本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
您可以使用 AWS Private CA 做為外部憑證授權機構 (CA) 與 Microsoft Intune 行動裝置管理 (MDM) 系統。本指南說明如何在建立 Connector for SCEP for Microsoft Intune 之後設定 Microsoft Intune。
先決條件
建立 Connector for SCEP for Microsoft Intune 之前,您必須完成下列先決條件。
建立 Entra ID。
建立 Microsoft Intune 租用戶。
在 Microsoft Entra ID 中建立應用程式註冊。如需如何管理應用程式註冊之應用程式層級許可的相關資訊,請參閱 Microsoft Entra 文件中的在 Microsoft Entra ID 中更新應用程式請求
的許可。應用程式註冊必須具有下列許可: 在 Intune 設定 scep_challenge_provider 下。
對於 Microsoft 圖形集 Application.Read.All 和 User.Read。
您必須在應用程式註冊管理員同意中授予應用程式。如需詳細資訊,請參閱 Microsoft Entra 文件中的授予租用戶整體管理員對應用程式的同意
。 提示
當您建立應用程式註冊時,請注意應用程式 (用戶端) ID 和目錄 (租戶) ID 或主要網域。當您建立 Connector for SCEP for Microsoft Intune 時,您將輸入這些值。如需有關如何取得這些值的資訊,請參閱建立 Microsoft Entra 應用程式和服務主體,以存取 Microsoft Entra 文件中的資源
。
步驟 1:授予 AWS Private CA 許可以使用您的 Microsoft Entra ID 應用程式
建立 Connector for SCEP for Microsoft Intune 之後,您必須在 Microsoft 應用程式註冊下建立聯合憑證,以便 Connector for SCEP 可以與 Microsoft Intune 通訊。
在 Microsoft Intune 中將 AWS Private CA 設定為外部 CA
在 Microsoft Entra ID 主控台中,導覽至應用程式註冊。
選擇您建立以搭配 Connector for SCEP 使用的應用程式。您按一下的應用程式的應用程式 (用戶端) ID 必須符合您在建立連接器時指定的 ID。
從受管下拉式功能表中選取憑證和秘密。
選取聯合憑證索引標籤。
選取新增登入資料。
從聯合登入資料案例下拉式選單中,選擇其他發行者。
從 Connector for SCEP for Microsoft Intune 詳細資訊複製 OpenID 發行者值,並貼到發行者欄位中。若要檢視連接器的詳細資訊,請從 AWS 主控台的 Connectors for SCEP
清單中選擇連接器。或者,您可以呼叫 GetConnector 來取得 URL,然後從回應複製該 Issuer值。從 Connector for SCEP for Microsoft Intune 詳細資訊複製 OpenID Audience 值並貼到 Audience 欄位。若要檢視連接器的詳細資訊,請從 AWS 主控台的適用於 SCEP 的連接器
清單中選擇連接器。或者,您可以呼叫 GetConnector 來取得 URL,然後從回應複製該 Subject值。(選用) 在名稱欄位中輸入執行個體的名稱。例如,您可以將其命名為 AWS Private CA。
(選用) 在描述欄位中輸入描述。
選取對象欄位下的編輯 (選用)。將 OpenID 主旨值從連接器複製並貼到主旨欄位。您可以在 AWS 主控台的連接器詳細資訊頁面中檢視 OpenID 發行者值。或者,您可以呼叫 GetConnector 來取得 URL,然後從回應複製該
Audience值。選取新增。
步驟 2:設定 Microsoft Intune 組態描述檔
授予呼叫 Microsoft Intune 的 AWS Private CA 許可後,您必須使用 Microsoft Intune 建立 Microsoft Intune 組態描述檔,指示裝置聯絡 Connector for SCEP 進行憑證發行。
建立信任的憑證組態設定檔。您必須將與 Connector for SCEP 搭配使用的鏈結根 CA 憑證上傳至 Microsoft Intune 以建立信任。如需有關如何建立信任憑證組態設定檔的資訊,請參閱 Microsoft Intune 文件中的 Microsoft Intune 的信任根憑證設定檔
。 建立 SCEP 憑證組態描述檔,在您的裝置需要新憑證時,將裝置指向連接器。組態設定檔的設定檔類型應該是 SCEP 憑證。對於組態設定檔的根憑證,請確定您使用您在上一個步驟中建立的信任憑證。
對於 SCEP 伺服器 URLs,請將連接器詳細資訊中的公有 SCEP URL 複製並貼到 SCEP 伺服器 URLs。若要檢視連接器的詳細資訊,請從適用於 SCEP 的連接器
清單中選擇連接器。或者,您可以呼叫 ListConnectors 來取得 URL,然後從回應複製該 Endpoint值。如需在 Microsoft Intune 中建立組態設定檔的指引,請參閱 Microsoft Intune 文件中的在 Microsoft Intune 中建立和指派 SCEP 憑證設定檔。 注意
對於非 Mac 作業系統和 iOS 裝置,如果您未在組態設定檔中設定有效期,Connector for SCEP 會發出有效期為一年的憑證。如果您未在組態設定檔中設定擴充金鑰用量 (EKU) 值,Connector for SCEP 會發出憑證,其中 EKU 設定為
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)。對於 macOS 或 iOS 裝置,Microsoft Intune 不尊重組態設定檔中的ExtendedKeyUsage或Validity參數。對於這些裝置,Connector for SCEP 透過用戶端身分驗證向這些裝置發出有效期為一年的憑證。
步驟 3:驗證 Connector for SCEP 的連線
在您建立指向 Connector for SCEP 端點的 Microsoft Intune 組態描述檔之後,請確認已註冊的裝置可以請求憑證。若要確認,請確定沒有任何政策指派失敗。若要確認,請在 Intune 入口網站中導覽至裝置 > 管理裝置 > 組態,並確認組態政策指派失敗下沒有列出任何項目。如果有,請使用上述程序的資訊確認您的設定。如果您的設定正確且仍然失敗,請參閱從行動裝置收集可用資料
如需有關裝置註冊的資訊,請參閱 Microsoft Intune 文件中的什麼是裝置註冊?
