Настройка и использование сертификатов PKCS в Intune

Microsoft Intune поддерживает использование сертификатов пары открытого и закрытого ключей (PKCS). В этой статье рассматриваются действия, необходимые для использования сертификатов PKCS с Intune, включая экспорт сертификата PKCS и последующее добавление его в профиль конфигурации устройства Intune.

Microsoft Intune включает встроенные параметры, позволяющие использовать сертификаты PKCS для доступа и проверки подлинности к ресурсам организации. Сертификаты используются для проверки подлинности и защищенного доступа к ресурсам организации, например виртуальной частной сети или сети Wi-Fi. Вы разворачиваете эти параметры на устройствах, используя профили конфигурации устройств в Intune.

См. сведения об использовании импортированных сертификатов PKCS.

Совет

Профили сертификатов PKCS поддерживаются для удаленных рабочих столов под управлением Windows Корпоративная с поддержкой многосеансового режима.

Требования

Чтобы использовать сертификаты PKCS с Intune, необходима следующая инфраструктура:

• Домен Active Directory.
  Все серверы, указанные в этом разделе, должны быть присоединены к домену Active Directory.

  Дополнительные сведения об установке и настройке доменных служб Active Directory см. в статье Планирование и проектирование доменных служб Active Directory.

• Центр сертификации:
  Центр сертификации предприятия.

  Дополнительные сведения об установке и настройке служб сертификатов Active Directory (AD CS) см. в статье Пошаговое руководство по службам сертификатов Active Directory.

  Предупреждение

  Intune требуется запустить службу сертификации Active Directory с помощью центра сертификации предприятия (ЦС), а не автономного ЦС.

• Клиент.
  Для подключения к ЦС предприятия.

• Корневой сертификат.
  Экспортированная копия корневого сертификата из ЦС предприятия.

• Соединитель сертификатов для Microsoft Intune

  Дополнительные сведения о соединителе сертификатов см. в следующих статьях.

  • Обзор соединителя сертификатов для Microsoft Intune.
  • Предварительные требования.
  • Установка и настройка.

Экспорт корневого сертификата из ЦС предприятия

Для выполнения проверки подлинности с помощью VPN, Wi-Fi или других ресурсов необходим корневой или промежуточный сертификат ЦС на каждом устройстве. Далее описывается, как получить необходимый сертификат из ЦС предприятия.

Работа с командной строкой.

1. Войдите на сервер корневого центра сертификации с помощью учетной записи администратора.

2. Выберите Пуск>Выполнить и введите Cmd, чтобы открыть командную строку.

3. Укажите certutil -ca.cert ca_name.cer, чтобы экспортировать корневой сертификат в виде файла с именем ca_name.cer.

Настройка шаблонов сертификатов в ЦС

1. Войдите в ЦС предприятия с использованием учетной записи с правами администратора.

2. Откройте консоль Центр сертификации, щелкните правой кнопкой мыши Шаблоны сертификатов и выберите Управление.

3. Найдите шаблон сертификата Пользователь, щелкните его правой кнопкой мыши и выберите Повторяющийся шаблон, чтобы открыть Свойства нового шаблона.

   Примечание.

   Для сценариев подписывания и шифрования электронной почты S/MIME многие администраторы используют отдельные сертификаты для подписывания и шифрования. Если вы используете службы сертификатов Microsoft Active Directory, можно применить шаблон сертификатов для подписывания электронной почты S/MIME Только подпись Exchange и шаблон сертификатов для шифрования электронной почты S/MIME Пользователь Exchange. Если вы используете сторонний центр сертификации, рекомендуется изучить соответствующее руководство по созданию шаблонов подписывания и шифрования.

4. На вкладке Совместимость:

   • Задайте для центра сертификации значение Windows Server 2008 R2.
   • Задайте для получателя сертификации значение Windows 7 / Server 2008 R2.

5. На вкладке Общее:

   • Задайте для поля Отображаемое имя шаблона значение, которое вам нужно.
   • Снимите флажок Опубликовать сертификат в Active Directory.

   Предупреждение

   Имя шаблона по умолчанию совпадает с отображаемым именем шаблонабез пробелов. Запомните имя шаблона, оно вам еще понадобится.

