Introduktion till certifikatprofiler i Configuration Manager
Gäller för: Konfigurationshanteraren (current branch)
Viktigt
Från och med version 2203 stöds inte längre den här åtkomstfunktionen för företagsresurser. Mer information finns i Vanliga frågor och svar om utfasning av resursåtkomst.
Certifikatprofiler fungerar med Active Directory Certificate Services och rollen Registreringstjänst för nätverksenheter (NDES). Skapa och distribuera autentiseringscertifikat för hanterade enheter så att användarna enkelt kan komma åt organisationens resurser. Du kan till exempel skapa och distribuera certifikatprofiler för att tillhandahålla de certifikat som krävs för att användarna ska kunna ansluta till VPN och trådlösa anslutningar.
Certifikatprofiler kan automatiskt konfigurera användarenheter för åtkomst till organisationsresurser, till exempel Wi-Fi nätverk och VPN-servrar. Användare kan komma åt dessa resurser utan att manuellt installera certifikat eller använda en out-of-band-process. Certifikatprofiler hjälper till att skydda resurser eftersom du kan använda säkrare inställningar som stöds av din offentliga nyckelinfrastruktur (PKI). Du kan till exempel kräva serverautentisering för alla Wi-Fi- och VPN-anslutningar eftersom du har distribuerat de certifikat som krävs på de hanterade enheterna.
Certifikatprofiler tillhandahåller följande hanteringsfunktioner:
Certifikatregistrering och förnyelse från en certifikatutfärdare (CA) för enheter som kör olika operativsystemtyper och versioner. Dessa certifikat kan sedan användas för Wi-Fi- och VPN-anslutningar.
Distribution av betrodda rotcertifikatutfärdarcertifikat och mellanliggande CA-certifikat. Dessa certifikat konfigurerar en kedja av förtroende på enheter för VPN och Wi-Fi anslutningar när serverautentisering krävs.
Övervaka och rapportera om installerade certifikat.
Exempel 1: Alla anställda måste ansluta till Wi-Fi hotspots på flera kontorsplatser. Om du vill aktivera enkel användaranslutning distribuerar du först de certifikat som behövs för att ansluta till Wi-Fi. Distribuera sedan Wi-Fi profiler som refererar till certifikatet.
Exempel 2: Du har en PKI på plats. Du vill gå över till en mer flexibel och säker metod för att distribuera certifikat. Användarna måste komma åt organisationsresurser från sina personliga enheter utan att äventyra säkerheten. Konfigurera certifikatprofiler med inställningar och protokoll som stöds för den specifika enhetsplattformen. Enheterna kan sedan automatiskt begära dessa certifikat från en Internetuppkopplad registreringsserver. Konfigurera sedan VPN-profiler för att använda dessa certifikat så att enheten kan komma åt organisationens resurser.
Typer
Det finns tre typer av certifikatprofiler:
Certifikat för betrodd certifikatutfärdare: Distribuera en betrodd rotcertifikatutfärdare eller mellanliggande CA-certifikat. Dessa certifikat utgör en förtroendekedja när enheten måste autentisera en server.
Simple Certificate Enrollment Protocol (SCEP): Begär ett certifikat för en enhet eller användare med hjälp av SCEP-protokollet. Den här typen kräver rollen Registreringstjänst för nätverksenheter (NDES) på en server som kör Windows Server 2012 R2 eller senare.
Om du vill skapa en SCEP-certifikatprofil (Simple Certificate Enrollment Protocol) skapar du först en certifikatprofil för betrodd certifikatutfärdare .
Utbyte av personlig information (.pfx): Begär ett .pfx-certifikat (även kallat PKCS #12) för en enhet eller användare. Det finns två metoder för att skapa PFX-certifikatprofiler:
- Importera autentiseringsuppgifter från befintliga certifikat
- Definiera en certifikatutfärdare för att bearbeta begäranden
Obs!
Configuration Manager aktiverar inte den här valfria funktionen som standard. Du måste aktivera den här funktionen innan du använder den. Mer information finns i Aktivera valfria funktioner från uppdateringar.
Du kan använda Microsoft eller Entrust som certifikatutfärdare för certifikat för personligt informationsutbyte (.pfx).
Krav
Om du vill distribuera certifikatprofiler som använder SCEP installerar du certifikatregistreringsplatsen på en platssystemserver. Installera även en principmodul för NDES, Configuration Manager Policy Module, på en server som kör Windows Server 2012 R2 eller senare. Den här servern kräver rollen Active Directory Certificate Services. Det kräver också en fungerande NDES som är tillgänglig för de enheter som kräver certifikaten. Om dina enheter behöver registrera sig för certifikat från Internet måste NDES-servern vara tillgänglig från Internet. Om du till exempel vill aktivera trafik till NDES-servern från Internet på ett säkert sätt kan du använda Azure Application Proxy.
PFX-certifikat kräver också en certifikatregistreringsplats. Ange även certifikatutfärdare (CA) för certifikatet och relevanta autentiseringsuppgifter för åtkomst. Du kan ange antingen Microsoft eller Entrust som certifikatutfärdare.
Mer information om hur NDES stöder en principmodul så att Configuration Manager kan distribuera certifikat finns i Använda en principmodul med registreringstjänsten för nätverksenheter.
Beroende på kraven stöder Configuration Manager distribution av certifikat till olika certifikatarkiv på olika enhetstyper och operativsystem. Följande enheter och operativsystem stöds:
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Obs!
Använd Configuration Manager lokal MDM för att hantera Windows Phone 8.1 och Windows 10 Mobile. Mer information finns i Lokal MDM.
Ett vanligt scenario för Configuration Manager är att installera betrodda rotcertifikatutfärdarcertifikat för att autentisera Wi-Fi- och VPN-servrar. Vanliga anslutningar använder följande protokoll:
- Autentiseringsprotokoll: EAP-TLS, EAP-TTLS och PEAP
- VPN-tunnelprotokoll: IKEv2, L2TP/IPsec och Cisco IPsec
Ett certifikat för företagsrotcertifikatutfärdare måste installeras på enheten innan enheten kan begära certifikat med hjälp av en SCEP-certifikatprofil.
Du kan ange inställningar i en SCEP-certifikatprofil för att begära anpassade certifikat för olika miljöer eller anslutningskrav. Guiden Skapa certifikatprofil har två sidor för registreringsparametrar. Den första, SCEP-registrering, innehåller inställningar för registreringsbegäran och var certifikatet ska installeras. Den andra, Certifikategenskaper, beskriver själva det begärda certifikatet.
Distribuera
När du distribuerar en SCEP-certifikatprofil bearbetar Configuration Manager-klienten principen. Den begär sedan ett SCEP-utmaningslösenord från hanteringsplatsen. Enheten skapar ett offentligt/privat nyckelpar och genererar en certifikatsigneringsbegäran (CSR). Den skickar den här begäran till NDES-servern. NDES-servern vidarebefordrar begäran till platssystemet för certifikatregistreringsplats via NDES-principmodulen. Certifikatregistreringsplatsen verifierar begäran, kontrollerar SCEP-utmaningslösenordet och verifierar att begäran inte har manipulerats. Den godkänner eller nekar sedan begäran. Om den godkänns skickar NDES-servern signeringsbegäran till den anslutna certifikatutfärdare (CA) för signering. Certifikatutfärdare signerar begäran och returnerar sedan certifikatet till den begärande enheten.
Distribuera certifikatprofiler till användar- eller enhetssamlingar. Du kan ange målarkivet för varje certifikat. Tillämplighetsregler avgör om enheten kan installera certifikatet.
När du distribuerar en certifikatprofil till en användarsamling avgör mappningen mellan användare och enhet vilka av användarnas enheter som installerar certifikaten. När du distribuerar en certifikatprofil med ett användarcertifikat till en enhetssamling installerar var och en av användarnas primära enheter som standard certifikaten. Om du vill installera certifikatet på någon av användarnas enheter ändrar du det här beteendet på scep-registreringssidan i guiden Skapa certifikatprofil. Om enheterna finns i en arbetsgrupp distribuerar Configuration Manager inte användarcertifikat.
Övervaka
Du kan övervaka distributioner av certifikatprofiler genom att visa kompatibilitetsresultat eller rapporter. Mer information finns i Så här övervakar du certifikatprofiler.
Automatiskt återkallande
Configuration Manager automatiskt återkallar användar- och datorcertifikat som har distribuerats med hjälp av certifikatprofiler under följande omständigheter:
Enheten har dragits tillbaka från Configuration Manager hantering.
Enheten blockeras från Configuration Manager-hierarkin.
Om du vill återkalla certifikaten skickar platsservern ett återkallningskommando till den utfärdande certifikatutfärdare. Orsaken till återkallningen är Upphörande av åtgärden.
Obs!
För att återkalla ett certifikat korrekt måste datorkontot för platsen på den översta nivån i hierarkin ha behörighet att utfärda och hantera certifikat på certifikatutfärdare.
För bättre säkerhet kan du också begränsa CA-hanterare på ca:en. Ge sedan bara det här kontot behörigheter för den specifika certifikatmall som du använder för SCEP-profilerna på webbplatsen.
Nästa steg
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för