本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定 Microsoft Intune for Connector for SCEP
您可以使用 AWS Private CA 作為外部憑證授權機構 (CA) 與 Microsoft Intune 行動裝置管理 (MDM) 系統。本指南說明如何在建立 Connector for SCEP for Microsoft Intune 之後設定 Microsoft Intune。
必要條件
在建立 Connector for SCEP for Microsoft Intune 之前,您必須完成下列先決條件。
建立 Entra ID。
建立 Microsoft Intune 租用戶。
在 Microsoft Entra ID 中建立應用程式註冊。如需如何管理應用程式註冊之應用程式層級許可的相關資訊,請參閱 Microsoft Entra 文件中的在 Microsoft Entra ID 中更新應用程式請求
的許可。應用程式註冊必須具有下列許可: 在 Intune 設定 scep_challenge_provider 下。
對於 Microsoft 圖形集 Application.Read.All 和 User.Read。
您必須在應用程式註冊管理員同意中授予應用程式。如需詳細資訊,請參閱 Microsoft Entra 文件中的授予租用戶整體管理員對應用程式的同意
。 提示
建立應用程式註冊時,請注意應用程式 (用戶端) ID 和目錄 (租戶) ID 或主要網域。當您建立 Connector for SCEP for Microsoft Intune 時,您將輸入這些值。如需有關如何取得這些值的資訊,請參閱建立 Microsoft Entra 應用程式和服務主體,以存取 Microsoft Entra 文件中的資源
。
步驟 1:授予使用 Microsoft Entra ID 應用程式的 AWS Private CA 許可
建立 Connector for SCEP for Microsoft Intune 之後,您必須在 Microsoft 應用程式註冊下建立聯合憑證,以便 Connector for SCEP 可以與 Microsoft Intune 通訊。
在 Microsoft Intune 中將 AWS Private CA 設定為外部 CA
在 Microsoft Entra ID 主控台中,導覽至應用程式註冊。
選擇您建立來搭配 Connector for SCEP 使用的應用程式。您按一下的應用程式的應用程式 (用戶端) ID 必須符合您在建立連接器時指定的 ID。
從受管下拉式功能表中選取憑證和秘密。
選取聯合憑證索引標籤。
選取新增憑證。
從聯合憑證案例下拉式選單中,選擇其他發行者。
將 OpenID 發行者值從 Connector for SCEP for Microsoft Intune 詳細資訊複製並貼到發行者欄位中。若要檢視連接器的詳細資訊,請從 AWS 主控台中的 Connectors for SCEP
清單中選擇連接器。或者,您可以呼叫 URL 來取得 GetConnector,然後從回應複製該 Issuer值。將 OpenID Audience 值從 Connector for SCEP for Microsoft Intune 詳細資訊複製並貼至 Audience 欄位。若要檢視連接器的詳細資訊,請從 AWS 主控台中的 Connectors for SCEP
清單中選擇連接器。或者,您可以呼叫 URL 來取得 GetConnector,然後從回應複製該 Subject值。(選用) 在名稱欄位中輸入執行個體的名稱。例如,您可以為其命名 AWS Private CA。
(選用) 在描述欄位中輸入描述。
在受眾欄位下選取編輯 (選用)。將 OpenID 主題值從連接器複製並貼到主旨欄位中。您可以在 AWS 主控台的連接器詳細資訊頁面中檢視 OpenID 發行者值。或者,您可以呼叫 URL 來取得 GetConnector,然後從回應複製該
Audience值。選取新增。
步驟 2:設定 Microsoft Intune 組態設定檔
授予呼叫 Microsoft Intune 的 AWS Private CA 許可後,您必須使用 Microsoft Intune 建立 Microsoft Intune 組態設定檔,指示裝置聯絡 Connector for SCEP 進行憑證發行。
建立信任的憑證組態設定檔。您必須將與 Connector for SCEP 搭配使用的鏈的根 CA 憑證上傳至 Microsoft Intune,以建立信任。如需如何建立受信任憑證組態設定檔的資訊,請參閱 Microsoft Intune 文件中的 Microsoft Intune 受信任根憑證設定檔
。 建立 SCEP 憑證組態描述檔,在您的裝置需要新憑證時,將它們指向連接器。組態設定檔的設定檔類型應為 SCEP 憑證。對於組態設定檔的根憑證,請確定您使用您在上一個步驟中建立的受信任憑證。
對於 SCEP Server URLs,請將連接器SCEPURL的詳細資訊複製並貼到 SCEP Server URLs 欄位。若要檢視連接器的詳細資訊,請從 Connectors for SCEP
清單中選擇連接器。或者,您可以呼叫 URL 來取得 ListConnectors,然後從回應複製該 Endpoint值。如需在 Microsoft Intune 中建立組態設定檔的指引,請參閱 Microsoft Intune 文件中的在 Microsoft Intune 中建立和指派 SCEP 憑證設定檔。 注意
對於非 Mac 作業系統和 iOS 裝置,如果您未在組態設定檔中設定有效期,Connector for SCEP 會發出有效期為一年的憑證。如果您未在組態設定檔中設定延伸金鑰使用量 (EKU) 值,Connector for SCEP 會發出具有 EKU 設定的憑證
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)。對於 macOS 或 iOS 裝置,Microsoft Intune 不尊重組態設定檔中的ExtendedKeyUsage或Validity參數。對於這些裝置, Connector for SCEP 透過用戶端身分驗證向這些裝置發出具有一年有效期間的憑證。
步驟 3:確認連線至 Connector for SCEP
建立指向 Connector for SCEP 端點的 Microsoft Intune 組態設定檔之後,請確認已註冊的裝置可以請求憑證。若要確認,請確定沒有任何政策指派失敗。若要確認,請在 Intune 入口網站中導覽至裝置 > 管理裝置 > 組態,並確認組態政策指派失敗下沒有列出任何項目。如果有,請使用上述程序的資訊確認您的設定。如果您的設定正確且仍然失敗,請參閱從行動裝置收集可用資料
如需有關裝置註冊的資訊,請參閱 Microsoft Intune 文件中的什麼是裝置註冊?
