 CRPVerifyMetric_FailureCRPVerifyMetric_Failure Il punto di registrazione certificati non ha riscontrato un problema di client.Certificate Registration Point failed to verify a client challenge. Vedere il codice di diagnostica e il messaggio per altri dettagli.See diagnostic code and message for more details. Vedere i dettagli del messaggio dell'evento per l'ID dispositivo corrispondente alla richiesta.See event message details for the Device ID corresponding to the challenge. 0x00000000, 0x00000408, 0x00000409, 0x00000410, 0x0FFFFFFF0x00000000, 0x00000408, 0x00000409, 0x00000410, 0x0FFFFFFF
2060020600 CRPNotifyMetric_SuccessCRPNotifyMetric_Success Il punto di registrazione certificati ha terminato il processo di notifica e ha inviato il certificato al dispositivo client.Certificate Registration Point successfully finished notify process and has sent the certificate to the client device. 0x00000000, 0x0FFFFFFF 0x00000000, 0x0FFFFFFF
2060220602 CRPNotifyMetric_FailureCRPNotifyMetric_Failure Il punto di registrazione certificati non ha terminato il processo di notifica.Certificate Registration Point failed to finish notify process. Vedere i dettagli del messaggio dell'evento per informazioni sulla richiesta.See the event message details for information on the request. Verificare la connessione tra il server NDES e l'autorità di certificazione.Verify connection between the NDES server and the CA. 0x00000000, 0x0FFFFFFF 0x00000000, 0x0FFFFFFF

Codici di diagnosticaDiagnostic codes

Codice di diagnosticaDiagnostic Code Nome diagnosticaDiagnostic Name Messaggio di diagnosticaDiagnostic Message
0x000000000x00000000 Operazione completataSuccess Operazione completataSuccess
0x000004000x00000400 PKCS_Issue_CA_UnavailablePKCS_Issue_CA_Unavailable L'autorità di certificazione non è valida o non è raggiungibile.Certification authority is not valid or is unreachable. Verificare che l'autorità di certificazione sia disponibile e che il server possa comunicare con essa.Verify that the certification authority is available, and that your server can communicate with it.
0x000004010x00000401 Symantec_ClientAuthCertNotFoundSymantec_ClientAuthCertNotFound Il certificato di autenticazione client Symantec non è stato trovato nell'archivio certificati locale.Symantec Client Auth certificate was not found in the local cert store. Vedere Installare il certificato di registrazione dell'autorità (RA) Symantec per altre informazioni.See the article Install the Symantec registration authorization certificate for more information.
0x000004020x00000402 RevokeCert_AccessDeniedRevokeCert_AccessDenied L'account specificato non dispone delle autorizzazioni per revocare un certificato dall'autorità di certificazione.The specified account does not have permissions to revoke a certificate from CA. Vedere il campo Nome CA nei dettagli del messaggio dell'evento per determinare l'autorità di certificazione emittente.See CA Name field in the event message details to determine the issuing CA.
0x000004030x00000403 CertThumbprint_NotFoundCertThumbprint_NotFound Non è possibile trovare un certificato corrispondente all'input.Could not find a certificate that matched your input. Registrare il connettore di certificati, quindi riprovare.Enroll the certificate connector and try again.
0x000004040x00000404 Certificate_NotFoundCertificate_NotFound Non è possibile trovare un certificato corrispondente all'input specificato.Could not find a certificate that matched the input supplied. Registrare nuovamente il connettore di certificati, quindi riprovare.Re-enroll the certificate connector and try again.
0x000004050x00000405 Certificate_ExpiredCertificate_Expired Certificato scaduto.A certificate expired. Registrare nuovamente il connettore di certificati per rinnovare il certificato, quindi riprovare.Re-enroll the certificate connector to renew the certificate and try again.
0x000004080x00000408 CRPSCEPCert_NotFoundCRPSCEPCert_NotFound Non è possibile trovare il certificato di crittografia CRP.CRP Encryption certificate could not be found. Verificare che NDES e Intune Connector siano configurati correttamente.Verify that NDES and the Intune Connector is setup correctly.
0x000004090x00000409 CRPSCEPSigningCert_NotFoundCRPSCEPSigningCert_NotFound Non è possibile recuperare il certificato di firma.Signing certificate could not be retrieved. Verificare che il servizio Intune Connector sia configurato correttamente e sia in esecuzione.Verify the Intune Connector Service is configured correctly, and the Intune Connector Service is running. Verificare anche che gli eventi di download del certificato siano stati completati.Verify also that the certificate download events were successful.
0x000004100x00000410 CRPSCEPDeserialize_FailedCRPSCEPDeserialize_Failed Non è possibile deserializzare la richiesta di verifica SCEP.Failed to deserialize SCEP challenge request. Verificare che NDES e Intune Connector siano configurati correttamente.Verify the NDES and Intune Connector is setup correctly.
0x000004110x00000411 CRPSCEPChallenge_ExpiredCRPSCEPChallenge_Expired Richiesta rifiutata. La richiesta di verifica certificato è scaduta.Request denied due to expired certificate challenge. Il dispositivo client può riprovare dopo aver ottenuto una nuova richiesta di verifica dal server di gestione.The client device can retry after obtaining a new challenge from the management server.
0x0FFFFFFFF0x0FFFFFFFF Unknown_ErrorUnknown_Error Non è possibile completare la richiesta. Si è verificato un errore sul lato server.We are unable to complete your request because a server-side error occurred. Riprovare.Please try again.

Passaggi successiviNext steps

Usare i certificati PKCS, o Rilasciare certificati PKCS da un servizio Web di gestione PKI Symantec.Use PKCS certificates, or issue PKCS certificates from a Symantec PKI manager web wervice.