Konfigurowanie zaimportowanych certyfikatów PKCS i korzystanie z nich w usłudze IntuneConfigure and use imported PKCS certificates with Intune

Microsoft Intune obsługuje zaimportowane certyfikaty pary kluczy publicznych (PKCS), powszechnie używane do szyfrowania S/MIME z profilami poczty e-mail.Microsoft Intune supports the use of imported public key pair (PKCS) certificates, commonly used for S/MIME encryption with Email profiles. Niektóre profile poczty e-mail w usłudze Intune obsługują opcję włączenia protokołu S/MIME, w której można zdefiniować certyfikat podpisywania S/MIME i certyfikat szyfrowania S/MIME.Certain email profiles in Intune support an option to enable S/MIME where you can define an S/MIME signing certificate and S/MIME encryption cert.

Szyfrowanie S/MIME jest trudne, ponieważ poczta e-mail jest szyfrowana przy użyciu określonego certyfikatu:S/MIME encryption is challenging because email is encrypted with a specific certificate:

  • Musisz mieć klucz prywatny certyfikatu, który zaszyfrował wiadomość e-mail na urządzeniu, na którym odczytujesz wiadomość e-mail, aby można było ją odszyfrować.You must have the private key of the certificate that encrypted the email on the device where you're reading the email so it can be decrypted.
  • Przed wygaśnięciem certyfikatu na urządzeniu należy zaimportować nowy certyfikat, aby urządzenia mogły nadal odszyfrowywać nowe wiadomości e-mail.Before a certificate on a device expires, you should import a new certificate so devices can continue to decrypt new email. Odnawianie tych certyfikatów nie jest obsługiwane.Renewal of these certificates isn't supported.
  • Certyfikaty szyfrowania są regularnie odnawiane, co oznacza, że możesz przechowywać poprzedni certyfikat na urządzeniach, aby mieć pewność, że będzie można odszyfrować starsze wiadomości e-mail.Encryption certificates are renewed regularly, which means that you might want to keep past certificate on your devices, to ensure that older email can continue to be decrypted.

Ponieważ na obu urządzeniach musi być użyty ten sam certyfikat, nie można użyć do tego celu profilu certyfikatu SCEP ani PKCS, ponieważ te mechanizmy dostarczania certyfikatów dostarczają unikatowy certyfikat do każdego urządzenia.Because the same certificate needs to be used across devices, it's not possible to use SCEP or PKCS certificate profiles for this purpose as those certificate delivery mechanisms deliver unique certificates per device.

Więcej informacji o korzystaniu z protokołu S/MIME w usłudze Intune — zobacz Korzystanie z protokołu S/MIME do szyfrowania poczty e-mail.For more information about using S/MIME with Intune, Use S/MIME to encrypt email.

Obsługiwane platformySupported platforms

Usługa Intune obsługuje importowanie certyfikatów PFX dla następujących platform:Intune supports import of PFX certificates for the following platforms:

  • Android — administrator urządzeniaAndroid - Device Administrator
  • Android Enterprise — w pełni zarządzaneAndroid Enterprise - Fully Managed
  • Android Enterprise — profil służbowyAndroid Enterprise - Work profile
  • Android Enterprise — firmowe urządzenia z profilem służbowymAndroid Enterprise - Corporate-owned work profile
  • iOS/iPadOSiOS/iPadOS
  • macOSmacOS
  • Windows 10Windows 10

WymaganiaRequirements

Aby korzystać z zaimportowanych certyfikatów PKCS w usłudze Intune, musisz mieć następującą infrastrukturę:To use imported PKCS certificates with Intune, you'll need the following infrastructure:

  • Łącznik certyfikatów PFX dla usługi Microsoft Intune:PFX Certificate Connector for Microsoft Intune:

    Każda dzierżawa usługi Intune obsługuje wiele wystąpień tego łącznika.Each Intune tenant supports multiple instance of this connector. Upewnij się, że każdy łącznik ma dostęp do klucza prywatnego używanego do szyfrowania haseł przekazanych plików PFX.Ensure each connector has access to the private key used to encrypt the passwords of the uploaded PFX files. Możesz zainstalować ten łącznik na tym samym serwerze jako wystąpienie łącznika certyfikatu usługi Microsoft Intune.You can install this connector on the same server as an instance of the Microsoft Intune Certificate connector.

    Ten łącznik obsługuje żądania dotyczące plików PFX zaimportowanych do usługi Intune na potrzeby szyfrowania wiadomości e-mail za pomocą protokołu S/MIME dla określonego użytkownika.This connector handles requests for PFX files imported to Intune for S/MIME email encryption for a specific user.

    Ten łącznik może zaktualizować się automatycznie po udostępnieniu nowej wersji.This connector can automatically update itself when new versions become available. Aby skorzystać z tej funkcji, upewnij się, że zapory są otwarte i umożliwiają łącznikowi komunikację z hostem autoupdate.msappproxy.net na porcie 443.To use the update capability, you must ensure firewalls are open that allow the connector to contact autoupdate.msappproxy.net on port 443.

    Więcej informacji — zobacz Punkty końcowe sieci dla usługi Microsoft Intune i Przepustowość i wymagania dotyczące konfiguracji sieci usługi Intune.For more information, see Network endpoints for Microsoft Intune, and Intune network configuration requirements and bandwidth.

  • Windows Server:Windows Server:

    używasz systemu Windows Server do hostowania programu Łącznik certyfikatów PFX dla usługi Microsoft Intune.You use a Windows Server to host the PFX Certificate Connector for Microsoft Intune. Łącznik służy do przetwarzania żądań dotyczących certyfikatów zaimportowanych do usługi Intune.The connector is used to process requests for certificates imported to Intune.

    Łącznik wymaga dostępu do tych samych portów. Opisano to przy okazji omawiania urządzeń zarządzanych. Więcej informacji zawiera zawartość dotycząca punktu końcowego urządzenia.The connector requires access to the same ports as detailed for managed devices, as found in our device endpoint content.

    W usłudze Intune możesz zainstalować oba łączniki (Łącznik certyfikatów usługi Microsoft Intune i Łącznik certyfikatów PFX dla usługi Microsoft Intune) na tym samym serwerze.Intune supports install of the Microsoft Intune Certificate Connector on the same server as the PFX Certificate Connector for Microsoft Intune.

    Aby można było obsługiwać łącznik, na serwerze musi być zainstalowany program .NET Framework w wersji 4.6 lub nowszej.To support the connector, the server must run .NET 4.6 Framework or higher. Jeśli program .NET Framework 4.6 nie jest zainstalowany, instalator łącznika zainstaluje go automatycznie.If .NET 4.6 Framework isn't installed when you start the installation of the connector, the connector installation will install it automatically.

  • Visual Studio 2015 lub nowszy (opcjonalnie):Visual Studio 2015 or above (optional):

    Program Visual Studio służy do kompilowania modułu pomocnika programu PowerShell za pomocą poleceń cmdlet do importowania certyfikatów PFX do usługi Microsoft Intune.You use Visual Studio to build the helper PowerShell module with cmdlets for importing PFX certificates to Microsoft Intune. Aby uzyskać polecenia cmdlet pomocnika programu PowerShell, zobacz Projekt PFXImport PowerShell w usłudze GitHub.To get the helper PowerShell cmdlets, see PFXImport PowerShell Project in GitHub.

Jak to działaHow it works

W przypadku korzystania z usługi Intune do wdrażania zaimportowanego certyfikatu PFX dla użytkownika, poza urządzeniem w grę wchodzą dwa składniki:When you use Intune to deploy an imported PFX certificate to a user, there are two components at play in addition to the device:

  • Usługa Intune: Przechowuje zaszyfrowane certyfikaty PFX i obsługuje wdrożenie certyfikatu na urządzeniu użytkownika.Intune Service: Stores the PFX certificates in an encrypted state and handles the deployment of the certificate to the user device. Hasła chroniące klucze prywatne certyfikatów są przed przekazaniem szyfrowane za pomocą sprzętowego modułu zabezpieczeń (HSM) lub kryptografii systemu Windows, aby usługa Intune w żadnym razie nie mogła uzyskać dostępu do kluczy prywatnych.The passwords protecting the private keys of the certificates are encrypted before they're uploaded using either a hardware security module (HSM) or Windows Cryptography, ensuring that Intune can't access the private key at any time.

  • Łącznik certyfikatów PFX dla usługi Microsoft Intune: Gdy urządzenie wymaga certyfikatu PFX zaimportowanego do usługi Intune, do łącznika są wysyłane: zaszyfrowane hasło, certyfikat oraz klucz publiczny urządzenia.PFX Certificate Connector for Microsoft Intune: When a device requests a PFX certificate that was imported to Intune, the encrypted password, the certificate, and the device's public key are sent to the connector. Łącznik odszyfrowuje hasło za pomocą lokalnego klucza prywatnego, po czym szyfruje je ponownie (wraz ze wszystkimi profilami plist w przypadku użycia systemu iOS) za pomocą klucza urządzenia i przesyła z powrotem do usługi Intune.The connector decrypts the password using the on-premises private key, and then re-encrypts the password (and any plist profiles if using iOS) with the device key before sending the certificate back to Intune. Usługa Intune dostarcza certyfikat do urządzenia, które może go odszyfrować za pomocą swojego klucza prywatnego i zainstalować.Intune then delivers the certificate to the device and the device is able to decrypt it with the device's private key and install the certificate.

Pobieranie, instalowanie i konfigurowanie programu Łącznik certyfikatów PFX dla usługi Microsoft IntuneDownload, install, and configure the PFX Certificate Connector for Microsoft Intune

Przed rozpoczęciem sprawdź wymagania dotyczące łącznika i upewnij się, że środowisko i serwer systemu Windows jest w stanie zapewnić obsługę łącznika.Before you begin, review requirements for the connector and ensure your environment and your Windows server is ready to support the connector.

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz pozycję Administracja dzierżawą > Łączniki i tokeny > Łączniki certyfikatu > + Dodaj.Select Tenant administration > Connectors and tokens > Certificate connectors > + Add.

  3. Kliknij pozycję Pobierz oprogramowanie łącznika certyfikatów dla łącznika standardów PKCS #12, a następnie zapisz plik łącznika w lokalizacji dostępnej z serwera, na którym ma zostać zainstalowany łącznik.Click Download the certificate connector software for the connector for PKCS #12, and save the file to a location you can access from the server where you're going to install the connector.

    Pobieranie łącznika usługi Microsoft Intune

  4. Po zakończeniu pobierania zaloguj się do serwera i uruchom instalator (PfxCertificateConnectorBootstrapper.exe).After the download completes, sign in to the server and run the installer (PfxCertificateConnectorBootstrapper.exe).

    • Po zaakceptowaniu domyślnej lokalizacji instalacji łącznik zostanie zainstalowany w ścieżce Program Files\Microsoft Intune\PFXCertificateConnector.When you accept the default installation location, the connector installs to Program Files\Microsoft Intune\PFXCertificateConnector.
    • Usługa łącznika jest uruchamiana na koncie systemu lokalnego.The connector service runs under the local system account. Jeśli na potrzeby dostępu do Internetu jest wymagany serwer proxy, potwierdź, że konto usługi lokalnej może uzyskać dostęp do ustawień serwera proxy na serwerze.If a proxy is required for internet access, confirm that the local service account can access the proxy settings on the server.
  5. Łącznik certyfikatów PFX dla usługi Microsoft Intune otwiera kartę Rejestracja po zakończeniu instalacji.The PFX Certificate Connector for Microsoft Intune opens the Enrollment tab after installation. Aby włączyć połączenie z usługą Intune, zaloguj się i wprowadź nazwę konta z globalnymi uprawnieniami administratora platformy Azure lub uprawnieniami administratora usługi Intune.To enable the connection to Intune, Sign In, and enter an account with Azure global administrator or Intune administrator permissions.

    Ostrzeżenie

    Domyślnie w systemie Windows Server opcja Konfiguracja zwiększonych zabezpieczeń programu Internet Explorer jest włączona,co może spowodować problemy z logowaniem do platformy Microsoft 365.By default, in Windows Server IE Enhanced Security Configuration is set to On which can cause issues with the sign-in to Microsoft 365.

  6. Zamknij okno.Close the window.

  7. W centrum administracyjnym programu Microsoft Endpoint Manager wybierz pozycję Administracja dzierżawą > Łączniki i tokeny > Łączniki certyfikatu.In the Microsoft Endpoint Manager admin center, go back to Tenant administration > Connectors and tokens > Certificate connectors. Po kilku chwilach zostanie wyświetlony zielony znacznik wyboru, a stan połączenia zostanie zaktualizowany.In a few moments, a green check mark appears and the connection status updates. Serwer łącznika może się teraz komunikować z usługą Intune.The connector server can now communicate with Intune.

Importowanie certyfikatów PFX do usługi IntuneImport PFX Certificates to Intune

Do importowania certyfikatów PFX użytkowników do usługi Intune służy program Microsoft Graph.You use Microsoft Graph to import your users PFX certificates into Intune. Pomocnik PFXImport PowerShell Project at GitHub zapewnia polecenia cmdlet ułatwiające wykonanie operacji.The helper PFXImport PowerShell Project at GitHub provides you with cmdlets to do the operations with ease.

Jeśli wolisz skorzystać z własnego rozwiązania w programie Graph, użyj typu zasobu userPFXCertificate.If you prefer to use your own custom solution using Graph, use the userPFXCertificate resource type.

Kompilowanie poleceń cmdlet „PFXImport PowerShell Project”Build 'PFXImport PowerShell Project' cmdlets

Aby korzystać z poleceń cmdlet programu PowerShell, należy samodzielnie skompilować projekt za pomocą programu Visual Studio.To make use of the PowerShell cmdlets, you build the project yourself using Visual Studio. Proces jest prosty i chociaż można go uruchomić na serwerze, zalecamy uruchomienie go na stacji roboczej.The process is straight forward and while it can run on the server, we recommended you run it on your workstation.

  1. Przejdź do katalogu głównego repozytorium Intune-Resource-Access w usłudze GitHub, po czym pobierz lub sklonuj repozytorium do swojego komputera za pomocą usługi Git.Go to the root of the Intune-Resource-Access repository on GitHub, and then either download or clone the repository with Git to your machine.

    Przycisk pobierania w usłudze GitHub

  2. Przejdź do lokalizacji .\Intune-Resource-Access-develop\src\PFXImportPowershell\ i otwórz projekt w programie Visual Studio, korzystając z pliku PFXImportPS.sln.Go to .\Intune-Resource-Access-develop\src\PFXImportPowershell\ and open the project with Visual Studio using the file PFXImportPS.sln.

  3. W górnej części okna zmień opcję Debug na Release.On the top, change from Debug to Release.

  4. Przejdź do menu Kompilacja i wybierz opcję Kompiluj plik PFXImportPS.Go to Build and select Build PFXImportPS. W ciągu kilku chwil w lewej dolnej części okna programu Visual Studio zostanie wyświetlone potwierdzenie Kompilacja udana.In a few moments, you'll see the Build succeeded confirmation appear at the bottom left of Visual Studio.

    Opcja menu Kompilacja w programie Visual Studio

  5. Proces kompilacji tworzy nowy folder w module PowerShell w lokalizacji .\Intune-Resource-Access-develop\src\PFXImportPowershell\PFXImportPS\bin\Release.The build process creates a new folder with the PowerShell Module at .\Intune-Resource-Access-develop\src\PFXImportPowershell\PFXImportPS\bin\Release.

    Ten folder Release zostanie użyty w kolejnych krokach.You'll use this Release folder for the next steps.

Tworzenie klucza publicznego szyfrowaniaCreate the encryption Public Key

Certyfikaty PFX wraz z ich kluczami publicznymi należy zaimportować do usługi Intune.You import PFX Certificates and their private keys to Intune. Hasło chroniące klucze prywatne jest szyfrowane za pomocą przechowywanego lokalnie klucza publicznego.The password protecting the private key is encrypted with a public key that is stored on-premises. W celu wygenerowania i przechowywania par kluczy publiczny-prywatny można użyć kryptografii systemu Windows, sprzętowego modułu zabezpieczeń lub innego typu kryptografii.You can use either Windows cryptography, a hardware security module, or another type of cryptography to generate and store the public/private key pairs. W zależności od użytej kryptografii pary kluczy publiczny-prywatny można wyeksportować jako pliki w celu utworzenia kopii zapasowej.Depending on the type of cryptography used, the public/private key pair can be exported in a file format for backup purposes.

Moduł PowerShell zapewnia metody tworzenia kluczy za pomocą kryptografii systemu Windows.The PowerShell module provides methods to create a key using Windows cryptography. Do utworzenia klucza można też użyć innych narzędzi.You can also use other tools to create a key.

Aby utworzyć klucz szyfrowania za pomocą kryptografii systemu WindowsTo create the encryption key using Windows cryptography

  1. Skopiuj folder Release utworzony w programie Visual Studio na serwer, na którym zainstalowano Łącznik certyfikatów PFX dla usługi Microsoft Intune.Copy the Release folder that's created by Visual Studio to the server where you installed the PFX Certificate Connector for Microsoft Intune. Ten folder zawiera moduł programu PowerShell.This folder contains the PowerShell module.

  2. Na serwerze otwórz program PowerShell jako administrator, po czym przejdź do folderu Release zawierającego moduł programu PowerShell.On the server, open PowerShell as an Administrator and then navigate to the Release folder that contains the PowerShell module.

  3. Aby zaimportować moduł, uruchom polecenie Import-Module .\IntunePfxImport.psd1.To import the module, run Import-Module .\IntunePfxImport.psd1 to import the module.

  4. Następnie uruchom Add-IntuneKspKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "PFXEncryptionKey"Next, run Add-IntuneKspKey -ProviderName "Microsoft Software Key Storage Provider" -KeyName "PFXEncryptionKey"

    Porada

    Użytego dostawcę należy wybrać ponownie po zaimportowaniu certyfikatów PFX.The provider you use must be selected again when you import PFX Certificates. Możesz użyć dostawcy magazynu kluczy funkcji oprogramowania Microsoft, choć obsługiwani są również inni dostawcy.You can use the Microsoft Software Key Storage Provider, although it is supported to use a different provider. Podano również przykładową nazwę klucza; możesz użyć innej.The key name is also provided as an example, and you can use a different key name of your choice.

    Jeśli chcesz zaimportować certyfikat ze stacji roboczej, możesz wyeksportować klucz do pliku za pomocą następującego polecenia: Export-IntunePublicKey -ProviderName "<ProviderName>" -KeyName "<KeyName>" -FilePath "<File path\Filename.PFX>"If you plan to import the certificate from your workstation, you can export this key to a file with the following command: Export-IntunePublicKey -ProviderName "<ProviderName>" -KeyName "<KeyName>" -FilePath "<File path\Filename.PFX>"

    Klucz prywatny należy zaimportować na serwer, na którym zainstalowano Łącznik certyfikatów PFX dla usługi Microsoft Intune, aby można było pomyślnie przetworzyć zaimportowane certyfikaty PFX.The private key must be imported on the server that hosts the PFX Certificate Connector for Microsoft Intune so that imported PFX certificates can be processed successfully.

Aby skorzystać ze sprzętowego modułu zabezpieczeń (HSM)To use a hardware security module (HSM)

W celu utworzenia i przechowywania pary kluczy publiczny-prywatny można użyć sprzętowego modułu zabezpieczeń (HSM).You can use a hardware security module (HSM) to generate and store the public/private key pair. Aby uzyskać więcej informacji, zapoznaj się z dokumentacją dostawcy modułu HSM.For more information, see the HSM provider's documentation.

Importowanie certyfikatów PFXImport PFX Certificates

Poniższy przykładowy proces importowania certyfikatów PFX korzysta z poleceń cmdlet programu PowerShell.The following process uses the PowerShell cmdlets as an example of how to import the PFX certificates. Możesz wybrać różne opcje stosownie do swoich wymagań.You can pick different options depending on your requirements.

Dostępne opcje:Options include:

  • Przeznaczenie (grupuje certyfikaty na podstawie znacznika):Intended Purpose (groups certificates together based on a tag):

    • nieprzypisaneunassigned
    • smimeEncryptionsmimeEncryption
    • smimeSigningsmimeSigning
  • Schemat uzupełniania:Padding Scheme:

    • oaepSha256oaepSha256
    • oaepSha384oaepSha384
    • oaepSha512oaepSha512

Wybierz dostawcę magazynu kluczy odpowiadającego dostawcy użytemu do utworzenia klucza.Select the Key Storage Provider that matches the provider you used to create the key.

Aby zaimportować certyfikat PFXTo import the PFX certificate

  1. Wyeksportuj certyfikaty dowolnego urzędu certyfikacji (CA), wykonując instrukcje zawarte w dokumentacji dostawcy.Export the certificates from any Certification Authority (CA) by following the documentation from the provider. W przypadku Usług certyfikatów w usłudze Active Directory Microsoft możesz użyć tego przykładowego skryptu.For Microsoft Active Directory Certificate Services, you can use this sample script.

  2. Na serwerze otwórz program PowerShell jako administrator, po czym przejdź do folderu Release zawierającego moduł programu PowerShell.On the server, open PowerShell as an Administrator and then navigate to the Release folder that contains the PowerShell module.

  3. Aby zaimportować moduł, uruchom polecenie Import-Module .\IntunePfxImport.psd1To import the module, run Import-Module .\IntunePfxImport.psd1

  4. Aby uwierzytelnić się w programie Intune Graph, uruchom polecenie Set-IntuneAuthenticationToken -AdminUserName "<Admin-UPN>"To authenticate to Intune Graph, run Set-IntuneAuthenticationToken -AdminUserName "<Admin-UPN>"

    Uwaga

    Ponieważ uwierzytelnianie przebiega w programie Graph, musisz podać uprawnienia do identyfikatora aplikacji.As the authentication is run against Graph, you must provide permissions to the AppID. Jeśli jest to pierwsze użycie tego narzędzia, wymagany jest administrator globalny.If it's the first time you've used this utility, a Global administrator is required. Polecenia cmdlet programu PowerShell korzystają z tego samego identyfikatora aplikacji, którego użyto w repozytorium powershell-intune-samples.The PowerShell cmdlets use the same AppID as the one used with PowerShell Intune Samples.

  5. Przekonwertuj hasło dla każdego importowanego pliku PFX na bezpieczny ciąg, używając polecenia $SecureFilePassword = ConvertTo-SecureString -String "<PFXPassword>" -AsPlainText -Force.Convert the password for each PFX file you're importing to a secure string by running $SecureFilePassword = ConvertTo-SecureString -String "<PFXPassword>" -AsPlainText -Force.

  6. Aby utworzyć obiekt UserPFXCertificate, uruchom polecenie $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>"To create a UserPFXCertificate object, run $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>"

    Na przykład: $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "C:\temp\userA.pfx" $SecureFilePassword "userA@contoso.com" "Microsoft Software Key Storage Provider" "PFXEncryptionKey" "smimeEncryption"For example: $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "C:\temp\userA.pfx" $SecureFilePassword "userA@contoso.com" "Microsoft Software Key Storage Provider" "PFXEncryptionKey" "smimeEncryption"

    Uwaga

    W przypadku importowania certyfikatu z systemu innego niż serwer, na którym zainstalowano łącznik, należy użyć następującego polecenia zawierającego ścieżkę pliku klucza: $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>" "<PaddingScheme>" "<File path to public key file>"When you import the certificate from a system other than the server where the connector is installed, use must use the following command that includes the key file path: $userPFXObject = New-IntuneUserPfxCertificate -PathToPfxFile "<FullPathPFXToCert>" $SecureFilePassword "<UserUPN>" "<ProviderName>" "<KeyName>" "<IntendedPurpose>" "<PaddingScheme>" "<File path to public key file>"

    Sieć VPN nie jest obsługiwana jako Zamierzony cel.VPN is not supported as a IntendedPurpose.

  7. Zaimportuj obiekt UserPFXCertificate do usługi Intune, uruchamiając polecenie Import-IntuneUserPfxCertificate -CertificateList $userPFXObjectImport the UserPFXCertificate object to Intune by running Import-IntuneUserPfxCertificate -CertificateList $userPFXObject

  8. Aby sprawdzić poprawność zaimportowanego certyfikatu, uruchom polecenie Get-IntuneUserPfxCertificate -UserList "<UserUPN>"To validate the certificate was imported, run Get-IntuneUserPfxCertificate -UserList "<UserUPN>"

  9. Najlepszym rozwiązaniem umożliwiającym oczyszczenie pamięci podręcznej tokenów usługi Azure AD bez konieczności oczekiwania na ich samoczynne wygaśnięcie jest uruchomienie polecenia Remove-IntuneAuthenticationTokenAs a best practice to clean up the Azure AD token cache without waiting for it to expire on it’s own, run Remove-IntuneAuthenticationToken

Więcej informacji o innych dostępnych poleceniach można znaleźć w pliku readme projektu PFXImport PowerShell w usłudze GitHub.For more information about other available commands, see the readme file at PFXImport PowerShell Project at GitHub.

Tworzenie profilu zaimportowanego certyfikatu PKCSCreate a PKCS imported certificate profile

Po zaimportowaniu certyfikatów do usługi Intune należy utworzyć profil zaimportowanego certyfikatu PKCS i przypisać go do grup usługi Azure Active Directory.After importing the certificates to Intune, create a PKCS imported certificate profile, and assign it to Azure Active Directory groups.

Uwaga

Po utworzeniu profilu zaimportowanego certyfikatu PKCS wartości Zamierzony cel i Dostawca magazynu kluczy w profilu są tylko do odczytu i nie można ich edytować.After you create a PKCS imported certificate profile, the Intended Purpose and Key storage provider (KSP) values in the profile are read-only and can't be edited. Jeśli potrzebujesz innej wartości dowolnego z tych ustawień, utwórz i wdróż nowy profil.If you need a different value for either of these settings, create and deploy a new profile.

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz następujące pozycje i przejdź do nich: Urządzenia > Profile konfiguracji > Utwórz profil.Select and go to Devices > Configuration profiles > Create profile.

  3. Wprowadź następujące właściwości:Enter the following properties:

    • Platforma: Wybierz platformę urządzeń.Platform: Choose the platform of your devices.
    • Profil: Wybierz pozycję Zaimportowany certyfikat PKCSProfile: Select PKCS imported certificate
  4. Wybierz przycisk Utwórz.Select Create.

  5. W obszarze Podstawy wprowadź następujące właściwości:In Basics, enter the following properties:

    • Nazwa: Wprowadź opisową nazwę profilu.Name: Enter a descriptive name for the profile. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać.Name your profiles so you can easily identify them later. Na przykład dobra nazwa profilu to Profil z zaimportowanym certyfikatem PKCS dla całej firmy.For example, a good profile name is PKCS imported certificate profile for entire company.
    • Opis: Wprowadź opis profilu.Description: Enter a description for the profile. To ustawienie jest opcjonalne, ale zalecane.This setting is optional, but recommended.
  6. Wybierz pozycję Dalej.Select Next.

  7. W polu Ustawienia konfiguracji wprowadź następujące właściwości:In Configuration settings, enter the following properties:

    • Przeznaczenie: Określ przeznaczenie certyfikatów importowanych na potrzeby tego profilu.Intended purpose: Specify the intended purpose of the certificates that are imported for this profile. Administratorzy mogą importować certyfikaty o różnym przeznaczeniu (np. podpisywanie za pomocą protokołu S/MIME lub szyfrowanie za pomocą protokołu S/MIME).Administrators can import certificates with different intended purposes (like S/MIME signing or S/MIME encryption). Przeznaczenie wybrane w profilu certyfikatu służy do dopasowywania profilu certyfikatu do odpowiednich zaimportowanych certyfikatów.The intended purpose selected in the certificate profile matches the certificate profile with the right imported certificates. Przeznaczenie to znacznik, według którego są grupowane zaimportowane certyfikaty. Nie gwarantuje przydatności zaimportowanych certyfikatów do określonego celu.Intended purpose is a tag to group imported certificates together and doesn't guarantee that certificates imported with that tag will meet the intended purpose.
    • Dostawca magazynu kluczy: W przypadku systemu Windows wybierz miejsce przechowywania kluczy na urządzeniu.Key storage provider (KSP): For Windows, select where to store the keys on the device.
  8. Wybierz pozycję Dalej.Select Next.

  9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli RBAC i tagów zakresu w rozproszonej strukturze informatycznej.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Wybierz pozycję Dalej.Select Next.

  10. W obszarze Przypisania wybierz użytkownika lub grupy, które otrzymają Twój profil.In Assignments, select the user or groups that will receive your profile. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.For more information on assigning profiles, see Assign user and device profiles.

    Wybierz pozycję Dalej.Select Next.

  11. (Dotyczy tylko systemu Windows 10) W obszarze Reguły stosowania określ reguły stosowania, aby uściślić przypisanie tego profilu.(Applies to Windows 10 only) In Applicability Rules, specify applicability rules to refine the assignment of this profile. Możesz przypisać profil lub zrezygnować z jego przypisania na podstawie edycji systemu operacyjnego lub wersji urządzenia.You can choose to assign or not assign the profile based on the OS edition or version of a device.

    Aby uzyskać więcej informacji, zobacz sekcję dotyczącą reguł stosowania w temacie Tworzenie profilu urządzenia w usłudze Microsoft Intune.For more information, see Applicability rules in Create a device profile in Microsoft Intune.

    Wybierz pozycję Dalej.Select Next.

  12. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia.In Review + create, review your settings. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany.When you select Create, your changes are saved, and the profile is assigned. Zasady są również wyświetlane na liście profilów.The policy is also shown in the profiles list.

Pomoc techniczna dla partnerów innych firmSupport for third-party partners

Następujący partnerzy zapewniają obsługiwane metody lub narzędzia, których można użyć do zaimportowania certyfikatów PFX do usługi Intune.The following partners provide supported methods or tools you can use to import PFX certificates to Intune.

DigiCertDigiCert

Jeśli korzystasz z usługi platformy PKI DigiCert, do zaimportowania certyfikatów PFX do usługi Intune możesz użyć narzędzia do importowania certyfikatów S/MIME usługi Intune firmy DigiCert.If you use the DigiCert PKI Platform service, you can use the DigiCert Import Tool for Intune S/MIME Certificates to import PFX certificates to Intune. Użycie tego narzędzia eliminuje konieczność postępowania według instrukcji zamieszczonej w sekcji Importowanie certyfikatów PFX do usługi Intune, co zostało szczegółowo opisane wcześniej w tym artykule.Use of this tool replaces the need to follow the instructions in the section Import PFX Certificates to Intune that's detailed earlier in this article.

Aby dowiedzieć się więcej o narzędziu do importowania firmy DigiCert, w tym o sposobach uzyskiwania tego narzędzia, zobacz https://knowledge.digicert.com/tutorials/microsoft-intune.html w bazie wiedzy DigiCert.To learn more about the DigiCert Import tool, including how to obtain the tool, see https://knowledge.digicert.com/tutorials/microsoft-intune.html in the DigiCert knowledge base.

KeyTalkKeyTalk

Jeśli używasz usługi KeyTalk, możesz ją skonfigurować do importowania certyfikatów PFX do usługi Intune.If you use the KeyTalk service, you can configure their service to import PFX certificates to Intune. Ukończenie integracji eliminuje konieczność postępowania według instrukcji zamieszczonej w sekcji Importowanie certyfikatów PFX do usługi Intune, opisanej szczegółowo wcześniej w tym artykule.After you complete integration, you won’t need to follow the instructions in the section Import PFX Certificates to Intune to Intune that's detailed earlier in this article.

Aby dowiedzieć się więcej o integracji usługi KeyTalk z usługą Intune, przejdź do strony https://keytalk.com/support w bazie wiedzy usługi KeyTalk.To learn more about KeyTalk’s integration with Intune, see https://keytalk.com/support in the KeyTalk knowledge base.

Następne krokiNext steps

Profil został utworzony, ale nie wykonuje jeszcze żadnych czynności.The profile is created, but it's not doing anything yet. Przypisz nowy profil urządzenia.Assign the new device profile.