将 Microsoft™ Intune 配置为您的设备管理器。
准备工作
注: 现在不推荐使用设备管理器的 mtlsidaas 全局租户,将在 2024 年 3 月之后移除。 前往
获取自定义主机名页面申请自定义域名。 有关更多信息,请参
阅添加设备管理器。
- 您必须具有管理许可权,才能完成此任务。
- 以管理员身份登录到 IBM Verify 管理控制台。
关于此任务
- 支持的操作系统
- Windows 8.1 和更高版本
- MacOS 10.13 和更高版本
注: 如果您正在使用 MacOS Safari ,那么可能会迂到未提示您输入 Intune 设备管理器发放的客户机证书的问题。 要解决此问题,必须配置 MacOS 密钥链身份首选项。
- 在 Mac 系统上,转至 Keychain Access。
- 为客户机证书添加身份首选项。
- 将身份首选项位置设置为租户认证 URL +(空格)+ (com.apple.Safari)。 例如,https://{mtls_enabled_tenant_name}/usc。
身份偏好设置现位于中,证书提示功能已正常运作。
过程
- 选择。
- 选择 添加设备管理器。
- 选择要设置的设备管理器的 类型 。
- 选择 下一步。
- 在 " 常规设置 " 页面上,提供以下信息。
- 选择 下一步。
- 在 " API 凭证 " 页面上,在 Azure Active Directory中输入应用程序的 API 详细信息。
- 如果您已经有该应用程序,请选择仅表单。
- 提供应用程序标识、私钥和租户名称。
- 从预定义的属性列表中选择
Unique user identifier ,或者选择 定制规则 以指定属性映射。 如果选择使用定制规则,那么可以添加定制属性和规则。 输入规则以计算属性值。 例如,requestContext.email[0].split('@')[0]
注意:自定义规则选择不适用于 设备信任。 不过,您可以在提供的字段中输入适当的属性。
- 选择测试凭证以验证您的凭证。
- 选择 下一步。
- 如果要创建应用程序,请选择显示步骤并遵循指示信息进行操作。
- 在 Azure 门户中,前往 ,然后选择新建注册。
- 在“注册应用程序”页面上,指定以下详细信息。
- 姓名
- 输入一个有意义的应用程序名称,例如 IBM Verify.
- 受支持的帐户类型
- 在任何组织目录中选择帐户。
- 重定向 URI
- 保留 Web 的缺省部分,然后指定第三方 SCEP 服务器的登录 URL。
- 选择寄存器。
- 从“应用程序概述”页面,复制应用程序(客户机)标识值并粘贴在输入应用程序标识字段中。
- 在应用程序的导航页面中的 管理下,选择 证书和私钥 ,然后选择 新建客户机私钥。
- 输入描述,为到期选择任何选项,然后单击添加。
- 将客户机私钥粘贴到输入应用程序私钥字段中。
- 复制租户标识(帐户中 @ 符号之后的域文本),并将其粘贴在租户名称字段中。
- 选择或输入唯一用户标识属性。
- 在应用程序的导航页面中,在 管理下,选择 API 许可权,然后选择 添加许可权 。
- 选择 Intune ,然后选择 应用程序许可权。 选中 scep_challenge-provider 的复选框。
- 选择添加许可权。
- 在应用程序的导航窗格中,在 管理下选择 API 许可权,然后选择 添加许可权。
- 选择 Microsoft Graph,然后选择 应用程序许可权。 。
- 选择 DeviceManagementManageDevices.Read.All、User.Read.All 和 Application.Read.All 的复选框。
- 选择添加许可权。
- 选择授予 Microsoft 管理员同意,然后选择是。
- 选择测试凭证以验证您的凭证。
- 选择 下一步。
- 在 用户属性 页 (在选择用户和设备信任时打开)或 设备属性 (在选择设备信任时打开) 上,将设备管理器属性映射到 IBM Verify 属性。
注: 属性名称不区分大小写,并且不允许重复的属性。
- 选择设备管理器属性。
- 可选: 从菜单中选择一种变换。
- 必填: 选择您要映射的 Verify 属性。
- 选择您希望如何在用户概要文件中存储属性。
- 可选: 点击添加属性。
如果选择使用定制规则,那么可以一次添加一个定制属性和一个规则。 输入规则以计算属性值。 例如,
idsuser.email[0].split('@')[0]
单击
运行测试 以确保规则有效。
- 选择 保存并继续。
已保存设备管理器。
- 创建根证书概要文件。
请遵循提供的指示信息进行操作。
- 下载提供的以下根证书和概要文件证书 .zip 文件。
- 登录 Microsoft Endpoint Manager,然后。
- 要创建根证书概要文件,请选择 创建概要文件 并选择以下设置:
- 选择 创建。
- 命名根证书概要文件,例如 WIN10_RootCA_Cert,然后选择 下一步。
- 上载在步骤 1 中下载的根证书概要文件,将目标库设置为 计算机证书库-根,然后选择 下一步。
- 设置 分配给 要用于测试的用户或组,然后选择 下一步。
- 选择 创建。
- 针对中间证书,重复步骤 2-8。
- 选择 下一步。
- 在 " SCEP 证书概要文件 " 页面上,在 Azure Active Directory中输入应用程序的 API 详细信息。
- 如果您已经有 SCEP 证书配置文件,请选择仅值。
- 提供主题和 SCEP URL。
- 选择 下一步。
- 如果要创建 SCEP 证书配置文件,请选择显示步骤并遵循指示信息进行操作。
- 要创建 SCEP 证书概要文件,请选择 创建概要文件 并选择以下设置:
- 平台
- 选择相应的平台。
- 概要文件
- TrustedSCEP 证书。
- 选择 创建。
- 命名根证书概要文件,例如 WIN10_RootCA_Cert,然后选择 下一步。
- 使用以下配置设置:
- 证书类型
- 用户。
- 主题名称格式
- 定制。
- 定制
- 自动生成的 CN。
- 主题备用名称
- 用户主体名称 (UPN)。
- 证书有效期
- 1 年。
- 密钥存储提供者 (KSP)
- 如果可用,请注册到可信平台模块 (TPM) KSP,否则注册到软件 KSP。
- 密钥用途
- 密钥加密,数字签名。
- 密钥大小(位)
- 2048。
- 散列算法
- SHA-2.
- 根证书
- 选择在步骤 11中创建并命名的根证书概要文件。
- 扩展密钥用途
- 从 预定义值 菜单中选择 客户机认证 。
- 更新阈值
- 20.
- SCEP 服务器 URL
- 自动生成的 URL。
- 选择 下一步 然后分配要测试连接的任何用户或组。
- 选择 创建。
- 选择 下一步。
- 设置 MDM 作用域。
请遵循指示信息进行操作。
- 在 Microsoft Endpoint Manager 管理中心中,选择 。
- 选择 Microsoft Intune 以配置 Intune。
- 从 MDM 用户范围中选择 “部分用户”, 以使用 MDM 自动注册功能管理员工 Windows™ 设备上的企业数据。
针对 AAD 连接的设备配置 MDM 自动注册,并自带设备方案。
- 选择 。
- 从 "MAM 用户" 作用域中选择 某些 以管理劳动力设备上的数据。
- 选择 。
- 对于其余配置值,使用缺省值。
- 选择 保存。
- 选择 下一步。
- 测试配置。
请遵循指示信息进行操作。
- 选择 完成设置。