为 Microsoft 托管桌面准备证书和网络配置文件

  • 项目

对于使用 Microsoft 托管桌面的客户来说,基于证书的身份验证是一项常见要求。 可能需要证书才能:

  • 访问 Wi-Fi 或 LAN
  • 连接 VPN 解决方案
  • 访问组织中的内部资源

由于 Microsoft 托管桌面设备已加入到Microsoft Entra ID 并由Microsoft Intune进行管理,因此必须使用以下命令部署此类证书:

  • 简单证书注册协议 (SCEP)
  • 公钥加密标准 (PKCS) 与 Intune 集成的证书基础结构。

证书要求

通过 SCEP 或 PKCS 基础架构部署证书时,需要使用根证书。 组织中的其他应用程序和服务可能需要将根证书部署到 Microsoft 托管桌面设备。

在将 SCEP 或 PKCS 证书部署到Microsoft 托管桌面之前,应收集需要组织中用户或设备证书的每个服务的要求。 若要简化此操作,可以使用以下计划模板之一:

Wi-Fi 连接要求

若要允许自动为设备提供企业网络所需的 Wi-Fi 配置,可能需要 Wi-Fi 配置文件。

可以将 Microsoft 托管桌面配置为将这些配置文件部署到设备。 如果网络安全要求设备成为本地域的一部分,则可能需要评估 Wi-Fi 网络基础结构,以确保它与 Microsoft 托管桌面设备兼容。 Microsoft 托管桌面设备仅Microsoft Entra加入。

在将 Wi-Fi 配置部署到 Microsoft 托管桌面设备之前,需要收集组织对每个 Wi-Fi 网络的要求。 为了简化此操作,可以使用此 WiFi 配置文件模板

有线连接要求和 802.1x 身份验证

如果使用 802.1x 身份验证来保护设备对本地区域网络 (LAN) 的访问,则需要将所需的配置详细信息推送到 Microsoft 托管桌面设备。

Microsoft 托管桌面运行 Windows 10 版本 1809 或更高版本的设备支持通过 WiredNetwork 配置服务提供商(云解决方案提供商)部署 802.1x 配置。 有关详细信息,请参阅 WiredNetwork 云解决方案提供商文档。

在将有线网络配置文件部署到 Microsoft 托管桌面设备之前,请收集组织对有线企业网络的要求。

收集有线企业网络要求:

  1. 登录到配置了现有 802.1x 配置文件,并连接到 LAN 网络的设备。
  2. 使用管理凭据打开命令提示符。
  3. 通过运行 netsh interface show interface 查找 LAN 接口名称。
  4. 通过运行 netsh lan export profile folder=. Interface=”interface_name” 来导出 LAN 配置文件 XML。
  5. 如果需要在 Microsoft 托管桌面设备上测试导出的配置文件,请运行netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME"

部署证书基础结构

如果已具有 Intune 的 SCEP 或 PKCS 基础结构,并且此方法满足你的要求,则还可以将其用于 Microsoft 托管桌面。

如果不存在 SCEP 或 PKCS 基础结构,则必须准备一个。 有关详细信息,请参阅在 Microsoft Intune 中为设备配置证书配置文件

部署 LAN 配置文件

导出 LAN 配置文件后,可以为 Microsoft 托管桌面准备策略。

若要为 Microsoft 托管桌面准备策略:

  1. 使用以下设置在 LAN 配置文件 Microsoft Intune 中创建自定义配置文件(请参阅 在 Intune 中为 Windows 10 设备使用自定义设置)。 在自定义 OMA-URI 设置中,选择“添加”,然后输入以下值:
    • 名称:新式 Workplace-Windows 10 LAN 配置文件
    • 说明:输入设置的简要说明以及其他重要详细信息。
    • OMA-URI(区分大小写):输入 ./Device/Vendor/MSFT/WiredNetwork/LanXML
    • 数据类型:选择 字符串 (XML 文件)
    • 自定义 XML:上传导出的 XML 文件。
  2. 将自定义配置文件分配给 新式工作区设备 - 测试 组。
  3. 使用测试部署组中的设备,执行你认为必要的任何测试。 如果成功,请将自定义配置文件分配给以下组:
    • 新式工作区设备 - 首要
    • 新式工作区设备 - 快速
    • 新式工作区设备 - 广泛

部署证书和 Wi-Fi/VPN 配置文件

若要部署证书和配置文件,请执行以下操作:

  1. 为每个根证书和中间证书创建配置文件(请参阅 创建受信任的证书配置文件)。 每个配置文件都必须具有包含 DD/MM/YYYY 格式的过期日期的说明。 证书配置文件必须具有过期日期。
  2. 为每个 SCEP 或 PKCS 证书创建配置文件(请参阅 创建 SCEP 证书配置文件创建 PKCS 证书配置文件)。 每个配置文件都必须具有包含 DD/MM/YYYY 格式的过期日期的说明。 证书配置文件必须具有过期日期。
  3. 为每个公司 WiFi 网络创建配置文件(请参阅 Windows 10 及更高版本设备的 Wi-Fi 设置)。
  4. 为每个企业 VPN 创建配置文件(请 参阅 Windows 10和 Windows 全息设备设置,以使用 Intune 添加 VPN 连接)。
  5. 将配置文件分配给 新式工作区设备 - 测试 组。
  6. 使用测试部署组中的设备,执行你认为必要的任何测试。 如果成功,请将自定义配置文件分配给以下组:
    • 新式工作区设备 - 首要
    • 新式工作区设备 - 快速
    • 新式工作区设备 - 广泛