为 Connector 配置微软 Intune SCEP - Amazon Private Certificate Authority
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为 Connector 配置微软 Intune SCEP

你可以在 Microsoft Intune 移动设备管理 () 系统中 Amazon Private CA 用作外部证书颁发机构 (CAMDM)。本指南提供有关在为微软 Intune 创建连接器后如何配置 Microsoft Intune SCEP 的说明。

先决条件

在为 SCEP Microsoft Intune 创建连接器之前,必须完成以下先决条件。

第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 Amazon Private CA 权限

为 SCEP Microsoft Intune 创建连接器后,必须在 Microsoft 应用程序注册下创建联合凭据,这样 Connector SCEP 才能与 Microsoft Intune 通信。

在 Microsoft Intune 中配置 Amazon Private CA 为外部 CA
  1. 在 Microsoft Entra ID 控制台中,导航到应用程序注册

  2. 选择您创建的要与 Connector 配合使用的应用程序SCEP。您单击的应用程序的应用程序(客户端)ID 必须与您在创建连接器时指定的 ID 相匹配。

  3. 从 “托管” 下拉菜单中选择 “证书和密钥”。

  4. 选择 “联合证书” 选项卡。

  5. 选择 “添加凭据”。

  6. 从 “联邦证书方案” 下拉菜单中,选择 “其他颁发者”。

  7. OpenID 发行者值从你的 Connector for SCEP Microsoft Intune 详细信息复制并粘贴到 “发行者” 字段中。要查看连接器的详细信息,请从 Amazon 控制台的连接器SCEP列表中选择该连接器。或者,你可以URL通过调用获取,GetConnector然后从响应中复制Issuer值。

  8. 将 SCEP Microsoft Intune 详细信息的连接器中的 OpenID 受众值复制并粘贴到 “受众” 字段中。要查看连接器的详细信息,请从 Amazon 控制台的连接器SCEP列表中选择该连接器。或者,你可以URL通过调用获取,GetConnector然后从响应中复制Subject值。

  9. (可选)在名称字段中输入实例的名称。例如,你可以给它起个名字Amazon Private CA

  10. (可选)在描述字段中输入描述

  11. 在 “受众” 字段下选择 “编辑”(可选)。将 OpenID 主题值从您的连接器复制并粘贴到主题字段中。您可以在控制台的连接器详细信息页面中查看 OpenID 颁发者 Amazon 值。或者,你可以URL通过调用获取,GetConnector然后从响应中复制Audience值。

  12. 选择添加

第 2 步:设置微软 Intune 配置文件

在你授予 Amazon Private CA 调用 Microsoft Intune 的权限后,你必须使用 Microsoft Intune 创建微软 Intune 配置文件,指示设备联系 Connector 进行SCEP证书颁发。

  1. 创建可信证书配置文件。你必须将与 Connector 一起使用的链的根 CA 证书上传SCEP到 Microsoft Intune 中才能建立信任。有关如何创建可信证书配置文件的信息,请参阅 Microsoft Intune 文档中的 Microsoft Intune 的可信根证书配置文件

  2. 创建SCEP证书配置文件,当您的设备需要新证书时,该配置文件可将设备指向连接器。配置文件的配置文件类型应为SCEP证书。对于配置文件的根证书,请确保使用在上一步中创建的可信证书。

    对于SCEP服务器 URLs,将连接器详细信息SCEPURL中的公共信息复制并粘贴到SCEP服务器URLs字段中。要查看连接器的详细信息,请从 “连接器” SCEP 列表中选择该连接器。或者,你可以URL通过调用获取 ListConnectors,然后从响应中复制Endpoint值。有关在 Microsoft Intune 中创建配置文件的指南,请参阅 Microsoft Intune 文档中的在 Microsoft Intune 中创建和分配SCEP证书配置文件

    注意

    对于非 Mac OS 和 iOS 设备,如果您未在配置文件中设置有效期,Connector 将SCEP颁发有效期为一年的证书。如果您未在配置文件中设置 “扩展密钥用法” (EKU) 值,则 Connector 将颁发带有EKU设置的证书Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)。SCEP对于 macOS ExtendedKeyUsage 或 iOS 设备,Microsoft Intune 不尊重你的Validity配置文件中的任何参数。对于这些设备,Connector for 通过客户端身份验证向这些设备SCEP颁发有效期为一年的证书。

步骤 3:验证与连接器的连接 SCEP

创建指向SCEP端点连接器的 Microsoft Intune 配置文件后,请确认注册的设备可以申请证书。要进行确认,请确保没有任何策略分配失败。要进行确认,请在 Intune 门户中导航到 “设备” > “管理设备” > “配置”,并确认配置策略分配失败下没有列出任何内容。如果有,请使用上述过程中的信息确认您的设置。如果您的设置正确但仍然出现故障,请查阅从移动设备收集可用数据

有关设备注册的信息,请参阅什么是设备注册? 在微软 Intune 文档中。