添加 Intune 设备管理器

使用此任务将 Microsoft Intune 配置为您的设备管理器。

准备工作

注: 现在不推荐使用设备管理器的 mtlsidaas 全局租户,将在 2024 年 3 月之后移除。 转至 获取虚主机名 以请求虚域。 有关更多信息,请参阅 添加设备管理器
  • 您必须具有管理许可权,才能完成此任务。
  • 以管理员身份登录到 IBM Security Verify 管理控制台。

关于此任务

支持的操作系统
  • Windows 8.1 和更高版本
  • MacOS 10.13 和更高版本
注: 如果您正在使用 MacOS Safari ,那么可能会迂到未提示您输入 Intune 设备管理器发放的客户机证书的问题。 要解决此问题,必须配置 MacOS 密钥链身份首选项。
  1. 在 Mac 系统上,转至 Keychain Access
  2. 为客户机证书添加身份首选项。
  3. 将身份首选项位置设置为租户认证 URL +(空格)+ (com.apple.Safari)。 例如,https://{mtls_enabled_tenant_name}/usc
现在,可以在 密钥链访问 > 登录 > 所有项 中找到身份首选项,并且证书提示正常工作。

过程

  1. 选择 认证 > 设备管理器
  2. 选择 添加设备管理器
  3. 选择要设置的设备管理器的 类型
  4. 选择 下一步
  5. 在 " 常规设置 " 页面上,提供以下信息。
    • 在提供的字段中输入 设备管理器名称
    • 从菜单中选择 身份提供者
    • 从菜单中选择 信任类型。 对于设备信任选择,用户需要使用其配置的第一要素身份验证机制登录。 设备信任只确认身份验证是否来自受管设备。
      注: 可根据要求启用设备信任功能 CI-114829。 要申请此功能,请联系 IBM 销售代表或 IBM 联系人,并说明您对启用此功能的兴趣。 如果您有权限,请创建支持票据。 IBM Security Verify 试用订阅不能创建支持票单。
    • 选择是否为用户帐户启用即时供应。
      注意:用户帐户的即时 (JIT) 配置仅适用于用户和设备信任选择的情况。
    • 选择 客户证书有效期。 默认情况下,选择 3 年。
    • 指定每个设备的最大证书数量。
    • 指定用户和设备信息的保留分钟数。
  6. 选择 下一步
  7. 在 " API 凭证 " 页面上,在 Azure Active Directory中输入应用程序的 API 详细信息。
    • 如果您已经有该应用程序,请选择仅表单
      1. 提供应用程序标识、私钥和租户名称。
      2. 从预定义的属性列表中选择 Unique user identifier ,或者选择 定制规则 以指定属性映射。 如果选择使用定制规则,那么可以添加定制属性和规则。 输入规则以计算属性值。 例如
        requestContext.email[0].split('@')[0]
        注意:自定义规则选择不适用于 设备信任。 不过,您可以在提供的字段中输入适当的属性。
      3. 选择测试凭证以验证您的凭证。
      4. 选择 下一步
    • 如果要创建应用程序,请选择显示步骤并遵循指示信息进行操作。
      1. 在 Azure 门户中,转到 Azure Active Directory > App 注册,然后选择 New registration
      2. 在“注册应用程序”页面上,指定以下详细信息。
        名称
        输入一个有意义的应用程序名称,例如 IBM Verify.
        受支持的帐户类型
        在任何组织目录中选择帐户
        重定向 URI
        保留 Web 的缺省部分,然后指定第三方 SCEP 服务器的登录 URL。
      3. 选择寄存器
      4. 从“应用程序概述”页面,复制应用程序(客户机)标识值并粘贴在输入应用程序标识字段中。
      5. 在应用程序的导航页面中的 管理下,选择 证书和私钥 ,然后选择 新建客户机私钥
      6. 输入描述,为到期选择任何选项,然后单击添加
      7. 将客户机私钥粘贴到输入应用程序私钥字段中。
      8. 复制租户标识(帐户中 @ 符号之后的域文本),并将其粘贴在租户名称字段中。
      9. 选择或输入唯一用户标识属性。
      10. 在应用程序的导航页面中,在 管理下,选择 API 许可权,然后选择 添加许可权
      11. 选择 Intune ,然后选择 应用程序许可权。 选中 scep_challenge-provider 的复选框。
      12. 选择添加许可权
      13. 在应用程序的导航窗格中,在 管理下选择 API 许可权,然后选择 添加许可权。
      14. 选择 Microsoft Graph,然后选择 应用程序许可权。
      15. 选择 DeviceManagementManageDevices.Read.AllUser.Read.AllApplication.Read.All 的复选框。
      16. 选择添加许可权
      17. 选择授予 Microsoft 管理员同意,然后选择
      18. 选择测试凭证以验证您的凭证。
      19. 选择 下一步
  8. 用户属性(在选择用户和设备信任时打开)或 设备属性 (在选择设备信任时打开) 上,将设备管理器属性映射到 IBM Security Verify 属性。
    注: 属性名称不区分大小写,并且不允许重复的属性。
    1. 选择设备管理器属性。
    2. 可选: 从菜单中选择变换。
    3. 必需: 选择要将属性映射到的 Verify 属性。
    4. 选择您希望如何在用户概要文件中存储属性。
  9. 可选: 单击 添加属性
    如果选择使用定制规则,那么可以一次添加一个定制属性和一个规则。 输入规则以计算属性值。 例如
    idsuser.email[0].split('@')[0]
    单击 运行测试 以确保规则有效。
  10. 选择 保存并继续
    已保存设备管理器。
  11. 创建根证书概要文件。
    请遵循提供的指示信息进行操作。
    1. 下载提供的以下根证书和概要文件证书 .zip 文件。
    2. 登录 Microsoft Endpoint Manager 并打开 Devices > 配置文件.
    3. 要创建根证书概要文件,请选择 创建概要文件 并选择以下设置:
      平台
      选择相应的平台。
      概要文件
      可信证书
    4. 选择 创建
    5. 命名根证书概要文件,例如 WIN10_RootCA_Cert,然后选择 下一步
    6. 上载在步骤 1 中下载的根证书概要文件,将目标库设置为 计算机证书库-根,然后选择 下一步
    7. 设置 分配给 要用于测试的用户或组,然后选择 下一步
    8. 选择 创建
    9. 针对中间证书,重复步骤 2-8。
  12. 选择 下一步
  13. 在 " SCEP 证书概要文件 " 页面上,在 Azure Active Directory中输入应用程序的 API 详细信息。
    • 如果您已经有 SCEP 证书配置文件,请选择仅值
      1. 提供主题和 SCEP URL。
      2. 选择 下一步
    • 如果要创建 SCEP 证书配置文件,请选择显示步骤并遵循指示信息进行操作。
      1. 要创建 SCEP 证书概要文件,请选择 创建概要文件 并选择以下设置:
        平台
        选择相应的平台。
        概要文件
        TrustedSCEP 证书
      2. 选择 创建
      3. 命名根证书概要文件,例如 WIN10_RootCA_Cert,然后选择 下一步
      4. 使用以下配置设置:
        证书类型
        用户。
        主题名称格式
        定制。
        定制
        自动生成的 CN。
        主题备用名称
        用户主体名称 (UPN)。
        证书有效期
        1 年。
        密钥存储提供者 (KSP)
        如果可用,请注册到可信平台模块 (TPM) KSP,否则注册到软件 KSP
        密钥用途
        密钥加密,数字签名。
        密钥大小(位)
        2048。
        散列算法
        SHA-2.
        根证书
        选择在步骤 11中创建并命名的根证书概要文件。
        扩展密钥用途
        预定义值 菜单中选择 客户机认证
        更新阈值
        20.
        SCEP 服务器 URL
        自动生成的 URL。
      5. 选择 下一步 然后分配要测试连接的任何用户或组。
      6. 选择 创建
      7. 选择 下一步
  14. 设置 MDM 作用域。
    请遵循指示信息进行操作。
    1. 在 Microsoft Endpoint Manager 管理中心,选择 所有服务 > M365 Azure Active Directory > Azure Active Directory > 移动性(MDM 和 MAM)
    2. 选择 Microsoft Intune 以配置 Intune。
    3. 从 MDM 用户作用域中选择 某些 ,以使用 MDM 自动注册来管理员工的 Windows 设备上的企业数据。
      针对 AAD 连接的设备配置 MDM 自动注册,并自带设备方案。
    4. 选择 选择组别 > 选定群体/用户 > 选择为指定组
    5. 从 "MAM 用户" 作用域中选择 某些 以管理劳动力设备上的数据。
    6. 选择 选择组别 > 选择组/用户 > 选择为指定组
    7. 对于其余配置值,使用缺省值。
    8. 选择 保存
  15. 选择 下一步
  16. 测试配置。
    请遵循指示信息进行操作。
  17. 选择 完成设置
    1. 复查设置。
    2. 选择 保存更改