本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 SCEP 的 Connector 配置微软 Intune
你可以在 Microsoft Intune 移动设备管理 (MDM) 系统中 AWS Private CA 用作外部证书颁发机构 (CA)。本指南提供有关在为微软 Intune 创建 SCEP 连接器后如何配置 Microsoft Intune 的说明。
先决条件
在为 Microsoft Intune 的 SCEP 创建连接器之前,必须完成以下先决条件。
创建入口 ID。
创建微软 Intune 租户。
在你的 Microsoft Entra ID 中创建应用程序注册。有关如何管理应用程序注册的应用程序级权限的信息,请参阅 Microsoft Entra 文档中的 Microsoft Entra ID 中更新应用程序请求
的权限。应用程序注册必须具有以下权限: 在 Intune 下设置 sc ep_challenge_provider。
对于 Microsoft Graph,设置应用程序.Read.All 和 User.Read。
您必须在应用程序注册管理员同意中授予该应用程序。有关信息,请参阅 Microsoft Entra 文档中的授予整个租户对应用程序的管理员同意
。 提示
创建应用程序注册时,请记下应用程序(客户端)ID 和目录(租户)ID 或主域。当你为 Microsoft Intune 的 SCEP 创建连接器时,你需要输入这些值。有关如何获取这些值的信息,请参阅 Microsoft E ntra 文档中的创建可以访问资源的 Microsoft Entra 应用程序和服务主体
。
第 1 步:授予使用你的 Microsoft Entra ID 应用程序的 AWS Private CA 权限
为 Microsoft Intune 创建 SCEP 连接器后,必须在 Microsoft 应用程序注册下创建联合凭据,这样 SCEP 连接器才能与微软 Intune 通信。
在 Microsoft Intune 中配置 AWS Private CA 为外部 CA
在 Microsoft Entra ID 控制台中,导航到应用程序注册。
选择您创建的用于连接器 for SCEP 的应用程序。您单击的应用程序的应用程序(客户端)ID 必须与您在创建连接器时指定的 ID 相匹配。
从 “托管” 下拉菜单中选择 “证书和密钥”。
选择 “联合证书” 选项卡。
选择添加凭据。
从 “联邦证书方案” 下拉菜单中,选择 “其他颁发者”。
将你的 Connector for SCEP for Microsoft Intune 详细信息中的 OpenID 发行者值复制并粘贴到发行者字段中。要查看连接器的详细信息,请从 AWS 控制台的 SCEP 连接器
列表中选择该连接器。或者,您可以通过调用获取 URL,GetConnector然后从响应中复制该 Issuer值。将 OpenID 受众值从 Connector for Microsoft Intune 的 SCEP 详细信息复制并粘贴到 “受众” 字段中。要查看连接器的详细信息,请从 AWS 控制台的 SCEP 连接器
列表中选择该连接器。或者,您可以通过调用获取 URL,GetConnector然后从响应中复制该 Subject值。(可选)在名称字段中输入实例的名称。例如,你可以给它起个名字AWS Private CA。
(可选)在 “描述” 字段中输入描述。
在 “受众” 字段下选择 “编辑”(可选)。将 OpenID 主题值从您的连接器复制并粘贴到主题字段中。您可以在控制台的连接器详细信息页面中查看 OpenID 颁发者 AWS 值。或者,您可以通过调用获取 URL,GetConnector然后从响应中复制该
Audience值。选择添加。
第 2 步:设置微软 Intune 配置文件
在你授予 AWS Private CA 调用 Microsoft Intune 的权限后,你必须使用 Microsoft Intune 创建微软 Intune 配置文件,指示设备联系 Connector 获取 SCEP 以获取证书。
创建可信证书配置文件。你必须将与 Connector for SCEP 一起使用的链的根 CA 证书上传到 Microsoft Intune 才能建立信任。有关如何创建可信证书配置文件的信息,请参阅 Microsoft Intune 文档中的 Microsoft Intune 的可信根证书配置文件
。 创建 SCEP 证书配置文件,当您的设备需要新证书时,该配置文件可将设备指向连接器。配置文件的配置文件类型应为 SCEP 证书。对于配置文件的根证书,请确保使用在上一步中创建的可信证书。
对于 SCEP 服务器 URLs,将连接器详细信息中的公共 SCEP URL 复制并粘贴到 SCEP 服务器字段中。 URLs要查看连接器的详细信息,请从 SCEP 的连接器列表中选择该连接器
。或者,您可以通过调用获取 URL ListConnectors,然后从响应中复制该 Endpoint值。有关在 Microsoft Intune 中创建配置文件的指南,请参阅微软 Intune 文档中的在 Microsoft Intune 中创建和分配 SCEP 证书配置文件。 注意
对于非 Mac OS 和 iOS 设备,如果您未在配置文件中设置有效期,则适用于 SCEP 的 Connector 会颁发有效期为一年的证书。如果您未在配置文件中设置扩展密钥用法 (EKU) 值,则 SCEP 的 Connector 将颁发一个 EKU 设置为的证书。
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)对于 macOSExtendedKeyUsage或 iOS 设备,Microsoft Intune 不尊重你的Validity配置文件中的任何参数。对于这些设备,Connector for SCEP 通过客户端身份验证向这些设备颁发有效期为一年的证书。
步骤 3:验证与 SCEP 连接器的连接
创建指向 SCEP 连接器端点的 Microsoft Intune 配置文件后,请确认注册的设备可以申请证书。要进行确认,请确保没有任何策略分配失败。要进行确认,请在 Intune 门户中导航到 “设备” > “管理设备” > “配置”,并确认配置策略分配失败下没有列出任何内容。如果有,请使用上述过程中的信息确认您的设置。如果您的设置正确但仍然出现故障,请查阅从移动设备收集可用数据
有关设备注册的信息,请参阅什么是设备注册?
