Profili certificato radice attendibili per Microsoft Intune

Quando si usa Intune per effettuare il provisioning dei dispositivi con certificati per accedere alle risorse aziendali e alla rete, usare un profilo certificato attendibile per distribuire il certificato radice attendibile in tali dispositivi. I certificati radice attendibili stabiliscono un trust dal dispositivo alla CA radice o intermedia (emittente) da cui vengono rilasciati gli altri certificati.

Si distribuisce il profilo certificato attendibile negli stessi dispositivi e utenti che ricevono i profili certificato per Simple Certificate Enrollment Protocol (SCEP), Public Key Cryptography Standards (PKCS) e PKCS importato.

Consiglio

I profili certificato attendibili sono supportati per i desktop remoti multisessione di Windows Enterprise.

Esportare il certificato CA radice attendibile

Per usare i certificati importati PKCS, SCEP e PKCS, i dispositivi devono considerare attendibile l'autorità di certificazione radice. Per stabilire l'attendibilità, esportare il certificato CA radice attendibile e tutti i certificati dell'autorità di certificazione intermedia o emittente come certificato pubblico (.cer). È possibile ottenere questi certificati dalla CA emittente o da qualsiasi dispositivo che consideri attendibile la CA emittente.

Per esportare il certificato, fare riferimento alla documentazione relativa all'Autorità di certificazione. È necessario esportare il certificato pubblico come file di .cer con codifica DER. Non esportare la chiave privata, un file con estensione pfx.

Questo file .cer verrà usato quando si creano profili certificato attendibili per distribuire il certificato nei dispositivi.

Creare profili certificato attendibili

Creare e distribuire un profilo di certificato attendibile prima di creare un profilo di certificato SCEP o PKCS oppure un profilo di certificato PKCS importato. La distribuzione di un profilo certificato attendibile negli stessi gruppi che ricevono gli altri tipi di profilo certificato garantisce che ogni dispositivo possa riconoscere la legittimità della CA. Sono inclusi profili come quelli per VPN, Wi-Fi e posta elettronica.

I profili certificato SCEP fanno riferimento direttamente a un profilo certificato attendibile. I profili certificato PKCS non fanno riferimento direttamente al profilo certificato attendibile, ma fanno riferimento direttamente al server che ospita la CA. I profili certificato importati PKCS non fanno riferimento direttamente al profilo certificato attendibile, ma possono usarlo nel dispositivo. La distribuzione di un profilo certificato attendibile nei dispositivi garantisce che l'attendibilità venga stabilita. Quando un dispositivo non considera attendibile la CA radice, i criteri del profilo certificato SCEP o PKCS avranno esito negativo.

Creare un profilo certificato attendibile separato per ogni piattaforma di dispositivi che si vuole supportare, proprio come per i profili certificato importati da SCEP, PKCS e PKCS.

Importante

I profili radice attendibili creati per la piattaforma Windows 10 e versioni successive vengono visualizzati nell'interfaccia di amministrazione Microsoft Intune come profili per la piattaforma Windows 8.1 e versioni successive.

Si tratta di un problema noto relativo alla presentazione della piattaforma per i profili certificato attendibili. Mentre il profilo visualizza una piattaforma di Windows 8.1 e versioni successive, è funzionale per Windows 10/11.

Nota

Il profilo certificato attendibile in Intune può essere usato solo per recapitare certificati radice o intermedi. Lo scopo della distribuzione di tali certificati è stabilire una catena di attendibilità. L'uso del profilo certificato attendibile per recapitare certificati diversi dai certificati radice o intermedi non è supportato da Microsoft. Potrebbe essere impedito di importare certificati che non sono considerati certificati radice o intermedi quando si seleziona il profilo certificato attendibile nell'interfaccia di amministrazione Microsoft Intune. Anche se si è in grado di importare e distribuire un certificato che non è un certificato radice o intermedio usando questo tipo di profilo, è probabile che si verifichino risultati imprevisti tra piattaforme diverse, ad esempio iOS e Android.

Profili certificato attendibili per l'amministratore di dispositivi Android

Importante

Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.

A partire da Android 11, non è più possibile usare un profilo certificato attendibile per distribuire un certificato radice attendibile nei dispositivi registrati come amministratore di dispositivi Android. Questa limitazione non si applica a Samsung Knox.

Poiché i profili certificato SCEP richiedono l'installazione del certificato radice attendibile in un dispositivo e devono fare riferimento a un profilo certificato attendibile che a sua volta fa riferimento a tale certificato, seguire questa procedura per ovviare a questa limitazione:

1. Effettuare manualmente il provisioning del dispositivo con il certificato radice attendibile. Per indicazioni di esempio, vedere la sezione seguente.

