Tworzenie i przypisywanie profilów certyfikatów SCEP w usłudze IntuneCreate and assign SCEP certificate profiles in Intune

Po skonfigurowaniu infrastruktury pod kątem obsługi prostego protokołu rejestrowania certyfikatów (SCEP, Simple Certificate Enrollment Protocol) możesz tworzyć profile certyfikatów SCEP, a następnie przypisywać je do użytkowników i urządzeń w usłudze Intune.After you configure your infrastructure to support Simple Certificate Enrollment Protocol (SCEP) certificates, you can create and then assign SCEP certificate profiles to users and devices in Intune.

Aby można było użyć profilu certyfikatu SCEP na urządzeniach, muszą one ufać zaufanemu głównemu urzędowi certyfikacji.For devices to use a SCEP certificate profile, they must trust your Trusted Root Certification Authority (CA). Relację zaufania głównego urzędu certyfikacji najlepiej ustanowić, wdrażając profil zaufanego certyfikatu do tej samej grupy, która odbiera profil certyfikatu SCEP.Trust of the root CA is best established by deploying a trusted certificate profile to the same group that receives the SCEP certificate profile. Profile zaufanych certyfikatów aprowizują certyfikat zaufanego głównego urzędu certyfikacji.Trusted certificate profiles provision the Trusted Root CA certificate.

Uwaga

Począwszy od wersji systemu Android 11, nie można już instalować zaufanego certyfikatu głównego na urządzeniach zarejestrowanych jako Administrator urządzenia z systemem Android przy użyciu profili certyfikatu zaufanego.Beginning with Android 11, trusted certificate profiles can no longer install the trusted root certificate on devices that are enrolled as Android device administrator . To ograniczenie nie dotyczy systemu Samsung Knox.This limitation does not apply to Samsung Knox.

Aby uzyskać więcej informacji na temat tego ograniczenia, zobacz Profile zaufanych certyfikatów na potrzeby administratora urządzenia z systemem Android.For more information about this limitation, see Trusted certificate profiles for Android device administrator.

Tworzenie profilu certyfikatu protokołu SCEPCreate a SCEP certificate profile

  1. Zaloguj się do centrum administracyjnego programu Microsoft Endpoint Manager.Sign in to the Microsoft Endpoint Manager admin center.

  2. Wybierz następujące pozycje i przejdź do nich: Urządzenia > Profile konfiguracji > Utwórz profil .Select and go to Devices > Configuration profiles > Create profile .

  3. Wprowadź następujące właściwości:Enter the following properties:

    • Platforma : Wybierz platformę urządzeń.Platform : Choose the platform of your devices.

    • Profil : wybierz pozycję Certyfikat SCEPProfile : Select SCEP certificate

      W przypadku platformy Android Enterprise typ profilu jest podzielony na dwie kategorie: W pełni zarządzany i dedykowany profil służbowy należący do firmy oraz Tylko profil służbowy .For the Android Enterprise platform, Profile type is divided into two categories, Fully Managed, Dedicated, and Corporate-Owned Work Profile and Work Profile Only . Upewnij się, że wybrano prawidłowy profil certyfikatu SCEP dla zarządzanych urządzeń.Be sure to select the correct SCEP certificate profile for the devices you manage.

      Profile certyfikatów SCEP dla profilu W pełni zarządzany i dedykowany profil służbowy należący do firmy mają następujące ograniczenia:SCEP certificate profiles for the Fully Managed, Dedicated, and Corporate-Owned Work Profile profile have the following limitations:

      1. W obszarze Monitorowanie funkcja raportowania certyfikatów nie jest dostępna w przypadku profilów certyfikatów SCEP właścicieli urządzeń.Under Monitoring, certificate reporting isn't available for Device Owner SCEP certificate profiles.

      2. Nie można używać usługi Intune do odwoływania certyfikatów, które zostały aprowizowane przez profile certyfikatów SCEP dla właścicieli urządzeń.You can't use Intune to revoke certificates that were provisioned by SCEP certificate profiles for Device Owners. Odwołaniami można zarządzać za pomocą zewnętrznego procesu lub bezpośrednio przy użyciu urzędu certyfikacji.You can manage revocation through an external process or directly with the certification authority.

      3. W przypadku dedykowanych urządzeń z systemem Android Enterprise profile certyfikatów protokołu SCEP są obsługiwane na potrzeby konfiguracji sieci Wi-Fi, sieci VPN i uwierzytelniania.For Android Enterprise dedicated devices, SCEP certificate profiles are supported for Wi-Fi network configuration, VPN, and authentication. Profile certyfikatów protokołu SCEP na dedykowanych urządzeniach z systemem Android Enterprise nie są obsługiwane w przypadku uwierzytelniania aplikacji.SCEP certificate profiles on Android Enterprise dedicated devices are not supported for app authentication.

  4. Wybierz przycisk Utwórz .Select Create .

  5. W obszarze Podstawy wprowadź następujące właściwości:In Basics , enter the following properties:

    • Nazwa : Wprowadź opisową nazwę profilu.Name : Enter a descriptive name for the profile. Nadaj nazwę profilom, aby można było je później łatwo rozpoznać.Name your profiles so you can easily identify them later. Na przykład dobra nazwa profilu to Profil SCEP dla całej firmy .For example, a good profile name is SCEP profile for entire company .
    • Opis : Wprowadź opis profilu.Description : Enter a description for the profile. To ustawienie jest opcjonalne, ale zalecane.This setting is optional, but recommended.
  6. Wybierz pozycję Dalej .Select Next .

  7. W obszarze Ustawienia konfiguracji wykonaj następujące czynności konfiguracyjne:In Configuration settings , complete the following configurations:

    • Typ certyfikatu :Certificate type :

      (Dotyczy: system Android, Android Enterprise, iOS/iPadOS, macOS, Windows 8.1 i nowszy oraz Windows 10 i nowszy).(Applies to: Android, Android Enterprise, iOS/iPadOS, macOS, Windows 8.1 and later, and Windows 10 and later.)

      Wybierz typ w zależności od tego, w jaki sposób będzie używany profil certyfikatu:Select a type depending on how you'll use the certificate profile:

      • Użytkownik : Certyfikaty typu Użytkownik mogą zawierać atrybuty użytkownika i urządzenia w podmiocie i nazwie SAN certyfikatu.User : User certificates can contain both user and device attributes in the subject and SAN of the certificate.

      • Urządzenie : Certyfikaty typu Urządzenie mogą zawierać tylko atrybuty urządzenia w temacie i nazwie SAN certyfikatu.Device : Device certificates can only contain device attributes in the subject and SAN of the certificate.

        Używaj certyfikatów typu Urządzenie na potrzeby scenariuszy, takich jak urządzenia bez użytkowników, np. kioski, lub na potrzeby urządzeń z systemem Windows.Use Device for scenarios such as user-less devices, like kiosks, or for Windows devices. Na urządzeniach z systemem Windows certyfikat zostanie umieszczony w magazynie certyfikatów na komputerze lokalnym.On Windows devices, the certificate is placed in the Local Computer certificate store.

      Uwaga

      W systemie macOS certyfikaty aprowizowane przy użyciu protokołu SCEP są zawsze umieszczane w łańcuchu kluczy systemu (magazyn systemowy) urządzenia.On macOS, certificates you provision with SCEP are always placed in the system keychain (System store) of the device.

    • Format nazwy podmiotu :Subject name format :

      Wprowadź tekst, aby poinformować usługę Intune o sposobie automatycznego tworzenia nazwy podmiotu w żądaniu certyfikatu przez usługę Intune.Enter text to tell Intune how to automatically create the subject name in the certificate request. Opcje formatu nazwy podmiotu zależą od wybranego typu certyfikatu: Użytkownik lub Urządzenie .Options for the subject name format depend on the Certificate type you select, either User or Device .

      Uwaga

      Istnieje znany problem związany z używaniem protokołu SCEP do pobrania certyfikatów, gdy nazwa podmiotu w uzyskanym żądaniu podpisania certyfikatu (CSR) zawiera jeden z następujących znaków jako znak o zmienionym znaczeniu (poprzedzony ukośnikiem odwrotnym\):There is a known issue for using SCEP to get certificates when the subject name in the resulting Certificate Signing Request (CSR) includes one of the following characters as an escaped character (proceeded by a backslash \):

      • +
      • ;;
      • ,,
      • =
      • Typ certyfikatu UżytkownikUser certificate type

        Użyj tego pola tekstowego do wprowadzenia niestandardowego formatu nazwy podmiotu, w tym teksu statycznego i zmiennych.Use the text box to enter a custom subject name format, including static text and variables. Obsługiwane są dwie zmienne: Nazwa pospolita (CN) i Adres e-mail (E) .Two variable options are supported: Common Name (CN) and Email (E) .

        Adres e-mail (E) zwykle jest ustawiany przy użyciu zmiennej {{EmailAddress}}.Email (E) would usually be set with the {{EmailAddress}} variable. Przykład: E={{EmailAddress}}For example: E={{EmailAddress}}

        Dla wartości Nazwa pospolita (CN) można ustawić jedną z następujących zmiennych:Common Name (CN) can be set to any of the following variables:

        • CN={{UserName}} : nazwa użytkownika, na przykład jankowalski.CN={{UserName}} : The user name of the user, such as janedoe.

        • CN={{UserPrincipalName}} : główna nazwa użytkownika, taka jak janedoe@contoso.com.CN={{UserPrincipalName}} : The user principal name of the user, such as janedoe@contoso.com.

        • CN={{AAD_Device_ID}} : identyfikator przypisany podczas rejestrowania urządzenia w usłudze Azure Active Directory (AD).CN={{AAD_Device_ID}} : An ID assigned when you register a device in Azure Active Directory (AD). Ten identyfikator jest zazwyczaj używany do uwierzytelniania za pomocą usługi Azure AD.This ID is typically used to authenticate with Azure AD.

        • CN={{SERIALNUMBER}} : unikatowy numer seryjny (SN) używany zwykle przez producenta do identyfikowania urządzenia.CN={{SERIALNUMBER}} : The unique serial number (SN) typically used by the manufacturer to identify a device.

        • CN={{IMEINumber}} : unikatowy numer IMEI (International Mobile Equipment Identity) używany do identyfikowania telefonu komórkowego.CN={{IMEINumber}} : The International Mobile Equipment Identity (IMEI) unique number used to identify a mobile phone.

        • CN={{OnPrem_Distinguished_Name}} : sekwencja względnych nazw wyróżniających rozdzielonych przecinkami, taka jak CN=Jan Nowak,OU=UserAccounts,DC=corp,DC=contoso,DC=com .CN={{OnPrem_Distinguished_Name}} : A sequence of relative distinguished names separated by comma, such as CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com .

          Aby użyć zmiennej {{OnPrem_Distinguished_Name}} , zsynchronizuj atrybut użytkownika onpremisesdistinguishedname z usługą Azure AD za pomocą programu Azure AD Connect.To use the {{OnPrem_Distinguished_Name}} variable, be sure to sync the onpremisesdistinguishedname user attribute using Azure AD Connect to your Azure AD.