6. На вкладке Обработка запроса выберите Разрешить экспорт закрытого ключа.

   Примечание.

   В отличие от SCEP при использовании PKCS закрытый ключ сертификата создается на сервере, где установлен соединитель, а не на устройстве. Шаблон сертификата должен разрешать экспорт закрытого ключа, чтобы соединитель мог экспортировать PFX-сертификат и отправить его на устройство.

   Когда сертификаты устанавливаются на самом устройстве, закрытый ключ помечается как неэкспортируемый.

7. На вкладке Шифрование убедитесь, что Минимальный размер ключа равен 2048.

   Устройства Windows и Android поддерживают использование 4096-разрядного размера ключа с профилем сертификата PKCS. Чтобы использовать этот размер ключа, укажите 4096 в качестве минимального размера ключа.

   Примечание.

   Для устройств Windows 4096-разрядное хранилище ключей поддерживается только в поставщике программного хранилища ключей (KSP). Следующие не поддерживают хранение ключей такого размера:

   • Аппаратный TPM (доверенный платформенный модуль). В качестве обходного решения можно использовать программный KSP для хранения ключей.
   • Windows Hello для бизнеса. В настоящее время нет обходного решения для Windows Hello для бизнеса.

8. На вкладке Имя субъекта выберите Предоставлять по запросу.

9. На вкладке Расширения подтвердите, что шифрованная файловая система, защита электронной почты и проверка подлинности клиента отображаются в разделе Политики приложений.

   Важно!

   Для шаблонов сертификатов iOS/iPadOS на вкладке Расширения обновите параметр Использование ключей и снимите флажок Подпись подтверждает подлинность.

10. В области безопасности:

    1. (Обязательно). Добавьте учетную запись компьютера для сервера, на котором устанавливается соединитель сертификатов для Microsoft Intune. Назначьте для этой учетной записи разрешения на чтение и регистрацию.
    2. (Необязательно, но рекомендуется). Удалите группу "Пользователи домена" из списка разрешенных для этого шаблона групп или имен пользователей, выбрав группу "Пользователи домена" и нажмите кнопку Удалить. Просмотрите другие записи в разделе Группы или имена пользователей на наличие разрешений и применимости к вашей среде.

11. Выберите Применить>ОК, чтобы сохранить шаблон сертификата. Закройте консоль шаблонов сертификатов.

12. В консоли Центр сертификации щелкните правой кнопкой мыши Шаблоны сертификатов>Создать>Выдаваемый шаблон сертификата. Выберите созданный ранее шаблон. Нажмите кнопку ОК.

13. Чтобы сервер мог управлять сертификатами зарегистрированных устройств и пользователей, сделайте следующее:

    1. Щелкните центр сертификации правой кнопкой мыши и выберите Свойства.
    2. На вкладке "Безопасность" добавьте учетную запись компьютера для сервера, на котором запущен соединитель.
    3. Предоставьте для параметров Issue and Manage Certificates (Выдача сертификатов и управление ими) и Request Certificates (Запросить сертификаты) разрешения на доступ к учетной записи компьютера.

14. Выйдите из ЦС предприятия.

Скачивание, установка и настройка соединителя сертификатов для Microsoft Intune

Инструкции см. в статье об установке и настройке соединителя сертификатов для Microsoft Intune.

Создание профиля доверенного сертификата

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите и перейдите в разделСоздание конфигурации>устройств>.

3. Укажите следующие свойства:

   • Платформа. Выберите платформу устройств, которые будут принимать этот профиль.
     • Администратор устройств Android
     • Android Enterprise:
       • Полностью управляемая
       • Выделенная
       • Корпоративный рабочий профиль
       • Личный рабочий профиль
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Профиль. Выберите Доверенный сертификат. Либо выберите элементы Шаблоны>Доверенный сертификат.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Профиль для доверенного сертификата для всей компании.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В параметрах конфигурации укажите CER-файл для ранее экспортированного сертификата Root CA.

   Примечание.

   В зависимости от платформы, выбранной на шаге 3, вы можете (или не можете) выбрать конечное хранилище для сертификата.

   

8. Нажмите кнопку Далее.