2. Distribuire nel dispositivo un profilo certificato radice attendibile che fa riferimento al certificato radice attendibile installato nel dispositivo.

3. Distribuire un profilo certificato SCEP nel dispositivo che fa riferimento al profilo certificato radice attendibile.

Questo problema non è limitato ai profili certificato SCEP. Pertanto, pianificare l'installazione manuale del certificato radice attendibile nei dispositivi applicabili se l'uso dei profili certificato PKCS o dei profili certificato PKCS importati lo richiede.

Altre informazioni sulle modifiche apportate al supporto per l'amministratore di dispositivi Android da techcommunity.microsoft.com.

Effettuare manualmente il provisioning di un dispositivo con il certificato radice attendibile

Le indicazioni seguenti consentono di effettuare manualmente il provisioning dei dispositivi con un certificato radice attendibile.

1. Scaricare o trasferire il certificato radice attendibile nel dispositivo Android. Ad esempio, è possibile usare la posta elettronica per distribuire il certificato agli utenti del dispositivo o chiedere agli utenti di scaricarlo da un percorso sicuro. Dopo che il certificato si trova nel dispositivo, deve essere aperto, denominato e salvato. Il salvataggio del certificato lo aggiunge all'archivio certificati utente nel dispositivo.

   1. Per aprire il certificato nel dispositivo, un utente deve individuare e toccare (aprire) il certificato. Ad esempio, dopo aver inviato il certificato tramite posta elettronica, un utente del dispositivo può toccare o aprire l'allegato del certificato.
   2. Quando si apre il certificato, l'utente deve fornire il PIN o eseguire in altro modo l'autenticazione al dispositivo prima di poter gestire il certificato.

2. Dopo l'autenticazione, il certificato viene aperto e deve essere denominato prima di poter essere salvato nell'archivio certificati Utenti. Il nome del certificato deve corrispondere al nome del certificato specificato nel profilo certificato radice attendibile che verrà inviato al dispositivo. Dopo aver denominato il certificato, è possibile salvarlo.

3. Dopo essere stato salvato, il certificato è pronto per l'uso. Un utente può confermare che il certificato si trova nella posizione corretta nel dispositivo:

   1. Aprire Impostazioni Sicurezza>>Credenziali attendibili. Il percorso effettivo delle credenziali attendibili può variare in base al dispositivo.
   2. Aprire la scheda Utente e individuare il certificato.
   3. Se presente nell'elenco dei certificati utente, il certificato viene installato correttamente.

4. Con un certificato radice installato in un dispositivo, è comunque necessario distribuire quanto segue per effettuare il provisioning dei certificati SCEP o PKCS:

   • Profilo certificato attendibile che fa riferimento a tale certificato
   • Profilo SCEP o PKCS che fa riferimento al profilo certificato per effettuare il provisioning dei certificati SCEP o PKCS.

Per creare un profilo certificato attendibile

1. Accedere all'interfaccia di amministrazione Microsoft Intune.

2. Selezionare e passare aCreazione configurazione>dispositivi>.

   

3. Immettere le seguenti proprietà:

   • Piattaforma: scegliere la piattaforma dei dispositivi che riceveranno questo profilo.
   • Profilo: a seconda della piattaforma scelta, selezionare Certificato attendibile o selezionare Modelli Certificato>attendibile.

   Importante

   Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.

   Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.

4. Selezionare Crea.

5. In Informazioni di base immettere le proprietà seguenti:

   • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è Profilo certificato attendibile per l'intera azienda.
   • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.

6. Seleziona Avanti.

7. In Impostazioni di configurazione specificare il file .cer per il certificato CA radice attendibile esportato in precedenza.

   Solo per i dispositivi Windows 8.1 e Windows 10/11, selezionare l'archivio di destinazione per il certificato attendibile da:

   • Archivio certificati computer - Radice
   • Archivio certificati computer - Intermedio
   • Archivio certificati utente - Intermedio

   

8. Seleziona Avanti.

9. In Assegnazioni selezionare l'utente o i gruppi che riceveranno il profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

   Seleziona Avanti.

10. (Si applica solo a Windows 10/11) Nelle regole di applicabilità specificare le regole di applicabilità per perfezionare l'assegnazione di questo profilo. È possibile scegliere di assegnare o meno il profilo in base all'edizione o alla versione del sistema operativo di un dispositivo.

    Per altre informazioni, vedere Regole di applicabilità in Creare un profilo di dispositivo in Microsoft Intune.

11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Passaggi successivi

Creare profili certificato:

• Configurare l'infrastruttura per supportare i certificati SCEP con Intune
• Configurare e gestire i certificati PKCS con Intune
• Creare un profilo certificato pkcs importato