Förbereda certifikat och nätverks profiler för Microsoft Hanterat skrivbord
Certifikatbaserad autentisering är ett vanligt krav för kunder som använder Microsoft Managed Desktop. Du kan kräva certifikat för åtkomst Wi-Fi nätverket, för att ansluta till VPN-lösningar eller för åtkomst till interna resurser i organisationen.
Eftersom Microsoft Managed Desktop-enheter är anslutna till Azure Active Directory (Azure AD) och hanteras av Microsoft Intune måste du distribuera sådana certifikat med hjälp av en SSTACK (Simple Certificate Enrollment Protocol) eller PKCS-certifikatinfrastruktur (Public Key Cryptography Standard) som är integrerad med Intune.
Certifikatkrav
Rotcertifikat krävs för att distribuera certifikat via en SNIC- eller PKCS-infrastruktur. Andra program och tjänster i organisationen kan kräva att rotcertifikat distribueras till dina Microsoft Managed Desktop-enheter.
Innan du distribuerar S FLERA- eller PKCS-certifikat till Microsoft Managed Desktop bör du samla in krav för varje tjänst som kräver ett användar- eller enhetscertifikat i organisationen. För att underlätta den här aktiviteten kan du använda någon av följande planeringsmallar:
Wi-Fi anslutningskrav
Om du vill att en enhet ska tillhandahållas automatiskt med Wi-Fi konfiguration för företagsnätverket kan du behöva en profil Wi-Fi konfigurationsprofil. Du kan konfigurera Microsoft Managed Desktop för att distribuera de här profilerna på dina enheter. Om nätverkssäkerhet kräver att enheter ingår i den lokala domänen kan du också behöva utvärdera din Wi-Fi-nätverksinfrastruktur för att se till att den är kompatibel med Microsoft Managed Desktop-enheter (Microsoft Managed Desktop-enheter är endast Azure AD-anslutna).
Innan du distribuerar Wi-Fi konfiguration till Microsoft Managed Desktop-enheter måste du samla in organisationens krav för varje Wi-Fi nätverk. För att göra den här aktiviteten enklare kan du använda den här mallen för WiFi-profiler.
Krav för trådbunden anslutning och 802.1x-autentisering
Om du använder 802.1x-autentisering för att skydda åtkomsten från enheter till ditt lokala nätverk (LAN) måste du skicka den konfigurationsinformation som krävs till dina Microsoft Managed Desktop-enheter. Microsoft Hanterade skrivbordsenheter som kör Windows 10 version 1809 eller senare har stöd för distribution av en 802.1x-konfiguration via WiredNetwork configuration provider (CSP). Mer information finns i Dokumentationen för WiredNetwork CSP.
Innan du distribuerar en profil för nätverkskonfiguration med kabel till Microsoft Managed Desktop-enheter, samlar du in organisationens krav för ditt kabelanslutna företagsnätverk. Gör så här:
- Logga in på en enhet där din befintliga 802.1x-profil är konfigurerad och ansluten till LAN-nätverket.
- Öppna en kommandotolk med administrativa autentiseringsuppgifter.
- Hitta NAMNET på LAN-gränssnittet genom att köra Netsh-gränssnittets gränssnitt.
- Exportera LAN-profilens XML genom att köra netsh lan export profile folder=. Interface="interface_name".
- Om du behöver testa din exporterade profil på Microsoft Managed Desktop-enhet kör du netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME".
Distribuera infrastruktur för certifikat
Om du redan har en befintlig SITI- eller PKCS-infrastruktur med Intune och den här metoden uppfyller dina krav kan du också använda den för Microsoft Hanterat skrivbord. Om det inte finns någon S EN- eller PKCS-infrastruktur måste du förbereda en infrastruktur.
Mer information finns i Konfigurera en certifikatprofil för dina enheter i Microsoft Intune.
Distribuera en LAN-profil
När din LAN-profil har exporterats kan du förbereda principen för Microsoft Managed Desktop genom att följa de här stegen:
- Skapa en egen profil i Microsoft Intune för LAN-profilen med hjälp av följande inställningar (se Använda anpassade inställningar för Windows 10 enheter i Intune). Välj Lägg till i Inställningar OMA-URI och ange sedan följande värden:
- Namn: Modern Workplace-Windows 10 LAN-profil
- Beskrivning: Ange en beskrivning som ger en översikt över inställningen och annan viktig information.
- OMA-URI (fallkänsligt): Ange ./Device/Vendor/MSFT/WiredNetwork/LanXML
- Datatyp: välj Sträng (XML-fil).
- Anpassad XML:Upload den exporterade XML-filen.
- Tilldela den anpassade profilen till gruppen Moderna workplace-enheter – testgrupp.
- Gör de tester som behövs med hjälp av en enhet som finns i testdistributionsgruppen. Om det lyckas tilldelar du den anpassade profilen till moderna workplace-enheter – first, Modern Workplace Devices – Fast och Modern Workplace Devices – Broad groups.
Distribuera certifikat och Wi-Fi/VPN-profil
Följ de här stegen om du vill distribuera certifikat och profiler:
- Skapa en profil för vart och ett av rot- och mellanliggande certifikat (se Skapa betrodda certifikatprofiler. Var och en av dessa profiler måste ha en beskrivning som innehåller ett utgångsdatum i formatet DD/MM/YYY. Certifikatprofiler måste ha ett utgångsdatum.
- Skapa en profil för varje SERING- eller PKCS-certifikat (se Skapa en SDATUM-certifikatprofil eller Skapa en profil för PKCS-certifikat)Var och en av dessa profiler måste ha en beskrivning som innehåller ett utgångsdatum i formatet DD/MM/ÅDYY. Certifikatprofiler måste ha ett utgångsdatum.
- Skapa en profil för varje företags WiFi-nätverk (se Wi-Fi-inställningar för Windows 10 och senare enheter).
- Skapa en profil för varje företags-VPN (se inställningar Windows 10 och Windows Holographic för att lägga till VPN-anslutningar med Intune).
- Tilldela profilerna till gruppen Moderna workplace-enheter – testgrupp.
- Gör de tester som behövs med hjälp av en enhet som finns i testdistributionsgruppen. Om det lyckas tilldelar du den anpassade profilen till moderna workplace-enheter – first, Modern Workplace Devices – Fast och Modern Workplace Devices – Broad groups.
Steg för att förbereda dig för Microsoft Managed Desktop
- Läs Förutsättningar för Microsoft Hanterat skrivbord.
- Köra verktygen för beredskapsbedömning.
- Köp Företagsportal.
- Granska förutsättningar för gästkonton.
- Kontrollera nätverkskonfiguration.
- Förbereda certifikat och nätverksprofiler (den här artikeln).
- Förbereda användaråtkomst till data.
- Förbereda appar.
- Förbereda mappade enheter.
- Förbereda utskriftsresurser.
- Adress adressenheter.