Vertrouwde basiscertificaatprofielen voor Microsoft Intune

  • Artikel

Wanneer u Intune gebruikt om apparaten in te richten met certificaten voor toegang tot uw bedrijfsresources en netwerk, gebruikt u een vertrouwd certificaatprofiel om het vertrouwde basiscertificaat op deze apparaten te implementeren. Vertrouwde basiscertificaten zorgen voor een vertrouwensrelatie van het apparaat naar uw basis- of tussenliggende (verlenende) CA van waaruit de andere certificaten worden uitgegeven.

U implementeert het vertrouwde certificaatprofiel op dezelfde apparaten en gebruikers die de certificaatprofielen voor Simple Certificate Enrollment Protocol (SCEP), PUBLIC Key Cryptography Standards (PKCS) en geïmporteerde PKCS ontvangen.

Tip

Vertrouwde certificaatprofielen worden ondersteund voor externe bureaubladen met meerdere sessies in Windows Enterprise.

Het vertrouwde basis-CA-certificaat exporteren

Als u geïmporteerde PKCS-, SCEP- en PKCS-certificaten wilt gebruiken, moeten apparaten uw basiscertificeringsinstantie vertrouwen. Als u een vertrouwensrelatie wilt instellen, exporteert u het vertrouwde basis-CA-certificaat en eventuele tussenliggende of verlenende certificeringsinstantiecertificaten als een openbaar certificaat (.cer). U kunt deze certificaten verkrijgen van de verlenende CA of van elk apparaat dat uw verlenende CA vertrouwt.

Raadpleeg de documentatie voor uw certificeringsinstantie om het certificaat te exporteren. U moet het openbare certificaat exporteren als een met DER gecodeerde .cer bestand. Exporteer de persoonlijke sleutel, een PFX-bestand, niet.

U gebruikt dit .cer-bestand wanneer u vertrouwde certificaatprofielen maakt om dat certificaat op uw apparaten te implementeren.

Vertrouwde certificaatprofielen maken

Maak en implementeer een vertrouwd certificaatprofiel voordat u een SCEP-, PKCS- of GEÏMPORTEERD PKCS-certificaatprofiel maakt. Als u een vertrouwd certificaatprofiel implementeert in dezelfde groepen die de andere certificaatprofieltypen ontvangen, zorgt u ervoor dat elk apparaat de legitimiteit van uw CA kan herkennen. Dit omvat profielen zoals die voor VPN, Wi-Fi en e-mail.

SCEP-certificaatprofielen verwijzen rechtstreeks naar een vertrouwd certificaatprofiel. PKCS-certificaatprofielen verwijzen niet rechtstreeks naar het vertrouwde certificaatprofiel, maar verwijzen rechtstreeks naar de server die als host fungeert voor uw CA. Geïmporteerde PKCS-certificaatprofielen verwijzen niet rechtstreeks naar het vertrouwde certificaatprofiel, maar kunnen dit op het apparaat gebruiken. Als u een vertrouwd certificaatprofiel implementeert op apparaten, zorgt u ervoor dat deze vertrouwensrelatie tot stand wordt gebracht. Wanneer een apparaat de basis-CA niet vertrouwt, mislukt het SCEP- of PKCS-certificaatprofielbeleid.

Maak een afzonderlijk vertrouwd certificaatprofiel voor elk apparaatplatform dat u wilt ondersteunen, net als voor geïmporteerde SCEP-, PKCS- en PKCS-certificaatprofielen.

Belangrijk

Vertrouwde basisprofielen die u maakt voor het platform Windows 10 en hoger, worden weergegeven in het Microsoft Intune-beheercentrum als profielen voor het platform Windows 8.1 en hoger.

Dit is een bekend probleem met de presentatie van het platform voor vertrouwde certificaatprofielen. Hoewel het profiel een platform van Windows 8.1 en hoger weergeeft, is het functioneel voor Windows 10/11.

