Condividi tramite


Profili certificato radice attendibili per Microsoft Intune

Quando si usa Intune per effettuare il provisioning dei dispositivi con certificati per accedere alle risorse aziendali e alla rete, usare un profilo certificato attendibile per distribuire il certificato radice attendibile in tali dispositivi. I certificati radice attendibili stabiliscono un trust dal dispositivo alla CA radice o intermedia (emittente) da cui vengono rilasciati gli altri certificati.

Si distribuisce il profilo certificato attendibile negli stessi dispositivi e utenti che ricevono i profili certificato per Simple Certificate Enrollment Protocol (SCEP), Public Key Cryptography Standards (PKCS) e PKCS importato.

Consiglio

I profili certificato attendibili sono supportati per i desktop remoti multisessione di Windows Enterprise.

Esportare il certificato CA radice attendibile

Per usare i certificati importati PKCS, SCEP e PKCS, i dispositivi devono considerare attendibile l'autorità di certificazione radice. Per stabilire l'attendibilità, esportare il certificato CA radice attendibile e tutti i certificati dell'Autorità di certificazione intermedia o emittente come certificato pubblico (.cer). È possibile ottenere questi certificati dalla CA emittente o da qualsiasi dispositivo che consideri attendibile la CA emittente.

Per esportare il certificato, fare riferimento alla documentazione relativa all'Autorità di certificazione. È necessario esportare il certificato pubblico come file con codifica .cer DER. Non esportare la chiave privata, un .pfx file.

Questo file viene usato .cer quando si creano profili certificato attendibili per distribuire il certificato nei dispositivi.

Creare profili certificato attendibili

Prima di creare un profilo certificato importato SCEP, PKCS o PKCS, creare e distribuire un profilo certificato attendibile. Distribuire il profilo certificato attendibile negli stessi gruppi che ricevono gli altri tipi di profilo certificato. Questo passaggio assicura che ogni dispositivo possa riconoscere la legittimità della CA, inclusi i profili VPN, Wi-Fi e profili di posta elettronica.

I profili certificato SCEP fanno riferimento direttamente a un profilo certificato attendibile. I profili certificato PKCS non fanno riferimento direttamente al profilo certificato attendibile, ma fanno riferimento direttamente al server che ospita la CA. I profili certificato importati PKCS non fanno riferimento direttamente al profilo certificato attendibile, ma possono usarlo nel dispositivo. La distribuzione di un profilo certificato attendibile nei dispositivi garantisce che l'attendibilità venga stabilita. Quando un dispositivo non considera attendibile la CA radice, i criteri del profilo certificato SCEP o PKCS hanno esito negativo.

Creare un profilo certificato attendibile separato per ogni piattaforma di dispositivi che si vuole supportare, proprio come per i profili certificato importati SCEP, PKCS e PKCS.

Importante

I profili radice attendibili creati per la piattaforma Windows 10 e versioni successive vengono visualizzati nell'interfaccia di amministrazione Microsoft Intune come profili per la piattaforma Windows 8.1 e versioni successive.

Si tratta di un problema noto relativo alla presentazione della piattaforma per i profili certificato attendibili. Mentre il profilo visualizza una piattaforma di Windows 8.1 e versioni successive, è funzionale per Windows 10/11.

Nota

Il profilo certificato attendibile in Intune può essere usato solo per recapitare certificati radice o intermedi. Lo scopo della distribuzione di tali certificati è stabilire una catena di attendibilità. L'uso del profilo certificato attendibile per recapitare certificati diversi dai certificati radice o intermedi non è supportato da Microsoft. Potrebbe essere impedito di importare certificati che non sono considerati certificati radice o intermedi quando si seleziona il profilo certificato attendibile nell'interfaccia di amministrazione Microsoft Intune. Anche se si è in grado di importare e distribuire un certificato che non è un certificato radice o intermedio usando questo tipo di profilo, è probabile che si verifichino risultati imprevisti tra piattaforme diverse, ad esempio iOS e Android.

Profili certificato attendibili per l'amministratore di dispositivi Android

Importante

Microsoft Intune termina il supporto per la gestione dell'amministratore di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 31 dicembre 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Termina il supporto per l'amministratore di dispositivi Android nei dispositivi GMS.

Questa funzionalità si applica a:

  • Android 10 e versioni precedenti nei dispositivi non KNOX
  • Android 12 e versioni precedenti nei dispositivi Samsung KNOX

Poiché i profili certificato SCEP richiedono l'installazione del certificato radice attendibile in un dispositivo e devono fare riferimento a un profilo certificato attendibile che a sua volta fa riferimento a tale certificato, seguire questa procedura per ovviare a questa limitazione:

  1. Effettuare manualmente il provisioning del dispositivo con il certificato radice attendibile. Per indicazioni di esempio, vedere la sezione seguente.

  2. Distribuire nel dispositivo, un profilo certificato radice attendibile che fa riferimento al certificato radice attendibile installato nel dispositivo.

  3. Distribuire un profilo certificato SCEP nel dispositivo che fa riferimento al profilo certificato radice attendibile.

Questo problema non è limitato ai profili certificato SCEP. Pertanto, pianificare l'installazione manuale del certificato radice attendibile nei dispositivi applicabili se l'uso dei profili certificato PKCS o dei profili certificato PKCS importati lo richiede.

Altre informazioni sulle modifiche apportate al supporto per l'amministratore di dispositivi Android da techcommunity.microsoft.com.

Effettuare manualmente il provisioning di un dispositivo con il certificato radice attendibile

Le indicazioni seguenti consentono di effettuare manualmente il provisioning dei dispositivi con un certificato radice attendibile.

  1. Scaricare o trasferire il certificato radice attendibile nel dispositivo Android. Ad esempio, è possibile usare la posta elettronica per distribuire il certificato agli utenti del dispositivo o chiedere agli utenti di scaricarlo da un percorso sicuro. Dopo che il certificato si trova nel dispositivo, deve essere aperto, denominato e salvato. Il salvataggio del certificato lo aggiunge all'archivio certificati utente nel dispositivo.

    1. Per aprire il certificato nel dispositivo, un utente deve individuare e toccare (aprire) il certificato. Ad esempio, dopo aver inviato il certificato tramite posta elettronica, un utente del dispositivo può toccare o aprire l'allegato del certificato.
    2. Quando si apre il certificato, l'utente deve fornire il PIN o eseguire in altro modo l'autenticazione al dispositivo prima di poter gestire il certificato.
  2. Dopo l'autenticazione, il certificato viene aperto e deve essere denominato prima di poter essere salvato nell'archivio certificati Utenti. Il nome del certificato deve corrispondere al nome del certificato presente nel profilo certificato radice attendibile inviato al dispositivo. Dopo aver assegnato il nome al certificato, è possibile salvarlo.

  3. Dopo essere stato salvato, il certificato è pronto per l'uso. Un utente può confermare che il certificato si trova nella posizione corretta nel dispositivo:

    1. Aprire Impostazioni Sicurezza>>Credenziali attendibili. Il percorso effettivo delle credenziali attendibili può variare in base al dispositivo.
    2. Aprire la scheda Utente e individuare il certificato.
    3. Se presente nell'elenco dei certificati utente, il certificato viene installato correttamente.
  4. Con un certificato radice installato in un dispositivo, è comunque necessario distribuire quanto segue per effettuare il provisioning dei certificati SCEP o PKCS:

    • Profilo certificato attendibile che fa riferimento a tale certificato
    • Profilo SCEP o PKCS che fa riferimento al profilo certificato per effettuare il provisioning dei certificati SCEP o PKCS.

Per creare un profilo certificato attendibile

  1. Accedere all'Interfaccia di amministrazione di Microsoft Intune.

  2. Selezionare e passare a Dispositivi>Gestisci dispositivi>Configurazione>crea.

    Passare a Intune e creare un nuovo profilo per un certificato attendibile

  3. Immettere le proprietà seguenti:

    • Piattaforma: scegliere la piattaforma dei dispositivi che devono ricevere questo profilo.
    • Profilo: a seconda della piattaforma scelta, selezionare Certificato attendibile o selezionare Modelli Certificato>attendibile.

    Importante

    Il 22 ottobre 2022, Microsoft Intune ha terminato il supporto per i dispositivi con Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici non sono quindi più disponibili per questi dispositivi.

    Se si sta attualmente usando Windows 8.1, passare a dispositivi con Windows 10/11. Microsoft Intune offre funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.

  4. Selezionare Crea.

  5. In Informazioni di base immettere le proprietà seguenti:

    • Nome: immettere un nome descrittivo per il profilo. Assegnare ai profili nomi che possano essere identificati facilmente in un secondo momento. Ad esempio, un nome di profilo valido è Profilo certificato attendibile per l'intera azienda.
    • Descrizione: immettere una descrizione per il profilo. Questa impostazione è facoltativa ma consigliata.
  6. Seleziona Avanti.

  7. In Impostazioni di configurazione specificare il .cer file per il certificato CA radice attendibile esportato in precedenza.

    Solo per i dispositivi Windows 8.1 e Windows 10/11, selezionare l'archivio di destinazione per il certificato attendibile da:

    • Archivio certificati computer - Radice
    • Archivio certificati computer - Intermedio
    • Archivio certificati utente - Intermedio

    Creare un profilo e caricare un certificato attendibile

  8. Seleziona Avanti.

  9. In Assegnazioni selezionare l'utente o i gruppi che devono ricevere il profilo. Per altre informazioni sull'assegnazione di profili, vedere Assegnare profili utente e dispositivo.

    Seleziona Avanti.

  10. (Si applica solo a Windows 10/11) Nelle regole di applicabilità specificare le regole di applicabilità per perfezionare l'assegnazione di questo profilo. È possibile scegliere di assegnare o meno il profilo in base all'edizione o alla versione del sistema operativo di un dispositivo.

    Per altre informazioni, vedere Regole di applicabilità in Creare un profilo di dispositivo in Microsoft Intune.

  11. In Rivedi e crea rivedere le impostazioni. Quando si seleziona Crea, le modifiche vengono salvate e il profilo viene assegnato. Il criterio viene visualizzato anche nell'elenco dei profili.

Passaggi successivi

Creare profili certificato: