Betrodda rotcertifikatprofiler för Microsoft Intune

När du använder Intune för att etablera enheter med certifikat för åtkomst till företagets resurser och nätverk använder du en betrodd certifikatprofil för att distribuera det betrodda rotcertifikatet till dessa enheter. Betrodda rotcertifikat upprättar ett förtroende från enheten till din rot- eller mellanliggande (utfärdande) certifikatutfärdare från vilken de andra certifikaten utfärdas.

Du distribuerar den betrodda certifikatprofilen till samma enheter och användare som tar emot certifikatprofilerna för SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) och importerade PKCS.

Tips

Betrodda certifikatprofiler stöds för fjärrskrivbord med flera sessioner i Windows Enterprise.

Exportera det betrodda rotcertifikatutfärdarcertifikatet

Om du vill använda PKCS-, SCEP- och PKCS-importerade certifikat måste enheterna lita på rotcertifikatutfärdare. För att upprätta förtroende exporterar du certifikatet för betrodd rotcertifikatutfärdare och eventuella mellanliggande eller utfärdande certifikatutfärdare som ett offentligt certifikat (.cer). Du kan hämta dessa certifikat från den utfärdande certifikatutfärdare eller från alla enheter som litar på din utfärdande certifikatutfärdare.

Information om hur du exporterar certifikatet finns i dokumentationen för din certifikatutfärdare. Du måste exportera det offentliga certifikatet som en DER-kodad .cer-fil. Exportera inte den privata nyckeln, en .pfx-fil.

Du använder den här .cer-filen när du skapa betrodda certifikatprofiler för att distribuera certifikatet till dina enheter.

Skapa betrodda certifikatprofiler

Innan du skapar en SCEP-, PKCS- eller PKCS-importerad certifikatprofil skapar och distribuerar du en betrodd certifikatprofil. Distribuera den betrodda certifikatprofilen till samma grupper som tar emot de andra certifikatprofiltyperna. Det här steget ser till att varje enhet kan känna igen din ca:s giltighet, inklusive profiler för VPN, Wi-Fi och e-postprofiler.

SCEP-certifikatprofiler refererar direkt till en betrodd certifikatprofil. PKCS-certifikatprofiler refererar inte direkt till den betrodda certifikatprofilen, men refererar direkt till den server som är värd för din certifikatutfärdare. PKCS-importerade certifikatprofiler refererar inte direkt till den betrodda certifikatprofilen utan kan använda den på enheten. Om du distribuerar en betrodd certifikatprofil till enheter säkerställer du att det här förtroendet upprättas. När en enhet inte litar på rotcertifikatutfärdare misslyckas SCEP- eller PKCS-certifikatprofilprincipen.

Skapa en separat betrodd certifikatprofil för varje enhetsplattform som du vill stödja, precis som för SCEP-, PKCS- och PKCS-importerade certifikatprofiler.

Viktigt

Betrodda rotprofiler som du skapar för plattformen Windows 10 och senare, visas i Microsoft Intune administrationscenter som profiler för plattformen Windows 8.1 och senare.

Det här är ett känt problem med presentationen av plattformen för betrodda certifikatprofiler. Profilen visar en plattform med Windows 8.1 och senare, men den fungerar för Windows 10/11.

Obs!

Profilen för Betrott certifikat i Intune kan bara användas för att leverera antingen rotcertifikat eller mellanliggande certifikat. Syftet med att distribuera sådana certifikat är att upprätta en förtroendekedja. Microsoft stöder inte att använda den betrodda certifikatprofilen för att leverera andra certifikat än rotcertifikat eller mellanliggande certifikat. Du kan blockeras från att importera certifikat som inte anses vara rotcertifikat eller mellanliggande certifikat när du väljer den betrodda certifikatprofilen i Microsoft Intune administrationscenter. Även om du kan importera och distribuera ett certifikat som varken är ett rotcertifikat eller mellanliggande certifikat med den här profiltypen, kommer du förmodligen att stöta på oväntade resultat mellan olika plattformar som iOS och Android.

Betrodda certifikatprofiler för Android-enhetsadministratör

Viktigt

Microsoft Intune upphör stödet för hantering av Android-enhetsadministratörer på enheter med åtkomst till Google Mobile Services (GMS) den 31 december 2024. Efter det datumet är enhetsregistrering, teknisk support, felkorrigeringar och säkerhetskorrigeringar otillgängliga. Om du för närvarande använder hantering av enhetsadministratörer rekommenderar vi att du växlar till ett annat Android-hanteringsalternativ i Intune innan supporten upphör. Mer information finns i Avsluta stöd för Android-enhetsadministratör på GMS-enheter.

Den här funktionen gäller för:

  • Android 10 och tidigare på icke-KNOX-enheter
  • Android 12 och tidigare på Samsung KNOX-enheter

Eftersom SCEP-certifikatprofiler kräver att både det betrodda rotcertifikatet är installerat på en enhet och måste referera till en betrodd certifikatprofil som i sin tur refererar till certifikatet använder du följande steg för att kringgå den här begränsningen:

  1. Etablera enheten manuellt med det betrodda rotcertifikatet. Exempelvägledning finns i följande avsnitt.

  2. Distribuera till enheten, en betrodd rotcertifikatprofil som refererar till det betrodda rotcertifikatet som du installerade på enheten.

  3. Distribuera en SCEP-certifikatprofil till enheten som refererar till den betrodda rotcertifikatprofilen.

Det här problemet är inte begränsat till SCEP-certifikatprofiler. Planera därför att installera det betrodda rotcertifikatet manuellt på tillämpliga enheter om din användning av PKCS-certifikatprofiler eller PKCS-importerade certifikatprofiler kräver det.

Läs mer om ändringar i stödet för Android-enhetsadministratörer från techcommunity.microsoft.com.

Etablera en enhet manuellt med det betrodda rotcertifikatet

Följande vägledning kan hjälpa dig att manuellt etablera enheter med ett betrott rotcertifikat.

  1. Ladda ned eller överför det betrodda rotcertifikatet till Android-enheten. Du kan till exempel använda e-post för att distribuera certifikatet till enhetsanvändare eller låta användarna ladda ned det från en säker plats. När certifikatet finns på enheten måste det öppnas, namnges och sparas. När du sparar certifikatet läggs det till i användarcertifikatarkivet på enheten.

    1. Om du vill öppna certifikatet på enheten måste en användare leta upp och trycka på (öppna) certifikatet. När du har skickat certifikatet via e-post kan en enhetsanvändare till exempel trycka på eller öppna den bifogade certifikatbilagan.
    2. När certifikatet öppnas måste användaren ange sin PIN-kod eller på annat sätt autentisera till enheten innan de kan hantera certifikatet.
  2. Efter autentiseringen öppnas certifikatet och måste namnges innan det kan sparas i certifikatarkivet Användare. Certifikatnamnet måste matcha certifikatnamnet som finns i profilen för betrott rotcertifikat som skickas till enheten. När du har namnget certifikatet kan det sparas.

  3. När certifikatet har sparats är det klart att användas. En användare kan bekräfta att certifikatet finns på rätt plats på enheten:

    1. Öppna Inställningar>Säkerhet>Betrodda autentiseringsuppgifter. Den faktiska sökvägen till Betrodda autentiseringsuppgifter kan variera beroende på enhet.
    2. Öppna fliken Användare och leta upp certifikatet.
    3. Om det finns i listan över användarcertifikat installeras certifikatet korrekt.
  4. När ett rotcertifikat är installerat på en enhet måste du fortfarande distribuera följande för att etablera SCEP- eller PKCS-certifikaten:

    • En betrodd certifikatprofil som refererar till certifikatet
    • SCEP- eller PKCS-profilen som refererar till certifikatprofilen för att etablera SCEP- eller PKCS-certifikaten.

Så här skapar du en betrodd certifikatprofil

  1. Logga in på Microsoft Intune administrationscenter.

  2. Välj och gå till Enheter>Hantera enheter>Konfiguration>Skapa.

    Gå till Intune och skapa en ny profil för ett betrott certifikat

  3. Ange följande egenskaper:

    • Platform: Välj plattform för de enheter som ska ta emot den här profilen.
    • Profil: Beroende på din valda plattform väljer du Betrott certifikat eller Mallar>Betrott certifikat.

    Viktigt

    Den 22 oktober 2022 upphörde Microsoft Intune stödet för enheter som kör Windows 8.1. Teknisk hjälp och automatiska uppdateringar på dessa enheter är inte tillgängliga.

    Om du för närvarande använder Windows 8.1 går du till Windows 10/11-enheter. Microsoft Intune har inbyggda säkerhets- och enhetsfunktioner som hanterar Windows 10/11-klientenheter.

  4. Välj Skapa.

  5. Ange följande egenskaper i Grundinställningar:

    • Namn: Ange ett beskrivande namn på profilen. Namnge dina profiler så att du enkelt kan identifiera dem senare. Ett exempel på ett bra profilnamn är Anpassad OMA-URI VPN-profil för Android för hela företaget.
    • Beskrivning: Ange en beskrivning för profilen. Denna inställning är valfri, men rekommenderas.
  6. Välj Nästa.

  7. I konfigurationsinställningar anger du .cer-filen för det betrodda rotcertifikatutfärdarcertifikatet som du tidigare exporterade.

    För Windows 8.1- och Windows 10/11-enheter väljer du målarkivet för det betrodda certifikatet från:

    • Datorcertifikatarkiv – rot
    • Datorcertifikatarkiv – mellanliggande
    • Användarcertifikatarkiv – mellanliggande

    Skapa en profil och ladda upp ett betrott certifikat

  8. Välj Nästa.

  9. Under Tilldelningar väljer du de användare eller grupper som bör ta emot din profil. Mer information om att tilldela profiler finns i Tilldela användar- och enhetsprofiler.

    Välj Nästa.

  10. (Gäller endast Windows 10/11) I Tillämplighetsregler anger du tillämplighetsregler för att förfina tilldelningen av den här profilen. Du kan välja att tilldela eller inte tilldela profilen baserat på operativsystemets utgåva eller version av en enhet.

    Mer information finns i Tillämplighetsregler i Skapa en enhetsprofil i Microsoft Intune.

  11. Granska inställningarna under Granska + skapa. När du väljer Skapa sparas dina ändringar och profilen tilldelas. Principen visas också i profillistan.

Nästa steg

Skapa certifikatprofiler: