添加 Intune 设备管理器

在线编辑

将 Microsoft™ Intune 配置为您的设备管理器。

准备工作

  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录管理控制台 IBM® Verify
注意: 每个需要 mTLS 身份验证的租户必须拥有
  • 已配置一个虚名主机名。 请参阅 “获取自定义主机名 ”。
  • 已将租户的根证书和中间CA证书上传至边缘基础设施(Akamai),用于自定义主机名。
设备使用其客户端证书直接向租户的自定义主机名进行身份验证。 使用了以下端点。
  • 身份验证: https://{vanity-hostname}/v1.0/mdm/mtls
  • SCEP 运营: https://{vanity-hostname}/v1.0/mdm/scep

关于此任务

支持的操作系统
  • Windows 8.1 和更高版本
  • MacOS 10.13 和更高版本
信任模型
Verify 作为 SCEP 证书颁发机构 (CA) 运行,并向已注册的设备颁发客户端证书。 您所配置的根证书、中间证书和 SCEP 证书配置文件将启用此证书签发流程。

对于双向 TLS 身份验证( mTLS ),当设备尝试进行身份验证时,它会向 Verify 提交其客户端证书。 该证书将通过 Verify CA 进行验证,以建立加密信任并验证设备身份。

证书验证成功后,Verify 将使用配置的权限查询 Microsoft Graph API,从 Intune 获取实时设备状态和合规性信息。 这些核心合规信息包括:
  • 设备合规状态(合规/不合规/未知)。 当设备在 Intune 中不再符合合规要求时,证书本身不会被自动吊销。 每次用户和设备信息的缓存超时后, IBM Verify 都会向 Microsoft Graph API 发起查询,以从 Intune 获取当前的设备合规状态。 如果租户使用基于策略的访问控制,则会根据在 IBM Verify 中配置的访问策略来评估该 complianceState 属性(以及其他设备属性)。 这些策略决定了是否要
    • 允许访问(如果策略允许不符合要求的设备)。
    • 需要额外身份验证(增强型身份验证)。
    • 拒绝访问(如果策略要求仅允许符合要求的设备)。
    应用程序可通过配置访问策略来定义合规要求。 成功注册后,Verify 会检索包括 complianceState 在内的设备属性并将其存储。 设备属性会在缓存中保留一段时间,该时间由缓存超时时间决定;缓存过期后,系统将从 Intune 重新获取这些信息。
    注意: 如果必须永久屏蔽不符合要求的设备,请将其从 IBM Verify 中删除,此操作也会撤销其证书。 这不会自动从受管客户端设备中移除已撤销的证书。
  • 设备管理状态(受管/不受管) 以下设备属性可用于访问策略评估。
    • 新设备
    • 设备平台
    • 设备合规性
所有这些属性均可用于访问策略的决策。 请参阅 “管理访问策略 ”。
注意: 如果设备遭到入侵,请在 IBM Verify 上删除该设备,这将立即触发证书撤销流程。 与该设备关联的所有证书均被立即吊销。 该设备无法再进行身份验证,即使它仍然拥有证书文件。
SCEP 服务器要求

无需外部 SCEP 基础设施。 SCEP 服务器功能已集成到 mdm-broker 服务中,并处理所有标准的 SCEP 操作:

  • GetCACaps - 返回 CA 功能
  • GetCACert - 返回 CA 证书链
  • PKIOperation - 处理证书注册和续期请求

IBM Verify 提供了一个集成的SCEP服务器和证书颁发机构(CA)。 受管设备通过标准 SCEP 协议(PKIOperation)向 Verify SCEP 端点提交证书签名请求(CSR)。 Verify 同时充当 SCEP 服务器和签发 CA,根据配置的 SCEP 配置文件处理这些请求并签发签名的客户端证书。

SCEP证书的整个生命周期——包括生成、签名、存储和续期——均由Verify内部处理。

注意: 如果您使用的是 MacOS 版 Safari,可能会遇到以下问题:系统不会提示您输入由 Intune 设备管理器签发的客户端证书。 要解决此问题,必须配置 MacOS 密钥链身份首选项。
  1. 在您的 Mac 系统上,请打开 “钥匙串访问”
  2. 为客户机证书添加身份首选项。
  3. 将身份首选项位置设置为租户认证 URL +(空格)+ (com.apple.Safari)。 例如,https://{tenant_vanity_hostname}/usc
身份验证偏好设置现已位于 “钥匙串访问” > “登录 ”> “所有项目 ”中,且证书提示功能已正常工作。

过程

  1. 选择 “身份验证 ”> “设备管理器 ”。
  2. 选择 “添加设备管理器 ”。
  3. 选择您要设置的设备管理器类型
  4. 选择 “下一步”
  5. “常规设置 ”页面中,请填写以下信息。
    • 在相应字段中输入设备管理器的名称
    • 从菜单中选择身份提供商
    • 从菜单中选择信托类型。 在选择设备信任时,用户需要使用其已配置的第一因素身份验证机制进行登录。 设备信任功能为现有的身份验证会话提供受管设备属性。
      注: 可应要求启用 “分离设备与用户身份验证 ”功能( CI-114829 )。 如需申请此功能,请联系您的 IBM 销售代表或 IBM 联系人,并表明您希望启用此功能的意愿。 如果您有权限,请提交支持工单。 IBM Verify 试用订阅用户无法创建支持工单。
    • 选择是否为用户帐户启用即时供应。
      注意: 用户账户的“及时(JIT)”配置仅适用于 “用户和设备信任 ”选项。
    • 选择客户端证书的有效期设备管理器可配置为签发有效期为90天、180天、365天或3年的证书。 默认情况下,选择范围为3年。 组织可以选择符合其安全政策和合规要求的有效期。 较短的有效期可以缩短证书遭泄露时的风险暴露时间,而较长的有效期则能减少续期操作的频率。
    • 指定每个设备的最大证书数量。 当证书的剩余有效期低于 SCEP 配置文件中设置的续期阈值时,设备将自动处理证书续期。 该设备会自动发起续订请求。 续订流程对最终用户而言是透明的,且无需人工干预。 证书成功续期后,旧证书将自动失效。
      Verify 在多种场景下实现了全面的证书撤销功能。
      • 证书更新
      • 从 Verify 中删除设备
      • 从Verify中删除用户
      • 证书到期
    • 指定用户和设备信息的保留分钟数。
  6. 选择 “下一步”
  7. API 凭据页面中,请在 Azure Active Directory 输入您应用程序的 API 详细信息。
    • 如果您已经有该应用程序,请选择仅表单
      1. 提供应用程序标识、私钥和租户名称。
      2. 从预定义的属性列表中选择 Unique user identifier ,或选择 “自定义规则 ”以指定属性映射。 如果您选择使用自定义规则,可以添加自定义属性及规则。 请输入用于计算属性值的规则。 例如,
        requestContext.email[0].split('@')[0]
        注意: 自定义规则的选择不适用于 “设备信任 ”。 不过,您可以在相应的字段中输入相应的属性。
      3. 选择测试凭证以验证您的凭证。
      4. 选择 “下一步”
    • 如果要创建应用程序,请选择显示步骤并遵循指示信息进行操作。
      1. 在 Azure 门户中,访问 AzureActive Directory > 应用注册 ,然后选择 “新建注册 ”。
      2. 在“注册应用程序”页面上,指定以下详细信息。
        名称
        请输入一个有意义的应用程序名称,例如“ IBM Verify ”。
        受支持的帐户类型
        在任何组织目录中选择帐户
        重定向 URI
        注意:应用注册配置过程中, 重定向 URI 可以留空。
      3. 选择寄存器
      4. 从“应用程序概述”页面,复制应用程序(客户机)标识值并粘贴在输入应用程序标识字段中。
      5. 在应用的导航页面中,点击 “管理 ”下的 “证书和密钥 ”,然后选择 “新建客户端密钥 ”。
      6. 输入描述,为到期选择任何选项,然后单击添加
      7. 将客户机私钥粘贴到输入应用程序私钥字段中。
      8. “租户名称 ”字段中,请输入您的 Microsoft Entra ID 租户名称。
      9. 请选择或输入一个唯一的用户标识符属性。
      10. 在应用的导航页面中,点击 “管理 ”,选择 “API 权限 ”,然后选择 “添加权限”。
      11. 选择 “Intune ”,然后选择 “应用程序权限 ”。 选中 scep_challenge-provider 的复选框。
      12. 选择添加许可权
      13. 在应用程序的导航窗格中,在 管理下选择 API 许可权,然后选择 添加许可权。
      14. 选择 “Microsoft Graph ”,然后选择 “应用程序权限 ”。
      15. 选中“ DeviceManagementManagedDevices ”复选框。 Read.All、 User.Read.AllApplication.Read.All
      16. 选择添加许可权
      17. 选择授予 Microsoft 管理员同意,然后选择
      18. 选择测试凭证以验证您的凭证。
        “测试凭据”按钮用于验证
        • 凭证格式正确。
        • 客户端 ID 和客户端密钥有效。
        • 可以访问 Microsoft Entra ID。
        • 可从微软获取 OAuth 访问令牌。
        它不测试:
        • DeviceManagementManagedDevices.Read.AllAPI 权限(例如,)
        • 能够从 Microsoft Graph 读取用户 /dev 的信息
        • 与 Microsoft Graph API 端点的网络连接
        • 租户配置完整性
        测试通过:
        • https://login.microsoftonline.com/{tenant}/oauth2/v2.0/tokenOAuth 已成功从...获取访问令牌。
        注意: 凭证测试成功并不保证集成能够正常工作。 该测试仅验证身份验证,不验证 API 权限或数据访问权限。 完整的验证需要进行实际设备注册测试。
        测试失败:
        • HTTP 返回了400状态码,错误信息如下:Connection to MicrosoftIntune failed.
        • 常见原因包括客户端 ID 或密钥无效、租户名称错误、网络问题或凭据已过期。
        有关 的故障诊断
        • 检查 HTTP 响应 :成功时返回 SCEP URL;失败时返回错误信息。
        • 验证 Azure 配置 :在 Azure 门户中检查客户端ID、密钥和租户名称。
        • 确认 API 权限 :确保已通过管理员同意授予所需的 Microsoft Graph 权限。
        • 端到端测试 :尝试实际设备注册,以验证整体集成是否正常。
      19. 选择 “下一步”
  8. (在选择“用户和设备信任”时打开)或 设备属性 (在选择“设备信任”时打开)在该 用户属性 页面上,将设备管理器属性映射到 IBM Verify 属性。
    注意: 属性名不区分大小写,且不允许存在重复的属性。
    1. 选择“设备管理器”属性。
      可用于映射的 Intune 设备管理器属性是 Microsoft Graph API 端点返回的属性:
      • /deviceManagement/managedDevices
      • /users/{userId}
      • 微软在 “用户资源类型 ”中对 Intune 用户属性进行了说明。 从 “本文 ”菜单中选择 “属性”
      • 微软在 managedDevice 资源类型 页面中对 Intune 设备属性进行了说明。 从 “本文 ”菜单中选择 “属性”
      注意: 要将设备属性映射到 Verify,该属性名称前需添加字符串 mdmDevice::。 例如,如果你想将设备属性 complianceState 映射到“Verify”,你需要将其写为
      mdmDevice::complianceState

      用户属性无需添加前缀。

      来自单个已注册设备的设备属性(如 mdmDevice::complianceState 地图)。 在多设备场景下,该值可能会不一致。 仅当预期用户仅限使用单一设备时,才将设备属性映射到 Verify 中。

    2. 可选: 从菜单中选择一个变换。
    3. 必填: 选择您要映射到的属性 Verify
    4. 选择您希望如何在用户概要文件中存储属性。
  9. 可选: 点击 “添加属性 ”。
    如果您选择使用自定义规则,可以一次添加一个自定义属性并创建一条规则。 请输入用于计算属性值的规则。 例如,
    idsuser.email[0].split('@')[0]
    点击 “运行测试 ”以确保该规则正常工作。
  10. 选择 “保存并继续 ”。
    已保存设备管理器。
  11. 创建根证书概要文件。
    请遵循提供的指示信息进行操作。
    1. 请下载以下提供的根证书 .zip 和配置文件。
    2. 登录 Microsoft Endpoint Manager,然后打开 “设备 ”> “配置文件”
    3. 要创建根证书配置文件,请选择 “创建配置文件 ”,并选择以下设置:
      平台
      选择相应的平台。
      概要文件
      受信任的证书
    4. 选择 “创建”
    5. 为根证书配置文件命名,例如 WIN10_RootCA_Cert ,然后单击 “下一步 ”。
    6. 上传在步骤 1 中下载的根证书配置文件,将目标存储设置为 “计算机证书存储 - 根 ”,然后单击 “下一步 ”。
    7. 将“分配给 ”设置为您要进行测试的用户或组,然后点击 “下一步 ”。
    8. 选择 “创建”
    9. 针对中间证书,重复步骤 2-8。
  12. 选择 “下一步”
  13. SCEP 证书配置文件页面中,请在 Azure Active Directory 处输入您应用程序的 API 详细信息。

    • 如果您已经有 SCEP 证书配置文件,请选择仅值
      1. 提供主题和 SCEP URL。
      2. 选择 “下一步”
    • 如果要创建 SCEP 证书配置文件,请选择显示步骤并遵循指示信息进行操作。
      1. 要创建 SCEP 证书概要文件,请选择 创建概要文件 并选择以下设置:
        平台
        选择相应的平台。
        概要文件
        TrustedSCEP 证书
      2. 选择 “创建”
      3. 命名根证书概要文件,例如 WIN10_RootCA_Cert,然后选择 下一步
      4. 使用以下配置设置:
        证书类型
        用户。
        主题名称格式
        定制。
        定制
        自动生成的 CN。
        主题备用名称
        用户主体名称 (UPN)。
        证书有效期
        1 年。
        密钥存储提供者 (KSP)
        如果可用,请注册到可信平台模块 (TPM) KSP,否则注册到软件 KSP
        密钥用途
        密钥加密,数字签名。
        密钥大小(位)
        2048。
        散列算法
        SHA-2.
        根证书
        选择您在 11 步中创建并命名的根证书配置文件。
        扩展密钥用途
        “预定义值 ”菜单中选择 “客户端身份验证 ”。
        更新阈值
        20.
        SCEP 服务器 URL
        自动生成的 URL。
      5. 选择 下一步 然后分配要测试连接的任何用户或组。
      6. 选择 “创建”
      7. 选择 “下一步”
  14. 设置 MDM 作用域。
    请遵循指示信息进行操作。
    1. 在 Microsoft Endpoint Manager 管理中心,选择 “所有服务” > M365 Azure Active Directory > Azure Active Directory > “移动性(MDM 和 MAM)”
    2. 选择 “Microsoft Intune ”以配置 Intune。
    3. 从 MDM 用户范围中选择 “部分用户”, 以便使用 MDM 自动注册功能来管理员工 Windows™ 设备上的企业数据。
      已为加入 AAD 的设备和自带设备(BYOD)场景配置了 MDM 自动注册功能。
    4. 选择 “选择组 ” > “已选组/用户 ” > “选定为分配组 ”。
    5. 从“MAM 用户”范围中选择 “部分用户”, 以管理员工设备上的数据。
    6. 选择 “选择组 ” > “选择组/用户 ” > “选定为指定组 ”。
    7. 对于其余配置值,使用缺省值。
    8. 选择 “保存 ”。
  15. 选择 “下一步”
  16. 测试配置。
    请遵循指示信息进行操作。
  17. 选择 “完成设置 ”。
    1. 复查设置。
    2. 选择 “保存更改 ”。