        • CN={{OnPremisesSamAccountName}} : administratorzy mogą synchronizować atrybut samAccountName z usługi Active Directory do usługi Azure AD za pomocą programu Azure AD Connect do atrybutu o nazwie onPremisesSamAccountName .CN={{OnPremisesSamAccountName}} : Admins can sync the samAccountName attribute from Active Directory to Azure AD using Azure AD connect into an attribute called onPremisesSamAccountName . Usługa Intune może podstawić zmienną jako część żądania wystawienia certyfikatu w podmiocie certyfikatu.Intune can substitute that variable as part of a certificate issuance request in the subject of a certificate. Atrybut samAccountName jest nazwą logowania użytkownika, która jest używana do obsługi klientów i serwerów z poprzedniej wersji systemu Windows (starszej niż Windows 2000).The samAccountName attribute is the user sign-in name used to support clients and servers from a previous version of Windows (pre-Windows 2000). Format nazwy logowania użytkownika: NazwaDomeny\użytkownikTestowy lub tylko użytkownikTestowy .The user sign in name format is: DomainName\testUser , or only testUser .

          Aby użyć zmiennej {{OnPremisesSamAccountName}} , zsynchronizuj atrybut użytkownika OnPremisesSamAccountName z usługą Azure AD za pomocą programu Azure AD Connect.To use the {{OnPremisesSamAccountName}} variable, be sure to sync the OnPremisesSamAccountName user attribute using Azure AD Connect to your Azure AD.

        Wszystkich zmiennych dotyczących urządzenia wymienionych w poniższej sekcji Typ certyfikatu urządzenia można używać również w nazwach podmiotu certyfikatu.All device variables listed in the following Device certificate type section can also be used in user certificate subject names.

        Przy użyciu kombinacji jednej lub wielu spośród tych zmiennych i ciągów testu statycznego można utworzyć niestandardowy format nazwy podmiotu, na przykład: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=USBy using a combination of one or many of these variables and static text strings, you can create a custom subject name format, such as: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

        W tym przykładzie uwzględniono format nazwy podmiotu, który używa zmiennych CN i E oraz ciągów dla wartości jednostki organizacyjnej, organizacji, lokalizacji, stanu i kraju.That example includes a subject name format that uses the CN and E variables, and strings for Organizational Unit, Organization, Location, State, and Country values. Temat Funkcja CertStrToName zawiera opis tej funkcji i ciągi obsługiwane przez nią.CertStrToName function describes this function, and its supported strings.

        W przypadku profilów W pełni zarządzany i dedykowany profil służbowy należący do firmy systemu Android ustawienie CN={{UserPrincipalName}} nie zadziała.For Android Fully Managed, Dedicated, and Corporate-Owned Work Profile profiles, the CN={{UserPrincipalName}} setting will not work. Profile W pełni zarządzany i dedykowany profil służbowy należący do firmy systemu Android mogą być używane w przypadku urządzeń bez użytkownika, więc ten profil nie będzie mógł uzyskać głównej nazwy użytkownika.Android Fully Managed, Dedicated, and Corporate-Owned Work Profile profiles can be used for devices without User so this profile will not be able to get the user principal name of the user. Jeśli ta opcja jest wymagana w przypadku urządzeń z użytkownikami, można zastosować na przykład takie obejście: CN={{UserName}}@contoso.com Udostępnia nazwę użytkownika i dodaną ręcznie domenę, taką jak janedoe@contoso.comIf you really need this option for devices with users, you can use a workaround like this: CN={{UserName}}@contoso.com It will provide the User Name and the domain you added manually, such as janedoe@contoso.com

      • Typ certyfikatu UrządzenieDevice certificate type

        Opcje na potrzeby formatu nazwy podmiotu obejmują następujące zmienne:Format options for the Subject name format include the following variables:

        • {{AAD_Device_ID}} lub {{AzureADDeviceId}} — do zidentyfikowania urządzenia na podstawie identyfikatora usługi Azure AD można użyć dowolnej z tych zmiennych.{{AAD_Device_ID}} or {{AzureADDeviceId}} - Either variable can be used to identify a device by its Azure AD ID.
        • {{Device_Serial}}{{Device_Serial}}
        • {{Device_IMEI}}{{Device_IMEI}}
        • {{SerialNumber}}{{SerialNumber}}
        • {{IMEINumber}}{{IMEINumber}}
        • {{WiFiMacAddress}}{{WiFiMacAddress}}
        • {{IMEI}}{{IMEI}}
        • {{DeviceName}}{{DeviceName}}
        • {{FullyQualifiedDomainName}} (dotyczy tylko urządzeń z systemem Windows i urządzeń przyłączonych do domeny){{FullyQualifiedDomainName}} (Only applicable for Windows and domain-joined devices)
        • {{MEID}}{{MEID}}

        Te zmienne i tekst statyczny można określić w polu tekstowym.You can specify these variables and static text in the textbox. Na przykład nazwa pospolita urządzenia o nazwie Urządzenie1 może zostać dodana jako CN={{DeviceName}}Urządzenie1 .For example, the common name for a device named Device1 can be added as CN={{DeviceName}}Device1 .

        Ważne

        • Aby uniknąć błędu, po określeniu zmiennej należy ująć ją w podwójne nawiasy klamrowe {{ }}, jak pokazano w przykładzie.When you specify a variable, enclose the variable name in double curly brackets {{ }} as seen in the example, to avoid an error.
        • Właściwości urządzenia użyte w polach temat lub Nazwa SAN certyfikatu urządzenia, takie jak IMEI , SerialNumber i FullyQualifiedDomainName , są właściwościami, mogą zostać sfałszowane przez osobę z dostępem do urządzenia.Device properties used in the subject or SAN of a device certificate, like IMEI , SerialNumber , and FullyQualifiedDomainName , are properties that could be spoofed by a person with access to the device.
        • Urządzenie musi obsługiwać wszystkie zmienne określone w profilu certyfikatu, aby dla tego profilu możliwe było instalowanie na urządzeniu.A device must support all variables specified in a certificate profile for that profile to install on that device. Na przykład jeśli zmienna {{IMEI}} zostanie użyta w nazwie podmiotu profilu SCEP, a następnie zostanie przypisana do urządzenia, które nie ma numeru IMEI, instalacja profilu zakończy się niepowodzeniem.For example, if {{IMEI}} is used in the subject name of a SCEP profile and is assigned to a device that doesn't have an IMEI number, the profile fails to install.
    • Alternatywna nazwa podmiotu :Subject alternative name :
      wybierz sposób, w jaki usługa Intune automatycznie tworzy alternatywną nazwę podmiotu (SAN) w żądaniu certyfikatu.Select how Intune automatically creates the subject alternative name (SAN) in the certificate request. Można określić wiele alternatywnych nazw podmiotu.You can specify multiple subject alternative names. Dla każdej z nich można wybrać jeden z czterech atrybutów sieci SAN i wprowadzić wartość tekstową dla tego atrybutu.For each one, you may select from four SAN attributes and enter a text value for that attribute. Wartość tekstowa może zawierać zmienne i/lub tekst statyczny dla atrybutu.The text value can contain variables and/or static text for the attribute.

      Wybierz jeden z dostępnych atrybutów sieci SAN:Select from the available SAN attributes:

      • Adres e-mailEmail address
      • Główna nazwa użytkownika (UPN)User principal name (UPN)
      • DNSDNS
      • Uniform Resource Identifier (URI)Uniform Resource Identifier (URI)

      Dostępne zmienne dla wartości sieci SAN zależą od wybranego typu certyfikatu: Użytkownik lub Urządzenie .Variables available for the SAN value depend on the Certificate type you selected; either User or Device .

      • Typ certyfikatu UżytkownikUser certificate type

        Typ certyfikatu Użytkownik umożliwia użycie dowolnej ze zmiennych certyfikatu użytkownika lub urządzenia opisanych powyżej w sekcji Nazwa podmiotu.With the User certificate type, you can use any of the user or device certificate variables described above in the Subject Name section.

        Na przykład typy certyfikatu Użytkownik mogą w alternatywnej nazwie podmiotu uwzględniać główną nazwę użytkownika (UPN).For example, user certificate types can include the user principal name (UPN) in the subject alternative name. Jeśli certyfikat klienta będzie używany do uwierzytelniania go wobec serwera zasad sieciowych, dla alternatywnej nazwy podmiotu należy ustawić nazwę UPN.If a client certificate is used to authenticate to a Network Policy Server, set the subject alternative name to the UPN.

      • Typ certyfikatu UrządzenieDevice certificate type

        Typ certyfikatu Urządzenie umożliwia użycie dowolnej ze zmiennych opisanych w sekcji Typ certyfikatu urządzenia dla pola Nazwa podmiotu.With the Device certificate type, you can use any of the variables described in the Device certificate type section for Subject Name.

        Aby określić wartość dla atrybutu, dołącz nazwę zmiennej w nawiasach klamrowych, po której następuje dotyczący jej tekst.To specify a value for an attribute, include the variable name with curly brackets, followed by the text for that variable. Na przykład do wartości dla atrybutu DNS można dodać wartość {{AzureADDeviceId}}.domena.com , gdzie .domena.com jest tekstem.For example, a value for the DNS attribute can be added {{AzureADDeviceId}}.domain.com where .domain.com is the text. Dla użytkownika o nazwie User1 adres e-mail może zostać wyświetlony jako {{FullyQualifiedDomainName}}User1@Contoso.com.For a user named User1 an Email address might appear as {{FullyQualifiedDomainName}}User1@Contoso.com.

      Przy użyciu kombinacji jednej lub wielu spośród tych zmiennych i ciągów testu statycznego można utworzyć niestandardowy format alternatywnej nazwy podmiotu, na przykład:By using a combination of one or many of these variables and static text strings, you can create a custom subject alternative name format, such as:

      • {{UserName}}-Home{{UserName}}-Home

        Ważne

        • W przypadku stosowania zmiennej certyfikatu urządzenia należy ją ująć w podwójne nawiasy klamrowe {{ }}.When using a device certificate variable, enclose the variable name in double curly brackets {{ }}.
        • Nie używaj nawiasów klamrowych { } , symboli potoków | ani średników ; w tekście następującym po zmiennej.Don't use curly brackets { } , pipe symbols | , and semicolons ; , in the text that follows the variable.
        • Właściwości urządzenia użyte w polach temat lub Nazwa SAN certyfikatu urządzenia, takie jak IMEI , SerialNumber i FullyQualifiedDomainName , są właściwościami, mogą zostać sfałszowane przez osobę z dostępem do urządzenia.Device properties used in the subject or SAN of a device certificate, like IMEI , SerialNumber , and FullyQualifiedDomainName , are properties that could be spoofed by a person with access to the device.
        • Urządzenie musi obsługiwać wszystkie zmienne określone w profilu certyfikatu, aby dla tego profilu możliwe było instalowanie na urządzeniu.A device must support all variables specified in a certificate profile for that profile to install on that device. Na przykład jeśli zmienna {{IMEI}} zostanie użyta w nazwie SAN profilu SCEP, a następnie zostanie przypisana do urządzenia, które nie ma numeru IMEI, instalacja profilu zakończy się niepowodzeniem.For example, if {{IMEI}} is used in the SAN of a SCEP profile and is assigned to a device that doesn't have an IMEI number, the profile fails to install.
    • Okres ważności certyfikatu :Certificate validity period :

      Możesz podać okres krótszy niż okres ważności w szablonie certyfikatu, ale nie dłuższy.You can enter a value that is lower than the validity period in the certificate template, but not higher. Jeśli szablon certyfikatu został skonfigurowany pod kątem obsługiwania wartości niestandardowej, którą można ustawić z poziomu konsoli usługi Intune, użyj tego ustawienia, aby określić ilość czasu pozostałego do wygaśnięcia certyfikatu.If you configured the certificate template to support a custom value that can be set from within the Intune console, use this setting to specify the amount of remaining time before the certificate expires.

      Jeśli na przykład okres ważności certyfikatu w szablonie certyfikatu wynosi dwa lata, możesz określić jeden rok, ale nie pięć lat.For example, if the certificate validity period in the certificate template is two years, you can enter a value of one year, but not a value of five years. Wartość musi być też niższa niż pozostały okres ważności certyfikatu urzędu wystawiającego certyfikaty.The value must also be lower than the remaining validity period of the issuing CA's certificate.

      Zaplanuj okres ważności wynoszący pięć dni lub dłużej.Plan to use a validity period of five days or greater. Gdy okres ważności jest krótszy niż pięć dni, istnieje duże prawdopodobieństwo, że certyfikat wejdzie w stan bliski wygaśnięcia lub wygaśnięcia, co może spowodować, że agent MDM na urządzeniach odrzuci certyfikat przed jego zainstalowaniem.When the validity period is less than five days, there is a high likelihood of the certificate entering a near-expiry or expired state, which can cause the MDM agent on devices to reject the certificate before it’s installed.

    • Dostawca magazynu kluczy :Key storage provider (KSP) :

      (Dotyczy: system Windows 8.1 i nowszy oraz Windows 10 i nowszy)(Applies to: Windows 8.1 and later, and Windows 10 and later)

      Określ lokalizację przechowywania klucza do certyfikatu.Specify where the key to the certificate is stored. Do wyboru są następujące wartości:Choose from the following values:

      • Zarejestruj u dostawcy magazynu kluczy modułu Trusted Platform Module (TPM), w przeciwnym razie u dostawcy magazynu kluczy oprogramowaniaEnroll to Trusted Platform Module (TPM) KSP if present, otherwise Software KSP
      • Zarejestruj u dostawcy magazynu kluczy modułu Trusted Platform Module (TPM), w przeciwnym razie niepowodzenieEnroll to Trusted Platform Module (TPM) KSP, otherwise fail
      • Zarejestruj w usłudze Passport, w przeciwnym razie niepowodzenie (system Windows 10 i nowsze)Enroll to Passport, otherwise fail (Windows 10 and later)
      • Zarejestruj u dostawcy magazynu kluczy oprogramowaniaEnroll to Software KSP
    • Użycie klucza :Key usage :

      Wybierz opcje użycia klucza dla certyfikatu:Select key usage options for the certificate:

      • Podpis cyfrowy : zezwalaj na wymianę kluczy tylko wtedy, gdy w ochronie klucza pomaga podpis cyfrowy.Digital signature : Allow key exchange only when a digital signature helps protect the key.
      • Szyfrowanie klucza : Zezwalaj na wymianę kluczy tylko wtedy, gdy klucz jest zaszyfrowany.Key encipherment : Allow key exchange only when the key is encrypted.
    • Rozmiar klucza (bity) :Key size (bits) :

      Wybierz liczbę bitów zawartych w kluczu:Select the number of bits contained in the key:

      • Nie skonfigurowanoNot configured
      • 10241024
      • 20482048
      • 4096 (obsługiwane w systemach iOS/iPadOS 14 i nowszych oraz macOS 11 i nowszych)4096 (supported with iOS/iPadOS 14 and later, and macOS 11 and later)
    • Algorytm wyznaczania wartości skrótu :Hash algorithm :

      (dotyczy systemów Android, Android Enterprise, Windows 8.1 i nowszych oraz Windows 10 i nowszych)(Applies to Android, Android enterprise, Windows 8.1 and later, and Windows 10 and later)

      Wybierz jeden z dostępnych typów algorytmu wyznaczania wartości skrótu do użycia z tym certyfikatem.Select one of the available hash algorithm types to use with this certificate. Wybierz najwyższy poziom zabezpieczeń obsługiwany przez podłączane urządzenia.Select the strongest level of security that the connecting devices support.

    • Certyfikat główny :Root Certificate :

      Wybierz profil zaufanego certyfikatu , który został wcześniej skonfigurowany i przypisany do odpowiednich użytkowników i urządzeń dla tego profilu certyfikatu SCEP.Select the trusted certificate profile you previously configured and assigned to applicable users and devices for this SCEP certificate profile. Profil zaufanego certyfikatu służy do aprowizowania certyfikatu zaufanego głównego urzędu certyfikacji dla użytkowników i urządzeń.The trusted certificate profile is used to provision users and devices with the Trusted Root CA certificate. Aby uzyskać informacje o profilu zaufanego certyfikatu, zobacz Eksportowanie certyfikatu zaufanego głównego urzędu certyfikacji i Tworzenie profilów zaufanych certyfikatów w temacie Używanie certyfikatów do uwierzytelniania w usłudze Intune .For information about the trusted certificate profile, see Export your trusted root CA certificate and Create trusted certificate profiles in Use certificates for authentication in Intune . Jeśli masz główny urząd certyfikacji i urząd wystawiający certyfikaty, wybierz profil zaufanego certyfikatu głównego weryfikujący urząd wystawiający certyfikaty.If you have a root Certification Authority and an issuing Certification Authority, select the Trusted Root certificate profile that validates the Issuing Certification Authority.

      Uwaga

      W przypadku urządzeń iOS/iPadOS, jeśli masz główny urząd certyfikacji i urząd wystawiający certyfikaty, wybierz profil zaufanego certyfikatu głównego weryfikujący główny urząd certyfikacji.On iOS/iPadOS devices, if you have a root Certification Authority and an issuing Certification Authority, select the Trusted Root certificate profile that validates the root Certification Authority.

    • Rozszerzone użycie klucza :Extended key usage :

      dodaj wartości w zależności od celu certyfikatu.Add values for the certificate's intended purpose. W większości przypadków jest wymagane uwierzytelnienie klienta dla certyfikatu, aby zapewnić użytkownikom lub urządzeniom możliwość uwierzytelnienia na serwerze.In most cases, the certificate requires client authentication so that the user or device can authenticate to a server. W razie potrzeby możesz dodać dodatkowe użycia klucza.You can add additional key usages as required.

    • Próg odnawiania (%) :Renewal threshold (%) :

      wprowadź wartość procentową pozostałego okresu ważności certyfikatu, przy której urządzenie ma żądać odnowienia certyfikatu.Enter the percentage of the certificate lifetime that remains before the device requests renewal of the certificate. Jeśli na przykład wprowadzisz wartość 20, próba odnowienia certyfikatu zostanie podjęta w przypadku, gdy certyfikat wygasł w 80%.For example, if you enter 20, the renewal of the certificate will be attempted when the certificate is 80% expired. Próby odnowienia będą kontynuowane, aż odnawianie zakończy się pomyślnie.Renewal attempts continue until renewal is successful. Podczas odnawiania generowany jest nowy certyfikat, co powoduje utworzenie nowej pary kluczy publicznych/prywatnych.Renewal generates a new certificate, which results in a new public/private key pair.

    • Adresy URL serwerów SCEP :SCEP Server URLs :

      wprowadź co najmniej jeden adres URL dla serwerów usługi NDES, które wystawiają certyfikaty za pośrednictwem protokołu SCEP.Enter one or more URLs for the NDES Servers that issue certificates via SCEP. Na przykład wpisz coś takiego: https://ndes.contoso.com/certsrv/mscep/mscep.dll.For example, enter something like https://ndes.contoso.com/certsrv/mscep/mscep.dll.

      W razie potrzeby można dodać dodatkowe adresy URL protokołu SCEP na potrzeby równoważenia obciążenia.You can add additional SCEP URLs for load balancing as needed. Urządzenia wykonują trzy oddzielne wywołania do serwera usługi NDES: aby uzyskać funkcje serwera, aby uzyskać klucz publiczny, a następnie aby przesłać żądanie podpisania.Devices make three separate calls to the NDES server; to get the servers capabilities, to get a public key, and then to submit a signing request. W przypadku używania wielu adresów URL możliwe jest, że równoważenie obciążenia spowoduje, iż do kolejnych wywołań serwera usługi NDES zostanie użyty inny adres URL.When you use multiple URLs its possible that load balancing might result in a different URL being used for subsequent calls to an NDES Server. Jeśli podczas tego samego żądania kolejne wywołanie spowoduje nawiązanie kontaktu z innym serwerem, żądanie zakończy się niepowodzeniem.If a different server is contacted for a subsequent call during the same request, the request will fail.

      Zachowanie dotyczące zarządzania adresem URL serwera usługi NDES jest specyficzne dla każdej platformy urządzeń:The behavior for managing the NDES server URL is specific to each device platform:

      • Android : Urządzenie losowo określa listę adresów URL otrzymanych w zasadach SCEP, a następnie przechodzi przez listę do momentu znalezienia dostępnego serwera usługi NDES.Android : The device randomizes the list of URLs received in the SCEP policy, and then works through the list until an accessible NDES server is found. Następnie urządzenie korzysta z tego samego adresu URL i serwera podczas całego procesu.The device then continues to use that same URL and server through the entire process. Jeśli urządzenie nie może uzyskać dostępu do żadnego z serwerów usługi NDES, proces kończy się niepowodzeniem.If the device can’t access any of the NDES servers, the process fails.
      • iOS/iPadOS : Usługa Intune losowo wybiera adresy URL i dostarcza dla urządzenia jeden adres URL.iOS/iPadOS : Intune randomizes the URLs and provides a single URL to a device. Jeśli urządzenie nie może uzyskać dostępu do serwera usługi NDES, żądanie SCEP kończy się niepowodzeniem.If the device can’t access the NDES server, the SCEP request fails.
      • Windows : Lista adresów URL usługi NDES jest określana losowo, a następnie przekazywana do urządzenia z systemem Windows, które wypróbowuje je w otrzymanej kolejności, dopóki nie zostanie znaleziony dostępny adres.Windows : The list of NDES URLs is randomized and then passed to the Windows device, which then tries them in the order received, until one that's available is found. Jeśli urządzenie nie może uzyskać dostępu do żadnego z serwerów usługi NDES, proces kończy się niepowodzeniem.If the device can’t access any of the NDES servers, the process fails.

