Intune'de SCEP sertifika profilleri oluşturma ve atama

  • Makale
  • Okumak için 14 dakika

Altyapınızı Basit Sertifika Kayıt Protokolü (SCEP) sertifikalarını destekleyecek şekilde yapılandırdıktan sonra, Intune'deki kullanıcılara ve cihazlara SCEP sertifika profilleri oluşturabilir ve atayabilirsiniz.

Cihazların SCEP sertifika profili kullanması için Güvenilen Kök Sertifika Yetkilinize (CA) güvenmeleri gerekir. Kök CA'nın güveni en iyi şekilde SCEP sertifika profilini alan aynı gruba güvenilen bir sertifika profili dağıtılarak oluşturulur. Güvenilen sertifika profilleri Güvenilen Kök CA sertifikasını sağlar.

Android Enterprise çalıştıran cihazlar, SCEP'in bir sertifikayla sağlayabilmesi için bir PIN gerektirebilir. Daha fazla bilgi için bkz. Android Enterprise için PIN gereksinimi.

Not

Android 11'le başlayarak, güvenilen sertifika profilleri artık Android cihaz yöneticisi olarak kaydedilen cihazlara güvenilen kök sertifikayı yükleyemez. Bu sınırlama Samsung Knox için geçerli değildir.

Bu sınırlama hakkında daha fazla bilgi için bkz . Android cihaz yöneticisi için güvenilen sertifika profilleri.

İpucu

SCEP sertifika profilleri Windows Enterprise çok oturumlu uzak masaüstleri için desteklenir.

SCEP sertifika profili oluşturma

  1. Microsoft Endpoint Manager yönetim merkezinde oturum açın.

  2. CihazlarYapılandırma > profilleriProfil > oluştur'u seçin ve gidin.

  3. Aşağıdaki özellikleri girin:

    • Platform: Cihazlarınızın platformunu seçin.

    • Profil: SCEP sertifikası'ni seçin. İsterseniz ŞablonlarSCEP > sertifikası'nı da seçebilirsiniz.

      Android Enterprise için Profil türü*, Tam Olarak Yönetilen, Ayrılmış ve Corporate-Owned İş Profili ve Kişisel İş Profili* olmak üzere iki kategoriye ayrılır. Yönettiğiniz cihazlar için doğru SCEP sertifika profilini seçtiğinizden emin olun.

      Tam Olarak Yönetilen, Ayrılmış ve Corporate-Owned İş Profili profili için SCEP sertifika profilleri aşağıdaki sınırlamalara sahiptir:

      1. İzleme'nin altında, Cihaz Sahibi SCEP sertifika profilleri için sertifika raporlama kullanılamaz.

      2. Cihaz Sahipleri için SCEP sertifika profilleri tarafından sağlanan sertifikaları iptal etmek için Intune kullanamazsınız. İptal işlemini bir dış işlem aracılığıyla veya doğrudan sertifika yetkilisiyle yönetebilirsiniz.

      3. Android Enterprise ayrılmış cihazlarda SCEP sertifika profilleri Wi-Fi ağ yapılandırması, VPN ve kimlik doğrulaması için desteklenir. Android Enterprise ayrılmış cihazlarda SCEP sertifika profilleri uygulama kimlik doğrulaması için desteklenmez.

  4. Oluştur’u seçin.

  5. Temel Bilgiler’de aşağıdaki özellikleri girin:

    • Ad: Profil için açıklayıcı bir ad girin. Profillerinizi daha sonra kolayca tanımlayabilmeniz için adlandırabilirsiniz. Örneğin, iyi bir profil adı tüm şirket için SCEP profilidir.
    • Açıklama: Profil için bir açıklama girin. Bu ayar isteğe bağlıdır ancak önerilir.

  6. İleri'yi seçin.

  7. Yapılandırma ayarlarında aşağıdaki yapılandırmaları tamamlayın:

    • Sertifika türü:

      (Şunlar için geçerlidir: Android, Android Enterprise, iOS/iPadOS, macOS, Windows 8.1 ve Windows 10/11)

      Sertifika profilini nasıl kullanacağınıza bağlı olarak bir tür seçin:

      • Kullanıcı: Kullanıcı sertifikaları, sertifikanın konu ve SAN'sında hem kullanıcı hem de cihaz özniteliklerini içerebilir.

      • Cihaz: Cihaz sertifikaları yalnızca sertifikanın konu ve SAN'sında cihaz özniteliklerini içerebilir.

        Bilgi noktaları gibi kullanıcısız cihazlar gibi senaryolar veya Windows cihazlar için Cihaz'ı kullanın. Windows cihazlarda sertifika Yerel Bilgisayar sertifika deposuna yerleştirilir.

      Not

      SCEP tarafından sağlanan sertifikaların Depolama:

      • macOS - SCEP ile sağladığınız sertifikalar her zaman cihazın sistem anahtar zincirine (Sistem deposu) yerleştirilir.

      • Android - Cihazların hem VPN hem de uygulama sertifika deposu ve WIFI sertifika deposu vardır. Intune SCEP sertifikalarını her zaman VPN'de ve uygulamalar deposunu bir cihazda depolar. VPN ve uygulama deposunun kullanılması, sertifikayı başka bir uygulama tarafından kullanılabilir hale getirir.

        Ancak, bir SCEP sertifikası da bir Wi-Fi profiliyle ilişkilendirildiğinde, Intune sertifikayı Wi-Fi deposuna da yükler.

        VPN uygulamaları için yapılandırıldığında, kullanıcıdan doğru sertifikayı seçmesi istenir. Tam Olarak Yönetilen (veya KCG senaryoları) için sessiz sertifika onayı desteklenmez. Her şey doğru şekilde ayarlanırsa, iletişim kutusunda doğru sertifika önceden seçilmiş olmalıdır.

    • Konu adı biçimi:

      Intune sertifika isteğinde konu adının otomatik olarak nasıl oluşturulacağını bildirmek için metin girin. Konu adı biçimi seçenekleri, seçtiğiniz Sertifika türüne ( Kullanıcı veya Cihaz) bağlıdır.

      İpucu

      Konu adı uzunluğunuz 64 karakteri aşarsa, iç Sertifika Yetkilinizde ad uzunluğu zorlamasını devre dışı bırakmanız gerekebilir. Daha fazla bilgi için bkz. DN Uzunluğu Zorlamasını Devre Dışı Bırakma

      Not

      Sonuçta elde edilen Sertifika İmzalama İsteği'ndeki (CSR) konu adı kaçış karakteri olarak aşağıdaki karakterlerden birini içerdiğinde (ters eğik çizgiyle \devam edilir) SCEP kullanarak sertifikaları almaya yönelik bilinen bir sorun vardır:

      • +
      • ;
      • ,
      • =

      Not

      Android 12'yi kullanmaya başlayan Android, kişisel iş profili cihazları için artık aşağıdaki donanım tanımlayıcılarının kullanımını desteklememektedir:

      • Seri numarası
      • IMEI
      • MEID

      Konu adı veya SAN'daki bu değişkenleri kullanan kişisel iş profili cihazları için sertifika profilleri Intune, cihaz Intune kaydedildiğinde Android 12 veya sonraki bir sürümü çalıştıran cihazlarda sertifika sağlayamayacaktır. Android 12'ye yükseltmeden önce kaydedilen cihazlar, cihaz donanım tanımlayıcılarını daha önce Intune edindiği sürece sertifika almaya devam edebilir.

      Bu ve Android 12 ile sunulan diğer değişiklikler hakkında daha fazla bilgi için Microsoft Endpoint Manager için Android Day Zero Desteği blog gönderisine bakın.

      • Kullanıcı sertifika türü

        Metin kutusunu kullanarak statik metin ve değişkenler de dahil olmak üzere özel bir konu adı biçimi girin. İki değişken seçeneği desteklenir: Ortak Ad (CN) ve E-posta (E).

