Använda certifikat för autentisering i Microsoft Intune
Använd certifikat med Intune för att autentisera dina användare till program och företagsresurser via VPN-, Wi-Fi- eller e-postprofiler. När du använder certifikat för att autentisera dessa anslutningar behöver slutanvändarna inte ange användarnamn och lösenord, vilket kan göra deras åtkomst sömlös. Certifikat används också för signering och kryptering av e-post med hjälp av S/MIME.
Introduktion till certifikat med Intune
Certifikat ger autentiserad åtkomst utan dröjsmål genom följande två faser:
- Autentiseringsfas: Användarens äkthet kontrolleras för att bekräfta att användaren är den användaren påstår sig vara.
- Auktoriseringsfas: Användaren utsätts för villkor för vilka ett beslut görs om huruvida användaren ska ges åtkomst.
Vanliga användningsscenarier för certifikat är:
- Nätverksautentisering (till exempel 802.1x) med enhets- eller användarcertifikat
- Autentisera med VPN-servrar med hjälp av enhets- eller användarcertifikat
- Signera e-post baserat på användarcertifikat
Intune stöder SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) och importerade PKCS-certifikat som metoder för att etablera certifikat på enheter. De olika etableringsmetoderna har olika krav och resultat. Till exempel:
- SCEP etablerar certifikat som är unika för varje begäran för certifikatet.
- PKCS etablerar varje enhet med ett unikt certifikat.
- Med importerad PKCS kan du distribuera samma certifikat som du har exporterat från en källa, till exempel en e-postserver, till flera mottagare. Det här delade certifikatet är användbart för att säkerställa att alla användare eller enheter sedan kan dekryptera e-postmeddelanden som har krypterats av certifikatet.
För att etablera en användare eller enhet med en viss typ av certifikat använder Intune en certifikatprofil.
Förutom de tre certifikattyperna och etableringsmetoderna behöver du ett betrott rotcertifikat från en betrodd certifikatutfärdare (CA). Certifikatutfärdare kan vara en lokal Microsoft-certifikatutfärdare eller en certifikatutfärdare från tredje part. Det betrodda rotcertifikatet upprättar ett förtroende från enheten till din rot- eller mellanliggande (utfärdande) certifikatutfärdare från vilken de andra certifikaten utfärdas. Om du vill distribuera det här certifikatet använder du den betrodda certifikatprofilen och distribuerar den till samma enheter och användare som tar emot certifikatprofilerna för SCEP, PKCS och importerade PKCS.
Tips
Intune stöder även användning av härledda autentiseringsuppgifter för miljöer som kräver användning av smartkort.
Vad som krävs för att använda certifikat
- En certifikatutfärdare. Din certifikatutfärdare är den förtroendekälla som certifikaten refererar till för autentisering. Du kan använda en Microsoft CA eller en certifikatutfärdare från tredje part.
- Lokal infrastruktur. Vilken infrastruktur du behöver beror på vilka certifikattyper du använder:
- Ett betrott rotcertifikat. Innan du distribuerar SCEP- eller PKCS-certifikatprofiler distribuerar du det betrodda rotcertifikatet från certifikatutfärdare med hjälp av en betrodd certifikatprofil . Den här profilen hjälper till att upprätta förtroendet från enheten tillbaka till certifikatutfärdare och krävs av de andra certifikatprofilerna.
När ett betrott rotcertifikat har distribuerats är du redo att distribuera certifikatprofiler för att etablera användare och enheter med certifikat för autentisering.
Vilken certifikatprofil som ska användas
Följande jämförelser är inte omfattande men avsedda att hjälpa till att särskilja användningen av de olika certifikatprofiltyperna.
Profiltyp | Information |
---|---|
Betrott certifikat | Använd för att distribuera den offentliga nyckeln (certifikatet) från en rotcertifikatutfärdare eller mellanliggande certifikatutfärdare till användare och enheter för att upprätta ett förtroende tillbaka till källcertifikatutfärdare. Andra certifikatprofiler kräver den betrodda certifikatprofilen och dess rotcertifikat. |
SCEP-certifikat | Distribuerar en mall för en certifikatbegäran till användare och enheter. Varje certifikat som etableras med SCEP är unikt och kopplat till den användare eller enhet som begär certifikatet. Med SCEP kan du distribuera certifikat till enheter som saknar användartillhörighet, inklusive användning av SCEP för att etablera ett certifikat på KIOSK- eller användarlös enhet. |
PKCS-certifikat | Distribuerar en mall för en certifikatbegäran som anger en certifikattyp för antingen användare eller enhet. – Begäranden för en certifikattyp av användare kräver alltid användartillhörighet. När de distribueras till en användare får var och en av användarens enheter ett unikt certifikat. När användaren distribueras till en enhet med en användare associeras den med certifikatet för den enheten. När det distribueras till en användarlös enhet etableras inget certifikat. – Mallar med en certifikattyp av enheten kräver inte användartillhörighet för att etablera ett certifikat. Distribution till en enhet etablerar enheten. Distribution till en användare etablerar enheten som användaren är inloggad på med ett certifikat. |
PKCS-importerat certifikat | Distribuerar ett enda certifikat till flera enheter och användare, som stöder scenarier som S/MIME-signering och kryptering. Genom att till exempel distribuera samma certifikat till varje enhet kan varje enhet dekryptera e-post som tas emot från samma e-postserver. Andra distributionsmetoder för certifikat är otillräckliga för det här scenariot, eftersom SCEP skapar ett unikt certifikat för varje begäran och PKCS associerar ett annat certifikat för varje användare, med olika användare som får olika certifikat. |
Certifikat och användning som stöds av Intune
Typ | Autentisering | S/MIME-signering | S/MIME-kryptering |
---|---|---|---|
PKCS-importerat certifikat (Public Key Cryptography Standards) | |||
PKCS#12 (eller PFX) | |||
Simple Certificate Enrollment Protocol (SCEP) |
Om du vill distribuera dessa certifikat skapar och tilldelar du certifikatprofiler till enheter.
Varje enskild certifikatprofil som du skapar stöder en enda plattform. Om du till exempel använder PKCS-certifikat skapar du PKCS-certifikatprofil för Android och en separat PKCS-certifikatprofil för iOS/iPadOS. Om du också använder SCEP-certifikat för dessa två plattformar skapar du en SCEP-certifikatprofil för Android och en annan för iOS/iPadOS.
Allmänna överväganden när du använder en Microsoft-certifikatutfärdare
När du använder en Microsoft-certifikatutfärdare (CA):
Så här använder du SCEP-certifikatprofiler:
Så här använder du PKCS-certifikatprofiler:
Så här använder du PKCS-importerade certifikat:
- Installera certifikatanslutningsappen för Microsoft Intune.
- Exportera certifikat från certifikatutfärdare och importera dem sedan till Microsoft Intune. Se PFXImport PowerShell-projektet.
Distribuera certifikat med hjälp av följande mekanismer:
- Betrodda certifikatprofiler för att distribuera det betrodda rotcertifikatutfärdarcertifikatet från din rot- eller mellanliggande (utfärdande) certifikatutfärdare till enheter
- SCEP-certifikatprofiler
- PKCS-certifikatprofiler
- PKCS-importerade certifikatprofiler
Allmänna överväganden när du använder en tredjepartscertifikatutfärdare
När du använder en tredjepartscertifikatutfärdare (icke-Microsoft) (CA):
Så här använder du SCEP-certifikatprofiler:
- Konfigurera integrering med en tredjeparts-CA från en av våra partner som stöds. Konfigurationen omfattar att följa anvisningarna från tredjeparts-CA:en för att slutföra integreringen av certifikatutfärdarna med Intune.
- Skapa ett program i Microsoft Entra-ID som delegerar behörigheter till Intune för validering av SCEP-certifikatutmaningar.
PKCS-importerade certifikat kräver att du installerar certifikatanslutningsappen för Microsoft Intune.
Distribuera certifikat med hjälp av följande mekanismer:
- Betrodda certifikatprofiler för att distribuera det betrodda rotcertifikatutfärdarcertifikatet från din rot- eller mellanliggande (utfärdande) certifikatutfärdare till enheter
- SCEP-certifikatprofiler
- PKCS-certifikatprofiler (stöds endast med Digicert PKI-plattformen)
- PKCS-importerade certifikatprofiler
Plattformar och certifikatprofiler som stöds
Plattform | Betrodd certifikatprofil | PKCS-certifikatprofil | SCEP-certifikatprofil | PKCS-importerad certifikatprofil |
---|---|---|---|---|
Android-enhetsadministratör | (se Anmärkning 1) | |||
Android Enterprise – fullständigt hanterad (enhetsägare) | ||||
Android Enterprise – Dedikerad (enhetsägare) | ||||
Android Enterprise – Corporate-Owned arbetsprofil | ||||
Android Enterprise – Personally-Owned arbetsprofil | ||||
Android (AOSP) | ||||
iOS/iPadOS | ||||
macOS | ||||
Windows 8.1 och senare | ||||
Windows 10/11 | (se Anmärkning 2) | (se Anmärkning 2) | (se Anmärkning 2) |
- Obs! Från och med Android 11 kan betrodda certifikatprofiler inte längre installera det betrodda rotcertifikatet på enheter som har registrerats som Android-enhetsadministratör. Den här begränsningen gäller inte för Samsung Knox. Mer information finns i Betrodda certifikatprofiler för Android-enhetsadministratör.
- Obs! 2 – Den här profilen stöds för fjärrskrivbord med flera sessioner i Windows Enterprise.
Viktigt
Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.
Om du använder Windows 8.1 rekommenderar vi att du flyttar till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.
Viktigt
Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 30 augusti 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.
Nästa steg
Fler resurser:
- Använda S/MIME för att signera och kryptera e-postmeddelanden
- Använda tredjepartscertifikatutfärdare
Skapa certifikatprofiler:
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för