Rimuovere i certificati SCEP e PKCS in Microsoft Intune

  • Articolo

In Microsoft Intune è possibile usare profili certificato SCEP (Simple Certificate Enrollment Protocol) e PKCS (Public Key Cryptography Standards) per aggiungere certificati ai dispositivi.

Questi certificati possono essere rimossi quando si cancella o si ritira il dispositivo. I certificati di cui è stato effettuato il provisioning da Intune vengono rimossi anche quando il profilo di cui è stato effettuato il provisioning del certificato non è più destinato al dispositivo o all'utente. Esistono altri scenari in cui i certificati vengono rimossi automaticamente e scenari in cui i certificati rimangono nel dispositivo. Questo articolo elenca alcuni scenari comuni e il relativo effetto sui certificati PKCS e SCEP.

Nota

Per rimuovere e revocare i certificati per un utente che viene rimosso da Active Directory locale o dall'ID Microsoft Entra, seguire questa procedura nell'ordine seguente:

  1. Cancellare o ritirare il dispositivo dell'utente.
  2. Rimuovere l'utente da Active Directory locale o dall'ID Microsoft Entra.

La maggior parte di questo articolo si applica ai profili certificato SCEP e PKCS, ma non ai certificati PKCS importati. I certificati PKCS importati vengono rimossi da Intune quando i dati aziendali vengono rimossi dal dispositivo o quando un dispositivo viene annullato dalla gestione.

Certificati eliminati manualmente

L'eliminazione manuale di un certificato è uno scenario che si applica tra piattaforme e certificati di cui è stato effettuato il provisioning da profili certificato SCEP o PKCS. Ad esempio, un utente potrebbe eliminare un certificato da un dispositivo, quando il dispositivo rimane di destinazione di un criterio certificato.

In questo scenario, dopo l'eliminazione del certificato, la volta successiva in cui il dispositivo esegue l'accesso con Intune risulta non conforme perché manca il certificato previsto. Intune rilascia quindi un nuovo certificato per ripristinare la conformità del dispositivo. Non sono necessarie altre azioni per ripristinare il certificato.

Nota

I certificati SCEP vengono rimossi ma non revocati quando si usa un'autorità di certificazione di terze parti.

Dispositivi Windows

Certificati SCEP

Un certificato SCEP viene revocato e rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .
  • Il dispositivo viene rimosso da un gruppo Microsoft Entra.
  • Un profilo certificato viene rimosso dall'assegnazione del gruppo.

Un certificato SCEP viene revocato quando:

  • Un amministratore modifica o aggiorna il profilo SCEP.

Un certificato radice viene rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .
  • Un profilo certificato viene rimosso dall'assegnazione del gruppo.

I certificati SCEP rimangono nel dispositivo (i certificati non vengono revocati o rimossi) quando:

  • Un utente perde la licenza di Intune.
  • Un amministratore ritira la licenza di Intune.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.

Certificati PKCS

Un certificato PKCS viene revocato e rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .

Un certificato PKCS viene rimosso quando:

  • Il profilo certificato PKCS non è più destinato al dispositivo o all'utente.

Un certificato radice viene rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .

I certificati PKCS rimangono nel dispositivo (i certificati non vengono revocati o rimossi) quando:

  • Un utente perde la licenza di Intune.
  • Un amministratore ritira la licenza di Intune.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.
  • Un amministratore modifica o aggiorna il profilo PKCS.

Dispositivi iOS

Certificati SCEP

Un certificato SCEP viene revocato e rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .
  • Il dispositivo viene rimosso dal gruppo Microsoft Entra.
  • Un profilo certificato viene rimosso dall'assegnazione del gruppo.

Un certificato SCEP viene revocato quando:

  • Un amministratore modifica o aggiorna il profilo SCEP.

Un certificato radice viene rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .

I certificati SCEP rimangono nel dispositivo (i certificati non vengono revocati o rimossi) quando:

  • Un utente perde la licenza di Intune.
  • Un amministratore ritira la licenza di Intune.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.

Certificati PKCS

Un certificato PKCS viene revocato e rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .

Un certificato PKCS viene rimosso quando:

  • Un profilo certificato viene rimosso dall'assegnazione del gruppo.

Un certificato radice viene rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .

I certificati PKCS rimangono nel dispositivo (i certificati non vengono revocati o rimossi) quando:

  • Un utente perde la licenza di Intune.
  • Un amministratore ritira la licenza di Intune.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.
  • Un amministratore modifica o aggiorna il profilo PKCS.

Dispositivi Android KNOX

Certificati SCEP

Un certificato SCEP viene revocato e rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .

Un certificato SCEP viene revocato quando:

  • Un amministratore esegue l'azione di ritiro .
  • Il dispositivo viene rimosso da un gruppo Microsoft Entra.
  • Un profilo certificato viene rimosso dall'assegnazione del gruppo.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.
  • Un amministratore modifica o aggiorna il profilo SCEP.

Un certificato radice viene rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .

I certificati SCEP rimangono nel dispositivo (i certificati non vengono revocati o rimossi) quando:

  • Un utente perde la licenza di Intune.
  • Un amministratore ritira la licenza di Intune.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.

Certificati PKCS

Un certificato PKCS viene revocato e rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .

Un certificato radice viene rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di cancellazione .
  • Un amministratore esegue l'azione di ritiro .

I certificati PKCS rimangono nel dispositivo (i certificati non vengono revocati o rimossi) quando:

  • Un utente perde la licenza di Intune.
  • Un amministratore ritira la licenza di Intune.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.
  • Un amministratore modifica o aggiorna il profilo PKCS.
  • Un profilo certificato viene rimosso dall'assegnazione del gruppo.

Nota

I dispositivi Android for Work non vengono convalidati per gli scenari precedenti. I dispositivi android legacy (tutti i dispositivi non Samsung e non di profilo di lavoro) non sono abilitati per la rimozione del certificato.

Certificati macOS

Certificati SCEP

Un certificato SCEP viene revocato e rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue un'azione di ritiro .
  • Il dispositivo viene rimosso da un gruppo Microsoft Entra.
  • Un profilo certificato viene rimosso dall'assegnazione del gruppo.

Un certificato SCEP viene revocato quando:

  • Un amministratore modifica o aggiorna il profilo SCEP.

I certificati SCEP rimangono nel dispositivo (i certificati non vengono revocati o rimossi) quando:

  • Un utente perde la licenza di Intune.
  • Un amministratore ritira la licenza di Intune.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.

Nota

L'uso dell'azione di cancellazione per ripristinare le impostazioni predefinite dei dispositivi macOS non è supportato.

Certificati PKCS

Un certificato PKCS viene revocato e rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di ritiro .

Un certificato radice viene rimosso quando:

  • Un utente annulla la registrazione.
  • Un amministratore esegue l'azione di ritiro .

I certificati PKCS rimangono nel dispositivo (i certificati non vengono revocati o rimossi) quando:

  • Un utente perde la licenza di Intune.
  • Un amministratore ritira la licenza di Intune.
  • Un profilo certificato viene rimosso dall'assegnazione del gruppo. Il profilo viene rimosso.
  • Un amministratore rimuove l'utente o il gruppo dall'ID Microsoft Entra.
  • Un amministratore modifica o aggiorna il profilo PKCS.

Passaggi successivi

Usare i certificati per l'autenticazione