        E-posta (E) genellikle {{EmailAddress}} değişkeniyle ayarlanır. Örneğin: E={{EmailAddress}}

        Ortak Ad (CN) aşağıdaki değişkenlerden herhangi birine ayarlanabilir:

        • CN={{UserName}}: Kullanıcının janedoe gibi kullanıcı adı.

        • CN={{UserPrincipalName}}: Kullanıcının janedoe@contoso.com gibi kullanıcı asıl adı.

        • CN={{AAD_Device_ID}}: Bir cihazı Azure Active Directory'a (AD) kaydettiğinizde atanan kimlik. Bu kimlik genellikle Azure AD ile kimlik doğrulaması yapmak için kullanılır.

        • CN={{DeviceId}}: Cihazı Intune kaydettiğinizde atanan kimlik. (Tam Olarak Yönetilen, Ayrılmış ve Corporate-Owned İş Profili için Android Enterprise desteklenmez)

        • CN={{SERIALNUMBER}}: Genellikle üretici tarafından bir cihazı tanımlamak için kullanılan benzersiz seri numarası (SN).

        • CN={{IMEINumber}}: Bir cep telefonunu tanımlamak için kullanılan Uluslararası Mobil Donanım Kimliği (IMEI) benzersiz numarası.

        • CN={{OnPrem_Distinguished_Name}}: CN=Jane Doe,OU=UserAccounts,DC=corp,DC=contoso,DC=com gibi virgülle ayrılmış göreli ayırt edici ad dizisi.

          {{OnPrem_Distinguished_Name}} değişkenini kullanmak için:

          • Azure AD Bağlan kullanarak onpremisesdistinguishedname kullanıcı özniteliğini Azure AD eşitlemeyi unutmayın.
          • CN değeri virgül içeriyorsa, Konu adı biçimi tırnak içinde olmalıdır. Örneğin: CN="{{OnPrem_Distinguished_Name}}"

        • CN={{OnPremisesSamAccountName}}: Yöneticiler, Azure AD onPremisesSamAccountName adlı bir öznitelikle bağlantı kurarak samAccountName özniteliğini Active Directory'den Azure AD eşitleyebilir. Intune, sertifikanın konusundaki bir sertifika verme isteğinin parçası olarak bu değişkenin yerini alabilir. samAccountName özniteliği, önceki bir Windows sürümünden (Windows 2000 öncesi) istemcileri ve sunucuları desteklemek için kullanılan kullanıcı oturum açma adıdır. Kullanıcının oturum açma adı biçimi: DomainName\testUser veya yalnızca testUser.

          {{OnPremisesSamAccountName}} değişkenini kullanmak için, Azure AD Bağlan kullanarak OnPremisesSamAccountName kullanıcı özniteliğini Azure AD eşitlediğinizden emin olun.

        Aşağıdaki Cihaz sertifika türü bölümünde listelenen tüm cihaz değişkenleri, kullanıcı sertifikası konu adlarında da kullanılabilir.

        Bu değişkenlerin bir veya daha çoğunun ve statik metin dizelerinin birleşimini kullanarak, özel bir konu adı biçimi oluşturabilirsiniz; örneğin: CN={{UserName}},E={{EmailAddress}},OU=Mobile,O=Finans Grubu,L=Redmond,ST=Washington,C=ABD

        Bu örnek, CN ve E değişkenlerini kullanan bir konu adı biçimi ile Kuruluş Birimi, Kuruluş, Konum, Eyalet ve Ülke değerleri için dizeler içerir. CertStrToName işlevi bu işlevi ve desteklenen dizelerini açıklar.

        Kullanıcı öznitelikleri, Android Enterprise ayrılmış olarak kaydedilmiş cihazlar gibi kullanıcı ilişkilendirmeleri olmayan cihazlar için desteklenmez. Örneğin, konu veya SAN'da CN={{UserPrincipalName}} kullanan bir profil, cihazda kullanıcı olmadığında kullanıcı asıl adını alamaz.

      • Cihaz sertifika türü

        Konu adı biçimi için biçim seçenekleri aşağıdaki değişkenleri içerir:

        • {{AAD_Device_ID}} veya {{AzureADDeviceId}} - Bir cihazı Azure AD kimliğine göre tanımlamak için iki değişkenden biri kullanılabilir.
        • {{DeviceId}} - Intune cihaz kimliği (Tam Olarak Yönetilen, Ayrılmış ve Corporate-Owned İş Profili için Android Enterprise desteklenmez)
        • {{Device_Serial}}
        • {{Device_IMEI}}
        • {{SerialNumber}}
        • {{IMEINumber}}
        • {{WiFiMacAddress}}
        • {{IMEI}}
        • {{DeviceName}}
        • {{FullyQualifiedDomainName}} (Yalnızca Windows ve etki alanına katılmış cihazlar için geçerlidir)
        • {{MEID}}

        Bu değişkenleri ve statik metni metin kutusunda belirtebilirsiniz. Örneğin, Device1 adlı bir cihazın ortak adı CN={{DeviceName}}Device1 olarak eklenebilir.

        Önemli

        • Bir değişken belirttiğinizde, hata oluşmasını önlemek için örnekte görüldüğü gibi değişken adını çift köşeli ayraçlar {{ }} içine alın.
        • IMEI, SerialNumber ve FullyQualifiedDomainName gibi bir cihaz sertifikasının konusunda veya SAN'sinde kullanılan cihaz özellikleri, cihaza erişimi olan bir kişi tarafından sahte hale getirilebilen özelliklerdir.
        • Bir cihazın, o profilin o cihaza yüklenmesi için sertifika profilinde belirtilen tüm değişkenleri desteklemesi gerekir. Örneğin, bir SCEP profilinin konu adında {{IMEI}} kullanılıyorsa ve IMEI numarası olmayan bir cihaza atanmışsa, profil yüklenemez.

    • Konu alternatif adı:
      Intune otomatik olarak sertifika isteğinde konu alternatif adını (SAN) nasıl oluşturduğunu seçin. Birden çok konu alternatif adı belirtebilirsiniz. Her biri için dört SAN özniteliği arasından seçim yapabilir ve bu öznitelik için bir metin değeri girebilirsiniz. Metin değeri, özniteliği için değişkenler ve statik metin içerebilir.

      Kullanılabilir SAN öznitelikleri arasından seçim yapın:

      • E-posta adresi
      • Kullanıcı asıl adı (UPN)
      • DNS
      • Tekdüzen Kaynak Tanımlayıcısı (URI)

      SAN değeri için kullanılabilen değişkenler, seçtiğiniz Sertifika türüne bağlıdır; kullanıcı veya cihaz.

      Not

      Android 12'yi kullanmaya başlayan Android, kişisel iş profili cihazları için artık aşağıdaki donanım tanımlayıcılarının kullanımını desteklememektedir:

      • Seri numarası
      • IMEI
      • MEID

      Konu adı veya SAN'daki bu değişkenleri kullanan kişisel iş profili cihazları için sertifika profilleri Intune, cihaz Intune kaydedildiğinde Android 12 veya sonraki bir sürümü çalıştıran cihazlarda sertifika sağlayamayacaktır. Android 12'ye yükseltmeden önce kaydedilen cihazlar, cihaz donanım tanımlayıcılarını daha önce Intune edindiği sürece sertifika almaya devam edebilir.

      Bu ve Android 12 ile sunulan diğer değişiklikler hakkında daha fazla bilgi için Microsoft Endpoint Manager için Android Day Zero Desteği blog gönderisine bakın.

      • Kullanıcı sertifika türü

        Kullanıcı sertifika türü ile, yukarıda Konu Adı bölümünde açıklanan kullanıcı veya cihaz sertifika değişkenlerinden herhangi birini kullanabilirsiniz.

        Örneğin, kullanıcı sertifika türleri konu alternatif adına kullanıcı asıl adını (UPN) içerebilir. Ağ İlkesi Sunucusunda kimlik doğrulaması yapmak için bir istemci sertifikası kullanılıyorsa, konu alternatif adını UPN olarak ayarlayın.

      • Cihaz sertifika türü

        Cihaz sertifika türü ile, Konu Adı için Cihaz sertifika türü bölümünde açıklanan değişkenlerden herhangi birini kullanabilirsiniz.

        Bir özniteliğin değerini belirtmek için, değişken adını küme ayraçları ve ardından bu değişkenin metnini ekleyin. Örneğin, DNS özniteliği için {{AzureADDeviceId}}.domain.com eklenebilir ve burada .domain.com metindir. User1 adlı bir kullanıcı için e-posta adresi {{FullyQualifiedDomainName}}User1@Contoso.com olarak görünebilir.

      Bu değişkenlerin bir veya daha çoğunun ve statik metin dizelerinin birleşimini kullanarak, aşağıdaki gibi özel bir konu alternatif ad biçimi oluşturabilirsiniz:

      • {{UserName}}-Home

        Önemli

        • Cihaz sertifika değişkeni kullanırken değişken adını çift köşeli ayraç içine alın {{ }}.
        • Değişkenden sonra gelen metinde { }, kanal simgeleri | ve noktalı virgüller ; küme ayraçları kullanmayın.
        • IMEI, SerialNumber ve FullyQualifiedDomainName gibi bir cihaz sertifikasının konusunda veya SAN'sinde kullanılan cihaz özellikleri, cihaza erişimi olan bir kişi tarafından sahte hale getirilebilen özelliklerdir.
        • Bir cihazın, o profilin o cihaza yüklenmesi için sertifika profilinde belirtilen tüm değişkenleri desteklemesi gerekir. Örneğin, bir SCEP profilinin SAN'sında {{IMEI}} kullanılıyorsa ve IMEI numarası olmayan bir cihaza atanmışsa, profil yüklenemez.

    • Sertifika geçerlilik süresi:

      Sertifika şablonunda geçerlilik süresinden daha düşük ancak daha yüksek olmayan bir değer girebilirsiniz. Sertifika şablonunu, Intune konsolundan ayarlanabilen özel bir değeri destekleyecek şekilde yapılandırdıysanız, sertifikanın süresi dolmadan önce kalan süreyi belirtmek için bu ayarı kullanın.

      Intune 24 aya kadar geçerlilik süresini destekler.

      Örneğin, sertifika şablonundaki sertifika geçerlilik süresi iki yıl ise, bir yıllık bir değer girebilirsiniz, ancak beş yıllık bir değer giremezsiniz. Değer, sertifika veren CA'nın sertifikasının kalan geçerlilik süresinden de düşük olmalıdır.

      Beş gün veya daha uzun bir geçerlilik süresi kullanmayı planlayın. Geçerlilik süresi beş günden kısa olduğunda, sertifikanın süresi dolmak üzere veya süresi dolmuş duruma girme olasılığı yüksektir ve bu da cihazlardaki MDM aracısının yüklenmeden önce sertifikayı reddetmesine neden olabilir.

    • Anahtar depolama sağlayıcısı (KSP):

      (Şunlar için geçerlidir: Windows 8.1 ve Windows 10/11)

      Sertifika anahtarının depolandığı yeri belirtin. Aşağıdaki değerlerden birini seçin:

      • Varsa Güvenilir Platform Modülü (TPM) KSP'sine kaydol, aksi takdirde Yazılım KSP'si
      • Güvenilir Platform Modülü (TPM) KSP'sine kaydol, aksi takdirde başarısız olur
      • İş İçin Windows Hello kaydolma, aksi takdirde başarısız (Windows 10 ve üzeri)
      • Yazılım KSP'sine kaydolma

    • Anahtar kullanımı:

      Sertifika için önemli kullanım seçeneklerini belirleyin:

      • Dijital imza: Anahtar değişimine yalnızca dijital imza anahtarın korunmasına yardımcı olduğunda izin verir.
      • Anahtar şifrelemesi: Anahtar değişimine yalnızca anahtar şifrelendiğinde izin verir.

    • Anahtar boyutu (bit):

      Anahtarın içerdiği bit sayısını seçin:

      • Yapılandırılmadı
      • 1024
      • 2048
      • 4096 (iOS/iPadOS 14 ve üzeri ve macOS 11 ve üzeri ile desteklenir)

    • Karma algoritma:

      (Android, Android kurumsal, Windows 8.1 ve Windows 10/11 için geçerlidir)

      Bu sertifikayla kullanılacak kullanılabilir karma algoritma türlerinden birini seçin. Bağlanan cihazların desteklediği en güçlü güvenlik düzeyini seçin.

    • Kök Sertifika:

      Daha önce yapılandırdığınız ve bu SCEP sertifika profili için geçerli kullanıcılara ve cihazlara atadığınız güvenilen sertifika profilini seçin. Güvenilen sertifika profili, kullanıcılara ve cihazlara Güvenilen Kök CA sertifikası sağlamak için kullanılır. Güvenilen sertifika profili hakkında bilgi için bkz. Güvenilen kök CA sertifikanızı dışarı aktarma ve Intune kimlik doğrulaması için sertifikaları kullanma konusunda güvenilen sertifika profilleri oluşturma.

      Not

      Kök Sertifika Yetkilisi ve Sertifika Veren Sertifika Yetkilisi gibi birden çok düzey PKI Yapısına sahipseniz, Sertifika Veren Sertifika Yetkilisi'ni doğrulayan en üst düzey Güvenilen Kök sertifika profilini seçin.

    • Genişletilmiş anahtar kullanımı:

      Sertifikanın amaçlanan amacına yönelik değerler ekleyin. Çoğu durumda sertifika, kullanıcı veya cihazın bir sunucuda kimlik doğrulaması için istemci kimlik doğrulaması gerektirir. Gerektiğinde ek anahtar kullanımları ekleyebilirsiniz.

    • Yenileme eşiği (%):

      Cihaz sertifikanın yenilenmesini istemeden önce kalan sertifika ömrünün yüzdesini girin. Örneğin, 20 girerseniz, sertifikanın süresi %80 dolduğunda sertifikanın yenilenmesi denenir. Yenileme girişimleri, yenileme başarılı olana kadar devam eder. Yenileme, yeni bir ortak/özel anahtar çiftiyle sonuçlanan yeni bir sertifika oluşturur.

      Not

      iOS/iPadOS ve macOS'ta yenileme davranışı: Sertifikalar yalnızca yenileme eşiği aşamasında yenilenebilir. Ayrıca, Intune ile eşitlenirken cihazın kilidinin açılması gerekir. Yenileme başarılı olmazsa süresi dolan sertifika cihazda kalır ve Intune artık yenileme tetiklemez. Ayrıca Intune süresi dolan sertifikaları yeniden dağıtma seçeneği sunmaz. Süresi dolan sertifikayı kaldırmak ve yeni bir sertifika istemek için etkilenen cihazların SCEP profilinden geçici olarak dışlanması gerekir.

    • SCEP Sunucusu URL'leri:

      SCEP aracılığıyla sertifika veren NDES Sunucuları için bir veya daha fazla URL girin. Örneğin, gibi https://ndes.contoso.com/certsrv/mscep/mscep.dllbir şey girin.

      URL HTTP veya HTTPS olabilir. Ancak, aşağıdaki cihazları desteklemek için SCEP Sunucusu URL'sinin HTTPS kullanması gerekir:

      • Android cihaz yöneticisi
      • Android Enterprise cihaz sahibi
      • Android Enterprise şirkete ait iş profili
      • Android Enterprise kişisel iş profili

      Gerektiğinde yük dengeleme için ek SCEP URL'leri ekleyebilirsiniz. Cihazlar NDES sunucusuna üç ayrı çağrı yapar. İlki sunucu özelliklerini almak, bir sonraki ortak anahtarı almak ve ardından bir imzalama isteği göndermektir. Birden çok URL kullandığınızda yük dengeleme, bir NDES Sunucusuna yapılan sonraki çağrılar için farklı bir URL'nin kullanılmasına neden olabilir. Aynı istek sırasında sonraki bir çağrı için farklı bir sunucuyla iletişime geçilirse istek başarısız olur.

      NDES sunucu URL'sini yönetme davranışı her cihaz platformuna özgüdür:

      • Android: Cihaz, SCEP ilkesinde alınan URL'lerin listesini rastgele seçer ve erişilebilir bir NDES sunucusu bulunana kadar listede çalışır. Ardından cihaz tüm işlem boyunca aynı URL'yi ve sunucuyu kullanmaya devam eder. Cihaz NDES sunucularından herhangi birine erişemezse işlem başarısız olur.
      • iOS/iPadOS: Intune URL'leri rastgele oluşturur ve bir cihaza tek bir URL sağlar. Cihaz NDES sunucusuna erişemezse SCEP isteği başarısız olur.
      • Windows: NDES URL'lerinin listesi rastgele oluşturulur ve ardından Windows cihazına geçirilir. Bu, kullanılabilir bir url bulunana kadar bunları alınan sırayla dener. Cihaz NDES sunucularından herhangi birine erişemezse işlem başarısız olur.

      Bir cihaz NDES sunucusuna yapılan üç çağrıdan herhangi biri sırasında aynı NDES sunucusuna başarıyla ulaşamazsa, SCEP isteği başarısız olur. Örneğin, bir yük dengeleme çözümü NDES sunucusuna yapılan ikinci veya üçüncü çağrı için farklı bir URL sağladığında veya NDES için sanallaştırılmış BIR URL'yi temel alan farklı bir gerçek NDES sunucusu sağladığında bu durum oluşabilir. Başarısız bir istek sonrasında cihaz, NDES URL'lerinin (veya iOS/iPadOS için tek bir URL'nin) rastgele listesiyle başlayarak bir sonraki ilke döngüsünde işlemi yeniden dener.

  8. İleri'yi seçin.

  9. Atamalar'da profilinizi alacak kullanıcıyı veya grupları seçin. Profil atama hakkında daha fazla bilgi için bkz. Kullanıcı ve cihaz profilleri atama.

    İleri'yi seçin.

  10. (Yalnızca Windows 10/11 için geçerlidir) Uygulanabilirlik Kuralları'nda, bu profilin atamasını daraltmak için uygulanabilirlik kurallarını belirtin. Profili bir cihazın işletim sistemi sürümüne veya sürümüne göre atamayı veya atamamayı seçebilirsiniz.

Daha fazla bilgi için bkz. Microsoft Intune'da cihaz profili oluşturma konusundaki Uygulanabilirlik kuralları.

  1. Gözden geçir ve oluştur bölümünde ayarlarınızı gözden geçirin. Oluştur 'u seçtiğinizde, değişiklikleriniz kaydedilir ve profil atanır. İlke, profiller listesinde de gösterilir.

Özel kaçış karakterleriyle sertifika imzalama isteklerinden kaçının

ScEP ve PKCS sertifika isteklerinde, kaçış karakteri olarak aşağıdaki özel karakterlerden birine veya daha fazlasına sahip bir Konu Adı (CN) içeren bilinen bir sorun vardır. Özel karakterlerden birini kaçış karakteri olarak içeren konu adları, yanlış konu adına sahip bir CSR ile sonuçlanır. Yanlış bir konu adı, Intune SCEP sınama doğrulamasının başarısız olup sertifika verilmemesine neden olur.

Özel karakterler şunlardır:

  • +
  • ,
  • ;
  • =

Konu adınız özel karakterlerden birini içeriyorsa, bu sınırlamayı geçici olarak çözmek için aşağıdaki seçeneklerden birini kullanın:

  • Tırnak işaretleri içeren özel karakteri içeren CN değerini kapsülleyin.
  • CN değerinden özel karakteri kaldırın.

