Konfigurasikan Microsoft Intune untuk Konektor untuk SCEP - AWS Private Certificate Authority

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Konfigurasikan Microsoft Intune untuk Konektor untuk SCEP

Anda dapat menggunakan AWS Private CA sebagai otoritas sertifikat eksternal (CA) dengan sistem manajemen perangkat seluler Microsoft Intune (MDM). Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Microsoft Intune setelah Anda membuat Konektor untuk SCEP untuk Microsoft Intune.

Prasyarat

Sebelum Anda membuat Konektor untuk SCEP untuk Microsoft Intune, Anda harus menyelesaikan prasyarat berikut.

Langkah 1: Berikan AWS Private CA izin untuk menggunakan Aplikasi Microsoft Entra ID Anda

Setelah Anda membuat Konektor untuk SCEP untuk Microsoft Intune, Anda harus membuat kredensi federasi di bawah Pendaftaran Aplikasi Microsoft sehingga Konektor untuk SCEP dapat berkomunikasi dengan Microsoft Intune.

Untuk mengkonfigurasi AWS Private CA sebagai CA eksternal di Microsoft Intune
  1. Di konsol Microsoft Entra ID, navigasikan ke pendaftaran Aplikasi.

  2. Pilih aplikasi yang Anda buat untuk digunakan dengan Connector for SCEP. ID aplikasi (klien) aplikasi yang Anda klik harus cocok dengan ID yang Anda tentukan saat Anda membuat konektor.

  3. Pilih Sertifikat & rahasia dari menu tarik-turun Dikelola.

  4. Pilih tab Kredensial Federasi.

  5. Pilih Tambahkan kredensi.

  6. Dari menu tarik-turun skenario kredensi Federasi, pilih Penerbit lain.

  7. Salin dan tempel nilai penerbit OpenID dari detail Connector for SCEP for Microsoft Intune Anda ke dalam bidang Penerbit. Untuk melihat detail konektor, pilih konektor dari daftar Konektor untuk SCEP di AWS konsol. Atau, Anda bisa mendapatkan URL dengan menelepon GetConnectordan kemudian menyalin Issuer nilai dari respons.

  8. Salin dan tempel nilai OpenID Audience dari detail Connector for SCEP for Microsoft Intune ke bidang Audience. Untuk melihat detail konektor, pilih konektor dari daftar Konektor untuk SCEP di AWS konsol. Atau, Anda bisa mendapatkan URL dengan menelepon GetConnectordan kemudian menyalin Subject nilai dari respons.

  9. (Opsional) Masukkan nama instance di bidang Nama. Misalnya, Anda bisa menamainya AWS Private CA.

  10. (Opsional) Masukkan deskripsi ke dalam bidang Deskripsi.

  11. Pilih Edit (opsional) di bawah bidang Audiens. Salin dan tempel nilai subjek OpenID dari konektor Anda ke bidang Subjek. Anda dapat melihat nilai penerbit OpenID di halaman detail konektor di konsol. AWS Atau, Anda bisa mendapatkan URL dengan menelepon GetConnectordan kemudian menyalin Audience nilai dari respons.

  12. Pilih Tambahkan.

Langkah 2: Siapkan profil konfigurasi Microsoft Intune

Setelah Anda memberikan AWS Private CA izin untuk memanggil Microsoft Intune, Anda harus menggunakan Microsoft Intune untuk membuat profil konfigurasi Microsoft Intune yang menginstruksikan perangkat untuk menghubungi Connector for SCEP untuk penerbitan sertifikat.

  1. Buat profil konfigurasi sertifikat tepercaya. Anda harus mengunggah sertifikat CA root dari rantai yang Anda gunakan dengan Connector for SCEP ke Microsoft Intune untuk membangun kepercayaan. Untuk informasi tentang cara membuat profil konfigurasi sertifikat tepercaya, lihat Profil sertifikat root tepercaya untuk Microsoft Intune di dokumentasi Microsoft Intune.

  2. Buat profil konfigurasi sertifikat SCEP yang mengarahkan perangkat Anda ke konektor saat memerlukan sertifikat baru. Jenis Profil profil konfigurasi harus Sertifikat SCEP. Untuk sertifikat root profil konfigurasi, pastikan Anda menggunakan sertifikat tepercaya yang Anda buat pada langkah sebelumnya.

    Untuk Server SCEP URLs, salin dan tempel URL SCEP Publik dari detail konektor Anda ke bidang Server SCEP. URLs Untuk melihat detail konektor, pilih konektor dari daftar Konektor untuk SCEP. Atau, Anda bisa mendapatkan URL dengan menelepon ListConnectors, dan kemudian menyalin Endpoint nilai dari respons. Untuk panduan cara membuat profil konfigurasi di Microsoft Intune, lihat Membuat dan menetapkan profil sertifikat SCEP di Microsoft Intune dalam dokumentasi Microsoft Intune.

    catatan

    Untuk perangkat non-mac OS dan iOS, jika Anda tidak menetapkan masa berlaku di profil konfigurasi, Connector for SCEP mengeluarkan sertifikat dengan validitas satu tahun. Jika Anda tidak menyetel nilai Extended Key Usage (EKU) di profil konfigurasi, Connector for SCEP mengeluarkan sertifikat dengan EKU yang disetel. Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2) Untuk perangkat macOS atau iOS, Microsoft Intune tidak menghormati ExtendedKeyUsage atau Validity parameter dalam profil konfigurasi Anda. Untuk perangkat ini, Konektor untuk SCEP mengeluarkan sertifikat dengan masa berlaku satu tahun ke perangkat ini melalui otentikasi klien.

Langkah 3: Verifikasi koneksi ke Konektor untuk SCEP

Setelah Anda membuat profil konfigurasi Microsoft Intune yang mengarah ke titik akhir Connector for SCEP, konfirmasikan bahwa perangkat yang terdaftar dapat meminta sertifikat. Untuk mengonfirmasi, pastikan tidak ada kegagalan penetapan kebijakan. Untuk mengonfirmasi, di portal Intune navigasikan ke Devices > Manage Devices > Configuration dan verifikasi bahwa tidak ada yang tercantum di bawah Kegagalan Penugasan Kebijakan Konfigurasi. Jika ada, konfirmasikan pengaturan Anda dengan informasi dari prosedur sebelumnya. Jika pengaturan Anda benar dan masih ada kegagalan, maka konsultasikan Kumpulkan data yang tersedia dari perangkat seluler.

Untuk informasi tentang pendaftaran perangkat, lihat Apa itu pendaftaran perangkat? dalam dokumentasi Microsoft Intune.