Registrera smartkort för icke-administratörerEnroll smart cards for non-administrators

Om en användare inte är lokal administratör på sin dator kan denne normalt inte registrera ett smartkort på sin egen dator.If a user isn’t a local administrator on their computer, they won’t be able to enroll a smart card on their own machines by default. Genom att följa proceduren som beskrivs nedan kan dock du kringgå den här begränsningen.The following procedure enables you to work around this limitation.

Aktivera förnyelse av smartkort för icke-administratörer i Certifikathanteraren i MIM 2016 Enabling smart card renewal for non-admins in MIM 2016 Certificate Manager

  1. Packa upp appx-filenUnpack the appx file

    Hämta ett signeringscertifikat.Obtain a signing certificate. Följ stegen för att signera Windows 8-program med ett internt PKI.Follow the steps to Sign Windows 8 applications using an internal PKI. Stanna när du kommer till ”Signera programmet”.Stop when you get to “Sign the Application”. Ange ett namn på den exporterade pfx-filen.Name the exported pfx file. Exportera den även som en .cer-fil och importera den till klienten med hjälp av cer-filen i det nya signeringscertifikatet.Export to a .cer file as well, and import it to the client using the cer file of the new signing certificate.

    Utför följande åtgärder för att packa upp appx-filen:Run the following to unpack the appx file:

    makeappx unpack /l /p <app package name>.appx /d ./appx

    ren <app package name>.appx <app package name>.appx.old

    cd appx

  2. Ändra konfigurationsfilenModify the configuration file

    Byt namn på filen som heter CustomDataExample.xml custom.data.Rename the file named CustomDataExample.xml custom.data. CM-appen (Cerfikathanterarappen) börjar leta efter det här filnamnet.The CM app will look for this file name.

    Redigera custom.data-filen och ändra följande:Edit the custom.data file and modify the following:

    1. I elementet <NonAdmin> ändrar du värdet för attributet Value till ”True”In the <NonAdmin> element, change the value of the Value attribute to "True"

    2. Spara filen och avsluta redigerarenSave the file and exit editor

    3. Ta bort filen som heter AppxSignature.p7xDelete the file named AppxSignature.p7x

    4. Redigera filen som heter AppxManifest.xmlEdit the file named AppxManifest.xml

    5. I elementet <Identity> ändrar du värdet för attributet Publisher till subjektet i ditt signeringscertifikat, t.ex. ”CN=ABCD”In the <Identity> element modify the value of the Publisher attribute to the subject of your signing certificate, e.g. "CN=ABCD"

      Subjektet här måste vara detsamma som subjektet i signeringscertifikatet du använder för att signera appen.The subject here should be the same as the subject in the signing certificate you’re using to sign the app.

    6. Spara filen och avsluta redigeraren.Save the file and exit editor.

  3. Packa app-paketet på nytt och signera det (appx-fil)Re-pack and sign the app package (appx file)

    Utför följande åtgärder för att packa och signera appx-filen:Run the following to pack and sign the the appx file:

    cd ..

    makeappx pack /l /d .\appx /p <app package name>.appx

    signtool sign /f <path\>mysign.pfx /p <pfx password> /fd "sha256" <app package name>.appxsigntool sign /f <path\>mysign.pfx /p <pfx password> /fd "sha256" <app package name>.appx

  4. Duplicera profilmallen och lägg till den ursprungliga administratörsnyckeln för att konfigurera MIM-servern:Duplicate the profile template and adding the initial admin key to configure the MIM server:

    1. Logga in på CM-portalen som en användare med administratörsbehörighet.Log into the CM portal as a user with administrative privileges.

    2. Gå till Administration > Hantera profilmallar och kontrollera att kryssrutan bredvid den profilmall du skapat är markerad. Klicka sedan på Kopiera en vald profilmall.Go to Administration > Manage Profile templates and make sure that the box is checked next to profile template you created, then click on Copy a selected profile template.

    3. Ange namnet på profilmallen, lägg till ”nonAdmin” och klicka på OK.Type the name of the profile template, add “nonAdmin” and click OK.

    4. När de allmänna inställningarna för profilmallen visas rullar du ned till slutet. Under Konfiguration av smartkort klickar du på Ändra inställningar.When the profile template general settings appear, scroll down all the way and under Smart card Configuration, click Change Settings.

    5. Under Ursprungligt värde för administratörsnyckel (hex) anger du den förinställda administratörsnyckeln: ”010203040506070801020304050607080102030405060708”Under Admin key initial value (hex) enter the default admin key: "010203040506070801020304050607080102030405060708"

    6. Rulla ned och klicka på OK.Scroll down and click OK.

  5. Skapa ett konto för icke-administratörer på klientdatornCreate a non-admin account on the client machine

    Användare som inte är administratörer kan inte skapa det virtuella smartkortet på TPM, så därför måste du skapa det åt dem.Non-admin users can't create the virtual smart card on the TPM, so you have to create it for them.

  6. Skapa ett virtuellt smartkort med hjälp av TpmVscMgrCreate a virtual smart card using TpmVscMgr

    Utför följande (fortfarande som administratör) för att skapa ett tomt virtuellt smartkort på en dator.Perform the following (still as the admin) to create an empty virtual smart card on a machine. Du kan göra detta genom Intune, SCCM eller grupp-policyer.This can be done through Intune, SCCM or group policies.

    TpmVscMgr create /name MyVSC /pin default /adminkey default /generate

  7. Installera CM-appen på icke-administratörskontotInstall the CM app in the non-admin account

  8. Starta CM-appen och registrera uppgifterna för ett virtuellt smartkortLaunch the CM app and enrolling for a virtual smart card