使用此作業將 Microsoft™ Intune 配置為您的裝置管理程式。
開始之前
- 您必須具有管理許可權以完成此作業。
- 以管理者身分登入
IBM® Security Verify 管理主控台。
關於此作業
- 支援的作業系統
- Windows 8.1 以及更新版本
- MacOS 10.13 及更新版本
附註: 如果您使用 MacOS Safari ,可能會遇到下列問題: 系統不會提示您輸入 Intune 裝置管理程式所發出的用戶端憑證。 若要解決此問題,您必須配置 MacOS 金鑰鏈身分喜好設定。
- 在 Mac 系統上,移至 金鑰鏈存取。
- 新增用戶端憑證的身分喜好設定。
- 將身分喜好設定位置設為租戶鑑別 URL + (空格) + (com.apple.Safari)。 例如,https://{mtls_enabled_tenant_name}/usc。
現在可以在 中找到身分喜好設定,憑證提示可以正確運作。
程序
- 選取 。
- 選取 新增裝置管理程式。
- 選取您要設定之裝置管理程式的 類型 。
- 選取 下一步。
- 在「 一般設定 」頁面上,提供下列資訊。
- 裝置管理程式的名稱。
- 從功能表中選取身分來源。
- 選取是否為使用者帳戶啟用即時佈建。
- 指定每一個裝置的憑證數上限。
- 指定將使用者及裝置資訊保留多少分鐘。
- 選取 下一步。
- 在「 API 認證 」頁面上,在 Azure Active Directory中輸入應用程式的 API 詳細資料。
- 如果您有應用程式,請選取僅限表單。
- 提供應用程式 ID、密碼及租戶名稱。
- 從預先定義的屬性清單中選取
Unique user identifier
,或選取 自訂規則 來指定屬性對映。 如果您選擇使用自訂規則,則可以新增自訂屬性及規則。 輸入用來計算屬性值的規則。 例如,requestContext.email[0].split('@')[0]
- 選取測試認證以驗證您的認證。
- 選取 下一步。
- 如果您正在建立應用程式,請選取使用步驟顯示並遵循指示。
- 在 Azure 入口網站中,移至 ,然後選取 新建登錄。
- 在「登錄應用程式」頁面上,指定下列詳細資料。
- 名稱
- 輸入有意義的應用程式名稱,例如,IBM Security Verify。
- 受支援的帳戶類型
- 在任何組織目錄中選取帳戶。
- 重新導向 URI
- 保留 Web 的預設區段,然後指定協力廠商 SCEP 伺服器的登入 URL。
- 選取登錄。
- 從「應用程式概觀」頁面中,複製應用程式(用戶端)ID 值,並在輸入應用程式 ID 欄位中貼上它。
- 在應用程式的導覽頁面中的 管理下,選取 憑證與密碼 ,然後選取 新建用戶端密碼。
- 輸入說明,選取到期的任何選項,然後按一下新增。
- 在輸入應用程式密碼欄位中貼上用戶端密碼。
- 複製「租戶 ID」(帳戶中 @ 符號之後的網域文字),並在租戶名稱欄位中貼上它。
- 在應用程式的導覽頁面的 管理下,選取 API 許可權,然後選取 新增許可權 。
- 選取 Intune ,然後選取 應用程式許可權。 選取 scep_challenge-provider 的勾選框。
- 選取新增許可權。
- 在應用程式的導覽窗格的管理下,選取 API 許可權,然後選取新增許可權。
- 選取 Microsoft Graph,然後選取 應用程式許可權。 。
- 選取 DeviceManagementManageDevices.Read.All 及 User.Read.All的勾選框。
- 選取新增許可權。
- 選取授與 Microsoft 的管理者同意,然後選取是。
- 選取測試認證以驗證您的認證。
- 選取 下一步。
- 在「 使用者內容 」頁面上,將裝置管理程式屬性對映至
IBM Security Verify 屬性。
附註: 屬性名稱不區分大小寫,且不容許重複的屬性。
- 選取裝置管理程式屬性。
- 選用項目: 從功能表中選取轉換。
- 必要: 選取您要將屬性對映至的 Verify 屬性。
- 選取要如何在使用者設定檔中儲存屬性。
- 選用項目: 按一下 新增屬性。
如果您選擇使用自訂規則,則可以一次新增一個自訂屬性及一個規則。 輸入用來計算屬性值的規則。 例如,
idsuser.email[0].split('@')[0]
按一下
執行測試 ,以確定規則可運作。
- 選取 儲存並繼續。
已儲存裝置管理程式。
- 建立主要憑證設定檔。
請遵循提供的指示。
- 下載提供的下列主要及設定檔憑證 .zip 檔案。
- 登入 Microsoft Endpoint Manager 並開啟 。
- 若要建立主要憑證設定檔,請選取 建立設定檔 ,然後選擇下列設定:
- 選取 建立。
- 命名主要憑證設定檔,例如 WIN10_RootCA_Cert,然後選取 下一步。
- 上傳您在步驟 1 中下載的主要憑證設定檔,將目的地儲存庫設為 電腦憑證儲存庫-主要,然後選取 下一步。
- 將 指派給 設為您要測試的使用者或群組,然後選取 下一步。
- 選取 建立。
- 針對中繼憑證重複步驟 2-8。
- 選取 下一步。
- 在「 SCEP 憑證設定檔 」頁面上,輸入 Azure Active Directory中應用程式的 API 詳細資料。
- 如果您已有 SCEP 憑證設定檔,請選取僅限值。
- 提供主體及 SCEP URL。
- 選取 下一步。
- 如果您正在建立 SCEP 憑證設定檔,請選取使用步驟顯示並遵循指示。
- 若要建立 SCEP 憑證設定檔,請選取建立設定檔,然後選擇下列設定:
- 平台
- 選取適當的平台。
- 設定檔
- TrustedSCEP 憑證。
- 選取建立。
- 命名主要憑證設定檔,例如 WIN10_RootCA_Cert,然後選取下一步。
- 使用下列配置設定:
- 憑證類型
- 使用者。
- 主體名稱格式
- 自訂。
- 自訂
- 自動產生的 CN。
- 主體替代名稱
- 使用者主體名稱 (UPN)。
- 憑證有效性期間
- 1 年。
- 金鑰儲存體提供者 (KSP)
- 如果可用,請登記至授信平台模組 (TPM) KSP,否則登記至軟體 KSP。
- 金鑰用法
- 金鑰加密、數位簽章。
- 金鑰大小(位元)
- 2048。
- 雜湊演算法
- SHA-2.
- 主要憑證
- 選取您在步驟 11中建立並命名的主要憑證設定檔。
- 延伸金鑰用法
- 從 預定值 功能表中選取 用戶端鑑別 。
- 續訂臨界值
- 20.
- SCEP 伺服器 URL
- 自動產生的 URL。
- 選取下一步,並指派您要測試其連線的任何使用者或群組。
- 選取建立。
- 選取 下一步。
- 設定 MDM 範圍。
遵循指示。
- 在 Microsoft Endpoint Manager 管理中心中,選擇 。
- 選取 Microsoft Intune 以配置 Intune。
- 從 MDM 使用者範圍選取 部分 ,以使用 MDM 自動登記來管理員工 Windows™ 裝置上的企業資料。
已針對 AAD 結合裝置配置 MDM 自動登記,並提供您自己的裝置實務範例。
- 選取 。
- 從「MAM 使用者」範圍中選取 部分 ,以管理人力裝置上的資料。
- 選擇 。
- 針對剩餘配置值使用預設值。
- 選取 儲存。
- 選取 下一步。
- 測試配置。
遵循指示。
- 選取 完成設定。