Afgeleide referenties gebruiken met Microsoft Intune

  • Artikel

Dit artikel is van toepassing op:

  • Volledig beheerde Android Enterprise-apparaten met versie 7.0 en hoger
  • iOS/iPadOS
  • Windows 10/11

In een omgeving waarin smartcards vereist zijn voor verificatie of versleuteling en ondertekening, kunt u Intune gebruiken om mobiele apparaten in te richten met een certificaat dat is afgeleid van de smartcard van een gebruiker. Dat certificaat wordt een afgeleide referentie genoemd. Intune ondersteunt verschillende verleners van afgeleide referenties, maar u kunt slechts één verlener per tenant tegelijk gebruiken.

Afgeleide referenties zijn een implementatie van de NIST-richtlijnen (National Institute of Standards and Technology) voor AFGELEIDE PIV-referenties (Personal Identity Verification) als onderdeel van Speciale publicatie (SP) 800-157(Koppeling opent een .pdf-bestand op nvlpubs.nist.gov).

Met de implementatie van Intune:

  • De Intune-beheerder configureert de tenant voor het werken met een ondersteunde verlener van afgeleide referenties. U hoeft geen specifieke Intune-instellingen te configureren in het systeem van de verlener van afgeleide referenties.

  • De Intune-beheerder geeft afgeleide referenties op als verificatiemethode voor de volgende objecten:

    Voor volledig beheerde Android Enterprise-apparaten:

    • Algemene profieltypen, zoals Wi-Fi
    • App-verificatie

    Voor iOS/iPadOS:

    • Algemene profieltypen, zoals Wi-Fi, VPN en Email, waaronder de systeemeigen e-mailapp voor iOS/iPadOS
    • App-verificatie
    • S/MIME-ondertekening en -versleuteling

    Voor Windows:

    • Algemene profieltypen, zoals Wi-Fi en VPN

    Opmerking

    Op dit moment werken afgeleide referenties als verificatiemethode voor VPN-profielen niet zoals verwacht op Windows-apparaten. Dit gedrag is alleen van invloed op VPN-profielen op Windows-apparaten en wordt opgelost in een toekomstige release (geen ETA).

  • Voor Android en iOS/iPadOS verkrijgen gebruikers een afgeleide referentie door hun smartcard op een computer te gebruiken om zich te verifiëren bij de verlener van afgeleide referenties. De verlener geeft vervolgens aan het mobiele apparaat een certificaat uit dat is afgeleid van de smartcard. Voor Windows installeren gebruikers de app van de provider van afgeleide referenties, die het certificaat op het apparaat installeert voor later gebruik.

  • Nadat het apparaat de afgeleide referentie heeft ontvangen, wordt het gebruikt voor verificatie en voor S/MIME-ondertekening en -versleuteling wanneer apps of resourcetoegangsprofielen de afgeleide referentie vereisen.

Vereisten

Controleer de volgende informatie voordat u uw tenant configureert voor het gebruik van afgeleide referenties.

Ondersteunde platforms

Intune ondersteunt afgeleide referenties op de volgende platforms:

  • iOS/iPadOS
  • Android Enterprise:
    • Volledig beheerde apparaten (versie 7.0 en hoger)
    • Corporate-Owned werkprofiel
  • Windows 10/11

Ondersteunde verleners

Intune ondersteunt één verlener van afgeleide referenties per tenant. U kunt Intune configureren voor gebruik met de volgende verleners:

Raadpleeg de richtlijnen voor die verlener voor belangrijke informatie over het gebruik van de verschillende verleners. Zie Plannen voor afgeleide referenties in dit artikel voor meer informatie.

Belangrijk

Als u een verlener van afgeleide referenties uit uw tenant verwijdert, werken de afgeleide referenties die via die verlener zijn ingesteld, niet meer.

Zie De verlener van afgeleide referenties wijzigen verderop in dit artikel.

Vereiste apps

Plan om de relevante gebruikersgerichte app te implementeren op apparaten die worden ingeschreven voor een afgeleide referentie. Apparaatgebruikers gebruiken de app om het registratieproces voor referenties te starten.

Afgeleide referenties plannen

Begrijp de volgende overwegingen voordat u een verlener van afgeleide referenties instelt voor Android en iOS/iPadOS.

Zie Afgeleide referenties voor Windows-apparaten verderop in dit artikel.

1 - Bekijk de documentatie voor de door u gekozen uitgever van afgeleide referenties

Voordat u een verlener configureert, raadpleegt u de documentatie van die verlener om te begrijpen hoe hun systeem afgeleide referenties levert aan apparaten.

Afhankelijk van de verlener die u kiest, moet er mogelijk personeel beschikbaar zijn op het moment van inschrijving om gebruikers te helpen het proces te voltooien. Controleer ook uw huidige Intune-configuraties om ervoor te zorgen dat deze geen toegang blokkeren die nodig is voor apparaten of gebruikers om de referentieaanvraag te voltooien.

U kunt bijvoorbeeld voorwaardelijke toegang gebruiken om de toegang tot e-mail voor niet-compatibele apparaten te blokkeren. Als u afhankelijk bent van e-mailmeldingen om de gebruiker te informeren het inschrijvingsproces voor afgeleide referenties te starten, ontvangen uw gebruikers deze instructies mogelijk pas als ze voldoen aan het beleid.

Op dezelfde manier vereisen sommige werkstromen voor het aanvragen van afgeleide referenties het gebruik van de apparaatcamera om een QR-code op het scherm te scannen. Deze code koppelt dat apparaat aan de verificatieaanvraag die is opgetreden bij de verlener van afgeleide referenties met de smartcardreferenties van de gebruiker. Als het apparaatconfiguratiebeleid het gebruik van camera's blokkeert, kan de gebruiker de inschrijvingsaanvraag voor afgeleide referenties niet voltooien.

Algemene informatie:

  • U kunt slechts één verlener per tenant tegelijk configureren en die verlener is beschikbaar voor alle gebruikers en ondersteunde apparaten in uw tenant.

  • Gebruikers krijgen geen melding dat ze zich moeten inschrijven voor afgeleide referenties totdat u hen richt met een beleid waarvoor afgeleide referenties zijn vereist.

  • Melding kan via app-melding voor de Bedrijfsportal, via e-mail of beide. Als u ervoor kiest om e-mailmeldingen te gebruiken en u voorwaardelijke toegang inschakelt, ontvangen gebruikers mogelijk geen e-mailmelding als hun apparaat niet compatibel is.

    Belangrijk

    Om ervoor te zorgen dat meldingen met betrekking tot apparaatreferenties worden ontvangen door eindgebruikers, moet u app-meldingen inschakelen voor de Bedrijfsportal, e-mailmeldingen of beide.

2 - Controleer de werkstroom van de eindgebruiker voor de gekozen verlener

Hieronder volgen belangrijke overwegingen voor elke ondersteunde partner. Raak vertrouwd met deze informatie, zodat u ervoor kunt zorgen dat uw Intune-beleid en -configuraties niet verhinderen dat gebruikers en apparaten de inschrijving voor een afgeleide referentie van die verlener kunnen voltooien.

DISA Purebred

Bekijk de platformspecifieke gebruikerswerkstroom voor de apparaten die u gaat gebruiken met afgeleide referenties.

Belangrijke vereisten zijn onder andere:

  • Gebruikers hebben toegang nodig tot een computer of KIOSK waar ze hun smartcard kunnen gebruiken om zich te verifiëren bij de verlener.

  • iOS- en iPadOS-apparaten die worden ingeschreven voor een afgeleide referentie, moeten de Intune-bedrijfsportal-app installeren. Volledig beheerde Android- en Corporate-Owned-werkprofielapparaten moeten de Intune-app installeren en gebruiken.

  • Gebruik Intune om de DISA Purebred-app te implementeren op apparaten die worden ingeschreven voor een afgeleide referentie. Deze app moet worden geïmplementeerd via Intune, zodat deze wordt beheerd en vervolgens kan werken met de Intune-bedrijfsportal app of Intune-app, die gebruikers gebruiken om de aanvraag voor afgeleide referenties in te vullen.

  • Als u een afgeleide referentie wilt ophalen uit de Purebred-app, moet het apparaat toegang hebben tot het on-premises netwerk. Toegang kan via zakelijke Wi-Fi of VPN.

  • Apparaatgebruikers moeten tijdens het inschrijvingsproces met een liveagent werken. Tijdens de inschrijving worden tijdsgebonden eenmalige wachtwoordcodes aan de gebruiker verstrekt terwijl ze het inschrijvingsproces doorlopen.

  • Wanneer er wijzigingen worden aangebracht in een beleid dat gebruikmaakt van afgeleide referenties, zoals het maken van een nieuw Wi-Fi-profiel, krijgen iOS- en iPadOS-gebruikers een melding om de Bedrijfsportal-app te openen.

  • Gebruikers krijgen een melding om de toepasselijke app te openen wanneer ze hun afgeleide referentie moeten vernieuwen.

    Het verlengingsproces verloopt als volgt:

    • De uitgever van afgeleide referenties moet nieuwe of bijgewerkte certificaten uitgeven voordat de vorige certificaten 80% van de geldigheidsperiode zijn.
    • Het apparaat wordt ingecheckt tijdens de verlengingsperiode (de laatste 20% van de geldigheidsperiode).
    • Microsoft Intune geeft de gebruiker een melding via e-mail of een app-melding om de Bedrijfsportal te starten.
    • De gebruiker start de Bedrijfsportal en tikt op de melding voor afgeleide referenties. Vervolgens worden de afgeleide referentiecertificaten naar het apparaat gekopieerd.

Zie De DISA Purebred-app implementeren verderop in dit artikel voor informatie over het ophalen en configureren van de DISA Purebred-app .

Vertrouwen

Bekijk de platformspecifieke gebruikerswerkstroom voor de apparaten die u gaat gebruiken met afgeleide referenties.

Belangrijke vereisten zijn onder andere:

  • Gebruikers hebben toegang nodig tot een computer of KIOSK waar ze hun smartcard kunnen gebruiken om zich te verifiëren bij de verlener.

  • iOS- en iPadOS-apparaten die worden ingeschreven voor een afgeleide referentie, moeten de Intune-bedrijfsportal-app installeren. Volledig beheerde Android- en Corporate-Owned-werkprofielapparaten moeten de Intune-app installeren en gebruiken.

  • Gebruik een apparaatcamera om een QR-code te scannen die de verificatieaanvraag koppelt aan de aanvraag voor afgeleide referenties van het mobiele apparaat.

  • Gebruikers worden door de Bedrijfsportal-app of via e-mail gevraagd om zich in te schrijven voor afgeleide referenties.

  • Wanneer er wijzigingen worden aangebracht in een beleid dat gebruikmaakt van afgeleide referenties, zoals het maken van een nieuw Wi-Fi-profiel:

    • iOS en iPadOS: gebruikers krijgen een melding om de Bedrijfsportal-app te openen.
    • AndroidEnterprise-werkprofiel in bedrijfseigendom of volledig beheerde apparaten: de Bedrijfsportal-app hoeft niet te worden geopend.

  • Gebruikers krijgen een melding om de toepasselijke app te openen wanneer ze hun afgeleide referentie moeten vernieuwen.

    Het verlengingsproces verloopt als volgt:

    • De uitgever van afgeleide referenties moet nieuwe of bijgewerkte certificaten uitgeven voordat de vorige certificaten 80% van de geldigheidsperiode zijn.
    • Het apparaat wordt ingecheckt tijdens de verlengingsperiode (de laatste 20% van de geldigheidsperiode).
    • Microsoft Intune geeft de gebruiker een melding via e-mail of een app-melding om de Bedrijfsportal te starten.
    • De gebruiker start de Bedrijfsportal en tikt op de melding voor afgeleide referenties. Vervolgens worden de certificaten voor afgeleide referenties gekopieerd naar het apparaat

Bemiddelen

Bekijk de platformspecifieke gebruikerswerkstroom voor de apparaten die u gaat gebruiken met afgeleide referenties.

Belangrijke vereisten zijn onder andere:

  • Gebruikers hebben toegang nodig tot een computer of KIOSK waar ze hun smartcard kunnen gebruiken om zich te verifiëren bij de verlener.

  • iOS- en iPadOS-apparaten die worden ingeschreven voor een afgeleide referentie, moeten de Intune-bedrijfsportal-app installeren. Volledig beheerde Android- en Corporate-Owned-werkprofielapparaten moeten de Intune-app installeren en gebruiken.

  • Gebruik een apparaatcamera om een QR-code te scannen die de verificatieaanvraag koppelt aan de aanvraag voor afgeleide referenties van het mobiele apparaat.

  • Gebruikers worden door de Bedrijfsportal-app of via e-mail gevraagd om zich in te schrijven voor afgeleide referenties.

  • Wanneer er wijzigingen worden aangebracht in een beleid dat gebruikmaakt van afgeleide referenties, zoals het maken van een nieuw Wi-Fi-profiel:

    • iOS en iPadOS: gebruikers krijgen een melding om de Bedrijfsportal-app te openen.
    • AndroidEnterprise-werkprofiel in bedrijfseigendom of volledig beheerde apparaten: de Bedrijfsportal-app hoeft niet te worden geopend.

  • Gebruikers krijgen een melding om de toepasselijke app te openen wanneer ze hun afgeleide referentie moeten vernieuwen.

    Het verlengingsproces verloopt als volgt:

    • De uitgever van afgeleide referenties moet nieuwe of bijgewerkte certificaten uitgeven voordat de vorige certificaten 80% van de geldigheidsperiode zijn.
    • Het apparaat wordt ingecheckt tijdens de verlengingsperiode (de laatste 20% van de geldigheidsperiode).
    • Microsoft Intune geeft de gebruiker een melding via e-mail of een app-melding om de Bedrijfsportal te starten.
    • De gebruiker start de Bedrijfsportal en tikt op de melding voor afgeleide referenties. Vervolgens worden de certificaten voor afgeleide referenties gekopieerd naar het apparaat

3 - Een vertrouwd basiscertificaat implementeren op apparaten

Een vertrouwd basiscertificaat wordt gebruikt met afgeleide referenties om te controleren of de certificaatketen van afgeleide referenties geldig en vertrouwd is. Zelfs als er niet rechtstreeks naar wordt verwezen door beleid, is een vertrouwd basiscertificaat vereist. Zie Een certificaatprofiel configureren voor uw apparaten in Microsoft Intune.

4 - Geef eindgebruikersinstructies op voor het verkrijgen van de afgeleide referentie

Maak en geef richtlijnen aan uw gebruikers over het starten van het inschrijvingsproces voor afgeleide referenties en om u te navigeren in de werkstroom voor de inschrijving van afgeleide referenties voor de gekozen verlener.

U wordt aangeraden een URL op te geven die als host fungeert voor uw richtlijnen. U geeft deze URL op wanneer u de verlener van afgeleide referenties configureert voor uw tenant en die URL wordt beschikbaar gesteld vanuit de Bedrijfsportal-app. Als u uw eigen URL niet opgeeft, biedt Intune een koppeling naar algemene details. Deze details kunnen niet alle scenario's omvatten en zijn mogelijk niet correct voor uw omgeving.

5 - Intune-beleid implementeren waarvoor afgeleide referenties zijn vereist

Nieuwe beleidsregels maken of bestaande beleidsregels bewerken om afgeleide referenties te gebruiken. Afgeleide referenties vervangen andere verificatiemethoden voor de volgende objecten:

  • App-verificatie
  • Wi-Fi
  • VPN
  • Email (alleen iOS)
  • S/MIME-ondertekening en -versleuteling, inclusief Outlook (alleen iOS)

Vermijd het gebruik van een afgeleide referentie voor toegang tot een proces dat u gebruikt als onderdeel van het proces om de afgeleide referentie op te halen, omdat dit kan voorkomen dat gebruikers de aanvraag voltooien.

Een verlener van afgeleide referenties instellen

Voordat u beleidsregels maakt waarvoor het gebruik van een afgeleide referentie is vereist, moet u een referentieverlener instellen in het Microsoft Intune-beheercentrum. Een verlener van afgeleide referenties is een instelling voor de hele tenant. Tenants ondersteunen slechts één verlener tegelijk.

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Tenantbeheer>Connectors en tokens>Afgeleide referenties.

    Configureer afgeleide referenties in het Microsoft Intune-beheercentrum.

  3. Geef een beschrijvende weergavenaam op voor het beleid voor de uitgever van afgeleide referenties. Deze naam wordt niet weergegeven voor uw apparaatgebruikers.

  4. Als verlener van afgeleide referenties selecteert u de verlener van afgeleide referenties die u hebt gekozen voor uw tenant:

    • DISA Purebred (alleen iOS)
    • Vertrouwen
    • Bemiddelen

  5. Geef een Help-URL voor afgeleide referenties op om een koppeling naar een locatie op te geven die aangepaste instructies bevat om gebruikers te helpen afgeleide referenties voor uw organisatie te verkrijgen. De instructies moeten specifiek zijn voor uw organisatie en voor de werkstroom die nodig is om een referentie te verkrijgen van de gekozen verlener. De koppeling wordt weergegeven in de Bedrijfsportal-app en moet toegankelijk zijn vanaf het apparaat.

    Als u niet uw eigen URL opgeeft, biedt Intune een koppeling naar algemene details die niet alle scenario's kunnen omvatten. Deze algemene richtlijnen zijn mogelijk niet juist voor uw omgeving.

  6. Selecteer een of meer opties voor Meldingstype. Meldingstypen zijn de methoden die u gebruikt om gebruikers te informeren over de volgende scenario's:

    • Een apparaat inschrijven bij een verlener om een nieuwe afgeleide referentie op te halen.
    • Haal een nieuwe afgeleide referentie op wanneer de huidige referentie bijna is verlopen.
    • Gebruik een afgeleide referentie met een ondersteund object.

  7. Wanneer u klaar bent, selecteert u Opslaan om de configuratie van de verlener van afgeleide referenties te voltooien.

Nadat u de configuratie hebt opgeslagen, kunt u wijzigingen aanbrengen in alle velden, met uitzondering van de verlener van afgeleide referenties. Zie De verlener van afgeleide referenties wijzigen als u de verlener van afgeleide referenties wilt wijzigen.

De DISA Purebred-app implementeren

Deze sectie is alleen van toepassing wanneer u DISA Purebred gebruikt.

Als u DISA Purebred wilt gebruiken als verlener van afgeleide referenties voor Intune, moet u de DISA Purebred-app downloaden en vervolgens Intune gebruiken om de app op apparaten te implementeren. Vervolgens vragen gebruikers de afgeleide referentie aan bij DISA Purebred met behulp van de Bedrijfsportal App op hun iOS-/iPadOS-apparaat of de Intune-app op hun Android-apparaten.

Naast het implementeren van de DISA Purebred-app met Intune, moet het apparaat toegang hebben tot het on-premises netwerk. Als u deze toegang wilt bieden, kunt u overwegen een VPN of zakelijke Wi-Fi te gebruiken.

Voer de volgende taken uit:

  1. Download de DISA Purebred-toepassing: https://cyber.mil/pki-pke/purebred/.

  2. Implementeer de DISA Purebred-toepassing in Intune.

    Mogelijk zijn extra instellingen voor de Purebred-app vereist. Neem contact op met uw Purebred-agent om te begrijpen welke waarden moeten worden opgenomen in uw beleid, of als u een Door DoD uitgegeven Common Access Card (CAC) hebt, kunt u de Purebred-documentatie online openen op https://cyber.mil/pki-pke/purebred/.

  3. Als u ervoor kiest om een VPN per app te gebruiken voor de DISA Purebred-toepassing, raadpleegt u Een VPN per app maken.

Afgeleide referenties gebruiken voor verificatie en S/MIME-ondertekening en -versleuteling

U kunt afgeleide referenties opgeven voor de volgende profieltypen en doeleinden:

Afgeleide referenties gebruiken voor app-verificatie

Gebruik afgeleide referenties voor verificatie op basis van certificaten voor websites en toepassingen. Een afgeleide referentie leveren voor app-verificatie:

  1. Meld u aan bij het Microsoft Intune-beheercentrum.

  2. Selecteer Apparaatconfiguratie>> Selecteer op het tabblad Beleidde optie + Maken.

  3. Gebruik de volgende instellingen:

    Voor iOS en iPadOS:

    • Voor Platform. selecteer iOS/iPadOS en selecteer vervolgens voor Profieltype de optie Afgeleide referentie voor sjablonen>. Selecteer Maken om door te gaan.
    • Voer bij Naam een beschrijvende naam in voor het profiel. Geef uw profielen een naam zodat u ze later eenvoudig kunt herkennen. Een goede profielnaam is bijvoorbeeld Afgeleide referentie voor iOS-apparatenprofiel.
    • Voer bij Beschrijving een beschrijving in die een overzicht geeft van de instelling en eventuele andere belangrijke details.

    Voor Android Enterprise:

    • Voor Platform. selecteer Android Enterprise en selecteer vervolgens voor Profieltype onder Volledig beheerd, Toegewezen en Corporate-Owned werkprofiel de optie Afgeleide referentie**. Selecteer Maken om door te gaan.
    • Voer bij Naam een beschrijvende naam in voor het profiel. Geef uw profielen een naam zodat u ze later eenvoudig kunt herkennen. Een goede profielnaam is bijvoorbeeld Afgeleide referentie voor Android Enterprise-apparatenprofiel.
    • Voer bij Beschrijving een beschrijving in die een overzicht geeft van de instelling en eventuele andere belangrijke details.
    • Configureer op de pagina Appscertificaattoegang om te beheren hoe certificaattoegang wordt verleend aan toepassingen. Kies uit:
      • Goedkeuring van de gebruiker vereisen voor apps(standaard): gebruikers moeten het gebruik van een certificaat door alle toepassingen goedkeuren.
      • Op de achtergrond verlenen voor specifieke apps (goedkeuring van de gebruiker vereisen voor andere apps): selecteer met deze optie Apps toevoegen en selecteer vervolgens een of meer apps die het certificaat op de achtergrond gebruiken zonder tussenkomst van de gebruiker.

  4. Selecteer op de pagina Toewijzingen de groepen die het beleid moeten ontvangen.

  5. Wanneer u klaar bent, selecteert u Maken om het Intune-profiel te maken. Wanneer u klaar bent, wordt uw profiel weergegeven in de lijst Apparaten - Configuratieprofielen .

Gebruikers ontvangen de app- of e-mailmelding, afhankelijk van de instellingen die u hebt opgegeven bij het instellen van de verlener van afgeleide referenties. De melding informeert de gebruiker om de Bedrijfsportal te starten, zodat het afgeleide referentiebeleid kan worden verwerkt.

Afgeleide referenties voor Windows

U kunt afgeleide certificaten gebruiken als verificatiemethode voor Wi-Fi- en VPN-profielen op Windows-apparaten. Dezelfde providers die worden ondersteund door Android- en iOS-/iPadOS-apparaten, worden ondersteund als providers voor Windows:

  • DISA Purebred
  • Vertrouwen
  • Bemiddelen

Opmerking

Op dit moment werken afgeleide referenties als verificatiemethode voor VPN-profielen niet zoals verwacht op Windows-apparaten. Dit gedrag is alleen van invloed op VPN-profielen op Windows-apparaten en wordt opgelost in een toekomstige release (geen ETA).

Voor Windows werken gebruikers niet via een smartcardregistratieproces om een certificaat te verkrijgen voor gebruik als afgeleide referentie. In plaats daarvan moet de gebruiker de app voor Windows installeren, die is verkregen van de provider van afgeleide referenties. Als u afgeleide referenties wilt gebruiken met Windows, voert u de volgende configuraties uit:

  1. Installeer de app van de providers van afgeleide referenties op het Windows-apparaat.

    Wanneer u de Windows-app installeert van een provider van afgeleide referenties op een Windows-apparaat, wordt het afgeleide certificaat toegevoegd aan het Windows-certificaatarchief van dat apparaat. Nadat het certificaat aan het apparaat is toegevoegd, wordt het beschikbaar voor het gebruik van een verificatiemethode voor afgeleide referenties.

    Nadat u de app van de gekozen provider hebt opgehaald, kan de app worden geïmplementeerd voor Gebruikers of rechtstreeks worden geïnstalleerd door de gebruiker van het apparaat.

  2. Configureer Wi-Fi- en VPN-profielen om afgeleide referenties te gebruiken als verificatiemethode.

    Wanneer u een Windows-profiel configureert voor Wi-Fi of VPN, selecteert u Afgeleide referentie voor de verificatiemethode. Met deze configuratie gebruikt het profiel het certificaat dat op het apparaat wordt geïnstalleerd toen de app van de provider werd geïnstalleerd.

Een afgeleide referentie vernieuwen

Afgeleide referenties voor Android- of iOS-/iPadOS-apparaten kunnen niet worden uitgebreid of vernieuwd. In plaats daarvan moeten gebruikers de werkstroom voor referentieaanvragen gebruiken om een nieuwe afgeleide referentie voor hun apparaat aan te vragen. Voor Windows-apparaten raadpleegt u de documentatie voor de app van uw provider van afgeleide referenties.

Als u een of meer methoden configureert voor meldingstype, worden gebruikers automatisch gewaarschuwd wanneer de huidige afgeleide referentie 80% van de levensduur bereikt. De melding leidt gebruikers om het proces voor het aanvragen van referenties te doorlopen om een nieuwe afgeleide referentie op te halen.

Nadat een apparaat een nieuwe afgeleide referentie heeft ontvangen, worden beleidsregels die gebruikmaken van afgeleide referenties opnieuw geïmplementeerd op dat apparaat.

De verlener van afgeleide referenties wijzigen

Op tenantniveau kunt u de referentieverlener wijzigen, hoewel slechts één verlener wordt ondersteund door een tenant tegelijk.

Nadat u de verlener hebt gewijzigd, wordt gebruikers gevraagd een nieuwe afgeleide referentie op te halen van de nieuwe verlener. Ze moeten dit doen voordat ze een afgeleide referentie kunnen gebruiken voor verificatie.

De verlener voor uw tenant wijzigen

Belangrijk

Als u een verlener verwijdert en diezelfde verlener onmiddellijk opnieuw configureert, moet u nog steeds profielen en apparaten bijwerken om afgeleide referenties van die verlener te gebruiken. Afgeleide referenties die zijn verkregen voordat u de verlener verwijdert, zijn niet meer geldig.

  1. Meld u aan bij het Microsoft Intune-beheercentrum.
  2. Selecteer Tenantbeheer>Connectors en tokens>Afgeleide referenties.
  3. Selecteer Verwijderen om de huidige verlener van afgeleide referenties te verwijderen.
  4. Een nieuwe verlener configureren.

Profielen bijwerken die gebruikmaken van afgeleide referenties

Nadat u een verlener hebt verwijderd en vervolgens een nieuwe hebt toegevoegd, bewerkt u elk profiel dat afgeleide referenties gebruikt. Deze regel is zelfs van toepassing als u de vorige verlener herstelt. Elke bewerking van het profiel activeert een update, inclusief een eenvoudige bewerking van de profielbeschrijving.

Afgeleide referenties op apparaten bijwerken

Nadat u een verlener hebt verwijderd en vervolgens een nieuwe hebt toegevoegd, moeten apparaatgebruikers een nieuwe afgeleide referentie aanvragen. Deze regel is zelfs van toepassing wanneer u dezelfde verlener toevoegt die u hebt verwijderd. Het proces voor het aanvragen van de nieuwe afgeleide referentie is hetzelfde als voor het registreren van een nieuw apparaat of het vernieuwen van een bestaande referentie.

Volgende stappen

Apparaatconfiguratieprofielen maken.