本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 設定適用於 SCEP 連接器的 Microsoft Intune
<a name="connector-for-scep-intune"></a>

您可以使用 AWS 私有 CA 做為外部憑證授權機構 (CA) 與 Microsoft Intune 行動裝置管理 (MDM) 系統。本指南說明如何在建立 Connector for SCEP for Microsoft Intune 之後設定 Microsoft Intune。

## 先決條件
<a name="connector-for-scep-intune-prerequisites"></a>

建立 Connector for SCEP for Microsoft Intune 之前，您必須完成下列先決條件。
+ 建立 Entra ID。
+ 建立 Microsoft Intune 租用戶。
+ 在 Microsoft Entra ID 中建立應用程式註冊。如需如何管理[應用程式註冊之應用程式層級許可的相關資訊，請參閱 Microsoft Entra 文件中的在 Microsoft Entra ID 中更新應用程式請求](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane)的許可。應用程式註冊必須具有下列許可：
  + **在 Intune** 設定 **scep\$1challenge\$1provider** 下。
  + 對於 **Microsoft 圖形**集 **Application.Read.All **和 **User.Read**。
+ 您必須在應用程式註冊管理員同意中授予應用程式。如需詳細資訊，請參閱 Microsoft Entra 文件中的[授予租用戶整體管理員對應用程式的同意](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。
**提示**  
當您建立應用程式註冊時，請記下**應用程式 （用戶端） ID** 和**目錄 （租戶） ID 或主要網域**。當您建立 Connector for SCEP for Microsoft Intune 時，您將會輸入這些值。如需如何取得這些值的資訊，請參閱 [Microsoft Entra 文件中的建立可存取資源的 Microsoft Entra 應用程式和服務主體](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal)。

## 步驟 1：授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式
<a name="connector-for-scep-intune-configure-pca"></a>

建立 Connector for SCEP for Microsoft Intune 之後，您必須在 Microsoft 應用程式註冊下建立聯合憑證，以便 Connector for SCEP 可以與 Microsoft Intune 通訊。

**在 Microsoft Intune 中將 AWS 私有 CA 設定為外部 CA**

1. 在 Microsoft Entra ID 主控台中，導覽至**應用程式註冊**。

1. 選擇您建立以搭配 Connector for SCEP 使用的應用程式。您按一下的應用程式的應用程式 （用戶端） ID 必須符合您在建立連接器時指定的 ID。

1. 從**受**管下拉式功能表中選取**憑證和秘密**。

1. 選取**聯合登入資料**索引標籤。

1. 選取**新增登入資料**。

1. 從**聯合登入資料案例**下拉式選單中，選擇**其他發行者**。

1. 將 Connector for SCEP for Microsoft Intune 詳細資訊中的 **OpenID 發行**者值複製並貼到**發行者**欄位中。若要檢視連接器的詳細資訊，請從 AWS 主控台的 [Connectors for SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 清單中選擇連接器。或者，您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL，然後從回應複製該`Issuer`值。

1. 針對**類型**，選取**明確主旨識別符**。

1. 將連接器中的 **OpenID 主體**值複製並貼到**值**欄位中。您可以在 AWS 主控台的連接器詳細資訊頁面中檢視 OpenID 發行者值。或者，您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL，然後從回應複製該`Audience`值。

1. （選用） 在名稱欄位中輸入執行個體**的名稱**。例如，您可以將其命名為 **AWS 私有 CA**。

1. （選用） 在描述欄位中輸入**描述**。

1. 將 **OpenID Audience** 值從 Connector for SCEP for Microsoft Intune 詳細資訊複製並貼到 **Audience** 欄位。若要檢視連接器的詳細資訊，請從 AWS 主控台的 [Connectors for SCEP ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者，您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL，然後從回應複製該`Subject`值。

1. 選取**新增**。

## 步驟 2：設定 Microsoft Intune 組態描述檔
<a name="connector-for-scep-intune-config-profile"></a>

授予呼叫 Microsoft Intune 的 AWS 私有 CA 許可後，您必須使用 Microsoft Intune 建立 Microsoft Intune 組態描述檔，指示裝置聯絡 Connector for SCEP 進行憑證發行。

1. 建立信任的憑證組態設定檔。您必須將與 Connector for SCEP 搭配使用的鏈結根 CA 憑證上傳至 Microsoft Intune 以建立信任。如需有關如何建立信任憑證組態設定檔的資訊，請參閱 [Microsoft Intune 文件中的 Microsoft Intune 的信任根憑證設定檔](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root)。

1. 建立 SCEP 憑證組態描述檔，在您的裝置需要新憑證時，將裝置指向連接器。組態設定檔的**設定檔類型**應該是 **SCEP 憑證**。對於組態設定檔的根憑證，請確定您使用在上一個步驟中建立的信任憑證。

   對於 **SCEP 伺服器 URLs**，請將連接器詳細資訊中的 **SCEP URL** 複製並貼到 **SCEP 伺服器 URLs**。若要檢視連接器的詳細資訊，請從適用於 [SCEP 的連接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者，您可以呼叫 [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html) 來取得 URL，然後從回應複製該`Endpoint`值。如需在 Microsoft Intune 中建立組態設定檔的指引，請參閱 Microsoft Intune 文件中的在 [Microsoft Intune 中建立和指派 SCEP 憑證設定檔](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)。
**注意**  
對於非 Mac 作業系統和 iOS 裝置，如果您未在組態設定檔中設定有效期間，Connector for SCEP 會發出有效一年的憑證。如果您未在組態描述檔中設定擴充金鑰用量 (EKU) 值，Connector for SCEP 會使用 設定的 EKU 發出憑證`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`。對於 macOS 或 iOS 裝置，Microsoft Intune 不遵守組態設定檔中的 `ExtendedKeyUsage`或 `Validity` 參數。對於這些裝置，Connector for SCEP 透過用戶端身分驗證向這些裝置發出有效期為一年的憑證。

## 步驟 3：驗證與 Connector for SCEP 的連線
<a name="connector-for-scep-verify"></a>

在您建立指向 Connector for SCEP 端點的 Microsoft Intune 組態描述檔之後，請確認已註冊的裝置可以請求憑證。若要確認，請確定沒有任何政策指派失敗。若要確認，請在 Intune 入口網站中導覽至**裝置** > **管理裝置** > **組態**，並確認**組態政策指派失敗**下沒有列出任何內容。如果有，請使用上述程序的資訊確認您的設定。如果您的設定正確且仍然失敗，請參閱[從行動裝置收集可用資料](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)。

如需有關裝置註冊的資訊，請參閱 Microsoft Intune 文件中的[什麼是裝置註冊？](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)。