新增 Intune 裝置管理程式

使用此作業將 Microsoft™ Intune 配置為您的裝置管理程式。

開始之前

  • 您必須具有管理許可權以完成此作業。
  • 以管理者身分登入 IBM® Security Verify 管理主控台。

關於此作業

支援的作業系統
  • Windows 8.1 以及更新版本
  • MacOS 10.13 及更新版本
附註: 如果您使用 MacOS Safari ,可能會遇到下列問題: 系統不會提示您輸入 Intune 裝置管理程式所發出的用戶端憑證。 若要解決此問題,您必須配置 MacOS 金鑰鏈身分喜好設定。
  1. 在 Mac 系統上,移至 金鑰鏈存取
  2. 新增用戶端憑證的身分喜好設定。
  3. 將身分喜好設定位置設為租戶鑑別 URL + (空格) + (com.apple.Safari)。 例如,https://{mtls_enabled_tenant_name}/usc
現在可以在 金鑰鏈存取 > 登入 > 所有項目 中找到身分喜好設定,憑證提示可以正確運作。

程序

  1. 選取 鑑別 > 裝置管理程式
  2. 選取 新增裝置管理程式
  3. 選取您要設定之裝置管理程式的 類型
  4. 選取 下一步
  5. 在「 一般設定 」頁面上,提供下列資訊。
    • 裝置管理程式的名稱。
    • 從功能表中選取身分來源。
    • 選取是否為使用者帳戶啟用即時佈建。
    • 指定每一個裝置的憑證數上限。
    • 指定將使用者及裝置資訊保留多少分鐘。
  6. 選取 下一步
  7. 在「 API 認證 」頁面上,在 Azure Active Directory中輸入應用程式的 API 詳細資料。
    • 如果您有應用程式,請選取僅限表單
      1. 提供應用程式 ID、密碼及租戶名稱。
      2. 從預先定義的屬性清單中選取 Unique user identifier ,或選取 自訂規則 來指定屬性對映。 如果您選擇使用自訂規則,則可以新增自訂屬性及規則。 輸入用來計算屬性值的規則。 例如,
        requestContext.email[0].split('@')[0]
      3. 選取測試認證以驗證您的認證。
      4. 選取 下一步
    • 如果您正在建立應用程式,請選取使用步驟顯示並遵循指示。
      1. 在 Azure 入口網站中,移至 Azure Active Directory > 應用程式登錄 ,然後選取 新建登錄
      2. 在「登錄應用程式」頁面上,指定下列詳細資料。
        名稱
        輸入有意義的應用程式名稱,例如,IBM Security Verify
        受支援的帳戶類型
        在任何組織目錄中選取帳戶
        重新導向 URI
        保留 Web 的預設區段,然後指定協力廠商 SCEP 伺服器的登入 URL。
      3. 選取登錄
      4. 從「應用程式概觀」頁面中,複製應用程式(用戶端)ID 值,並在輸入應用程式 ID 欄位中貼上它。
      5. 在應用程式的導覽頁面中的 管理下,選取 憑證與密碼 ,然後選取 新建用戶端密碼
      6. 輸入說明,選取到期的任何選項,然後按一下新增
      7. 輸入應用程式密碼欄位中貼上用戶端密碼。
      8. 複製「租戶 ID」(帳戶中 @ 符號之後的網域文字),並在租戶名稱欄位中貼上它。
      9. 在應用程式的導覽頁面的 管理下,選取 API 許可權,然後選取 新增許可權
      10. 選取 Intune ,然後選取 應用程式許可權。 選取 scep_challenge-provider 的勾選框。
      11. 選取新增許可權
      12. 在應用程式的導覽窗格的管理下,選取 API 許可權,然後選取新增許可權。
      13. 選取 Microsoft Graph,然後選取 應用程式許可權。
      14. 選取 DeviceManagementManageDevices.Read.AllUser.Read.All的勾選框。
      15. 選取新增許可權
      16. 選取授與 Microsoft 的管理者同意,然後選取
      17. 選取測試認證以驗證您的認證。
      18. 選取 下一步
  8. 在「 使用者內容 」頁面上,將裝置管理程式屬性對映至 IBM Security Verify 屬性。
    附註: 屬性名稱不區分大小寫,且不容許重複的屬性。
    1. 選取裝置管理程式屬性。
    2. 選用項目: 從功能表中選取轉換。
    3. 必要: 選取您要將屬性對映至的 Verify 屬性。
    4. 選取要如何在使用者設定檔中儲存屬性。
  9. 選用項目: 按一下 新增屬性
    如果您選擇使用自訂規則,則可以一次新增一個自訂屬性及一個規則。 輸入用來計算屬性值的規則。 例如,
    idsuser.email[0].split('@')[0]
    按一下 執行測試 ,以確定規則可運作。
  10. 選取 儲存並繼續
    已儲存裝置管理程式。
  11. 建立主要憑證設定檔。
    請遵循提供的指示。
    1. 下載提供的下列主要及設定檔憑證 .zip 檔案。
    2. 登入 Microsoft Endpoint Manager 並開啟 裝置 > 配置設定檔
    3. 若要建立主要憑證設定檔,請選取 建立設定檔 ,然後選擇下列設定:
      平台
      選取適當的平台。
      設定檔
      授信憑證
    4. 選取 建立
    5. 命名主要憑證設定檔,例如 WIN10_RootCA_Cert,然後選取 下一步
    6. 上傳您在步驟 1 中下載的主要憑證設定檔,將目的地儲存庫設為 電腦憑證儲存庫-主要,然後選取 下一步
    7. 指派給 設為您要測試的使用者或群組,然後選取 下一步
    8. 選取 建立
    9. 針對中繼憑證重複步驟 2-8。
  12. 選取 下一步
  13. 在「 SCEP 憑證設定檔 」頁面上,輸入 Azure Active Directory中應用程式的 API 詳細資料。
    • 如果您已有 SCEP 憑證設定檔,請選取僅限值
      1. 提供主體及 SCEP URL。
      2. 選取 下一步
    • 如果您正在建立 SCEP 憑證設定檔,請選取使用步驟顯示並遵循指示。
      1. 若要建立 SCEP 憑證設定檔,請選取建立設定檔,然後選擇下列設定:
        平台
        選取適當的平台。
        設定檔
        TrustedSCEP 憑證
      2. 選取建立
      3. 命名主要憑證設定檔,例如 WIN10_RootCA_Cert,然後選取下一步
      4. 使用下列配置設定:
        憑證類型
        使用者。
        主體名稱格式
        自訂。
        自訂
        自動產生的 CN。
        主體替代名稱
        使用者主體名稱 (UPN)。
        憑證有效性期間
        1 年。
        金鑰儲存體提供者 (KSP)
        如果可用,請登記至授信平台模組 (TPM) KSP,否則登記至軟體 KSP
        金鑰用法
        金鑰加密、數位簽章。
        金鑰大小(位元)
        2048。
        雜湊演算法
        SHA-2.
        主要憑證
        選取您在步驟 11中建立並命名的主要憑證設定檔。
        延伸金鑰用法
        預定值 功能表中選取 用戶端鑑別
        續訂臨界值
        20.
        SCEP 伺服器 URL
        自動產生的 URL。
      5. 選取下一步,並指派您要測試其連線的任何使用者或群組。
      6. 選取建立
      7. 選取 下一步
  14. 設定 MDM 範圍。
    遵循指示。
    1. 在 Microsoft Endpoint Manager 管理中心中,選擇 所有服務 > M365 Azure Active Directory > Azure Active Directory > Mobility (MDM 及 MAM)
    2. 選取 Microsoft Intune 以配置 Intune。
    3. 從 MDM 使用者範圍選取 部分 ,以使用 MDM 自動登記來管理員工 Windows™ 裝置上的企業資料。
      已針對 AAD 結合裝置配置 MDM 自動登記,並提供您自己的裝置實務範例。
    4. 選取 選取群組 > 選取的群組/使用者 > 選取作為指派的群組
    5. 從「MAM 使用者」範圍中選取 部分 ,以管理人力裝置上的資料。
    6. 選擇 選取群組 > 選取群組/使用者 > 選取作為指派的群組
    7. 針對剩餘配置值使用預設值。
    8. 選取 儲存
  15. 選取 下一步
  16. 測試配置。
    遵循指示。
  17. 選取 完成設定
    1. 檢查設定。
    2. 選取 儲存變更