Konfigurowanie profilów certyfikatów usługi IntuneConfigure Intune certificate profiles

Dotyczy: usługa Intune w portalu klasycznymApplies to: Intune in the classic portal
Szukasz dokumentacji dotyczącej usługi Intune w witrynie Azure Portal?Looking for documentation about Intune in the Azure portal? Przejdź tutaj.Go here.

Po skonfigurowaniu infrastruktury oraz certyfikatów zgodnie z opisem w sekcji Konfigurowanie infrastruktury certyfikatów dla profilu SCEP lub Konfigurowanie infrastruktury certyfikatów dla profilu PFX można utworzyć profile certyfikatów.After you've configured your infrastructure and certificates as described in Configure certificate infrastructure for SCEP or Configure certificate infrastructure for PFX, you can create certificate profiles. Oto proces:Here's the process:

  • Zadanie 1 — Eksportowanie certyfikatu zaufanego głównego urzędu certyfikacjiTask 1: Export the Trusted Root CA certificate
  • Zadanie 2 — Tworzenie profilów zaufanych certyfikatówTask 2: Create Trusted certificate profiles
  • Zadanie 3 — Tworzenie jednego z dwóch typów profilów certyfikatów:Task 3: Create one of two certificate profile types:
    • profile certyfikatów protokołu SCEPSCEP certificate profiles
    • profile certyfikatów PFX.PFX certificate profiles

Zadanie 1 — Eksportowanie certyfikatu zaufanego głównego urzędu certyfikacjiTask 1: Export the Trusted Root CA certificate

Wyeksportuj certyfikat zaufanego głównego urzędu certyfikacji w formacie pliku .cer z wystawiającego urzędu certyfikacji lub dowolnego urządzenia traktującego wystawiający urząd certyfikacji jako zaufany.Export the Trusted Root Certification Authorities (CA) certificate as a .cer file from the issuing CA, or from any device that trusts your issuing CA. Nie należy eksportować klucza prywatnego.Do not export the private key.

Ten certyfikat zostanie zaimportowany podczas konfiguracji profilu zaufanego certyfikatu.You'll import this certificate when you set up a Trusted certificate profile.

Zadanie 2 — Tworzenie profilów zaufanych certyfikatówTask 2: Create Trusted certificate profiles

Przed utworzeniem profilu certyfikatu protokołu Simple Certificate Enrollment Protocol (SCEP) lub profilu certyfikatu PKCS #12 (PFX) należy utworzyć profil zaufanego certyfikatu.You must create a Trusted certificate profile before you can create a Simple Certificate Enrollment Protocol (SCEP) or a PKCS #12 (.PFX) certificate profile. Wymagany jest profil zaufanego certyfikatu oraz profil SCEP lub PFX dla każdej platformy urządzeń przenośnych.You need a Trusted certificate profile and an SCEP or .PFX profile for each mobile device platform.

Aby utworzyć profil zaufanego certyfikatuTo create a Trusted certificate profile

  1. W konsoli administracyjnej usługi Intune wybierz kolejno pozycje Zasady > Dodaj zasady, a następnie wybierz platformę urządzeń.In the Intune administration console, choose Policy > Add Policy, and choose a device platform. Profil zaufanego certyfikatu można utworzyć dla poniższych urządzeń:You can create a trusted certificate profile for these devices:
  • System Android 4 lub nowszyAndroid 4 and later

  • Program Android for WorkAndroid for Work

  • System iOS 7.1 lub nowszyiOS 7.1 and later

  • System Mac OS X 10.9 lub nowszyMac OS X 10.9 and later

  • Windows 8.1 i nowszeWindows 8.1 and later

  • System Windows Phone 8.1 lub nowszyWindows Phone 8.1 and later

  1. Dodaj zasady profilu zaufanego certyfikatu.Add a Trusted Certificate Profile policy.

    Dowiedz się więcej: Zarządzanie ustawieniami i funkcjami na urządzeniach przy użyciu zasad usługi Microsoft Intune.Learn more: Manage settings and features on your devices with Microsoft Intune policies.

  2. Podaj wymagane informacje, aby skonfigurować ustawienia profilu zaufanego certyfikatu dla systemów Android, iOS, Mac OS X, Windows 8.1 lub Windows Phone 8.1.Enter the requested information to configure the Trusted certificate profile settings for Android, iOS, Mac OS X, Windows 8.1, or Windows Phone 8.1.

  3. W ustawieniu Plik certyfikatu zaimportuj certyfikat zaufanego głównego urzędu certyfikacji (plik cer) wyeksportowany z urzędu wystawiającego certyfikaty.In the Certificate file setting, import the Trusted Root CA certificate (.cer file) that you exported from your issuing CA. Ustawienie Magazyn docelowy dotyczy tylko urządzeń z systemem Windows 8.1 oraz nowszymi i tylko wtedy, gdy urządzenie ma więcej niż jeden magazyn certyfikatów.The Destination store setting applies only to devices running Windows 8.1 and later, and only if the device has more than one certificate store.

  4. Wybierz pozycję Zapisz zasady.Choose Save Policy.

Nowe zasady zostaną wyświetlone w obszarze roboczym Zasady.The new policy is shown in the Policy workspace. Teraz możesz je wdrożyć.Now you can deploy it.

Uwaga

Na urządzeniach z systemem Android i urządzeniach biorących udział programie Android for Work zostanie wyświetlone powiadomienie, że miało miejsce zainstalowanie zaufanego certyfikatu przez inną firmę.Android and Android for Work devices will display a notice that a third party has installed a trusted certificate.

Zadanie 3 — Tworzenie profilów certyfikatów protokołu SCEP lub PFXTask 3: Create SCEP or .PFX certificate profiles

Po utworzeniu profilu certyfikatu zaufanego urzędu certyfikacji należy utworzyć profile certyfikatów protokołu SCEP lub PFX dla wszystkich platform, które będą używane.After you create a Trusted CA certificate profile, create SCEP or .PFX certificate profiles for each platform you want to use. Podczas tworzenia profilu certyfikatu protokołu SCEP należy wskazać profil certyfikatu zaufanego dla tej samej platformy.When you create an SCEP certificate profile, you must specify a Trusted certificate profile for that same platform. W ten sposób oba profile certyfikatów zostaną połączone, niemniej jednak każdy profil należy wdrożyć osobno.This links the two certificate profiles, but you still must deploy each profile separately.

Aby utworzyć profil certyfikatu protokołu SCEPTo create an SCEP certificate profile

  1. W konsoli administracyjnej usługi Intune wybierz kolejno pozycje Zasady > Dodaj zasady, a następnie wybierz platformę urządzeń.In the Intune administration console, choose Policy > Add Policy and choose a device platform. Profil certyfikatu protokołu SCEP można utworzyć dla poniższych urządzeń:You can create a SCEP certificate profile for these devices:
  • System Android 4 lub nowszyAndroid 4 and later

  • Program Android for WorkAndroid for Work

  • System iOS 7.1 lub nowszyiOS 7.1 and later

  • System Mac OS X 10.9 lub nowszyMac OS X 10.9 and later

  • Windows 8.1 i nowszeWindows 8.1 and later

  • System Windows Phone 8.1 lub nowszyWindows Phone 8.1 and later

  1. Dodaj zasady profilu certyfikatu protokołu SCEP.Add a SCEP Certificate Profile policy

    Dowiedz się więcej: Zarządzanie ustawieniami i funkcjami na urządzeniach przy użyciu zasad usługi Microsoft Intune.Learn more: Manage settings and features on your devices with Microsoft Intune policies.

  2. Postępuj zgodnie z instrukcjami na stronie konfiguracji profilu, aby skonfigurować ustawienia profilu certyfikatu SCEP.Follow the instructions on the profile configuration page to configure the SCEP certificate profile settings.

    Uwaga

    W obszarze Format nazwy podmiotu wybierz opcję Niestandardowy, aby wprowadzić niestandardowy format nazwy podmiotu (tylko w profilach systemu iOS).Under Subject name format, select Custom to enter a custom subject name format (in iOS profiles, only).

    Aktualnie są obsługiwane dwie zmienne dla formatu niestandardowego: Common Name (CN) i Email (E).The two variables currently supported for the custom format are Common Name (CN) and Email (E). Przy użyciu kombinacji tych zmiennych i statycznych ciągów można utworzyć niestandardowy format nazwy podmiotu, na przykład taki:By using a combination of these variables and static strings, you can create a custom subject name format, like this one:

    <span data-ttu-id="18977-155">CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US</span><span class="sxs-lookup"><span data-stu-id="18977-155">CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US</span></span>
    

    W tym przykładzie administrator utworzył format nazwy podmiotu, który oprócz zmiennych CN i E używa ciągów dla wartości jednostki organizacyjnej, organizacji, lokalizacji, stanu i kraju.In this example, the admin created a subject name format that, in addition to the CN and E variables, uses strings for Organizational Unit, Organization, Location, State, and Country values. Funkcja CertStrToName wyświetla listę obsługiwanych ciągów.CertStrToName function lists supported strings.

  3. Wybierz pozycję Zapisz zasady.Choose Save Policy.

Nowe zasady zostaną wyświetlone w obszarze roboczym Zasady.The new policy is shown in the Policy workspace. Teraz możesz je wdrożyć.Now you can deploy it.

