凭证配置文件将用来进行身份验证的证书推送到设备。通过 Workspace ONE UEM,您可以为个人证书、中间证书、受信任的根证书、受信任的发布者证书以及受信任的人员证书存储配置凭证。了解如何配置凭证配置文件,以便为您的 Windows 10 设备启用身份验证。

即便使用强密码和其他限制策略,您的基础结构还会很容易受到暴力破解和字典攻击,甚至会因员工差错而受到影响。为了提高安全性,您可以实施数字证书来保护企业资产。要以此方式使用证书,您必须先配置一个包含证书颁发机构的凭证负载,并且配置 Wi-Fi 和 VPN 负载。其中每个负载中都含有用于关联凭证负载中定义的证书颁发机构的设置。

凭证配置文件还允许您将 S/MIME 证书推送到设备。这些证书会被上传到每个用户帐户名下并由凭证配置文件所控制。

过程

  1. 导航到资源 > 配置文件和基准 > 配置文件 > 添加,然后选择添加配置文件
  2. 选择 Windows,然后选择 Windows 桌面
  3. 选择用户配置文件设备配置文件
  4. 为配置文件配置常规设置。
  5. 选择凭证负载并配置以下设置:
    设置 说明
    凭证来源

    可选择上传定义的证书颁发机构或者用户证书作为凭证来源。

    其余负载选项有赖于来源。

    • 如果选择上传,则必须上传一个新证书。
    • 如果选择定义的证书颁发机构,则必须选择一个预定义的证书颁发机构和模板。
    • 如果选择用户证书,则必须选择如何使用 S/MIME 证书。
    上传

    选择此选项以导航到所需的凭证证书文件,并将该文件上传至 Workspace ONE UEM Console。

    此设置在将上传选作凭证来源时显示。

    证书颁发机构

    使用下拉菜单选择预定义的证书颁发机构。

    此设置在将定义的证书颁发机构选作凭证来源时显示。

    证书模板

    使用下拉菜单选择特定于所选证书颁发机构的预定义证书模板。

    此设置在将定义的证书颁发机构选作凭证来源时显示。

    导出私钥

    选择允许,使最终用户能够使用 Windows Certificate Manager 导出证书。

    选择不允许,禁止最终用户导出证书。

    密钥位置

    选择存放证书私钥的位置。

    • TPM (如果存在) - 如果设备上存在受信任的平台模块 (TPM),选择此选项将私钥存储在 TPM,否则将之存储在操作系统内。
    • 需要 TPM - 选择此选项将私钥存储在受信任的平台模块。如果 TPM 不存在,则不会安装证书,且设备上将显示错误消息。
    • 软件 - 选择此选项将私钥存储在设备操作系统中。
    • Passport - 选择此选项将私钥保存在 Microsoft Passport 内。此选项需要 Azure AD 集成。
    证书存储

    选择要寄存在设备中的相应凭证的证书存储。

    • 个人 – 选择此项以存储个人证书。个人证书需要在设备上安装 Workspace ONE Intelligent Hub或使用 SCEP 负载。

    • 中间 - 选择此项以存储中间证书颁发机构颁发的证书。
    • 受信任的根 - 选择此项以存储受信任的证书颁发机构颁发的证书以及您所在组织和 Microsoft 颁发的根证书。
    • 受信任的发布者 - 选择此项以存储由受软件限制策略信任的证书颁发机构颁发的证书。
    • 受信任的人员 - 选择此项以存储由受明确信任的人员或最终实体颁发的证书。这些证书往往是自签名证书或在某个应用程序 (如 Microsoft Outlook) 中受到明确信任的证书。
    存储位置 选择用户计算机来指定存储证书的位置。
    S/MIME 选择 S/MIME 证书将被用于加密还是签字。

    仅当凭证来源设置为用户证书时,才会显示此选项。

  6. 选择保存并发布,可将配置文件推送到设备。