本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 設定 Connector for SCEP 的 MDM 系統
Simple Certificate Enrollment Protocol (SCEP) 是用於憑證註冊和續約的標準通訊協定。Connector for SCEP 是以 [RFC 8894](https://www.rfc-editor.org/rfc/rfc8894.html) 為基礎的 SCEP 伺服器,會自動從 將憑證發行 AWS 私有憑證授權單位 到您的 SCEP 用戶端。當您建立連接器時,Connector for SCEP 會提供 HTTPS 端點,讓 SCEP 用戶端從中請求憑證。用戶端會使用包含在服務憑證簽署請求 (CSR) 中的挑戰密碼進行身分驗證。您可以使用 Connector for SCEP 搭配熱門的行動裝置管理 (MDM) 系統,包括 Microsoft Intune、Omanssa Workspace ONE 和 Jamf Pro,來註冊行動裝置。它旨在與任何支援 SCEP 的用戶端或端點搭配使用。
Connector for SCEP 提供兩種類型的連接器:一般用途和 Connector for SCEP for Microsoft Intune。下列各節說明它們的運作方式,以及如何設定您的 MDM 系統來使用它們。
## 一般用途連接器
一般用途連接器旨在使用支援 SCEP 的行動裝置端點,但具有專用連接器的 Microsoft Intune 除外。使用 Jamf Pro 或 Omnissa Workspace ONE 等一般用途連接器,您可以管理 SCEP 挑戰密碼。下圖使用行動裝置管理 (MDM) 系統做為範例,但相同的功能適用於其他已啟用 SCEP 的系統或裝置。
![\[描述 Connector for SCEP 一般用途連接器的運作方式。\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/GenPurpose.jpg)
1. MDM 系統 (或其他裝置或系統) 會將 SCEP 設定檔傳送至行動用戶端。SCEP 設定檔包含定義憑證設定檔的組態參數,例如憑證有效期間、挑戰密碼,以及與憑證發行相關的其他資訊。
1. 行動用戶端會請求憑證,也會傳送包含挑戰密碼的憑證簽署請求 (CSR)。
1. Connector for SCEP 驗證挑戰密碼。如果有效,則服務 AWS 私有 CA 會代表行動用戶端向 請求憑證。
1. AWS 私有 CA 會發出憑證並將其傳送至 Connector for SCEP。
1. Connector for SCEP 會將發行的憑證傳送至行動用戶端。
## AWS 私有 CA Connector for SCEP for Microsoft Intune
AWS 私有 CA Connector for SCEP for Microsoft Intune 專為與 Microsoft Intune 搭配使用而設計。使用 Connector for SCEP for Microsoft Intune 連接器類型,您將使用 Microsoft Intune 來管理您的 SCEP 挑戰密碼。如需搭配 Microsoft Intune 使用 Connector for SCEP 的詳細資訊,請參閱 [設定適用於 SCEP 連接器的 Microsoft Intune設定 Microsoft Intune](connector-for-scep-intune.md)。
若要搭配 Microsoft Intune 使用 Connector for SCEP,您必須使用 Microsoft Intune API 啟用特定功能,並擁有有效的 Microsoft Intune 授權。您也應該檢閱 [Microsoft Intune® 應用程式保護政策](https://learn.microsoft.com/en-us/mem/intune/apps/app-protection-policy)。
![\[Connector for SCEP for Microsoft Intune 的運作方式。\]](http://docs.aws.amazon.com/zh_tw/privateca/latest/userguide/images/Intune.jpg)
1. Microsoft Intune 會將 SCEP 設定檔傳送至行動用戶端。設定檔包含行動用戶端放入 CSR 的加密挑戰密碼。
1. 行動用戶端會請求憑證,並將 CSR 傳送至 Connector for SCEP。
1. Connector for SCEP 會將 CSR 傳送給 Microsoft Intune 進行授權。
1. Microsoft Intune 會解密 CSR 中的挑戰密碼。如果有效,Microsoft Intune 會將核准傳送至 Connector for SCEP,以將憑證發行給行動用戶端。
1. Connector for SCEP AWS 私有 CA 代表行動用戶端向 請求憑證。
1. AWS 私有 CA 會發出憑證並將其傳送至 Connector for SCEP。
1. Connector for SCEP 會將發行的憑證傳送至行動用戶端。
**Topics**
+ [一般用途連接器](#connector-for-scep-how-it-works-general-purpose)
+ [AWS 私有 CA Connector for SCEP for Microsoft Intune](#connector-for-scep-how-it-works-intune)
+ [設定適用於 SCEP 連接器的 Jamf Pro](connector-for-scep-general-purpose.md)
+ [設定適用於 SCEP 連接器的 Microsoft Intune](connector-for-scep-intune.md)
+ [設定適用於 SCEP 連接器的 Omnissa Workspace ONE](connector-for-scep-omnissa.md)
# 設定適用於 SCEP 連接器的 Jamf Pro
您可以使用 AWS 私有 CA 做為 Jamf Pro 行動裝置管理 (MDM) 系統的外部憑證授權機構 (CA)。本指南說明如何在建立一般用途連接器後設定 Jamf Pro。
## 設定適用於 SCEP 連接器的 Jamf Pro
本指南提供如何設定 Jamf Pro 以搭配 Connector for SCEP 使用的指示。成功設定 Jamf Pro 和 Connector for SCEP 之後,您就可以將憑證發行 AWS 私有 CA 到受管裝置。
### Jamf Pro 需求
您的 Jamf Pro 實作必須符合下列要求。
+ 您必須在 Jamf Pro 中啟用**啟用憑證型身分驗證**設定。您可以在 Jamf Pro 文件的 Jamf Pro [安全設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/Security_Settings.html)頁面上找到此設定的詳細資訊。
### 步驟 1:(選用 - 建議) 取得私有 CA 的指紋
指紋是私有 CA 的唯一識別符,可用於在與其他系統或應用程式建立信任時驗證 CA 的身分。整合憑證授權機構 (CA) 指紋可讓受管裝置驗證其連線的 CA,並僅從預期的 CA 請求憑證。我們建議搭配 Jamf Pro 使用 CA 指紋。
**為您的私有 CA 產生指紋**
1. 從 AWS 私有 CA 主控台或使用 [GetCertificateAuthorityCertificate](https://docs.aws.amazon.com/privateca/latest/APIReference/API_GetCertificateAuthorityCertificate.html) 取得私有 CA 憑證。將其儲存為 `ca.pem` 檔案。
1. 安裝 [OpenSSL Command Line 公用程式](https://wiki.openssl.org/index.php/Command_Line_Utilities)。
1. 在 OpenSSL 中,執行下列命令來產生指紋:
```
openssl x509 -in ca.pem -sha256 -fingerprint
```
### 步驟 2:在 Jamf Pro 中將 AWS 私有 CA 設定為外部 CA
建立 SCEP 連接器後,您必須在 Jamf Pro 中將 AWS 私有 CA 設定為外部憑證授權機構 (CA)。您可以將 AWS 私有 CA 設定為全域外部 CA。或者,您可以使用 Jamf Pro 組態描述檔,針對不同的使用案例從 發行 AWS 私有 CA 不同的憑證,例如將憑證發行到組織中的裝置子集。實作 Jamf Pro 組態描述檔的指引超出本文件的範圍。
**在 Jamf Pro 中將 AWS 私有 CA 設定為外部憑證授權機構 (CA)**
1. 在 Jamf Pro 主控台中,前往**設定** > **全域** > **PKI 憑證,前往 PKI 憑證設定**頁面。 ****
1. 選取**管理憑證範本**索引標籤。
1. 選取**外部 CA**。
1. 選擇 **Edit** (編輯)。
1. (選用) 選取**啟用 Jamf Pro 做為組態設定檔的 SCEP Proxy**。您可以使用 Jamf Pro 組態描述檔來發行針對特定使用案例量身打造的不同憑證。如需如何在 Jamf Pro 中使用組態設定檔的指引,請參閱 [Jamf Pro 文件中的將 Jamf Pro 啟用為組態設定檔的 SCEP Proxy](https://learn.jamf.com/en-US/bundle/technical-paper-scep-proxy-current/page/Enabling_as_SCEP_Proxy_for_Configuration_Profiles.html#ariaid-title2)。
1. 選取**使用已啟用 SCEP 的外部 CA 進行電腦和行動裝置註冊**。
1. (選用) 選取**使用 Jamf Pro 做為電腦和行動裝置註冊的 SCEP Proxy**。如果您遇到設定檔安裝失敗,請參閱 [對設定檔安裝失敗進行故障診斷](#connector-for-scep-jamf-pro-user-initiated-enrollment-troubleshoot)。
1. 將 Connector for SCEP **URL** 從連接器的詳細資訊複製並貼到 Jamf Pro 中的 **URL** 欄位。若要檢視連接器的詳細資訊,請從適用於 [SCEP 的連接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 並從回應複製`Endpoint`值來取得 URL。
1. (選用) 在名稱欄位中輸入執行個體**的名稱**。例如,您可以將其命名為 **AWS 私有 CA**。
1. 針對挑戰類型選取**靜態**。
1. 從連接器複製挑戰密碼,並將其貼到**挑戰**欄位中。連接器可以有多個挑戰密碼。若要檢視連接器的挑戰密碼,請導覽至 AWS 主控台中連接器的詳細資訊頁面,然後選取**檢視密碼**按鈕。或者,您可以呼叫 [GetChallengePassword](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetChallengePassword.html) (GetChallengePassword) 並從回應複製`Password`值,以取得連接器的挑戰密碼。如需使用挑戰密碼的詳細資訊,請參閱 [了解 Connector for SCEP 的考量和限制考量和限制](c4scep-considerations-limitations.md)。
1. 將挑戰密碼貼到**驗證挑戰**欄位中。
1. 選擇**金鑰大小**。我們建議金鑰大小為 2048 或更高。
1. (選用) 選取**使用 做為數位簽章**。選取此選項以進行身分驗證,以授予裝置安全存取 Wi-Fi 和 VPN 等資源的權限。
1. (選用) 選取**用於金鑰加密**。
1. (選用 - 建議) 在**指紋**欄位中輸入十六進位字串。我們建議您新增 CA 指紋,以允許受管裝置驗證 CA,並僅向 CA 請求憑證。如需如何為私有 CA 產生指紋的說明,請參閱 [步驟 1:(選用 - 建議) 取得私有 CA 的指紋](#connector-for-scep-jamf-pro-ca-fingerprint)。
1. 選取**儲存**。
### 步驟 3:設定組態設定檔簽署憑證
若要使用 Jamf Pro 搭配 Connector for SCEP,您必須為與連接器相關聯的私有 CA 提供簽署和 CA 憑證。您可以透過將設定檔簽署憑證金鑰存放區上傳到包含兩個憑證的 Jamf Pro 來執行此操作。
以下是建立憑證金鑰存放區並將其上傳至 Jamf Pro 的步驟:
+ 使用內部程序產生憑證簽署請求 (CSR)。
+ 取得與連接器相關聯之私有 CA 簽署的 CSR。
+ 建立包含設定檔簽署和 CA 憑證的設定檔簽署憑證金鑰存放區。
+ 將憑證金鑰存放區上傳至 Jamf Pro。
透過遵循這些步驟,您可以確保裝置可以驗證和驗證由私有 CA 簽署的組態設定檔,以使用 Connector for SCEP 搭配 Jamf Pro。
1. 下列範例使用 OpenSSL 和 AWS Certificate Manager,但您可以使用您偏好的方法產生憑證簽署請求。
------
#### [ AWS Certificate Manager console ]
**使用 ACM 主控台建立設定檔簽署憑證**
1. 使用 ACM [請求私有 PKI 憑證]()。包含下列項目:
+ **類型** - 使用做為 MDM 系統 SCEP 憑證授權單位的相同私有 CA 類型。
+ 在**憑證授權機構詳細資訊**區段中,選取**憑證授權機構**選單,然後選擇做為 Jamf Pro CA 的私有 CA。
+ **網域名稱** - 提供要內嵌至憑證的網域名稱。您可以使用完整網域名稱 (FQDN),例如 `www.example.com`,或是裸機或頂點網域名稱,例如 `example.com`(不包括 `www.`)。
1. 使用 ACM 匯出[您在上述步驟中建立的私有憑證](https://docs.aws.amazon.com/acm/latest/userguide/export-private.html)。選擇**匯出憑證、憑證鏈和加密金鑰**的檔案。請備妥**密碼短語**,因為在下一個步驟中會需要它。
1. 在終端機中,在包含匯出檔案的資料夾中執行下列命令,將 PKCS\$112 套件寫入您在上一個步驟中建立的密碼短語編碼的`output.p12`檔案中。
```
openssl pkcs12 -export \
-in "Exported Certificate.txt" \
-certfile "Certificate Chain.txt" \
-inkey "Exported Certificate Private Key.txt" \
-name example \
-out output.p12 \
-passin pass:your-passphrase \
-passout pass:your-passphrase
```
------
#### [ AWS Certificate Manager CLI ]
**使用 ACM CLI 建立設定檔簽署憑證**
+ 下列命令說明如何在 ACM 中建立憑證,然後將檔案匯出為 PKCS\$112 套件。
```
PCA=
CERTIFICATE=$(aws acm request-certificate \
--certificate-authority-arn $PCA \
--domain-name \
| jq -r '.CertificateArn')
while [[ $(aws acm describe-certificate \
--certificate-arn $CERTIFICATE \
| jq -r '.Certificate.Status') != "ISSUED" ]] do sleep 1; done
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.Certificate' > Certificate.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.CertificateChain' > CertificateChain.pem
aws acm export-certificate \
--certificate-arn $CERTIFICATE \
--passphrase password | jq -r '.PrivateKey' > PrivateKey.pem
openssl pkcs12 -export \
-in "Certificate.pem" \
-certfile "CertificateChain.pem" \
-inkey "PrivateKey.pem" \
-name example \
-out output.p12 \
-passin pass:passphrase \
-passout pass:passphrase
```
------
#### [ OpenSSL CLI ]
**使用 OpenSSL CLI 建立設定檔簽署憑證**
1. 使用 OpenSSL,執行下列命令來產生私有金鑰。
```
openssl genrsa -out local.key 2048
```
1. 產生憑證簽署請求 (CSR):
```
openssl req -new -key local.key -sha512 -out local.csr -subj "/CN=MySigningCertificate/O=MyOrganization" -addext keyUsage=critical,digitalSignature,nonRepudiation
```
1. 使用 AWS CLI,使用您在上一個步驟中產生的 CSR 發行簽署憑證。執行下列命令,並在回應中記下憑證 ARN。
```
aws acm-pca issue-certificate --certificate-authority-arn --csr fileb://local.csr --signing-algorithm SHA512WITHRSA --validity Value=365,Type=DAYS
```
1. 執行下列命令以取得簽署憑證。指定上一個步驟的憑證 ARN。
```
aws acm-pca get-certificate --certificate-authority-arn --certificate-arn | jq -r '.Certificate' >local.crt
```
1. 執行下列命令以取得 CA 憑證。
```
aws acm-pca get-certificate-authority-certificate --certificate-authority-arn | jq -r '.Certificate' > ca.crt
```
1. 使用 OpenSSL,以 p12 格式輸出簽署憑證金鑰存放區。使用您在步驟 4 和步驟 5 中產生的 CRT 檔案。
```
openssl pkcs12 -export -in local.crt -inkey local.key -certfile ca.crt -name "CA Chain" -out local.p12
```
1. 出現提示時,請輸入匯出密碼。此密碼是您提供給 Jamf Pro 的金鑰存放區密碼。
------
1. 在 Jamf Pro 中,導覽至**管理憑證範本**,然後前往**外部 CA** 窗格。
1. 在**外部 CA** 窗格底部,選取**變更簽署和 CA 憑證**。
1. 遵循畫面上的指示,上傳外部 CA 的簽署和 CA 憑證。
### 步驟 4:(選用) 在使用者起始的註冊期間安裝憑證
若要在用戶端裝置與私有 CA 之間建立信任,您必須確保裝置信任 Jamf Pro 發行的憑證。您可以使用 Jamf Pro [的使用者起始註冊設定](https://learn.jamf.com/en-US/bundle/jamf-pro-documentation-current/page/User-Initiated_Enrollment_Settings.html#:~:text=In%20Jamf%20Pro%2C%20click%20Settings,to%20be%20used%20during%20enrollment.),在用戶端裝置上在註冊過程中請求憑證時,自動在用戶端裝置上安裝 AWS 私有 CA的 CA 憑證。
### 對設定檔安裝失敗進行故障診斷
如果您在啟用**使用 Jamf Pro 做為電腦和行動裝置註冊的 SCEP Proxy** 後遇到設定檔安裝失敗,請參閱您的裝置日誌,並嘗試下列操作。
| 裝置日誌錯誤訊息 | 緩解 |
| --- |--- |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 如果您在嘗試註冊時收到此錯誤訊息,請重試註冊。註冊成功之前,可能需要多次嘗試。 |
| `Profile installation failed. Unable to obtain certificate from SCEP server at ".jamfcloud.com". ` | 您的挑戰密碼可能設定錯誤。驗證 Jamf Pro 中的挑戰密碼是否符合連接器的挑戰密碼。 |
# 設定適用於 SCEP 連接器的 Microsoft Intune
您可以使用 AWS 私有 CA 做為外部憑證授權機構 (CA) 與 Microsoft Intune 行動裝置管理 (MDM) 系統。本指南說明如何在建立 Connector for SCEP for Microsoft Intune 之後設定 Microsoft Intune。
## 先決條件
建立 Connector for SCEP for Microsoft Intune 之前,您必須完成下列先決條件。
+ 建立 Entra ID。
+ 建立 Microsoft Intune 租用戶。
+ 在 Microsoft Entra ID 中建立應用程式註冊。如需如何管理[應用程式註冊之應用程式層級許可的相關資訊,請參閱 Microsoft Entra 文件中的在 Microsoft Entra ID 中更新應用程式請求](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal#grant-admin-consent-in-app-registrations-pane)的許可。應用程式註冊必須具有下列許可:
+ **在 Intune** 設定 **scep\$1challenge\$1provider** 下。
+ 對於 **Microsoft 圖形**集 **Application.Read.All **和 **User.Read**。
+ 您必須在應用程式註冊管理員同意中授予應用程式。如需詳細資訊,請參閱 Microsoft Entra 文件中的[授予租用戶整體管理員對應用程式的同意](https://learn.microsoft.com/en-us/entra/identity/enterprise-apps/grant-admin-consent?pivots=portal)。
**提示**
當您建立應用程式註冊時,請記下**應用程式 (用戶端) ID** 和**目錄 (租戶) ID 或主要網域**。當您建立 Connector for SCEP for Microsoft Intune 時,您將會輸入這些值。如需如何取得這些值的資訊,請參閱 [Microsoft Entra 文件中的建立可存取資源的 Microsoft Entra 應用程式和服務主體](https://learn.microsoft.com/en-us/entra/identity-platform/howto-create-service-principal-portal)。
## 步驟 1:授予 AWS 私有 CA 許可以使用您的 Microsoft Entra ID 應用程式
建立 Connector for SCEP for Microsoft Intune 之後,您必須在 Microsoft 應用程式註冊下建立聯合憑證,以便 Connector for SCEP 可以與 Microsoft Intune 通訊。
**在 Microsoft Intune 中將 AWS 私有 CA 設定為外部 CA**
1. 在 Microsoft Entra ID 主控台中,導覽至**應用程式註冊**。
1. 選擇您建立以搭配 Connector for SCEP 使用的應用程式。您按一下的應用程式的應用程式 (用戶端) ID 必須符合您在建立連接器時指定的 ID。
1. 從**受**管下拉式功能表中選取**憑證和秘密**。
1. 選取**聯合登入資料**索引標籤。
1. 選取**新增登入資料**。
1. 從**聯合登入資料案例**下拉式選單中,選擇**其他發行者**。
1. 將 Connector for SCEP for Microsoft Intune 詳細資訊中的 **OpenID 發行**者值複製並貼到**發行者**欄位中。若要檢視連接器的詳細資訊,請從 AWS 主控台的 [Connectors for SCEP](https://console.aws.amazon.com/pca-connector-scep/home#/connectors) 清單中選擇連接器。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL,然後從回應複製該`Issuer`值。
1. 針對**類型**,選取**明確主旨識別符**。
1. 將連接器中的 **OpenID 主體**值複製並貼到**值**欄位中。您可以在 AWS 主控台的連接器詳細資訊頁面中檢視 OpenID 發行者值。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL,然後從回應複製該`Audience`值。
1. (選用) 在名稱欄位中輸入執行個體**的名稱**。例如,您可以將其命名為 **AWS 私有 CA**。
1. (選用) 在描述欄位中輸入**描述**。
1. 將 **OpenID Audience** 值從 Connector for SCEP for Microsoft Intune 詳細資訊複製並貼到 **Audience** 欄位。若要檢視連接器的詳細資訊,請從 AWS 主控台的 [Connectors for SCEP ](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者,您可以呼叫 [GetConnector](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_GetConnector.html) 來取得 URL,然後從回應複製該`Subject`值。
1. 選取**新增**。
## 步驟 2:設定 Microsoft Intune 組態描述檔
授予呼叫 Microsoft Intune 的 AWS 私有 CA 許可後,您必須使用 Microsoft Intune 建立 Microsoft Intune 組態描述檔,指示裝置聯絡 Connector for SCEP 進行憑證發行。
1. 建立信任的憑證組態設定檔。您必須將與 Connector for SCEP 搭配使用的鏈結根 CA 憑證上傳至 Microsoft Intune 以建立信任。如需有關如何建立信任憑證組態設定檔的資訊,請參閱 [Microsoft Intune 文件中的 Microsoft Intune 的信任根憑證設定檔](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-trusted-root)。
1. 建立 SCEP 憑證組態描述檔,在您的裝置需要新憑證時,將裝置指向連接器。組態設定檔的**設定檔類型**應該是 **SCEP 憑證**。對於組態設定檔的根憑證,請確定您使用在上一個步驟中建立的信任憑證。
對於 **SCEP 伺服器 URLs**,請將連接器詳細資訊中的 **SCEP URL** 複製並貼到 **SCEP 伺服器 URLs**。若要檢視連接器的詳細資訊,請從適用於 [SCEP 的連接器](https://console.aws.amazon.com/pca-connector-scep/home#/connectors)清單中選擇連接器。或者,您可以呼叫 [ListConnectors](https://docs.aws.amazon.com/pca-connector-scep/latest/APIReference/API_ListConnectors.html) 來取得 URL,然後從回應複製該`Endpoint`值。如需在 Microsoft Intune 中建立組態設定檔的指引,請參閱 Microsoft Intune 文件中的在 [Microsoft Intune 中建立和指派 SCEP 憑證設定檔](https://learn.microsoft.com/en-us/mem/intune/protect/certificates-profile-scep)。
**注意**
對於非 Mac 作業系統和 iOS 裝置,如果您未在組態設定檔中設定有效期間,Connector for SCEP 會發出有效一年的憑證。如果您未在組態描述檔中設定擴充金鑰用量 (EKU) 值,Connector for SCEP 會使用 設定的 EKU 發出憑證`Client Authentication (Object Identifier: 1.3.6.1.5.5.7.3.2)`。對於 macOS 或 iOS 裝置,Microsoft Intune 不遵守組態設定檔中的 `ExtendedKeyUsage`或 `Validity` 參數。對於這些裝置,Connector for SCEP 透過用戶端身分驗證向這些裝置發出有效期為一年的憑證。
## 步驟 3:驗證與 Connector for SCEP 的連線
在您建立指向 Connector for SCEP 端點的 Microsoft Intune 組態描述檔之後,請確認已註冊的裝置可以請求憑證。若要確認,請確定沒有任何政策指派失敗。若要確認,請在 Intune 入口網站中導覽至**裝置** > **管理裝置** > **組態**,並確認**組態政策指派失敗**下沒有列出任何內容。如果有,請使用上述程序的資訊確認您的設定。如果您的設定正確且仍然失敗,請參閱[從行動裝置收集可用資料](https://learn.microsoft.com/en-us/mem/intune/fundamentals/help-desk-operators#collect-available-data-from-mobile-device)。
如需有關裝置註冊的資訊,請參閱 Microsoft Intune 文件中的[什麼是裝置註冊?](https://learn.microsoft.com/en-us/mem/intune/user-help/use-managed-devices-to-get-work-done)。
# 設定適用於 SCEP 連接器的 Omnissa Workspace ONE
您可以使用 AWS 私有 CA 做為 Omnissa Workspace ONE UEM (統一端點管理) 系統的外部憑證授權機構 (CA)。本指南說明如何在建立 SCEP 連接器後設定 Omnissa Workspace ONE AWS。
## 先決條件
為 Omnissa Workspace ONE 建立 SCEP 連接器之前,您必須完成下列先決條件:
+ 在 AWS 主控台中建立私有 CA。如需詳細資訊,請參閱[在 中建立私有 CA AWS 私有 CA](create-CA.md)。
+ 建立一般用途 SCEP 連接器。如需詳細資訊,請參閱[建立連接器](connector-for-scep-getting-started.md#gs-create-connector-for-scep-console)。
+ 擁有具有組織群組 ID 的作用中 Omnissa Workspace ONE 環境管理員帳戶。
+ 如果您要註冊 Apple 裝置,請為 MDM 設定 Apple 推播通知服務 APNs)。如需詳細資訊,請參閱 Omnissa 文件中的 [APNs 憑證](https://docs.omnissa.com/bundle/WorkspaceONE-UEM-Console-BasicsVSaaS/page/APNsCertificates.html)。
## 步驟 1:在 Omnissa Workspace ONE 中定義憑證授權單位和範本
在 AWS 主控台中建立私有 CA 和 SCEP 連接器之後,請在 Omnissa Workspace ONE 中定義憑證授權單位和範本。
**新增 AWS 私有 CA 做為憑證授權單位**
1. 從**系統**功能表中,選擇**企業整合**,然後選擇**憑證授權機構**。
1. 選擇 **\$1 ADD** 並提供下列資訊:
+ **名稱**: AWS-Private-CA。
+ **描述**: AWS 私有 CA 裝置憑證發行。
+ **授權類型**:選取**一般 SCEP**。
+ **SCEP URL**:輸入 SCEP URL AWS 私有 CA。
+ **挑戰類型**:選取 **STATIC**。
+ **靜態挑戰**:從 AWS 主控台的 Connector for SCEP 組態輸入 SCEP 靜態挑戰密碼。
+ 輸入**重試逾時**和**重試次數上限**值。
1. 儲存組態。
**建立憑證範本**
1. 從**系統**功能表中,選擇**企業整合**,選擇**憑證授權機構**,然後選擇**範本**。
1. 選擇**新增範本**並提供下列資訊:
+ **範本名稱**:Device-Cert-Template。
+ **憑證授權單位**:選擇 **AWS-Private-CA**。
+ **主旨名稱**:這是可自訂的欄位。您可以從屬性清單中選擇變數值。例如,CN=\$1DeviceReportedName\$1、O=\$1DevicePlatform\$1、OU=\$1CustomAttribute1\$1
+ **私有金鑰長度**:2048 位元。
+ **私有金鑰類型**:視需要選取**簽署**和**加密**
+ **自動續約**:已啟用/已停用 (根據您的需求)。
1. 儲存範本。
## 步驟 2:設定 Omnissa Workspace ONE UEM 設定檔組態
在 Omnissa Workspace ONE UEM 中建立設定檔,將裝置導向 Connector for SCEP 以發出憑證。
**建立憑證分佈的 SCEP 裝置設定檔**
1. 從**資源**功能表中,選擇**設定檔和基準**,然後選擇**設定檔**。
1. 選擇**新增**,然後選擇**新增設定檔**
1. 選取裝置平台 (**Android**、**iOS**、**macOS**、**Windows**)。
1. 視需要設定 **管理類型**和**內容**。
1. 設定**名稱**:Device-Cert-Profile。
1. 捲動至 **SCEP 承載**。
1. 選取 **SCEP**,然後選擇 **\$1新增**。
1. 使用下列組態:
+ **SCEP**:
+ 針對**登入資料來源**,選取**定義的憑證授權單位** (預設)。
+ 針對**憑證授權單位**選取 **AWS-Private-CA**
+ 針對**憑證範本**,選取步驟 1 中定義的 **Device-Cert-Template**。
1. 選擇**下一步**,然後在**指派**區段中,從清單中選擇正確的智慧群組 (裝置的指派群組)。
1. 選取**指派類型**為**自動**以啟用自動續約。
1. 儲存並發佈設定檔。
**注意**
如需詳細資訊,請參閱 Omnissa 文件中的 [SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html)。
## 步驟 3:在 Omnissa Workspace ONE 中註冊裝置
**建立或驗證智慧群組**
1. 從**群組和設定**中選擇**群組**,然後選擇**指派群組**。
1. 建立或編輯 POC-Devices 智慧群組:
+ **名稱**:POC-Devices。
+ **裝置類型**:選取**全部**或特定平台 (例如 Android 或 iOS)。
+ **條件**:使用 **UserGroup**、**平台和作業系統**、**OEM 和模型**來指定將目標裝置分組的條件。
+ **擁有權**:為個人或公司裝置選取**任何**。
1. 儲存並確認目標裝置會出現在**預覽**索引標籤中。
### 手動裝置註冊
Android
+ 從 Google Play 下載 **Workspace ONE Intelligent Hub** 應用程式。
+ 開啟應用程式並輸入註冊 URL 或掃描 QR 碼。
+ 登入並依照提示註冊為 MDM 受管裝置。
iOS/macOS
+ 在裝置上,開啟 **Safari** 並導覽至註冊 URL (例如 https:///enroll)。
+ 使用使用者登入資料登入。
+ 從 App Store 下載並安裝 **Workspace ONE Intelligent Hub** 應用程式。
+ 依照**設定** > **一般** > **VPN & 裝置管理** > 設定檔 > 安裝中的提示**安裝** MDM **設定檔**。
Windows
+ 從**工作區 ONE 伺服器或 Microsoft Store 下載工作區 ONE Intelligent Hub**。
+ 使用註冊 URL 和登入資料透過 Hub 註冊。
在裝置 > **列出檢視** > **更多動作** > 指派給智慧群組中,將已註冊**的裝置**指派給 POC-Devices **智慧群組**。
如需詳細資訊,請參閱 Omnissa 文件中的[自動化裝置註冊](https://docs.omnissa.com/bundle/Apple-Business-ManagerVSaaS/page/AppleBusinessManagerDeviceEnrollment.html)。
**驗證註冊**
1. 在 Omnissa Workspace ONE UEM 主控台中,前往**裝置**,然後**列出檢視**。
1. 確認您的已註冊裝置顯示狀態設為**已註冊**。
1. 確認裝置位於**裝置詳細資訊**的**群組**索引標籤中的 POC-Devices 智慧群組中。
## 步驟 4:發行憑證
**發出憑證的觸發**
1. 在**裝置****清單檢視**中,選取已註冊的裝置。
1. 選擇**查詢**按鈕以提示簽入。
1. Device-Cert-Profile 應該透過 發出憑證 AWS 私有 CA。
**驗證憑證安裝**
Android
選擇**設定**,然後選擇**安全性**,然後選擇**信任的登入**資料,然後選擇**使用者**來驗證憑證。
iOS
前往**設定**,然後選擇**一般**,然後選擇 **VPN 和裝置管理**,然後選擇**組態設定檔**。確認來自 AWS-Private-CA 的憑證存在。
macOS
開啟 **Keychain Access**,然後開啟 **System Keychain** 並驗證憑證。
Windows
開啟 **certmgr.msc**,然後開啟 **Personal**,然後開啟 **Certificates** 來驗證憑證。
## 疑難排解
SCEP 錯誤 (例如「22013」-SCEP 伺服器傳回無效的回應」)
+ 驗證工作區 ONE 中的 SCEP URL 和靜態挑戰密碼相符 AWS 私有 CA。
+ 測試 SCEP 端點連線能力:curl 。
+ 檢查 AWS CloudTrail 日誌是否有 AWS 私有 CA 錯誤 (`IssueCertificate` 失敗等)。
APNs問題 (iOS/macOS)
+ 確定 APNs憑證有效並指派給正確的組織群組。
+ 測試 APNs連線能力:telnet [gateway.push.apple.com](http://gateway.push.apple.com/) 2195。
設定檔安裝失敗
+ 確認裝置位於正確的智慧群組 (**裝置**、**清單檢視**,以及**群組**)。
+ 強制設定檔同步:**更多動作**,然後**傳送**,然後**設定檔清單**。
日誌
+ Android:使用 **Logcat** 或工作區 ONE 日誌。
+ iOS/macOS:log show --predicate 'process == "mdmclient"' --last 1h (透過 Xcode/Apple Configurator)。
+ Windows:**事件檢視器**,然後**是應用程式和服務日誌**,然後是 **Microsoft-Windows-DeviceManagement**。
+ Workspace ONE UEM:**監控**,然後**報告和分析**,然後是**事件**,然後是**裝置事件**。
如需 中用於 SCEP 監控的詳細 Connector AWS,請參閱 [https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html](https://docs.aws.amazon.com/privateca/latest/userguide/c4scep-monitoring-overview.html)。
## 安全考量
+ 安全地存放 SCEP URLs 和秘密。如需詳細資訊,請參閱 [AWS Secrets Manager 服務](https://docs.aws.amazon.com/secretsmanager/)。
+ 將智慧型群組條件限制為僅限目標裝置。
+ 定期續約 Apple 推播通知 (APNs) 憑證 (有效期為 1 年)。
+ 為概念驗證專案設定短憑證有效期間,以將風險降至最低。
+ 對於個人裝置,請確定清除會移除所有設定檔和憑證。
如需有關如何使用 SCEP 連接器設定 Omnissa Workspace ONE UEM 和 CA 整合的資訊,請參閱 [Omnissa Workspace ONE 文件中的 SCEP](https://docs.omnissa.com/bundle/CertificateAuthorityIntegrationsV2302/page/SCEP.html#:~:text=The%20exception%20to%20this%20requirement,Enable%20or%20disable%20the%20proxy.)。