Aby utworzyć profil certyfikatu PFXTo create a .PFX certificate profile

  1. W konsoli administracyjnej usługi Intune wybierz kolejno pozycje Zasady > Dodaj zasady, a następnie wybierz platformę urządzeń.In the Intune administration console, choose Policy > Add Policy, and choose a device platform. Certyfikaty PFX są obsługiwane na poniższych platformach urządzeń:.PFX certificates are supported for:

    • System Android 4 lub nowszyAndroid 4 and later
    • Program Android for WorkAndroid for Work
    • System Windows 10 lub nowszyWindows 10 and later
    • System Windows Phone 10 lub nowszyWindows Phone 10 and later
    • System iOS 8.0 i nowszeiOS 8.0 and later)
  2. Dodaj zasady profilu certyfikatu PFX.Add a .PFX Certificate Profile policy. Dowiedz się więcej: Zarządzanie ustawieniami i funkcjami na urządzeniach przy użyciu zasad usługi Microsoft Intune.Learn more: Manage settings and features on your devices with Microsoft Intune policies.

  3. Wprowadź informacje wymagane w formularzu zasad.Enter the information requested on the policy form.
  4. Wybierz pozycję Zapisz zasady.Choose Save Policy.

Nowe zasady zostaną wyświetlone w obszarze roboczym Zasady.The new policy is shown in the Policy workspace. Teraz możesz je wdrożyć.Now you can deploy it.

Wdrażanie profili certyfikatówDeploy certificate profiles

Podczas wdrażania profilów certyfikatów plik certyfikatu z profilu certyfikatu zaufanego urzędu certyfikacji jest instalowany na urządzeniu.When you deploy certificate profiles, the certificate file from the Trusted CA certificate profile is installed on the device. Profil certyfikatu protokołu SCEP lub PFX jest wykorzystywany przez to urządzenie do tworzenia żądania certyfikatu.The device uses the SCEP or .PFX certificate profile to create a certificate request by the device.

Profile certyfikatów mogą być instalowane wyłącznie na urządzeniach z platformą użytą podczas tworzenia profilu.Certificate profiles install only on devices running the platform you use when you create the profile.

  • Profile certyfikatów można również wdrażać dla kolekcji użytkowników lub kolekcji urządzeń.You can deploy certificate profiles to user collections or to device collections.

    Porada

    Aby opublikować certyfikaty dla urządzenia jak najszybciej po jego rejestracji, należy wdrożyć profil certyfikatu w grupie użytkowników, a nie w grupie urządzeń.To publish a certificate to a device quickly after the device enrolls, deploy the certificate profile to a user group rather than to a device group. W przypadku wdrożenia w grupie urządzeń wymagana jest pełna rejestracja urządzenia przed otrzymaniem przez nie zasad.If you deploy to a device group, a full device registration is required before the device receives policies.

  • Mimo że każdy profil należy wdrożyć osobno, konieczne jest również wdrożenie profilu zaufanego certyfikatu głównego urzędu certyfikacji oraz profilu protokołu SCEP lub PFX.Although you deploy each profile separately, you also need to deploy the Trusted Root CA and the SCEP or .PFX profile. W przeciwnym razie zasady certyfikatu protokołu SCEP lub PFX nie będą działać.Otherwise, the SCEP or .PFX certificate policy will fail.

Wdróż profile certyfikatów w taki sam sposób jak w przypadku innych zasad w usłudze Intune:Deploy certificate profiles the same way you deploy other policies for Intune:

  1. W obszarze roboczym Zasady wybierz zasady do wdrożenia, a następnie wybierz pozycję Zarządzaj wdrożeniem.In the Policy workspace, select the policy you want to deploy, and then choose Manage Deployment.
  2. W oknie dialogowym Zarządzanie wdrażaniem :In the Manage Deployment dialog box:
    • Aby wdrożyć zasady, wybierz co najmniej jedną grupę, w której chcesz wdrożyć zasady, a następnie wybierz pozycję Dodaj > OK.To deploy the policy, select one or more groups to deploy the policy to, and then choose Add > OK.
    • Aby zamknąć okno dialogowe bez wdrażania, wybierz pozycję Anuluj.To close the dialog box without deploying it, choose Cancel.

Po wybraniu wdrożonych zasad można zobaczyć więcej informacji dotyczących wdrożenia w dolnej części listy zasad.When you select a deployed policy, you can see more information about the deployment in the lower part of the list of policies.

Następne krokiNext steps

Dowiedz się, jak używać certyfikatów do zabezpieczenia poczty e-mail, sieci Wi-Fi i profilów sieci VPN.Next, learn how to use certificates to help secure email, Wi-Fi, and VPN profiles.