Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
# Konfigurasikan Microsoft Intune untuk Konektor untuk SCEP
Anda dapat menggunakan AWS Private CA sebagai otoritas sertifikat eksternal (CA) dengan sistem manajemen perangkat seluler Microsoft Intune (MDM). Panduan ini memberikan petunjuk tentang cara mengkonfigurasi Microsoft Intune setelah Anda membuat Konektor untuk SCEP untuk Microsoft Intune.
## Prasyarat
Sebelum Anda membuat Konektor untuk SCEP untuk Microsoft Intune, Anda harus menyelesaikan prasyarat berikut.
+ Buat ID Entra.
+ Buat Penyewa Intune Microsoft.
+ Buat Pendaftaran Aplikasi di ID Microsoft Entra Anda. Lihat [Memperbarui izin yang diminta aplikasi di Microsoft Entra ID](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane) di dokumentasi Microsoft Entra untuk informasi tentang cara mengelola izin tingkat aplikasi untuk Pendaftaran Aplikasi Anda. Pendaftaran Aplikasi harus memiliki izin berikut:
+ Di bawah **Intune** setel **scep\$1challenge\$1provider**.
+ **Untuk **Microsoft Graph** mengatur **Application.Read.All dan User.Read.****
+ Anda harus memberikan aplikasi dalam persetujuan admin Pendaftaran Aplikasi Anda. Untuk selengkapnya, lihat [Memberikan persetujuan admin seluruh penyewa untuk aplikasi dalam dokumentasi](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal) Microsoft Entra.
**Tip**
Saat Anda membuat Pendaftaran Aplikasi, catat ID **Aplikasi (klien) dan ID** **Direktori (penyewa) atau domain utama**. Saat Anda membuat Konektor untuk SCEP untuk Microsoft Intune, Anda akan memasukkan nilai-nilai ini. Untuk informasi tentang cara mendapatkan nilai ini, lihat [Membuat aplikasi dan prinsip layanan Microsoft Entra yang dapat mengakses sumber daya](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal) dalam dokumentasi Microsoft Entra.
## Langkah 1: Berikan AWS Private CA izin untuk menggunakan Aplikasi Microsoft Entra ID Anda
Setelah Anda membuat Konektor untuk SCEP untuk Microsoft Intune, Anda harus membuat kredensi federasi di bawah Pendaftaran Aplikasi Microsoft sehingga Konektor untuk SCEP dapat berkomunikasi dengan Microsoft Intune.
**Untuk mengkonfigurasi AWS Private CA sebagai CA eksternal di Microsoft Intune**
1. Di konsol Microsoft Entra ID, navigasikan ke **pendaftaran Aplikasi**.
1. Pilih aplikasi yang Anda buat untuk digunakan dengan Connector for SCEP. ID aplikasi (klien) aplikasi yang Anda klik harus cocok dengan ID yang Anda tentukan saat Anda membuat konektor.
1. Pilih **Sertifikat & rahasia** dari menu tarik-turun **Dikelola**.
1. Pilih tab **Kredensial Federasi**.
1. Pilih **Tambahkan kredensi**.
1. Dari menu tarik-turun **skenario kredensi Federasi**, pilih Penerbit **lain**.
1. **Salin dan tempel nilai **penerbit OpenID** dari detail Connector for SCEP for Microsoft Intune Anda ke dalam bidang Penerbit.** Untuk melihat detail konektor, pilih konektor dari daftar [Konektor untuk SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) di AWS konsol. Atau, Anda bisa mendapatkan URL dengan menelepon [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)dan kemudian menyalin `Issuer` nilai dari respons.
1. Untuk **Jenis**, pilih **Pengidentifikasi subjek eksplisit**.
1. Salin dan tempel nilai **subjek OpenID** dari konektor Anda ke bidang **Nilai**. Anda dapat melihat nilai penerbit OpenID di halaman detail konektor di konsol. AWS Atau, Anda bisa mendapatkan URL dengan menelepon [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)dan kemudian menyalin `Audience` nilai dari respons.
1. (Opsional) Masukkan nama instance di bidang **Nama**. Misalnya, Anda bisa menamainya **AWS Private CA**.
1. (Opsional) Masukkan deskripsi ke dalam bidang **Deskripsi**.
1. **Salin dan tempel nilai **OpenID Audience** dari detail Connector for SCEP for Microsoft Intune ke bidang Audience.** Untuk melihat detail konektor, pilih konektor dari daftar [Konektor untuk SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) di AWS konsol. Atau, Anda bisa mendapatkan URL dengan menelepon [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html)dan kemudian menyalin `Subject` nilai dari respons.
1. Pilih **Tambahkan**.
## Langkah 2: Siapkan profil konfigurasi Microsoft Intune
Setelah Anda memberikan AWS Private CA izin untuk memanggil Microsoft Intune, Anda harus menggunakan Microsoft Intune untuk membuat profil konfigurasi Microsoft Intune yang menginstruksikan perangkat untuk menghubungi Connector for SCEP untuk penerbitan sertifikat.
1. Buat profil konfigurasi sertifikat tepercaya. Anda harus mengunggah sertifikat CA root dari rantai yang Anda gunakan dengan Connector for SCEP ke Microsoft Intune untuk membangun kepercayaan. Untuk informasi tentang cara membuat profil konfigurasi sertifikat tepercaya, lihat [Profil sertifikat root tepercaya untuk Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root) di dokumentasi Microsoft Intune.
1. Buat profil konfigurasi sertifikat SCEP yang mengarahkan perangkat Anda ke konektor saat memerlukan sertifikat baru. **Jenis** Profil profil konfigurasi harus **Sertifikat SCEP**. Untuk sertifikat root profil konfigurasi, pastikan Anda menggunakan sertifikat tepercaya yang Anda buat pada langkah sebelumnya.
Untuk **Server SCEP URLs**, salin dan tempel **URL SCEP** dari detail konektor Anda ke bidang Server **SCEP**. URLs Untuk melihat detail konektor, pilih konektor dari daftar [Konektor untuk SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors). Atau, Anda bisa mendapatkan URL dengan menelepon [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html), dan kemudian menyalin `Endpoint` nilai dari respons. Untuk panduan cara membuat profil konfigurasi di Microsoft Intune, lihat [Membuat dan menetapkan profil sertifikat SCEP di Microsoft Intune dalam dokumentasi Microsoft Intune](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep).
**catatan**
Untuk perangkat non-mac OS dan iOS, jika Anda tidak menetapkan masa berlaku di profil konfigurasi, Connector for SCEP mengeluarkan sertifikat dengan validitas satu tahun. Jika Anda tidak menyetel nilai Extended Key Usage (EKU) di profil konfigurasi, Connector for SCEP mengeluarkan sertifikat dengan EKU yang disetel. `Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)` Untuk perangkat macOS atau iOS, Microsoft Intune tidak menghormati `ExtendedKeyUsage` atau `Validity` parameter di profil konfigurasi Anda. Untuk perangkat ini, Konektor untuk SCEP mengeluarkan sertifikat dengan masa berlaku satu tahun ke perangkat ini melalui otentikasi klien.
## Langkah 3: Verifikasi koneksi ke Konektor untuk SCEP
Setelah Anda membuat profil konfigurasi Microsoft Intune yang mengarah ke titik akhir Connector for SCEP, konfirmasikan bahwa perangkat yang terdaftar dapat meminta sertifikat. Untuk mengonfirmasi, pastikan tidak ada kegagalan penetapan kebijakan. Untuk mengonfirmasi, di portal Intune navigasikan ke **Devices** > **Manage Devices** > **Configuration** dan verifikasi bahwa tidak ada yang tercantum di bawah **Kegagalan Penugasan Kebijakan Konfigurasi**. Jika ada, konfirmasikan pengaturan Anda dengan informasi dari prosedur sebelumnya. Jika pengaturan Anda benar dan masih ada kegagalan, maka konsultasikan [Kumpulkan data yang tersedia dari perangkat seluler](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device).
Untuk informasi tentang pendaftaran perangkat, lihat [Apa itu pendaftaran perangkat?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done) dalam dokumentasi Microsoft Intune.