Preparare certificati e profili di rete per Microsoft Managed Desktop

L'autenticazione basata su certificati è un requisito comune per i clienti che usano Microsoft Managed Desktop. Potrebbero essere necessari certificati per:

• Accesso a Wi-Fi o LAN
• Connessione alle soluzioni VPN
• Accesso alle risorse interne dell'organizzazione

Poiché i dispositivi Desktop gestito da Microsoft sono aggiunti a Microsoft Entra ID e gestiti da Microsoft Intune, è necessario distribuire tali certificati usando:

• Simple Certificate Enrollment Protocol (SCEP) o
• Infrastruttura di certificati PKCS (Public Key Cryptography Standard) integrata con Intune.

Requisiti per i certificati

I certificati radice sono necessari per distribuire i certificati tramite un'infrastruttura SCEP o PKCS. Altre applicazioni e servizi dell'organizzazione potrebbero richiedere la distribuzione di certificati radice nei dispositivi Microsoft Managed Desktop.

Prima di distribuire i certificati SCEP o PKCS in Microsoft Managed Desktop, è necessario raccogliere i requisiti per ogni servizio che richiede un certificato utente o dispositivo nell'organizzazione. Per semplificare questa attività, è possibile usare uno dei modelli di pianificazione seguenti:

• Modello di certificato PKCS
• Modello di certificato SCEP

Requisiti di connettività Wi-Fi

Per consentire che a un dispositivo venga fornita automaticamente la configurazione Wi-Fi necessaria per la rete aziendale, potrebbe essere necessario un profilo di configurazione Wi-Fi.

È possibile configurare Microsoft Managed Desktop per distribuire questi profili nei dispositivi. Se la sicurezza di rete richiede che i dispositivi siano parte del dominio locale, potrebbe essere necessario valutare l'infrastruttura di rete Wi-Fi per assicurarsi che sia compatibile con i dispositivi Microsoft Managed Desktop. I dispositivi Desktop gestito da Microsoft vengono Microsoft Entra aggiunti solo.

Prima di distribuire una configurazione Wi-Fi ai dispositivi Microsoft Managed Desktop, sarà necessario acquisire i requisiti dell'organizzazione per ogni rete Wi-Fi. Per semplificare questa attività, è possibile usare questo modello di profilo WiFi.

Requisiti di connettività cablata e autenticazione 802.1x

Se si usa l'autenticazione 802.1x per proteggere l'accesso dai dispositivi alla rete locale, sarà necessario eseguire il push dei dettagli di configurazione necessari nei dispositivi Microsoft Managed Desktop.

I dispositivi Microsoft Managed Desktop che eseguono Windows 10, versione 1809 o versioni successive supportano la distribuzione di una configurazione 802.1x tramite il provider di servizi di configurazione WiredNetwork (CSP). Per altre informazioni, vedere la documentazione di WiredNetwork CSP .

Prima di distribuire un profilo di configurazione della rete cablata nei dispositivi Microsoft Managed Desktop, acquisire i requisiti dell'organizzazione per la rete aziendale cablata.

Per acquisire i requisiti di rete aziendale cablata:

1. Accedere a un dispositivo con il profilo 802.1x esistente configurato e connesso alla rete LAN.
2. Aprire un prompt dei comandi con credenziali amministrative.
3. Trovare il nome dell'interfaccia LAN eseguendo netsh interface show interface.
4. Esportare l'XML del profilo LAN eseguendo netsh lan export profile folder=. Interface=”interface_name”.
5. Se è necessario testare il profilo esportato nel dispositivo Microsoft Managed Desktop, eseguire netsh lan add profile filename="PATH_AND_FILENAME.xml" interface="INTERFACE_NAME".

Distribuire l'infrastruttura dei certificati

Se si dispone già di un'infrastruttura SCEP o PKCS con Intune e questo approccio soddisfa i requisiti, è possibile usarlo anche per Microsoft Managed Desktop.

Se non esiste già un'infrastruttura SCEP o PKCS, è necessario prepararne una. Per altre informazioni, vedere Configurare un profilo certificato per i dispositivi in Microsoft Intune.

Distribuire un profilo LAN

Dopo aver esportato il profilo LAN, è possibile preparare i criteri per Microsoft Managed Desktop.

Per preparare i criteri per Microsoft Managed Desktop:

1. Creare un profilo personalizzato in Microsoft Intune per il profilo LAN usando le impostazioni seguenti (vedere Usare le impostazioni personalizzate per i dispositivi Windows 10 in Intune). In Impostazioni URI OMA personalizzate, selezionare Aggiungi e quindi immettere i valori seguenti:
   • Nome: Profilo LAN Modern Workplace-Windows 10
   • Descrizione: immettere una descrizione che offra una panoramica dell'impostazione e altri dettagli importanti.
   • URI OMA (distinzione tra maiuscole e minuscole): Immettere ./Device/Vendor/MSFT/WiredNetwork/LanXML
   • Tipo di dati: selezionare Stringa (file XML).
   • XML personalizzato: caricare il file XML esportato.
2. Assegnare il profilo personalizzato al gruppo Dispositivi Modern Workplace - Test.
3. Eseguire qualsiasi test che si ritiene necessario usando un dispositivo incluso nel gruppo Distribuzione test. In caso di esito positivo, assegnare il profilo personalizzato ai gruppi seguenti:
   • Dispositivi Modern Workplace - Primi
   • Dispositivi Modern Workplace - Velocità
   • Dispositivi Modern Workplace - Generale

Implementare certificati e profilo Wi-Fi/VPN

Per distribuire certificati e profili:

1. Creare un profilo per ognuno dei certificati radice e intermedio (vedere Creare profili certificato attendibili. Ognuno di questi profili deve avere una descrizione che includa una data di scadenza in formato GG/MM/AAAA. I profili certificato devono avere una data di scadenza.
2. Creare un profilo per ogni certificato SCEP o PKCS (vedere Creare un profilo certificato SCEP o Creare un profilo certificato PKCS). Ognuno di questi profili deve avere una descrizione che includa una data di scadenza in formato GG/MM/AAAA. I profili certificato devono avere una data di scadenza.
3. Creare un profilo per ogni rete Wi-Fi aziendale (vedere Impostazioni Wi-Fi per Windows 10 e dispositivi successivi).
4. Creare un profilo per ogni VPN aziendale (vedere Windows 10 e le impostazioni del dispositivo Windows Holographic per aggiungere connessioni VPN tramite Intune).
5. Assegnare i profili al gruppo Dispositivi Modern Workplace - Test.
6. Eseguire qualsiasi test che si ritiene necessario usando un dispositivo incluso nel gruppo Distribuzione test. In caso di esito positivo, assegnare il profilo personalizzato ai gruppi seguenti:
   • Dispositivi Modern Workplace - Primi
   • Dispositivi Modern Workplace - Velocità
   • Dispositivi Modern Workplace - Generale