為非系統管理員註冊智慧卡

如果使用者不是電腦上的本機系統管理員,他們預設將無法在自己的電腦上註冊智慧卡。 下列程序可讓您解決這項限制。

讓 MIM 2016 憑證管理員的非系統管理員能夠更新智慧卡

  1. 將 appx 檔案解壓縮

    取得簽署憑證。 請遵循步驟以使用內部 PKI 簽署 Windows 8 應用程式。 到達「簽署應用程式」時停止。 命名匯出的 pfx 檔案。 同時匯出到 .cer 檔案,並使用新簽署憑證的 cer 檔案,將其匯入到用戶端。

    執行下列命令來解壓縮 appx 檔案:

    makeappx unpack /l /p <app package name>.appx /d ./appx

    ren <app package name>.appx <app package name>.appx.old

    cd appx

  2. 修改設定檔

    將檔案重新命名為 CustomDataExample.xml custom.data。 CM 應用程式會尋找此檔案名稱。

    編輯 custom.data 檔案並修改下列動作:

    1. 在 <NonAdmin> 元素中,將 Value 屬性的值變更為 "True"。

    2. 儲存檔案並結束編輯器

    3. 刪除名為 AppxSignature.p7x 的檔案

    4. 編輯名為 AppxManifest.xml 的檔案

    5. 在 Identity 專案中 <> ,將 Publisher 屬性的值修改為您簽署憑證的主體,例如 "CN = ABCD"

      這裡的主體應該與您用來簽署應用程式的簽署憑證中主體相同。

    6. 儲存檔案並結束編輯器。

  3. 重新封裝並簽署應用程式封裝 (appx 檔)

    執行下列命令以封裝並登入 appx 檔案:

    cd ..

    makeappx pack /l /d .\appx /p <app package name>.appx

    signtool sign /f <path\>mysign.pfx /p <pfx password> /fd "sha256" <app package name>.appx

  4. 複製設定檔範本和新增初始系統管理員機碼,以設定 MIM 伺服器:

    1. 以具有系統管理權限的使用者身分登入 CM 入口網站。

    2. 移至 [系統管理] [管理設定檔範本] 並確定核取建立之設定檔範本旁的方塊,然後按一下 [複製選取的設定檔範本]。

    3. 輸入設定檔範本的名稱,加入"nonAdmin" 並按一下 [確定]

    4. 出現設定檔範本的一般設定時,捲動到最下方,並在 [智慧卡設定] 下按一下 [變更設定]

    5. [管理金鑰起始值 (十六進位)] 下輸入預設的管理金鑰:"010203040506070801020304050607080102030405060708"

    6. 向下捲動並按一下 [確定]

  5. 在用戶端電腦上建立非系統管理員帳戶

    非系統管理使用者無法在 TPM 上建立虛擬智慧卡,所以您不必為其建立。

  6. 使用 TpmVscMgr 建立虛擬智慧卡

    若要在電腦上建立空白的虛擬智慧卡,請執行下列動作 (仍以系統管理員身分)。 這可以透過 Intune、SCCM 或群組原則完成。

    TpmVscMgr create /name MyVSC /pin default /adminkey default /generate

  7. 在非系統管理員帳戶中安裝 CM 應用程式

  8. 啟動 CM 應用程式和註冊虛擬智慧卡