本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Connector 配置微软 Intune SCEP
你可以在 Microsoft Intune 移动设备管理 () 系统中 Amazon Private CA 用作外部证书颁发机构 (CAMDM)。本指南提供有关在为微软 Intune 创建连接器后如何配置 Microsoft Intune SCEP 的说明。
先决条件
在为 SCEP Microsoft Intune 创建连接器之前,必须完成以下先决条件。
创建入口 ID。
创建微软 Intune 租户。
在你的 Microsoft Entra ID 中创建应用程序注册。有关如何管理应用程序注册的应用程序级权限的信息,请参阅 Microsoft Entra 文档中的 Microsoft Entra ID 中更新应用程序请求
的权限。应用程序注册必须具有以下权限: 在 Intune 下设置 sc ep_challenge_provider。
对于 Microsoft Graph,设置应用程序.Read.All 和 User.Read。
您必须在应用程序注册管理员同意中授予该应用程序。有关信息,请参阅 Microsoft Entra 文档中的授予整个租户对应用程序的管理员同意
。 提示
创建应用程序注册时,请记下应用程序(客户端)ID 和目录(租户)ID 或主域。当你为 SCEP Microsoft Intune 创建连接器时,你需要输入这些值。有关如何获取这些值的信息,请参阅 Microsoft E ntra 文档中的创建可以访问资源的 Microsoft Entra 应用程序和服务主体
。
第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 Amazon Private CA 权限
为 SCEP Microsoft Intune 创建连接器后,必须在 Microsoft 应用程序注册下创建联合凭据,这样 Connector SCEP 才能与 Microsoft Intune 通信。
在 Microsoft Intune 中配置 Amazon Private CA 为外部 CA
在 Microsoft Entra ID 控制台中,导航到应用程序注册。
选择您创建的要与 Connector 配合使用的应用程序SCEP。您单击的应用程序的应用程序(客户端)ID 必须与您在创建连接器时指定的 ID 相匹配。
从 “托管” 下拉菜单中选择 “证书和密钥”。
选择 “联合证书” 选项卡。
选择 “添加凭据”。
从 “联邦证书方案” 下拉菜单中,选择 “其他颁发者”。
将 OpenID 发行者值从你的 Connector for SCEP Microsoft Intune 详细信息复制并粘贴到 “发行者” 字段中。要查看连接器的详细信息,请从 Amazon 控制台的连接器SCEP
列表中选择该连接器。或者,你可以URL通过调用获取,GetConnector然后从响应中复制 Issuer
值。将 SCEP Microsoft Intune 详细信息的连接器中的 OpenID 受众值复制并粘贴到 “受众” 字段中。要查看连接器的详细信息,请从 Amazon 控制台的连接器SCEP
列表中选择该连接器。或者,你可以URL通过调用获取,GetConnector然后从响应中复制 Subject
值。(可选)在名称字段中输入实例的名称。例如,你可以给它起个名字Amazon Private CA。
(可选)在描述字段中输入描述。
在 “受众” 字段下选择 “编辑”(可选)。将 OpenID 主题值从您的连接器复制并粘贴到主题字段中。您可以在控制台的连接器详细信息页面中查看 OpenID 颁发者 Amazon 值。或者,你可以URL通过调用获取,GetConnector然后从响应中复制
Audience
值。选择添加。
第 2 步:设置微软 Intune 配置文件
在你授予 Amazon Private CA 调用 Microsoft Intune 的权限后,你必须使用 Microsoft Intune 创建微软 Intune 配置文件,指示设备联系 Connector 进行SCEP证书颁发。
创建可信证书配置文件。你必须将与 Connector 一起使用的链的根 CA 证书上传SCEP到 Microsoft Intune 中才能建立信任。有关如何创建可信证书配置文件的信息,请参阅 Microsoft Intune 文档中的 Microsoft Intune 的可信根证书配置文件
。 创建SCEP证书配置文件,当您的设备需要新证书时,该配置文件可将设备指向连接器。配置文件的配置文件类型应为SCEP证书。对于配置文件的根证书,请确保使用在上一步中创建的可信证书。
对于SCEP服务器 URLs,将连接器详细信息SCEPURL中的公共信息复制并粘贴到SCEP服务器URLs字段中。要查看连接器的详细信息,请从 “连接器” SCEP 列表中选择该连接器
。或者,你可以URL通过调用获取 ListConnectors,然后从响应中复制 Endpoint
值。有关在 Microsoft Intune 中创建配置文件的指南,请参阅 Microsoft Intune 文档中的在 Microsoft Intune 中创建和分配SCEP证书配置文件。 注意
对于非 Mac OS 和 iOS 设备,如果您未在配置文件中设置有效期,Connector 将SCEP颁发有效期为一年的证书。如果您未在配置文件中设置 “扩展密钥用法” (EKU) 值,则 Connector 将颁发带有EKU设置的证书
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)
。SCEP对于 macOSExtendedKeyUsage
或 iOS 设备,Microsoft Intune 不尊重你的Validity
配置文件中的任何参数。对于这些设备,Connector for 通过客户端身份验证向这些设备SCEP颁发有效期为一年的证书。
步骤 3:验证与连接器的连接 SCEP
创建指向SCEP端点连接器的 Microsoft Intune 配置文件后,请确认注册的设备可以申请证书。要进行确认,请确保没有任何策略分配失败。要进行确认,请在 Intune 门户中导航到 “设备” > “管理设备” > “配置”,并确认配置策略分配失败下没有列出任何内容。如果有,请使用上述过程中的信息确认您的设置。如果您的设置正确但仍然出现故障,请查阅从移动设备收集可用数据
有关设备注册的信息,请参阅什么是设备注册?