Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Configurazione di Microsoft Intune per Connector for SCEP
Puoi utilizzarlo AWS Private CA come autorità di certificazione (CA) esterna con il sistema di gestione dei dispositivi mobili (MDM) Microsoft Intune. Questa guida fornisce istruzioni su come configurare Microsoft Intune dopo aver creato un connettore per SCEP per Microsoft Intune.
Prerequisiti
Prima di creare un connettore per SCEP per Microsoft Intune, è necessario completare i seguenti prerequisiti.
Crea un ID Entra.
Crea un tenant di Microsoft Intune.
Crea una registrazione dell'app nel tuo ID Microsoft Entra. Vedi Aggiornare le autorizzazioni richieste di un'app in Microsoft Entra ID
nella documentazione di Microsoft Entra per informazioni su come gestire le autorizzazioni a livello di applicazione per la registrazione dell'app. La registrazione dell'app deve disporre delle seguenti autorizzazioni: In Intune imposta scep_challenge_provider.
Per Microsoft Graph, impostare Application.Read.All e User.Read.
È necessario concedere all'applicazione il consenso dell'amministratore di App Registration. Per informazioni, vedi Concedere il consenso amministrativo a livello di tenant a un'applicazione nella documentazione
di Microsoft Entra. Suggerimento
Quando crei la registrazione dell'app, prendi nota dell'ID dell'applicazione (client) e dell'ID di directory (tenant) o del dominio principale. Quando crei il tuo Connector for SCEP per Microsoft Intune, inserirai questi valori. Per informazioni su come ottenere questi valori, vedere Creare un'applicazione Microsoft Entra e un service principal in grado di accedere alle risorse
nella documentazione di Microsoft Entra.
Passaggio 1: concedere AWS Private CA l'autorizzazione all'uso dell'applicazione Microsoft Entra ID
Dopo aver creato un Connector for SCEP per Microsoft Intune, è necessario creare una credenziale federata nella Microsoft App Registration in modo che Connector for SCEP possa comunicare con Microsoft Intune.
Per configurare AWS Private CA come CA esterna in Microsoft Intune
Nella console Microsoft Entra ID, vai alle registrazioni delle app.
Scegli l'applicazione che hai creato per essere utilizzata con Connector for SCEP. L'ID dell'applicazione (client) dell'applicazione su cui fai clic deve corrispondere all'ID specificato al momento della creazione del connettore.
Seleziona Certificati e segreti dal menu a discesa Gestito.
Seleziona la scheda Credenziali federate.
Seleziona Aggiungi una credenziale.
Dal menu a discesa dello scenario di credenziali federate, scegli Altro emittente.
Copia e incolla il valore dell'emittente OpenID dai dettagli del tuo Connector for SCEP per Microsoft Intune nel campo Issuer. Per visualizzare i dettagli di un connettore, scegli il connettore dall'elenco Connettori per SCEP
nella console. AWS In alternativa, puoi ottenere l'URL chiamando GetConnectore quindi copiare il Issuervalore dalla risposta.Per Tipo, seleziona Identificatore esplicito del soggetto.
Copia e incolla il valore dell'oggetto OpenID dal connettore nel campo Valore. È possibile visualizzare il valore dell'emittente OpenID nella pagina dei dettagli del connettore nella console. AWS In alternativa, puoi ottenere l'URL chiamando GetConnectore quindi copiare il
Audiencevalore dalla risposta.(Facoltativo) Immettete il nome dell'istanza nel campo Nome. Ad esempio, è possibile assegnarle un nome AWS Private CA.
(Facoltativo) Inserisci una descrizione nel campo Descrizione.
Copia e incolla il valore OpenID Audience dai dettagli di Connector for SCEP per Microsoft Intune nel campo Audience. Per visualizzare i dettagli di un connettore, scegli il connettore dall'elenco Connettori per SCEP
nella console. AWS In alternativa, puoi ottenere l'URL chiamando GetConnectore quindi copiare il Subjectvalore dalla risposta.Selezionare Aggiungi.
Passaggio 2: configurare un profilo di configurazione di Microsoft Intune
Dopo aver concesso AWS Private CA l'autorizzazione a chiamare Microsoft Intune, è necessario utilizzare Microsoft Intune per creare un profilo di configurazione di Microsoft Intune che indichi ai dispositivi di contattare Connector for SCEP per l'emissione del certificato.
Crea un profilo di configurazione del certificato affidabile. Devi caricare il certificato CA principale della catena che stai utilizzando con Connector for SCEP in Microsoft Intune per stabilire l'attendibilità. Per informazioni su come creare un profilo di configurazione dei certificati attendibili, consulta Profili di certificato root affidabili per Microsoft Intune
nella documentazione di Microsoft Intune. Crea un profilo di configurazione del certificato SCEP che indirizzi i tuoi dispositivi al connettore quando richiedono un nuovo certificato. Il tipo di profilo del profilo di configurazione deve essere il certificato SCEP. Per il certificato principale del profilo di configurazione, assicurati di utilizzare il certificato affidabile creato nel passaggio precedente.
Per il server SCEP URLs, copia e incolla l'URL SCEP pubblico dai dettagli del connettore nel campo Server SCEP. URLs Per visualizzare i dettagli di un connettore, scegli il connettore dall'elenco Connettori per
SCEP. In alternativa, puoi ottenere l'URL ListConnectorschiamando e quindi copiare il Endpointvalore dalla risposta. Per indicazioni sulla creazione di profili di configurazione in Microsoft Intune, consulta Creare e assegnare profili di certificato SCEP in Microsoft Intune nella documentazione di Microsoft Intune. Nota
Per i dispositivi non Mac OS e iOS, se non imposti un periodo di validità nel profilo di configurazione, Connector for SCEP emette un certificato con una validità di un anno. Se non impostate un valore EKU (Extended Key Usage) nel profilo di configurazione, Connector for SCEP emette un certificato con l'EKU impostato con.
Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)Per i dispositivi macOSExtendedKeyUsageo iOS, Microsoft Intune non rispetta i nostriValidityparametri nei profili di configurazione. Per questi dispositivi, Connector for SCEP rilascia un certificato con un periodo di validità di un anno a questi dispositivi tramite l'autenticazione client.
Fase 3: Verificare la connessione a Connector for SCEP
Dopo aver creato un profilo di configurazione di Microsoft Intune che punti all'endpoint Connector for SCEP, verifica che un dispositivo registrato possa richiedere un certificato. Per confermare, assicurati che non vi siano errori di assegnazione delle policy. Per confermare, nel portale Intune vai su Dispositivi > Gestisci dispositivi > Configurazione e verifica che non sia elencato nulla in Errori di assegnazione delle policy di configurazione. In caso affermativo, conferma la configurazione con le informazioni delle procedure precedenti. Se la configurazione è corretta e gli errori persistono, consulta Raccogli i dati disponibili dal dispositivo mobile
Per informazioni sulla registrazione dei dispositivi, vedi Cos'è