Örneğin, Test kullanıcısı (TestCompany, LLC) olarak görünen bir Konu Adınız vardır. TestCompany ile LLC arasında virgül içeren bir CN içeren CSR bir sorun gösterir. CN'nin tamamına tırnak işareti yerleştirerek veya TestCompany ile LLC arasında virgül kaldırılarak sorun önlenebilir:

  • Tırnak işareti ekle: CN="Test Kullanıcısı (TestCompany, LLC)",OU=UserAccounts,DC=corp,DC=contoso,DC=com
  • Virgülü kaldırın: CN=Test Kullanıcısı (TestCompany LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Ancak, ters eğik çizgi karakteri kullanarak virgülden kurtulma girişimleri CRP günlüklerinde bir hatayla başarısız olur:

  • Kaçış virgülü: CN=Test Kullanıcısı (TestCompany\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com

Hata aşağıdaki hataya benzer:

Subject Name in CSR CN="Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com" and challenge CN=Test User (TESTCOMPANY\, LLC),OU=UserAccounts,DC=corp,DC=contoso,DC=com do not match  

  Exception: System.ArgumentException: Subject Name in CSR and challenge do not match

   at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

Exception:    at Microsoft.ConfigurationManager.CertRegPoint.ChallengeValidation.ValidationPhase3(PKCSDecodedObject pkcsObj, CertEnrollChallenge challenge, String templateName, Int32 skipSANCheck)

   at Microsoft.ConfigurationManager.CertRegPoint.Controllers.CertificateController.VerifyRequest(VerifyChallengeParams value

Sertifika profilini atama

SCEP sertifika profillerini , cihaz profillerini başka amaçlarla dağıttığınız gibi atayın.

Önemli

SCEP sertifika profili kullanmak için, bir cihazın güvenilen kök CA sertifikanızla birlikte sağlayan güvenilir sertifika profilini de almış olması gerekir. Hem güvenilen kök sertifika profilini hem de SCEP sertifika profilini aynı gruplara dağıtmanızı öneririz.

Devam etmeden önce aşağıdakileri göz önünde bulundurun:

  • Gruplara SCEP sertifika profilleri atadığınızda, cihaza Güvenilen Kök CA sertifika dosyası ( güvenilen sertifika profilinde belirtildiği gibi) yüklenir. Cihaz, bu Güvenilen Kök CA sertifikası için bir sertifika isteği oluşturmak üzere SCEP sertifika profilini kullanır.

  • SCEP sertifika profili yalnızca sertifika profilini oluştururken belirttiğiniz platformu çalıştıran cihazlara yüklenir.

  • Sertifika profillerini kullanıcı koleksiyonlarına veya cihaz koleksiyonlarına atayabilirsiniz.

  • Cihaz kaydedildikten sonra bir cihaza hızla sertifika yayımlamak için, sertifika profilini bir cihaz grubu yerine bir kullanıcı grubuna atayın. Bir cihaz grubuna atarsanız, cihaz ilkeleri almadan önce tam cihaz kaydı gerekir.

  • Intune ve Configuration Manager için ortak yönetim kullanıyorsanız, Configuration Manager kaynak erişim ilkeleri için iş yükü kaydırıcısını Intune veya Pilot Intune olarak ayarlayın. Bu ayar, Windows 10/11 istemcilerinin sertifika isteme işlemini başlatmasına olanak tanır.

Not

  • iOS/iPadOS cihazlarında, bir SCEP sertifika profili veya PKCS sertifika profili Wi-Fi veya VPN profili gibi ek bir profille ilişkilendirildiğinde, cihaz bu ek profillerin her biri için bir sertifika alır. Bu, iOS/iPadOS cihazının SCEP veya PKCS sertifika isteği tarafından teslim edilen birden çok sertifikaya sahip olmasına neden olur.

    SCEP tarafından teslim edilen sertifikaların her ikisi de benzersizdir. PKCS tarafından teslim edilen sertifikalar aynı sertifikadır, ancak her profil örneği yönetim profilinde ayrı bir satırla gösterildiğinden farklı görünür.

  • iOS 13 ve macOS 10.15'te, Apple tarafından dikkate alınması gereken bazı ek güvenlik gereksinimleri vardır.

Sonraki adımlar

Profil atama

SCEP sertifika profillerinin dağıtımıyla ilgili sorunları giderme