Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurare Microsoft Intune per Connector per SCEP
Puoi utilizzarlo AWS Private CA come autorità di certificazione (CA) esterna con il sistema di gestione dei dispositivi mobili Microsoft Intune (MDM). Questa guida fornisce istruzioni su come configurare Microsoft Intune dopo aver creato un connettore SCEP per Microsoft Intune.
Prerequisiti
Prima di creare un connettore SCEP per Microsoft Intune, è necessario completare i seguenti prerequisiti.
Crea un Entra ID.
Crea un tenant di Microsoft Intune.
Crea una registrazione dell'app nel tuo ID Microsoft Entra. Vedi Aggiornare le autorizzazioni richieste di un'app in Microsoft Entra ID
nella documentazione di Microsoft Entra per informazioni su come gestire le autorizzazioni a livello di applicazione per la registrazione dell'app. La registrazione dell'app deve disporre delle seguenti autorizzazioni: In Intune imposta scep_challenge_provider.
Per Microsoft Graph, impostare Application.Read.All e User.Read.
È necessario concedere all'applicazione il consenso dell'amministratore di App Registration. Per informazioni, vedi Concedere il consenso amministrativo a livello di tenant a un'applicazione nella documentazione
di Microsoft Entra. Suggerimento
Quando crei la registrazione dell'app, prendi nota dell'ID dell'applicazione (client) e dell'ID di directory (tenant) o del dominio principale. Quando crei il tuo Connector SCEP per Microsoft Intune, inserirai questi valori. Per informazioni su come ottenere questi valori, vedere Creare un'applicazione Microsoft Entra e un service principal in grado di accedere alle risorse
nella documentazione di Microsoft Entra.
Passaggio 1: concedere AWS Private CA l'autorizzazione all'uso dell'applicazione Microsoft Entra ID
Dopo aver creato un Connector SCEP per Microsoft Intune, è necessario creare una credenziale federata in Microsoft App Registration in modo che Connector for SCEP possa comunicare con Microsoft Intune.
Per configurare AWS Private CA come CA esterna in Microsoft Intune
Nella console Microsoft Entra ID, vai alle registrazioni delle app.
Scegli l'applicazione che hai creato da utilizzare con Connector perSCEP. L'ID dell'applicazione (client) dell'applicazione su cui fai clic deve corrispondere all'ID specificato al momento della creazione del connettore.
Seleziona Certificati e segreti dal menu a discesa Gestito.
Seleziona la scheda Credenziali federate.
Seleziona Aggiungi una credenziale.
Dal menu a discesa dello scenario di credenziali federate, scegli Altro emittente.
Copia e incolla il valore dell'emittente OpenID dal tuo Connector for for SCEP Microsoft Intune nel campo Issuer. Per visualizzare i dettagli di un connettore, scegli il connettore dall'SCEPelenco Connettori per
nella console. AWS In alternativa, puoi ottenerlo URL chiamando GetConnectore quindi copiare il Issuervalore dalla risposta.Copia e incolla il valore OpenID Audience dal tuo Connector per i dettagli di SCEP Microsoft Intune nel campo Audience. Per visualizzare i dettagli di un connettore, scegli il connettore dall'SCEPelenco Connettori per
nella AWS console. In alternativa, puoi ottenerlo URL chiamando GetConnectore quindi copiare il Subjectvalore dalla risposta.(Facoltativo) Immettete il nome dell'istanza nel campo Nome. Ad esempio, è possibile assegnarle un nome AWS Private CA.
(Facoltativo) Inserisci una descrizione nel campo Descrizione.
Seleziona Modifica (opzionale) nel campo Pubblico. Copia e incolla il valore dell'oggetto OpenID dal connettore nel campo Oggetto. È possibile visualizzare il valore dell'emittente OpenID nella pagina dei dettagli del connettore nella console. AWS In alternativa, puoi ottenerlo URL chiamando GetConnectore quindi copiare il
Audiencevalore dalla risposta.Selezionare Aggiungi.
Passaggio 2: configurare un profilo di configurazione di Microsoft Intune
Dopo aver concesso AWS Private CA l'autorizzazione a chiamare Microsoft Intune, è necessario utilizzare Microsoft Intune per creare un profilo di configurazione di Microsoft Intune che indichi ai dispositivi di contattare Connector per SCEP l'emissione del certificato.
Crea un profilo di configurazione del certificato affidabile. Devi caricare il certificato CA principale della catena che stai utilizzando con Connector for SCEP in Microsoft Intune per stabilire l'attendibilità. Per informazioni su come creare un profilo di configurazione dei certificati attendibili, consulta Profili di certificato root affidabili per Microsoft Intune
nella documentazione di Microsoft Intune. Crea un profilo di configurazione del SCEP certificato che punti i tuoi dispositivi al connettore quando richiedono un nuovo certificato. Il tipo di profilo del profilo di configurazione deve essere SCEPCertificate. Per il certificato principale del profilo di configurazione, assicurati di utilizzare il certificato affidabile creato nel passaggio precedente.
Per SCEPServer URLs, copia e incolla il Public SCEP URL dai dettagli del connettore nel URLs campo SCEPServer. Per visualizzare i dettagli di un connettore, scegli il connettore dall'SCEPelenco Connettori per
. In alternativa, puoi ottenerlo URL ListConnectorschiamando e quindi copiare il Endpointvalore dalla risposta. Per indicazioni sulla creazione di profili di configurazione in Microsoft Intune, consulta Creare e assegnare profili di SCEP certificato in Microsoft Intune nella documentazione di Microsoft Intune. Nota
Per i dispositivi non Mac OS e iOS, se non imposti un periodo di validità nel profilo di configurazione, Connector for SCEP emette un certificato con una validità di un anno. Se non imposti un valore Extended Key Usage (EKU) nel profilo di configurazione, Connector for SCEP emette un certificato con il EKU set with
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2). Per i dispositivi macOSExtendedKeyUsageo iOS, Microsoft Intune non rispetta i nostriValidityparametri nei profili di configurazione. Per questi dispositivi, Connector for SCEP rilascia un certificato con un periodo di validità di un anno a questi dispositivi tramite l'autenticazione client.
Passaggio 3: Verifica la connessione a Connector per SCEP
Dopo aver creato un profilo di configurazione di Microsoft Intune che punti al Connector for SCEP endpoint, verifica che un dispositivo registrato possa richiedere un certificato. Per confermare, assicurati che non vi siano errori di assegnazione delle policy. Per confermare, nel portale Intune vai su Dispositivi > Gestisci dispositivi > Configurazione e verifica che non sia elencato nulla in Errori di assegnazione delle policy di configurazione. In caso affermativo, conferma la configurazione con le informazioni delle procedure precedenti. Se la configurazione è corretta e gli errori persistono, consulta Raccogli i dati disponibili dal dispositivo mobile
Per informazioni sulla registrazione dei dispositivi, vedi Cos'è
