Använda certifikat för autentisering i Microsoft Intune
Använd certifikat med Intune för att autentisera dina användare till program och företagsresurser via VPN-, Wi-Fi- eller e-postprofiler. När du använder certifikat för att autentisera dessa anslutningar behöver slutanvändarna inte ange användarnamn och lösenord, vilket kan göra deras åtkomst sömlös. Certifikat används också för signering och kryptering av e-post med hjälp av S/MIME.
Introduktion till certifikat med Intune
Certifikat ger autentiserad åtkomst utan dröjsmål genom följande två faser:
- Autentiseringsfas: Användarens äkthet kontrolleras för att bekräfta att användaren är den användaren påstår sig vara.
- Auktoriseringsfas: Användaren utsätts för villkor för vilka ett beslut görs om huruvida användaren ska ges åtkomst.
Vanliga användningsscenarier för certifikat är:
- Nätverksautentisering (till exempel 802.1x) med enhets- eller användarcertifikat
- Autentisera med VPN-servrar med hjälp av enhets- eller användarcertifikat
- Signera e-post baserat på användarcertifikat
Intune stöder SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) och importerade PKCS-certifikat som metoder för att etablera certifikat på enheter. De olika etableringsmetoderna har olika krav och resultat. Till exempel:
- SCEP etablerar certifikat som är unika för varje begäran för certifikatet.
- PKCS etablerar varje enhet med ett unikt certifikat.
- Med importerad PKCS kan du distribuera samma certifikat som du har exporterat från en källa, till exempel en e-postserver, till flera mottagare. Det här delade certifikatet är användbart för att säkerställa att alla användare eller enheter sedan kan dekryptera e-postmeddelanden som har krypterats av certifikatet.
Om du vill etablera en användare eller enhet med en viss typ av certifikat använder Intune en certifikatprofil.
Förutom de tre certifikattyperna och etableringsmetoderna behöver du ett betrott rotcertifikat från en betrodd certifikatutfärdare (CA). Certifikatutfärdare kan vara en lokal Microsoft Certification utfärdare eller en certifikatutfärdare från tredje part. Det betrodda rotcertifikatet upprättar ett förtroende från enheten till din rot- eller mellanliggande (utfärdande) certifikatutfärdare från vilken de andra certifikaten utfärdas. Om du vill distribuera det här certifikatet använder du den betrodda certifikatprofilen och distribuerar den till samma enheter och användare som tar emot certifikatprofilerna för SCEP, PKCS och importerade PKCS.
Tips
Intune stöder även användning av härledda autentiseringsuppgifter för miljöer som kräver användning av smartkort.
Vad som krävs för att använda certifikat
- En certifikatutfärdare. Din certifikatutfärdare är den förtroendekälla som certifikaten refererar till för autentisering. Du kan använda en Microsoft CA eller en certifikatutfärdare från tredje part.
- Lokal infrastruktur. Vilken infrastruktur du behöver beror på vilka certifikattyper du använder:
- Ett betrott rotcertifikat. Innan du distribuerar SCEP- eller PKCS-certifikatprofiler distribuerar du det betrodda rotcertifikatet från certifikatutfärdare med hjälp av en betrodd certifikatprofil . Den här profilen hjälper till att upprätta förtroendet från enheten tillbaka till certifikatutfärdare och krävs av de andra certifikatprofilerna.
När ett betrott rotcertifikat har distribuerats är du redo att distribuera certifikatprofiler för att etablera användare och enheter med certifikat för autentisering.
Vilken certifikatprofil som ska användas
Följande jämförelser är inte omfattande men avsedda att hjälpa till att särskilja användningen av de olika certifikatprofiltyperna.
| Profiltyp | Information |
|---|---|
| Betrott certifikat | Använd för att distribuera den offentliga nyckeln (certifikatet) från en rotcertifikatutfärdare eller mellanliggande certifikatutfärdare till användare och enheter för att upprätta ett förtroende tillbaka till källcertifikatutfärdare. Andra certifikatprofiler kräver den betrodda certifikatprofilen och dess rotcertifikat. |
| SCEP-certifikat | Distribuerar en mall för en certifikatbegäran till användare och enheter. Varje certifikat som etableras med SCEP är unikt och kopplat till den användare eller enhet som begär certifikatet.
Med SCEP kan du distribuera certifikat till enheter som saknar användartillhörighet, inklusive användning av SCEP för att etablera ett certifikat på KIOSK- eller användarlös enhet. |
| PKCS-certifikat | Distribuerar en mall för en certifikatbegäran som anger en certifikattyp för antingen användare eller enhet.
– Begäranden för en certifikattyp av användare kräver alltid användartillhörighet. När de distribueras till en användare får var och en av användarens enheter ett unikt certifikat. När användaren distribueras till en enhet med en användare associeras den med certifikatet för den enheten. När det distribueras till en användarlös enhet etableras inget certifikat. – Mallar med en certifikattyp av enheten kräver inte användartillhörighet för att etablera ett certifikat. Distribution till en enhet etablerar enheten. Distribution till en användare etablerar enheten som användaren är inloggad på med ett certifikat. |
| PKCS-importerat certifikat | Distribuerar ett enda certifikat till flera enheter och användare, som stöder scenarier som S/MIME-signering och kryptering. Genom att till exempel distribuera samma certifikat till varje enhet kan varje enhet dekryptera e-post som tas emot från samma e-postserver.
Andra distributionsmetoder för certifikat är otillräckliga för det här scenariot, eftersom SCEP skapar ett unikt certifikat för varje begäran och PKCS associerar ett annat certifikat för varje användare, med olika användare som får olika certifikat. |
Intune certifikat och användning som stöds
| Typ | Autentisering | S/MIME-signering | S/MIME-kryptering |
|---|---|---|---|
| PKCS-importerat certifikat (Public Key Cryptography Standards) |
|
|
|
| PKCS#12 (eller PFX) |
|
|
|
| Simple Certificate Enrollment Protocol (SCEP) |
|
|
Om du vill distribuera dessa certifikat skapar och tilldelar du certifikatprofiler till enheter.
Varje enskild certifikatprofil som du skapar stöder en enda plattform. Om du till exempel använder PKCS-certifikat skapar du PKCS-certifikatprofil för Android och en separat PKCS-certifikatprofil för iOS/iPadOS. Om du också använder SCEP-certifikat för dessa två plattformar skapar du en SCEP-certifikatprofil för Android och en annan för iOS/iPadOS.
Allmänna överväganden när du använder en Microsoft Certification utfärdare
När du använder en Microsoft Certification-utfärdare (CA):
Så här använder du SCEP-certifikatprofiler:
Så här använder du PKCS-certifikatprofiler:
Så här använder du PKCS-importerade certifikat:
- Installera certifikatanslutningsappen för Microsoft Intune.
- Exportera certifikat från certifikatutfärdare och importera dem sedan till Microsoft Intune. Se PFXImport PowerShell-projektet.
Distribuera certifikat med hjälp av följande mekanismer:
- Betrodda certifikatprofiler för att distribuera det betrodda rotcertifikatutfärdarcertifikatet från din rot- eller mellanliggande (utfärdande) certifikatutfärdare till enheter
- SCEP-certifikatprofiler
- PKCS-certifikatprofiler
- PKCS-importerade certifikatprofiler
Allmänna överväganden när du använder en tredjepartscertifikatutfärdare
När du använder en tredjepartscertifikatutfärdare (icke-Microsoft) (CA):
SCEP-certifikatprofiler kräver inte användning av Microsoft Intune Certificate Connector. I stället hanterar certifikatutfärdare från tredje part certifikatutfärdande och hantering direkt. Så här använder du SCEP-certifikatprofiler utan Intune Certificate Connector:
- Konfigurera integrering med en tredjeparts-CA från en av våra partner som stöds. Installationsprogrammet omfattar att följa anvisningarna från tredjeparts-CA:en för att slutföra integreringen av certifikatutfärdarna med Intune.
- Skapa ett program i Microsoft Entra ID som delegerar behörighet att Intune att utföra verifiering av SCEP-certifikatutmaningar.
Mer information finns i Konfigurera ca-integrering från tredje part
PKCS-importerade certifikat kräver användning av Microsoft Intune Certificate Connector. Se Installera certifikatanslutningsappen för Microsoft Intune.
Distribuera certifikat med hjälp av följande mekanismer:
- Betrodda certifikatprofiler för att distribuera det betrodda rotcertifikatutfärdarcertifikatet från din rot- eller mellanliggande (utfärdande) certifikatutfärdare till enheter
- SCEP-certifikatprofiler
- PKCS-certifikatprofiler (stöds endast med Digicert PKI-plattformen)
- PKCS-importerade certifikatprofiler
Plattformar och certifikatprofiler som stöds
| Plattform | Betrodd certifikatprofil | PKCS-certifikatprofil | SCEP-certifikatprofil | PKCS-importerad certifikatprofil |
|---|---|---|---|---|
| Android-enhetsadministratör |
(se Anmärkning 1) |
|
|
|
| Android Enterprise – fullständigt hanterad (enhetsägare) |
|
|
|
|
| Android Enterprise – Dedikerad (enhetsägare) |
|
|
|
|
| Android Enterprise – Corporate-Owned arbetsprofil |
|
|
|
|
| Android Enterprise – Personally-Owned arbetsprofil |
|
|
|
|
| Android (AOSP) |
|
|
|
|
| iOS/iPadOS |
|
|
|
|
| macOS |
|
|
|
|
| Windows 8.1 och senare |
|
|
||
| Windows 10/11 |
(se Anmärkning 2) |
(se Anmärkning 2) |
(se Anmärkning 2) |
|
- Obs! Från och med Android 11 kan betrodda certifikatprofiler inte längre installera det betrodda rotcertifikatet på enheter som har registrerats som Android-enhetsadministratör. Den här begränsningen gäller inte för Samsung Knox. Mer information finns i Betrodda certifikatprofiler för Android-enhetsadministratör.
- Obs! 2 – Den här profilen stöds för fjärrskrivbord med flera sessioner i Windows Enterprise.
Viktigt
Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.
Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.
Viktigt
Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.
Relaterat innehåll
Fler resurser:
- Använda S/MIME för att signera och kryptera e-postmeddelanden
- Använda tredjepartscertifikatutfärdare
Skapa certifikatprofiler: