衍生憑證是美國國家標準與技術研究院(NIST) (NIST) 指引的衍生個人身份驗證指引 (PIV) 憑證的實作,作為特別出版物 (SP) 800-157的一部分, (連結會在 nvlpubs.nist.gov) 開啟 .pdf 檔案。
需要使用智慧卡進行認證或加密與簽章的組織,可以使用 Intune 為行動裝置配置由使用者智慧卡衍生的憑證。 該憑證稱為 衍生認證。 Intune 支援多個衍生憑證發行機構,但每個租戶僅使用一個憑證發行者。
關於 Intune 的實作
若要使用 Intune 衍生憑證,Intune 管理員必須將租戶設定為與支援的衍生憑證發行者合作。 你不需要在衍生憑證發行者的系統中設定任何 Intune 專屬的設定。
Intune 管理員指定 Derived 憑證作為以下物件的認證方法:
針對 Android 企業級全管理裝置:
- 常見的配置型態,如 Wi-Fi
- 應用程式驗證
針對 iOS/iPadOS:
- 常見的設定檔類型如 Wi-Fi、VPN 和 Email,包含 iOS/iPadOS 原生郵件應用程式
- 應用程式驗證
- S/MIME 簽名與加密
Windows:
- 常見的設定檔類型如 Wi-Fi 和 VPN
注意事項
目前,作為 VPN 設定檔驗證方法的衍生憑證在 Windows 裝置上並未如預期運作。 此行為僅影響 Windows 裝置的 VPN 設定檔,未來版本會修正, (尚未有) 。
對於 Android 和 iOS/iPadOS,使用者透過電腦上的智慧卡向衍生憑證發行機構進行認證,取得衍生憑證。 發卡機構接著會向行動裝置發出一張憑證,該憑證是從其智慧卡衍生出來的。 對於 Windows,使用者會從衍生的憑證提供者安裝一個應用程式,將憑證安裝到裝置上以便日後使用。 a
裝置收到衍生憑證後,該憑證用於認證,以及當應用程式或資源存取設定檔需要該衍生憑證時,用於 S/MIME 簽署與加密。
必要條件
在設定租戶使用衍生憑證前,請先檢視以下資訊。
裝置平台需求
Intune 支援以下平台上的衍生憑證:
- Android Enterprise 企業擁有的全託管 (COBO) - 版本 7.0 及以上
- Android 企業擁有的工作設定檔 (COPE)
- iOS/iPadOS
- Windows
支援發行商
Intune 支援每個租戶使用單一衍生憑證發行者。 以下發行商受支援:
關於使用不同發卡機構的重要細節,請參閱該發卡機構的指引。 欲了解更多資訊,請參閱本文中的 「衍生憑證計畫 」。
必備應用程式
計畫將相關面向使用者的應用程式部署到註冊衍生憑證的裝置上。 裝置使用者會使用該應用程式開始憑證註冊流程。
- iOS 裝置使用公司入口網站應用程式。 請參閱將 iOS 商店應用程式加入 Microsoft Intune。
- Android 企業版全託管及 Corporate-Owned 工作設定檔裝置使用 Intune 應用程式。 請參見將 Android 商店應用程式加入 Microsoft Intune。
衍生憑證的規劃
在為 Android 和 iOS/iPadOS 設定衍生憑證發行者之前,請了解以下考量事項。
關於 Windows 裝置,請參見本文後面的 Windows 衍生憑證。
1 - 檢視您所選衍生憑證發行機構的文件
在設定發行者之前,請先閱讀該發行者的文件,了解其系統如何將衍生憑證傳遞給裝置。
依你選擇的發行機構不同,你可能需要工作人員在登記時隨時待命,協助使用者完成流程。 同時檢查你目前的 Intune 設定,確保它們沒有阻擋裝置或使用者完成憑證請求所需的存取。
例如,你可以使用條件存取來阻擋不合規裝置的電子郵件存取。 如果你依賴電子郵件通知通知使用者開始衍生憑證註冊流程,使用者可能要遵守政策後才會收到這些指示。
同樣地,有些衍生憑證請求工作流程需要使用裝置攝影機掃描螢幕上的 QR 碼。 此程式碼將該裝置與針對衍生憑證發行機構的認證請求連結,該請求使用使用者的智慧卡憑證憑證。 如果裝置設定政策阻擋攝影機使用,使用者就無法完成衍生出的憑證註冊請求。
一般資訊:
你一次只能設定每個租戶的發行者,且該發行者對租戶中所有使用者及支援裝置開放。
用戶不會被通知必須註冊衍生憑證,除非你針對他們設置要求衍生憑證的政策。
通知可以透過公司入口網站的應用程式通知、電子郵件,或兩者兼有。 如果你選擇使用電子郵件通知並啟用條件存取,若裝置不合規,使用者可能無法收到電子郵件通知。
重要事項
為了確保最終使用者能成功接收與裝置憑證相關的通知,你應該啟用公司入口網站的應用程式通知、電子郵件通知,或兩者兼有。
2 - 檢視您所選發行者的最終使用者工作流程
以下是每位被支持伴侶需要考慮的重要事項。 熟悉這些資訊,確保你的 Intune 政策與設定不會阻擋使用者和裝置成功完成該發行機構衍生憑證的註冊。
DISA 純種犬
檢視你將使用衍生憑證的裝置平台專用的使用者工作流程。
- iOS 與 iPadOS
- Android 企業版 - 企業擁有的工作設定檔 或 完全管理裝置
主要要求包括:
使用者需要使用電腦或自助服務台,使用智慧卡向發卡機構進行認證。
iOS 和 iPadOS 裝置若要註冊衍生憑證,必須安裝 Intune 公司入口網站應用程式。 Android 完全管理及 Corporate-Owned 工作設定檔裝置必須安裝並使用 Intune 應用程式。
使用 Intune 將 DISA Purebred 應用程式部署到會註冊衍生憑證的裝置上。 此應用程式必須透過 Intune 部署,才能被管理,並能與 Intune 公司入口網站應用程式或 Intune 應用程式協同運作,裝置使用者會使用這些應用程式完成衍生憑證請求。
要從 Purebred 應用程式取得衍生憑證,裝置必須能存取本地網路。 存取方式可能是透過企業 Wi-Fi 或 VPN。
裝置使用者在註冊過程中必須與真人客服人員合作。 在註冊過程中,使用者會獲得限時一次性密碼,隨著他們繼續進行註冊流程。
當使用衍生憑證的政策變更時,例如建立新的 Wi-Fi 設定檔,iOS 和 iPadOS 用戶會收到通知開啟 公司入口網站 應用程式。
用戶在需要更新衍生憑證時會收到通知,需開啟相關應用程式。
續約流程如下:
- 衍生憑證發行者需在先前憑證有效期80%之前,先發出新的或更新的憑證。
- 裝置會在續約期間辦理 (有效期最後20%的回報) 。
- Microsoft Intune 會透過電子郵件或應用程式通知通知使用者啟動公司入口網站。
- 使用者啟動公司入口網站並點擊衍生憑證通知,然後衍生憑證憑證會被複製到裝置上。
關於取得及設定 DISA 純種應用程式的資訊,請參閱本文後面 的「部署 DISA 純種應用程式 」。
託
檢視你將使用衍生憑證的裝置平台專用的使用者工作流程。
- iOS 與 iPadOS
- Android 企業版- 企業擁有的工作設定檔 或 完全管理裝置
主要要求包括:
使用者需要使用電腦或自助服務台,使用智慧卡向發卡機構進行認證。
iOS 和 iPadOS 裝置若要註冊衍生憑證,必須安裝 Intune 公司入口網站應用程式。 Android 完全管理及 Corporate-Owned 工作設定檔裝置必須安裝並使用 Intune 應用程式。
利用裝置攝影機掃描 QR 碼,將驗證請求與行動裝置衍生的憑證請求連結起來。
使用者會透過公司入口網站應用程式或電子郵件被提示註冊衍生憑證。
當對使用衍生憑證的政策進行變更,例如建立新的 Wi-Fi 設定檔:
- iOS 與 iPadOS - 用戶會收到通知開啟公司入口網站應用程式。
- Android 企業擁有的工作設定檔或完全管理裝置——公司入口網站應用程式不需要開啟。
用戶在需要更新衍生憑證時會收到通知,需開啟相關應用程式。
續約流程如下:
- 衍生憑證發行者需在先前憑證有效期80%之前,先發出新的或更新的憑證。
- 裝置會在續約期間辦理 (有效期最後20%的回報) 。
- Microsoft Intune 會透過電子郵件或應用程式通知通知使用者啟動公司入口網站。
- 使用者啟動公司入口網站並點擊衍生憑證通知,然後衍生憑證憑證會被複製到裝置
調解
檢視你將使用衍生憑證的裝置平台專用的使用者工作流程。
- iOS 與 iPadOS
- Android 企業版 - 企業擁有的工作設定檔 或 完全管理裝置
主要要求包括:
使用者需要使用電腦或自助服務台,使用智慧卡向發卡機構進行認證。
iOS 和 iPadOS 裝置若要註冊衍生憑證,必須安裝 Intune 公司入口網站應用程式。 Android 完全管理及 Corporate-Owned 工作設定檔裝置必須安裝並使用 Intune 應用程式。
利用裝置攝影機掃描 QR 碼,將驗證請求與行動裝置衍生的憑證請求連結起來。
使用者會透過公司入口網站應用程式或電子郵件被提示註冊衍生憑證。
當對使用衍生憑證的政策進行變更,例如建立新的 Wi-Fi 設定檔:
- iOS 與 iPadOS - 用戶會收到通知開啟公司入口網站應用程式。
- Android 企業擁有的工作設定檔或完全管理裝置——公司入口網站應用程式不需要開啟。
用戶在需要更新衍生憑證時會收到通知,需開啟相關應用程式。
續約流程如下:
- 衍生憑證發行者需在先前憑證有效期80%之前,先發出新的或更新的憑證。
- 裝置會在續約期間辦理 (有效期最後20%的回報) 。
- Microsoft Intune 會透過電子郵件或應用程式通知通知使用者啟動公司入口網站。
- 使用者啟動公司入口網站並點擊衍生憑證通知,然後衍生憑證憑證會被複製到裝置
3 - 向裝置部署受信任的根憑證
受信任的根憑證與衍生憑證一起使用,用以驗證衍生憑證憑證鏈的有效性與可信性。 即使政策未直接引用,仍需受信任的根憑證。 請參閱在 Microsoft Intune 中為你的裝置設定憑證設定檔。
4 - 提供最終使用者如何取得衍生憑證的指示
為使用者建立並提供指引,說明如何啟動衍生憑證註冊流程,並引導您熟悉所選發卡機構的衍生憑證註冊工作流程。
我們建議您提供一個能承載指引的網址。 你在設定租戶的衍生憑證發行者時指定這個 URL,該 URL 會從公司入口網站應用程式中提供。 如果你沒有指定自己的網址,Intune 會提供一個通用資訊的連結。 這些細節無法涵蓋所有情況,也不一定適用於你的環境。
5 - 部署需要衍生憑證的 Intune 政策
建立新政策或編輯現有政策以使用衍生憑證。 衍生憑證取代以下物件的其他認證方法:
- 應用程式驗證
- Wi-Fi
- VPN
- Email (iOS)
- S/MIME 簽名與加密,包括 Outlook (iOS)
避免要求使用衍生憑證才能存取你將作為取得衍生憑證流程一部分的程序,因為這可能會阻止使用者完成請求。
建立衍生憑證發行機構
在建立需要使用衍生憑證的政策之前,先在 Microsoft Intune 管理中心設置憑證發行器。 衍生憑證發行者是租戶範圍的設定。 租戶一次只支援單一發行機構。
選擇 租戶管理>、連接器與令牌、>衍生憑證。
為衍生憑證發行者政策指定一個友善 的顯示名稱 。 這個名稱不會顯示給你的裝置使用者。
對於 衍生憑證發行者,請選擇您為租戶選擇的衍生憑證發行者:
- DISA 純種 (僅限 iOS)
- 託
- 調解
指定 一個衍生憑證幫助網址 ,提供一個連結到包含自訂指引的地點,幫助使用者取得組織的衍生憑證。 這些說明應該針對你的組織以及取得你所選發行機構憑證所需的工作流程來具體說明。 該連結會出現在公司入口網站應用程式中,應該可以從裝置上存取。
如果你沒有指定自己的網址,Intune 會提供一個通用細節連結,無法涵蓋所有情況。 這種通用的指引可能不適用於你的環境。
選擇一個或多個 通知類型選項。 通知類型是你用來通知使用者以下情境的方法:
- 向發行機構註冊裝置以取得新的衍生憑證。
- 當現有的憑證快到期時,再申請新的衍生憑證。
- 使用帶有 支援物件的衍生憑證。
準備好後,選擇 儲存 以完成衍生憑證發行者的設定。
儲存設定後,你可以更改所有欄位,唯獨不更改 衍生憑證發行者。 要更改發行者,請參見 「變更衍生憑證發行者」。
部署 DISA 純種應用程式
此條款僅適用於使用 DISA 純種犬時。
若要使用 DISA Purebred 作為 Intune 的衍生憑證發行者,您必須先取得 DISA Purebred 應用程式,然後使用 Intune 部署該應用程式至裝置。 接著,使用者可透過 iOS/iPadOS 裝置上的公司入口網站應用程式,或 Android 裝置上的 Intune 應用程式,向 DISA Pure 申請導出的憑證。
除了在 Intune 部署 DISA Purebred 應用程式外,裝置還必須能存取本地網路。 為了提供這種存取,建議使用 VPN 或企業 Wi-Fi。
請完成以下任務:
下載 DISA 純種犬應用程式: https://cyber.mil/pki-pke/purebred/.
在 Intune 中部署 DISA Purebred 應用程式。
純種應用程式可能需要額外設定。 請與您的純種代理商聯繫,了解哪些數值應包含在您的保單中,或者如果您有國防部核發的通用通行卡 (CAC) 可線上查閱純種犬相關文件 https://cyber.mil/pki-pke/purebred/.
如果您選擇為 DISA Purebred 應用程式使用每個應用程式的 VPN,請參閱 建立每個應用程式的 VPN。
使用衍生憑證進行認證及 S/MIME 簽名與加密
您可以為以下設定檔類型及目的指定 衍生憑證 :
Email:
VPN:
Wi-Fi:
對於 Wi-Fi 設定檔,認證 方法 僅在 EAP 類型 設為以下值之一時可用:
- EAP – TLS
- EAP-TTLS
- PEAP
使用衍生憑證來進行應用程式認證
使用衍生憑證來進行網站與應用程式的憑證驗證。 要提供用於應用程式驗證的衍生憑證:
在政策標籤中選擇「裝置>管理裝置>設定>」,選擇 + 建立。
使用下列設定:
iOS 與 iPadOS 版本:
- 為了 平台。 選擇 iOS/iPadOS,然後在 設定檔類型中選擇 範本 > 衍生憑證。 選擇 「建立 」以繼續。
- 在 「姓名」中,輸入一個描述性個人資料名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,一個不錯的設定檔名稱是 iOS 裝置的衍生憑證設定檔。
- 在 描述中,請輸入描述,概述設定及其他重要細節。
針對 Android 企業版:
- 為了 平台。 選擇 Android 企業,然後在「完全管理」、「專用」和「Corporate-Owned 工作設定檔」中,選擇「衍生憑證」。 選擇 「建立 」以繼續。
- 在 「姓名」中,輸入一個描述性個人資料名稱。 為您的設定檔命名,以方便之後能夠輕鬆識別。 例如,一個不錯的設定檔名稱是 Derived credential for Android Enterprise裝置設定檔。
- 在 描述中,請輸入描述,概述設定及其他重要細節。
- 在 應用程式 頁面,設定 憑證存取 權以管理憑證存取權如何授予應用程式。 可選擇:
- 預設 (要求使用者批准應用程式) – 使用者必須核准所有應用程式使用憑證。
- 對特定應用程式默默授權 (其他應用程式需使用者核准) – 使用此選項,選擇 新增應用程式,然後選擇一個或多個能無使用者互動自動使用憑證的應用程式。
在 分配 頁面,選擇應該接收該政策的群組。
完成後,選擇建立以建立 Intune 個人檔案。 完成後,你的設定檔會顯示在 裝置 - 設定設定檔 清單中。
使用者會根據你設定衍生憑證發行者時指定的設定,收到應用程式或電子郵件通知。 通知通知使用者啟動公司入口網站,以便處理衍生的憑證政策。
Windows 衍生憑證
你可以用衍生憑證作為 Windows 裝置上 Wi-Fi 和 VPN 設定檔的認證方法。 Android 與 iOS/iPadOS 裝置所支援的供應商同時也支援 Windows 的供應商:
- DISA 純種犬
- 託
- 調解
注意事項
目前,作為 VPN 設定檔驗證方法的衍生憑證在 Windows 裝置上並未如預期運作。 此行為僅影響 Windows 裝置上的 VPN 設定檔,未來版本會修正, (尚未) 。
在 Windows 上,使用者不需要透過智慧卡註冊流程來取得憑證作為衍生憑證。 使用者需要安裝 Windows 應用程式,該應用程式可從衍生憑證提供者取得。 要在 Windows 中使用衍生憑證,請完成以下設定:
在 Windows 裝置上安裝 Derived Credential 提供者的應用程式。
當你在 Windows 裝置上安裝衍生憑證提供者的 Windows 應用程式時,該衍生憑證會被加入該裝置的 Windows 憑證儲存庫。 憑證加入裝置後,即可使用衍生的憑證認證方法。
當你從所選的供應商取得應用程式後,該應用程式可以部署給使用者,或由裝置使用者直接安裝。
設定 Wi-Fi 和 VPN 設定檔,讓其使用衍生憑證作為認證方式。
在設定 Windows 設定檔以支援 Wi-Fi 或 VPN 時,請選擇 「衍生憑證 」作為 認證方法。 透過此設定,設定檔使用安裝在提供者應用程式時安裝於裝置上的憑證。
更新衍生憑證
Android 或 iOS/iPadOS 裝置的衍生憑證無法擴充或續期。 使用者必須使用憑證請求流程,為其裝置申請新的衍生憑證。 對於 Windows 裝置,請參考你衍生的憑證提供者所提供應用程式的文件。
如果您設定一種或多種通知類型的方法,Intune 會在目前衍生憑證達到其壽命 80% 時自動通知使用者。 通知指示使用者透過憑證申請流程取得新的衍生憑證。
當裝置收到新的衍生憑證後,使用衍生憑證的政策會重新部署到該裝置。
更改衍生憑證發行者
在租戶層級,你可以更換憑證發行者,但同一時間只有一個發卡機構由租戶支援。
更改發行機構後,使用者會被提示從新發行機構取得新的衍生憑證。 他們必須先完成,才能使用衍生憑證進行認證。
為你的租戶更換發行機構
重要事項
如果你刪除某個發行者並立即重新設定該發行者,你仍然必須更新設定檔和裝置,以使用該發行者的衍生憑證。 在你刪除發行機構之前取得的衍生憑證已經不再有效。
- 登入 Microsoft Intune 系統管理中心。
- 選擇 租戶管理>、連接器與令牌、>衍生憑證。
- 選擇 刪除 以移除目前衍生的憑證發行者。
- 設定新的發行機構。
更新使用衍生憑證的設定檔
刪除發卡機構後再新增一個,編輯每個使用衍生憑證的設定檔。 即使你恢復了之前的發行機構,這條規則仍然適用。 任何對個人檔案的編輯都會觸發更新,包括對個人資料 描述的簡單編輯。
更新裝置上的衍生憑證
當你刪除一個發行者並新增一個發卡機構後,裝置使用者必須申請新的衍生憑證。 即使你新增了你移除的同一家發卡機構,這條規則仍然適用。 申請新衍生憑證的流程與註冊新裝置或更新現有憑證相同。