      Jeśli urządzenie nie może nawiązać połączenia z tym samym serwerem usługi NDES podczas jednego z trzech wywołań, żądanie SCEP kończy się niepowodzeniem.If a device fails to reach the same NDES server successfully during any of the three calls to the NDES server, the SCEP request fails. Może się to zdarzyć na przykład w sytuacji, gdy rozwiązanie równoważenia obciążenia poda inny adres URL dla drugiego lub trzeciego wywołania serwera usługi NDES lub poda inny rzeczywisty serwer usługi NDES na podstawie zwirtualizowanego adresu URL.For example, this might happen when a load balancing solution provides a different URL for the second or third call to the NDES server, or provides a different actual NDES server based on a virtualized URL for NDES. Gdy żądanie zakończy się niepowodzeniem, urządzenie próbuje ponownie wykonać proces w następnym cyklu zasad, rozpoczynając od losowej listy adresów URL usługi NDES (lub pojedynczego adresu URL dla systemu iOS/iPadOS).After a failed request, a device tries the process again on its next policy cycle, starting with the randomized list of NDES URLs (or a single URL for iOS/iPadOS).

  8. Wybierz pozycję Dalej .Select Next .

  9. W obszarze Tagi zakresu (opcjonalnie) przypisz tag, aby filtrować profil do określonych grup IT, takich jak US-NC IT Team lub JohnGlenn_ITDepartment.In Scope tags (optional), assign a tag to filter the profile to specific IT groups, such as US-NC IT Team or JohnGlenn_ITDepartment. Aby uzyskać więcej informacji na temat tagów zakresu, zobacz Używanie kontroli RBAC i tagów zakresu w rozproszonej strukturze informatycznej.For more information about scope tags, see Use RBAC and scope tags for distributed IT.

    Wybierz pozycję Dalej .Select Next .

  10. W obszarze Przypisania wybierz użytkownika lub grupy, które otrzymają Twój profil.In Assignments , select the user or groups that will receive your profile. Aby uzyskać więcej informacji na temat przypisywania profilów, zobacz Przypisywanie profilów użytkowników i urządzeń.For more information on assigning profiles, see Assign user and device profiles.

    Wybierz pozycję Dalej .Select Next .

  11. ( Dotyczy tylko systemu Windows 10 ) W obszarze Reguły stosowania określ reguły stosowania, aby uściślić przypisanie tego profilu.( Applies to Windows 10 only ) In Applicability Rules , specify applicability rules to refine the assignment of this profile. Możesz przypisać profil lub zrezygnować z jego przypisania na podstawie edycji systemu operacyjnego lub wersji urządzenia.You can choose to assign or not assign the profile based on the OS edition or version of a device.

Aby uzyskać więcej informacji, zobacz sekcję dotyczącą reguł stosowania w temacie Tworzenie profilu urządzenia w usłudze Microsoft Intune .For more information, see Applicability rules in Create a device profile in Microsoft Intune .

  1. W obszarze Przeglądanie + tworzenie przejrzyj ustawienia.In Review + create , review your settings. Po wybraniu pozycji Utwórz zmiany zostaną zapisane, a profil przypisany.When you select Create, your changes are saved, and the profile is assigned. Zasady są również wyświetlane na liście profilów.The policy is also shown in the profiles list.

Unikanie żądań podpisania certyfikatu ze znakami specjalnymi o zmienionym znaczeniuAvoid certificate signing requests with escaped special characters

Istnieje znany problem dotyczący żądań certyfikatów SCEP i PKCS, które zawierają nazwę podmiotu (CN) z co najmniej jednym z następujących znaków specjalnych jako znakiem ucieczki.There's a known issue for SCEP and PKCS certificate requests that include a Subject Name (CN) with one or more of the following special characters as an escaped character. Nazwy podmiotów, które zawierają jeden ze znaków specjalnych jako znak ucieczki, powodują wygenerowanie pliku CSR z nieprawidłową nazwą podmiotu.Subject names that include one of the special characters as an escaped character result in a CSR with an incorrect subject name. Niepoprawna nazwa podmiotu powoduje niepowodzenie weryfikacji wezwania SCEP usługi Intune i niemożność wydania certyfikatu.An incorrect subject name results in the Intune SCEP challenge validation failing and no certificate issued.

Znaki specjalne, których dotyczy problem:The special characters are:

  • +
  • ,,
  • ;;
  • =

Jeśli nazwa podmiotu zawiera jeden z tych znaków specjalnych, użyj jednej z następujących opcji, aby obejść to ograniczenie:When your subject name includes one of the special characters, use one of the following options to work around this limitation:

  • Hermetyzuj wartość CN, która zawiera znak specjalny, za pomocą cudzysłowów.Encapsulate the CN value that contains the special character with quotes.
  • Usuń znak specjalny z wartości CN.Remove the special character from the CN value.

Przykładowo masz nazwę podmiotu, która jest wyświetlana jako Test user (TestCompany, LLC) .For example , you have a Subject Name that appears as Test user (TestCompany, LLC) . Problemem jest żądanie CSR zawierające nazwę CN, w której występuje przecinek między TestCompany i LLC .A CSR that includes a CN that has the comma between TestCompany and LLC presents a problem. Problemowi można zapobiec, umieszczając cudzysłowy wokół całej nazwy CN lub usuwając przecinek pomiędzy TestCompany i LLC :The problem can be avoided by placing quotes around the entire CN, or by removing of the comma from between TestCompany and LLC :

  • Dodanie cudzysłowów : CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=comAdd quotes : CN="Test User (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
  • Usunięcie przecinka : CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=comRemove the comma : CN=Test User (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Natomiast próby zmiany znaczenia przecinka przy użyciu znaku ukośnika odwrotnego zakończą się niepowodzeniem i wystąpi błąd w dziennikach CRP:However, attempts to escape the comma by using a backslash character will fail with an error in the CRP logs:

  • Przecinek o zmienionym znaczeniu : CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=comEscaped comma : CN=Test User (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Błąd jest podobny do następującego:The error is similar to the following error:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Przypisywanie profilu certyfikatuAssign the certificate profile

Przypisz profile certyfikatów SCEP w taki sam sposób, w jaki wdrażasz profile urządzeń do innych celów.Assign SCEP certificate profiles the same way you deploy device profiles for other purposes.

Aby można było użyć profilu certyfikatu SCEP, urządzenie musi także otrzymać profil zaufanego certyfikatu, który aprowizuje go przy użyciu certyfikatu zaufanego głównego urzędu certyfikacji.To use a SCEP certificate profile, a device must have also received the trusted certificate profile that provisions it with your Trusted Root CA certificate. Zalecamy wdrożenie profilu zaufanego certyfikatu głównego i profilu certyfikatu SCEP do tych samych grup.We recommend you deploy both the trusted root certificate profile and SCEP certificate profile to the same groups.

Przed kontynuowaniem weź pod uwagę następujące kwestie:Consider the following before you continue:

  • Podczas przypisywania profilów certyfikatów SCEP do grup na urządzeniu jest instalowany plik certyfikatu zaufanego urzędu certyfikacji (określony w profilu zaufanego certyfikatu ).When you assign SCEP certificate profiles to groups, the Trusted Root CA certificate file (as specified in the trusted certificate profile ) is installed on the device. Urządzenie korzysta z profilu certyfikatu SCEP w celu utworzenia żądania certyfikatu na potrzeby tego certyfikatu zaufanego głównego urzędu certyfikacji.The device uses the SCEP certificate profile to create a certificate request for that Trusted Root CA certificate.

  • Profil certyfikatu SCEP jest instalowany tylko na urządzeniach z uruchomioną platformą określoną podczas tworzenia profilu certyfikatu.The SCEP certificate profile installs only on devices that run the platform you specified when you created the certificate profile.

  • Profile certyfikatów można również przypisywać do kolekcji użytkowników lub kolekcji urządzeń.You can assign certificate profiles to user collections or to device collections.

  • Aby opublikować certyfikat dla urządzenia jak najszybciej po jego rejestracji, należy przypisać profil certyfikatu do grupy użytkowników, a nie do grupy urządzeń.To publish a certificate to a device quickly after the device enrolls, assign the certificate profile to a user group rather than to a device group. W przypadku przypisania do grupy urządzeń wymagana jest pełna rejestracja urządzenia przed otrzymaniem przez nie zasad.If you assign to a device group, a full device registration is required before the device receives policies.

  • Jeśli używasz funkcji współzarządzania dla usługi Intune i programu Configuration Manager, w programie Configuration Manager ustaw suwak obciążenia dla zasad dostępu do zasobów na usługę Intune lub pilotażową usługę Intune .If you use co-management for Intune and Configuration Manager, in Configuration Manager set the workload slider for Resource Access Policies to Intune or Pilot Intune . To ustawienie umożliwia klientom systemu Windows 10 uruchamianie procesu żądania certyfikatu.This setting allows Windows 10 clients to start the process of requesting the certificate.

Uwaga

  • Na urządzeniach z systemem iOS/iPadOS, kiedy profil certyfikatu SCEP lub profil certyfikatu PKCS jest skojarzony z dodatkowym profilem, takim jak profil sieci Wi-Fi lub VPN, urządzenie otrzymuje certyfikat dla każdego z tych dodatkowych profilów.On iOS/iPadOS devices, when a SCEP certificate profile or a PKCS certificate profile is associated with an additional profile, like a Wi-Fi or VPN profile, the device receives a certificate for each of those additional profiles. W efekcie urządzenie z systemem iOS/iPadOS ma wiele certyfikatów dostarczonych przez żądanie certyfikatu SCEP lub PKCS.This results in the iOS/iPadOS device having multiple certificates delivered by the SCEP or PKCS certificate request.

    Każdy certyfikat dostarczony przez protokół SCEP jest unikatowy.Certificates delivered by SCEP are each unique. Certyfikaty dostarczane przez protokół PKCS to te same certyfikaty, ale wyglądają inaczej, ponieważ każde wystąpienie profilu jest reprezentowane przez osobny wiersz w profilu zarządzania.Certificates delivered by PKCS are the same certificate, but appear different as each profile instance is represented by a separate line in the management profile.

  • W systemach iOS 13 i macOS 10.15 istnieją warte wzięcia pod uwagę dodatkowe wymagania dotyczące zabezpieczeń, które zostały udokumentowane przez firmę Apple.On iOS 13 and macOS 10.15, there are some additional security requirements that are documented by Apple to take into consideration.

Następne krokiNext steps

Przypisywanie profilówAssign profiles

Rozwiązywanie problemów z wdrażaniem profilów certyfikatów protokołu SCEPTroubleshoot deployment of SCEP certificate profiles