Opmerking

Het profiel Vertrouwd certificaat in Intune kan alleen worden gebruikt voor het leveren van basis- of tussenliggende certificaten. Het doel van het implementeren van dergelijke certificaten is het tot stand brengen van een vertrouwensketen. Het gebruik van het vertrouwde certificaatprofiel voor het leveren van andere certificaten dan basis- of tussenliggende certificaten wordt niet ondersteund door Microsoft. U kunt mogelijk geen certificaten importeren die niet worden beschouwd als basis- of tussenliggende certificaten wanneer u het vertrouwde certificaatprofiel selecteert in het Microsoft Intune-beheercentrum. Zelfs als u een certificaat kunt importeren en implementeren dat geen basis- of tussencertificaat is met behulp van dit profieltype, krijgt u waarschijnlijk onverwachte resultaten tussen verschillende platforms, zoals iOS en Android.

Vertrouwde certificaatprofielen voor Android-apparaatbeheerder

Belangrijk

Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 30 augustus 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheerdersbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning afloopt. Lees Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.

Vanaf Android 11 kunt u geen vertrouwd certificaatprofiel meer gebruiken om een vertrouwd basiscertificaat te implementeren op apparaten die zijn ingeschreven als Android-apparaatbeheerder. Deze beperking is niet van toepassing op Samsung Knox.

Omdat SCEP-certificaatprofielen vereisen dat zowel het vertrouwde basiscertificaat op een apparaat wordt geïnstalleerd en moet verwijzen naar een vertrouwd certificaatprofiel dat op zijn beurt naar dat certificaat verwijst, gebruikt u de volgende stappen om deze beperking te omzeilen:

  1. Het apparaat handmatig inrichten met het vertrouwde basiscertificaat. Zie de volgende sectie voor voorbeeldrichtlijnen.

  2. Implementeer op het apparaat een vertrouwd basiscertificaatprofiel dat verwijst naar het vertrouwde basiscertificaat dat u op het apparaat hebt geïnstalleerd.

  3. Implementeer een SCEP-certificaatprofiel op het apparaat dat verwijst naar het vertrouwde basiscertificaatprofiel.

Dit probleem is niet beperkt tot SCEP-certificaatprofielen. Plan daarom om het vertrouwde basiscertificaat handmatig te installeren op toepasselijke apparaten als uw gebruik van PKCS-certificaatprofielen of geïmporteerde PKCS-certificaatprofielen dit vereist.

Meer informatie over wijzigingen in de ondersteuning voor Android-apparaatbeheerder vindt u in techcommunity.microsoft.com.

Een apparaat handmatig inrichten met het vertrouwde basiscertificaat

De volgende richtlijnen kunnen u helpen bij het handmatig inrichten van apparaten met een vertrouwd basiscertificaat.

  1. Download of draag het vertrouwde basiscertificaat over naar het Android-apparaat. U kunt bijvoorbeeld e-mail gebruiken om het certificaat te distribueren naar apparaatgebruikers of gebruikers het laten downloaden vanaf een veilige locatie. Nadat het certificaat zich op het apparaat bevindt, moet het worden geopend, benoemd en opgeslagen. Als u het certificaat opslaat, wordt het toegevoegd aan het certificaatarchief Gebruiker op het apparaat.

    1. Als u het certificaat op het apparaat wilt openen, moet een gebruiker het certificaat zoeken en erop tikken (openen). Na het verzenden van het certificaat per e-mail kan een apparaatgebruiker bijvoorbeeld op de certificaatbijlage tikken of openen.
    2. Wanneer het certificaat wordt geopend, moet de gebruiker de pincode opgeven of anderszins verifiëren bij het apparaat voordat hij of zij het certificaat kan beheren.

  2. Na verificatie wordt het certificaat geopend en moet het een naam hebben voordat het kan worden opgeslagen in het certificaatarchief Gebruikers. De certificaatnaam moet overeenkomen met de certificaatnaam die is opgegeven in het profiel vertrouwd basiscertificaat dat naar het apparaat wordt verzonden. Nadat het certificaat is genoemd, kan het worden opgeslagen.