9. В заданиях выберите пользователя или группу устройств, которым будет назначен профиль. Найдите подробнее сведения в разделеСоздание фильтров в Microsoft Intune, а затем примените фильтры, выбрав Изменить фильтр.

   Запланируйте развертывание этого профиля сертификата в группах, которые получают профиль сертификата PKCS и получают профиль конфигурации, например профиль Wi-Fi, который использует сертификат. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

   Нажмите кнопку Далее.

10. (Применимо только к Windows 10/11.) В разделе Правила применимости укажите правила применимости, чтобы уточнить назначение этого профиля. Вы можете как назначить, так и не назначать профиль на основе выпуска ОС или версии устройства.

    Сведения о правилах применимости см. в руководстве по созданию профиля устройства в Microsoft Intune.

11. В окне Проверка и создание проверьте параметры. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Создание профиля сертификата PKCS

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.

1. Войдите в Центр администрирования Microsoft Intune.

2. Выберите и перейдите в разделСоздание конфигурации>устройств>.

3. Укажите следующие свойства:

   • Платформа: выберите платформу устройств. Доступны следующие параметры:
     • Администратор устройств Android
     • Android Enterprise:
       • Полностью управляемая
       • Выделенная
       • Корпоративный рабочий профиль
       • Личный рабочий профиль
     • iOS/iPadOS
     • macOS
     • Windows 10/11
   • Профиль. Выберите Сертификат PKCS. Либо выберите Шаблоны>Сертификат PKCS.

   Примечание.

   На устройствах с профилем Android Enterprise сертификаты, установленные с использованием профиля сертификатов PKCS, не отображаются. Чтобы подтвердить успешное развертывание сертификата, проверка состояние профиля в Центре администрирования Intune.

4. Нажмите Создать.

5. В разделе Основные укажите следующие свойства.

   • Имя. Введите описательное имя для профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Профиль PKCS для всей компании.
   • Описание. Введите описание профиля. Этот необязательный параметр, но мы рекомендуем его использовать.

6. Нажмите кнопку Далее.

7. В разделе Параметры конфигурации доступные для настройки параметры будут отличаться в зависимости от выбранной платформы. Выберите платформу для настройки дополнительных параметров:

   • Администратор устройств Android
   • Android Enterprise
   • iOS/iPadOS
   • Windows 10/11

   Setting	Платформа	Details
   Порог обновления (%).	Все	Рекомендуется: 20 %.
   Срок действия сертификата.	Все	Если вы не изменяли шаблон сертификата, для этого параметра следует задать один год. Используйте срок действия в пять дней или до 24 месяцев. Если срок действия менее пяти дней, существует высокая вероятность того, что сертификат вступает в состояние с истекшим сроком действия или истек, что может привести к тому, что агент MDM на устройствах отклонит сертификат до его установки.
   Поставщик хранилища ключей (KSP)	Windows 10/11	Для Windows выберите место для хранения ключей на устройстве.
   Центр сертификации.	Все	Отображает внутреннее полное доменное имя (FQDN) ЦС предприятия.
   Имя центра сертификации.	Все	Отображает имя ЦС предприятия, например "Contoso Certification Authority".
   Имя шаблона сертификата.	Все	Указывает имя шаблона сертификата.
   Тип сертификата	Android Enterprise (корпоративный и личный рабочий профиль) iOS macOS Windows 10/11	Выберите тип. Пользовательские сертификаты могут содержать в субъекте и альтернативном имени субъекта (SAN) атрибуты как пользователя, так и устройства. Тип сертификата Устройство может содержать в субъекте или SAN только атрибуты устройства. Используйте "Устройство" для таких сценариев, как устройства без пользователей, например киоски, или для других устройств общего пользования. Этот выбор влияет на формат имени субъекта.
   Формат имени субъекта	Все	Дополнительные сведения о настройке формата имени субъекта см. в разделе Формат имени субъекта далее в этой статье. Для указанных ниже платформ формат имени субъекта определяется типом сертификата. Android для бизнеса (рабочий профиль); iOS macOS Windows 10/11
   Альтернативное имя субъекта	Все	Для параметра Атрибут выберите Имя участника-пользователя (UPN), если не требуется иное, настройте соответствующее значение, а затем нажмите Добавить. Вы можете использовать переменные или статический текст для SAN обоих типов сертификатов. Использовать переменные необязательно. Дополнительные сведения см. в разделе Формат имени субъекта далее в этой статье.
   Расширенное использование ключа	Администратор устройств Android Android Enterprise (владелец устройства, корпоративный и личный рабочий профиль) Windows 10/11	Для сертификата обычно требуется Проверка подлинности клиента, чтобы пользователь или устройство могли выполнить проверку подлинности на сервере.
   Разрешить всем приложениям доступ к закрытому ключу.	macOS	Задайте значение Разрешить, чтобы предоставлять приложениям, настроенным для соответствующего устройства Mac, доступ к закрытому ключу сертификатов PKCS. Дополнительные сведения об этом параметре см. в описании параметра AllowAllAppsAccess в разделе "Полезные данные сертификата" в справочнике по профилю конфигурации из состава документации разработчика Apple.
   Корневой сертификат	Администратор устройств Android Android Enterprise (владелец устройства, корпоративный и личный рабочий профиль)	Выберите ранее назначенный профиль сертификата корневого ЦС.

8. Этот шаг применяется только к профилям устройств Android Enterprise для полностью управляемого, выделенного и Corporate-Owned рабочего профиля.

   В разделе Приложения настройте доступ к сертификатам , чтобы управлять предоставлением доступа к сертификатам приложениям. Варианты:

   • Требовать утверждения пользователем для приложений(по умолчанию) — пользователи должны утвердить использование сертификата всеми приложениями.
   • Предоставление автоматического предоставления для определенных приложений (требуется утверждение пользователем для других приложений) — с помощью этого параметра выберите Добавить приложения, а затем выберите одно или несколько приложений, которые будут автоматически использовать сертификат без вмешательства пользователя.

9. Нажмите кнопку Далее.

10. В разделе Назначения выберите пользователей или группы, которые будут принимать ваш профиль. Запланируйте развертывание этого профиля сертификата в тех же группах, которые получают профиль доверенного сертификата и профиль конфигурации, например профиль Wi-Fi, использующий сертификат. Дополнительные сведения о назначении профилей см. в статье Назначение профилей пользователей и устройств.

    Нажмите кнопку Далее.

11. Проверьте параметры в окне Проверка и создание. При выборе Создать внесенные изменения сохраняются и назначается профиль. Политика также отображается в списке профилей.

Формат имени субъекта

При создании профиля сертификата PKCS для указанных ниже платформ параметры для формата имени субъекта зависят от выбранного типа сертификата: Пользователь или Устройство.

Платформы:

• Android Enterprise (корпоративный и личный рабочий профиль)
• iOS
• macOS
• Windows 10/11

Примечание.

Существует известная проблема с использованием PKCS для получения сертификатов, которая является той же проблемой, что и для SCEP , когда имя субъекта в результирующем запросе на подпись сертификата (CSR) включает один из следующих символов в качестве escape-символа (продолжается обратной косой чертой \):

• +
• ;
• ,
• =

Примечание.

Начиная с Android 12 перестает поддерживаться использование следующих идентификаторов оборудования для устройств личного рабочего профиля:

• Серийный номер
• IMEI
• MEID

Профили сертификатов Intune для устройств личного рабочего профиля, которые зависят от этих переменных в имени субъекта или SAN, не смогут подготовить сертификат на устройствах с Android 12 или более поздней версии во время регистрации устройства в Intune. Устройства, зарегистрированные до перехода на Android 12, по-прежнему могут получать сертификаты, если в Intune ранее получены идентификаторы оборудования устройств.

Дополнительные сведения об этом и других изменениях, вносимых в Android 12, см. в записи блога Начало поддержки Microsoft Endpoint Manager в Android.

• Тип пользовательского сертификата
  Параметры формата для Формата имени субъекта включают две переменные: общее имя (CN) и адрес электронной почты (E). Адрес электронной почты (E) обычно задается с переменной {{EmailAddress}}. Например: E={{EmailAddress}}

  В качестве общего имени (CN) можно задать любую из следующих переменных.

  • CN={{UserName}}. Имя пользователя, например Jane Doe.

  • CN={{UserPrincipalName}}: имя участника-пользователя, например janedoe@contoso.com.

  • CN={{AAD_Device_ID}}: идентификатор, назначенный при регистрации устройства в Microsoft Entra ID. Этот идентификатор обычно используется для проверки подлинности с помощью Microsoft Entra ID.

  • CN={{DeviceId}}. Идентификатор, назначаемый при регистрации устройства в Intune.

  • CN={{SERIALNUMBER}}. Уникальный серийный номер (SN), обычно используемый изготовителем для идентификации устройства.

  • CN={{IMEINumber}}. Уникальный номер международного идентификатора мобильного оборудования (IMEI), используемый для идентификации мобильного телефона.

  • CN={{OnPrem_Distinguished_Name}}. Последовательность относительных различающихся имен, разделенных запятой, например CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com.

    Чтобы использовать переменную {{OnPrem_Distinguished_Name}}, обязательно синхронизируйте атрибут пользователя onpremisesdistinguishedname с помощью Microsoft Entra Подключиться к Microsoft Entra ID.

  • CN={{onPremisesSamAccountName}}: администраторы могут синхронизировать атрибут samAccountName из Active Directory с Microsoft Entra ID с помощью Microsoft Entra Connect в атрибут onPremisesSamAccountName. Intune может заменить эту переменную как часть запроса на выдачу сертификата в субъекте сертификата. Атрибут samAccountName — это имя пользователя для входа, используемое для поддержки клиентов и серверов предыдущей версии Windows (до Windows 2000). Формат имени входа пользователя: домен\пользователь или просто пользователь.

    Чтобы использовать переменную {{onPremisesSamAccountName}}, обязательно синхронизируйте атрибут пользователя onPremisesSamAccountName с помощью Microsoft Entra Подключиться к Microsoft Entra ID.

  Все переменные устройств, перечисленные в следующем разделе Тип сертификата устройства, также можно использовать в именах субъектов сертификатов пользователей.

  Используя сочетание одной или нескольких таких переменных и статических текстовых строк, можно создать настраиваемый формат имени субъекта, например: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finance Group,L=Redmond,ST=Washington,C=US

  В этом примере приведен формат имени субъекта, который, кроме переменных CN и E, использует строки для определения подразделения, организации, расположения, штата и страны. Эта функция и поддерживаемые ею строки отписываются в статье Функция CertStrToName.

  Атрибуты пользователя не поддерживаются для устройств, не имеющих пользовательских сопоставлений, например устройств, зарегистрированных как выделенные для Android Enterprise. Например, профиль с использованием CN={{UserPrincipalName}} в субъекте или SAN не сможет получить имя субъекта-пользователя, если на устройстве нет пользователя.

• Тип сертификата устройства
  Параметры формата для формата имени субъекта включают переменные:

  • {{AAD_Device_ID}}
  • {{DeviceId}} — идентификатор устройства в Intune.
  • {{Device_Serial}}
  • {{Device_IMEI}}
  • {{SerialNumber}}
  • {{IMEINumber}}
  • {{AzureADDeviceId}}
  • {{WiFiMacAddress}}
  • {{IMEI}}
  • {{DeviceName}}
  • {{FullyQualifiedDomainName}}(Применимо только для устройств Windows и присоединенных к домену устройств)
  • {{MEID}}

  В текстовом поле можно указать эти переменные, за которыми следует текст переменной. Например, общее имя устройства с именем Device1 можно добавить как CN={{DeviceName}}Device1.

  Важно!

  • При указании переменной заключите имя переменной в фигурные скобки { }, как показано в примере, чтобы избежать ошибки.
  • Свойства устройства, используемые в субъекте или SAN сертификата устройства, например IMEI, SerialNumber и FullyQualifiedDomainName, — это свойства, которые могут быть подменены пользователем с доступом к устройству.
  • Устройство должно поддерживать все переменные, указанные в профиле сертификата, для установки этого профиля на данном устройстве. Например, если {{IMEI}} используется в качестве имени субъекта профиля SCEP для устройства, не имеющего номера IMEI, установка профиля завершится ошибкой.

Дальнейшие действия

• Использование SCEP для сертификатов
• Выдача сертификатов PKCS из веб-службы Symantec для управления PKI
• Устранение неполадок профилей сертификатов PKCS