Introduzione ai profili certificato in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
Importante
A partire dalla versione 2203, questa funzionalità di accesso alle risorse aziendali non è più supportata. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.
I profili certificato funzionano con Servizi certificati Active Directory e il ruolo Servizio registrazione dispositivi di rete (NDES). Creare e distribuire certificati di autenticazione per i dispositivi gestiti in modo che gli utenti possano accedere facilmente alle risorse dell'organizzazione. Ad esempio, è possibile creare e distribuire profili certificato per fornire i certificati necessari per consentire agli utenti di connettersi alle connessioni VPN e wireless.
I profili certificato possono configurare automaticamente i dispositivi utente per l'accesso alle risorse aziendali, ad esempio reti Wi-Fi e server VPN. Gli utenti possono accedere a queste risorse senza installare manualmente i certificati o usare un processo fuori banda. I profili certificato consentono di proteggere le risorse perché è possibile usare impostazioni più sicure supportate dall'infrastruttura a chiave pubblica (PKI). Ad esempio, richiedere l'autenticazione server per tutte le connessioni Wi-Fi e VPN perché sono stati distribuiti i certificati necessari nei dispositivi gestiti.
I profili certificato offrono le funzionalità di gestione seguenti:
Registrazione e rinnovo di certificati da un'autorità di certificazione (CA) per i dispositivi che eseguono diversi tipi e versioni del sistema operativo. Questi certificati possono quindi essere usati per Wi-Fi e connessioni VPN.
Distribuzione di certificati CA radice attendibili e certificati CA intermedi. Questi certificati configurano una catena di attendibilità nei dispositivi per le connessioni VPN e Wi-Fi quando è necessaria l'autenticazione del server.
Monitorare e segnalare i certificati installati.
Esempio 1: tutti i dipendenti devono connettersi agli hotspot Wi-Fi in più sedi di ufficio. Per abilitare una connessione utente semplice, distribuire prima di tutto i certificati necessari per connettersi al Wi-Fi. Distribuire quindi Wi-Fi profili che fanno riferimento al certificato.
Esempio 2: si dispone di un'infrastruttura a chiave pubblica. Si vuole passare a un metodo più flessibile e sicuro per la distribuzione dei certificati. Gli utenti devono accedere alle risorse aziendali dai propri dispositivi personali senza compromettere la sicurezza. Configurare i profili certificato con impostazioni e protocolli supportati per la piattaforma del dispositivo specifica. I dispositivi possono quindi richiedere automaticamente questi certificati a un server di registrazione con connessione Internet. Configurare quindi i profili VPN per usare questi certificati in modo che il dispositivo possa accedere alle risorse dell'organizzazione.
Tipi
Esistono tre tipi di profili certificato:
Certificato CA attendibile: distribuire una CA radice attendibile o un certificato CA intermedio. Questi certificati costituiscono una catena di attendibilità quando il dispositivo deve autenticare un server.
Simple Certificate Enrollment Protocol (SCEP): richiedere un certificato per un dispositivo o un utente usando il protocollo SCEP. Questo tipo richiede il ruolo Servizio registrazione dispositivi di rete (NDES) in un server che esegue Windows Server 2012 R2 o versioni successive.
Per creare un profilo certificato SCEP (Simple Certificate Enrollment Protocol), creare prima di tutto un profilo certificato CA attendibile .
Scambio di informazioni personali (con estensione pfx): richiedere un certificato con estensione pfx (noto anche come PKCS #12) per un dispositivo o un utente. Esistono due metodi per creare profili certificato PFX:
- Importare credenziali da certificati esistenti
- Definire un'autorità di certificazione per elaborare le richieste
Nota
Configuration Manager non abilita questa funzionalità facoltativa per impostazione predefinita. È necessario abilitare questa funzionalità prima di usarla. Per altre informazioni, vedere Abilitare le funzionalità facoltative dagli aggiornamenti.
È possibile usare Microsoft o Entrust come autorità di certificazione per i certificati con estensione pfx (Personal Information Exchange).
Requisiti
Per distribuire i profili certificato che usano SCEP, installare il punto di registrazione del certificato in un server del sistema del sito. Installare anche un modulo criteri per NDES, il modulo criteri di Configuration Manager, in un server che esegue Windows Server 2012 R2 o versioni successive. Questo server richiede il ruolo Servizi certificati Active Directory. Richiede anche un servizio NDES funzionante accessibile ai dispositivi che richiedono i certificati. Se i dispositivi devono registrarsi per i certificati da Internet, il server NDES deve essere accessibile da Internet. Ad esempio, per abilitare in modo sicuro il traffico verso il server NDES da Internet, è possibile usare applicazione Azure Proxy.
I certificati PFX richiedono anche un punto di registrazione del certificato. Specificare anche l'autorità di certificazione (CA) per il certificato e le credenziali di accesso pertinenti. È possibile specificare Microsoft o Entrust come autorità di certificazione.
Per altre informazioni sul modo in cui NDES supporta un modulo dei criteri in modo che Configuration Manager possano distribuire i certificati, vedere Uso di un modulo criteri con il servizio Registrazione dispositivi di rete.
A seconda dei requisiti, Configuration Manager supporta la distribuzione di certificati in archivi certificati diversi in vari tipi di dispositivo e sistemi operativi. Sono supportati i dispositivi e i sistemi operativi seguenti:
Windows 10
Windows 10 Mobile
Windows 8.1
Windows Phone 8.1
Nota
Usare Configuration Manager MDM locale per gestire Windows Phone 8.1 e Windows 10 Mobile. Per altre informazioni, vedere MDM locale.
Uno scenario tipico per Configuration Manager consiste nell'installare certificati CA radice attendibili per autenticare Wi-Fi e server VPN. Le connessioni tipiche usano i protocolli seguenti:
- Protocolli di autenticazione: EAP-TLS, EAP-TTLS e PEAP
- Protocolli di tunneling VPN: IKEv2, L2TP/IPsec e Cisco IPsec
Un certificato CA radice dell'organizzazione deve essere installato nel dispositivo prima che il dispositivo possa richiedere i certificati usando un profilo certificato SCEP.
È possibile specificare le impostazioni in un profilo certificato SCEP per richiedere certificati personalizzati per ambienti o requisiti di connettività diversi. La Creazione guidata profilo certificato include due pagine per i parametri di registrazione. La prima, registrazione SCEP, include le impostazioni per la richiesta di registrazione e dove installare il certificato. Il secondo, Proprietà certificato, descrive il certificato richiesto stesso.
Distribuzione
Quando si distribuisce un profilo certificato SCEP, il client Configuration Manager elabora i criteri. Richiede quindi una password di verifica SCEP dal punto di gestione. Il dispositivo crea una coppia di chiavi pubblica/privata e genera una richiesta di firma del certificato.The device creates a public/private key pair, and generate a certificate signing request (CSR). Invia questa richiesta al server NDES. Il server NDES inoltra la richiesta al sistema del sito del punto di registrazione certificati tramite il modulo dei criteri NDES. Il punto di registrazione del certificato convalida la richiesta, controlla la password di verifica SCEP e verifica che la richiesta non sia stata manomesso. Approva o nega la richiesta. Se approvato, il server NDES invia la richiesta di firma all'autorità di certificazione connessa (CA) per la firma. La CA firma la richiesta e quindi restituisce il certificato al dispositivo richiedente.
Distribuire i profili certificato nelle raccolte di utenti o dispositivi. È possibile specificare l'archivio di destinazione per ogni certificato. Le regole di applicabilità determinano se il dispositivo può installare il certificato.
Quando si distribuisce un profilo certificato in una raccolta di utenti, l'affinità utente-dispositivo determina quale dei dispositivi degli utenti installa i certificati. Quando si distribuisce un profilo certificato con un certificato utente in una raccolta di dispositivi, per impostazione predefinita ognuno dei dispositivi primari degli utenti installa i certificati. Per installare il certificato in uno dei dispositivi degli utenti, modificare questo comportamento nella pagina Registrazione SCEP della Creazione guidata profilo certificato. Se i dispositivi si trovano in un gruppo di lavoro, Configuration Manager non distribuisce i certificati utente.
Monitoraggio
È possibile monitorare le distribuzioni del profilo certificato visualizzando i risultati o i report di conformità. Per altre informazioni, vedere Come monitorare i profili certificato.
Revoca automatica
Configuration Manager revoca automaticamente i certificati utente e computer distribuiti usando i profili certificato nelle circostanze seguenti:
Il dispositivo viene ritirato dalla gestione Configuration Manager.
Il dispositivo è bloccato dalla gerarchia Configuration Manager.
Per revocare i certificati, il server del sito invia un comando di revoca all'autorità di certificazione emittente. Il motivo della revoca è La cessazione dell'operazione.
Nota
Per revocare correttamente un certificato, l'account computer per il sito di primo livello nella gerarchia deve disporre dell'autorizzazione per rilasciare e gestire i certificati nella CA.
Per una maggiore sicurezza, è anche possibile limitare i responsabili ca nella CA. Assegnare quindi solo le autorizzazioni di questo account per il modello di certificato specifico usato per i profili SCEP nel sito.