  3. Nadat het certificaat is opgeslagen, is het klaar voor gebruik. Een gebruiker kan bevestigen dat het certificaat zich op de juiste locatie op het apparaat bevindt:

    1. Open Instellingen>Vertrouwde referenties voorbeveiliging>. Het werkelijke pad naar vertrouwde referenties kan per apparaat verschillen.
    2. Open het tabblad Gebruiker en zoek het certificaat.
    3. Als het certificaat aanwezig is in de lijst met gebruikerscertificaten, wordt het certificaat correct geïnstalleerd.

  4. Als een basiscertificaat op een apparaat is geïnstalleerd, moet u nog steeds het volgende implementeren om de SCEP- of PKCS-certificaten in te richten:

    • Een vertrouwd certificaatprofiel dat verwijst naar dat certificaat
    • Het SCEP- of PKCS-profiel dat verwijst naar het certificaatprofiel om de SCEP- of PKCS-certificaten in te richten.

Een vertrouwd certificaatprofiel maken

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer en ga naar Apparaten>configuratie>maken.

    Navigeer naar Intune en maak een nieuw profiel voor een vertrouwd certificaat

  3. Geef de volgende eigenschappen op:

    • Platform: kies het platform van de apparaten die dit profiel ontvangen.
    • Profiel: Afhankelijk van het gekozen platform selecteert u Vertrouwd certificaat of selecteert u Sjablonen>Vertrouwd certificaat.

    Belangrijk

    Op 22 oktober 2022 heeft Microsoft Intune de ondersteuning voor apparaten met Windows 8.1 beëindigd. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.

    Als u momenteel Windows 8.1 gebruikt, raden we u aan over te stappen op Windows 10/11-apparaten. Microsoft Intune beschikt over ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.

  4. Selecteer Maken.

  5. Voer in Basis de volgende eigenschappen in:

    • Naam: voer een beschrijvende naam in voor het profiel. Geef uw profielen een naam zodat u ze later eenvoudig kunt herkennen. Een goede profielnaam is bijvoorbeeld Vertrouwd certificaatprofiel voor het hele bedrijf.
    • Beschrijving: voer een beschrijving in voor het profiel. Deze instelling is optioneel, maar wordt aanbevolen.

  6. Selecteer Volgende.

  7. Geef in Configuratie-instellingen het .cer-bestand op voor het vertrouwde basis-CA-certificaat dat u eerder hebt geëxporteerd.

    Alleen voor Windows 8.1- en Windows 10/11-apparaten selecteert u het doelarchief voor het vertrouwde certificaat uit:

    • Computercertificaatarchief - hoofdmap
    • Computercertificaatarchief - tussenliggend
    • Gebruikerscertificaatarchief - tussenliggend

    Een profiel maken en een vertrouwd certificaat uploaden

  8. Selecteer Volgende.

  9. Selecteer in Toewijzingen de gebruiker of groepen die uw profiel ontvangen. Zie Gebruikers- en apparaatprofielen toewijzen voor meer informatie over het toewijzen van profielen.

    Selecteer Volgende.

  10. (Alleen van toepassing op Windows 10/11) Geef in Toepasbaarheidsregels toepasselijkheidsregels op om de toewijzing van dit profiel te verfijnen. U kunt ervoor kiezen om het profiel al dan niet toe te wijzen op basis van de editie of versie van het besturingssysteem van een apparaat.

    Zie Toepasselijkheidsregels in Een apparaatprofiel maken in Microsoft Intune voor meer informatie.

  11. Controleer uw instellingen in Beoordelen en maken. Wanneer u Maken selecteert, worden uw wijzigingen opgeslagen en wordt het profiel toegewezen. Het beleid wordt ook weergegeven in de lijst met profielen.

Volgende stappen

Certificaatprofielen maken: