我一直在使用这里的PowerShell示例https://github.com/microsoftgraph/powershell-intune-samples并通过导出在Intune控制台中手动定义的当前配置文件然后导入来创建SCEP证书配置文件。导入成功。
SCEP配置文件需要链接到已创建为可信证书配置文件的根证书,但无法通过图表Api找到链接方式。
因此,当从导入创建SCEP配置文件时,它必须通过Intune控制台进行链接,当链接配置文件按预期工作时,证书将从On-Prem CA发出。
Intune SCEP配置:(搜索'选择根CA证书') https://docs.microsoft.com/en-us/intune/certificates-scep-configure
谢谢!
答案 0 :(得分:0)
这篇文章现在有一段时间了,但是我的回答可能仍然会对某人有所帮助。 因此,您必须在有效负载上绑定受信任的证书策略。
E.G .: 想象一下,您拥有一个策略ID为'123456ab-1234-56df-97ce-12ab34cd5678'的受信任的根证书
该属性看起来像这样:
rootCertificate@odata.bind: "https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations('123456ab-1234-56df-97ce-12ab34cd5678')"
创建Windows8.1 Scep配置文件的有效负载示例如下:
{"id":"00000000-0000-0000-0000-000000000000",
"displayName":"W81SCep",
"description":"",
"roleScopeTagIds":[],
"@odata.type":"#microsoft.graph.windows81SCEPCertificateProfile",
"renewalThresholdPercentage":20,
"subjectNameFormatString":null,
"certificateStore":"user",
"certificateValidityPeriodScale":"years",
"certificateValidityPeriodValue":1,
"rootCertificate@odata.bind":"https://graph.microsoft.com/beta/deviceManagement/deviceConfigurations('123456ab-1234-56df-97ce-12ab34cd5678')",
"subjectNameFormat":"commonName",
"subjectAlternativeNameType":"userPrincipalName",
"keyStorageProvider":"useSoftwareKsp",
"keyUsage":"digitalSignature,keyEncipherment",
"keySize":"size2048",
"hashAlgorithm":"sha2",
"extendedKeyUsages":[{"name":"Any Purpose","objectIdentifier":"2.5.29.37.0"}],
"scepServerUrls":["URLSCEP.com"]}
此“ rootCertficate”属性可以在Windows8.1Scep配置文件的API主参考页面中找到,作为“ Relationship”属性。你可以在这里找到它: https://docs.microsoft.com/en-us/graph/api/resources/intune-deviceconfig-windows81scepcertificateprofile?view=graph-rest-beta
确实不是很简单,我不得不检查Azure门户上的请求以找出答案。