本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
設定適用於 SCEP 連接器的 Omnissa Workspace ONE
您可以使用 AWS Private CA 做為 Omnissa Workspace ONE UEM (統一端點管理) 系統的外部憑證授權機構 (CA)。本指南說明如何在建立 SCEP 連接器後設定 Omnissa Workspace ONE AWS。
先決條件
為 Omnissa Workspace ONE 建立 SCEP 連接器之前,您必須完成下列先決條件:
-
在 AWS 主控台中建立私有 CA。如需詳細資訊,請參閱在 中建立私有 CA AWS Private CA。
-
建立一般用途 SCEP 連接器。如需詳細資訊,請參閱建立連接器。
-
擁有具有組織群組 ID 的作用中 Omnissa Workspace ONE 環境管理員帳戶。
-
如果您要註冊 Apple 裝置,請為 MDM 設定 Apple 推播通知服務 APNs)。如需詳細資訊,請參閱 Omnissa 文件中的 APNs 憑證
。
步驟 1:在 Omnissa Workspace ONE 中定義憑證授權單位和範本
在 AWS 主控台中建立私有 CA 和 SCEP 連接器之後,請在 Omnissa Workspace ONE 中定義憑證授權單位和範本。
新增 AWS Private CA 做為憑證授權單位
-
從系統功能表中,選擇企業整合,然後選擇憑證授權機構。
-
選擇 + ADD 並提供下列資訊:
-
名稱: AWS-Private-CA。
-
描述: AWS Private CA 裝置憑證發行。
-
授權類型:選取一般 SCEP。
-
SCEP URL:輸入 SCEP URL 來源 AWS Private CA。
-
挑戰類型:選取 STATIC。
-
靜態挑戰:從 AWS 主控台的 Connector for SCEP 組態輸入 SCEP 靜態挑戰密碼。
-
輸入重試逾時和重試次數上限值。
-
-
儲存組態。
建立憑證範本
-
從系統功能表中,選擇企業整合,選擇憑證授權機構,然後選擇範本。
-
選擇新增範本並提供下列資訊:
-
範本名稱:Device-Cert-Template。
-
憑證授權單位:選擇 AWS-Private-CA。
-
主旨名稱:這是可自訂的欄位。您可以從屬性清單中選擇變數值。例如,CN={DeviceReportedName}、O={DevicePlatform}、OU={CustomAttribute1}
-
私有金鑰長度:2048 位元。
-
私有金鑰類型:視需要選取簽署和加密
-
自動續約:已啟用/已停用 (根據您的需求)。
-
-
儲存範本。
步驟 2:設定 Omnissa Workspace ONE UEM 設定檔組態
在 Omnissa Workspace ONE UEM 中建立設定檔,將裝置導向 Connector for SCEP 以發出憑證。
建立憑證分佈的 SCEP 裝置設定檔
-
從資源功能表中,選擇設定檔和基準,然後選擇設定檔。
-
選擇新增,然後選擇新增設定檔
-
選取裝置平台 (Android、iOS、macOS、Windows)。
-
視需要設定 管理類型和內容。
-
設定名稱:Device-Cert-Profile。
-
捲動至 SCEP 承載。
-
選取 SCEP,然後選擇 +新增。
-
使用下列組態:
-
SCEP:
-
針對登入資料來源,選取定義的憑證授權單位 (預設)。
-
針對憑證授權單位選取 AWS-Private-CA
-
針對憑證範本,選取步驟 1 中定義的 Device-Cert-Template。
-
-
-
選擇下一步,然後在指派區段中,從清單中選擇正確的智慧群組 (裝置的指派群組)。
-
選取指派類型為自動以啟用自動續約。
-
儲存並發佈設定檔。
注意
如需詳細資訊,請參閱 Omnissa 文件中的 SCEP
步驟 3:在 Omnissa Workspace ONE 中註冊裝置
建立或驗證智慧群組
-
從群組和設定中選擇群組,然後選擇指派群組。
-
建立或編輯 POC-Devices 智慧群組:
-
名稱:POC-Devices。
-
裝置類型:選取全部或特定平台 (例如 Android 或 iOS)。
-
條件:使用 UserGroup、平台和作業系統、OEM 和模型來指定將目標裝置分組的條件。
-
擁有權:為個人或公司裝置選取任何。
-
-
儲存並確認目標裝置會出現在預覽索引標籤中。
手動裝置註冊
- Android
-
-
從 Google Play 下載 Workspace ONE Intelligent Hub 應用程式。
-
開啟應用程式並輸入註冊 URL 或掃描 QR 碼。
-
登入並依照提示註冊為 MDM 受管裝置。
-
- iOS/macOS
-
-
在裝置上,開啟 Safari 並導覽至註冊 URL (例如 https://<WorkspaceONEUEMHostname>/enroll)。
-
使用使用者登入資料登入。
-
從 App Store 下載並安裝 Workspace ONE Intelligent Hub 應用程式。
-
依照設定 > 一般 > VPN & 裝置管理 > 設定檔 > 安裝中的提示安裝 MDM 設定檔。
-
- Windows
-
-
從工作區 ONE 伺服器或 Microsoft Store 下載工作區 ONE Intelligent Hub。
-
使用註冊 URL 和登入資料透過 Hub 註冊。
-
在裝置 > 列出檢視 > 更多動作 > 指派給智慧群組中,將已註冊的裝置指派給 POC-Devices 智慧群組。
如需詳細資訊,請參閱 Omnissa 文件中的自動化裝置註冊
驗證註冊
-
在 Omnissa Workspace ONE UEM 主控台中,前往裝置,然後列出檢視。
-
確認您的已註冊裝置顯示狀態設為已註冊。
-
確認裝置位於裝置詳細資訊的群組索引標籤中的 POC-Devices 智慧群組中。
步驟 4:發行憑證
發出憑證的觸發程序
-
在裝置清單檢視中,選取已註冊的裝置。
-
選擇查詢按鈕以提示簽入。
-
Device-Cert-Profile 應該透過 發出憑證 AWS Private CA。
驗證憑證安裝
- Android
-
選擇設定,然後選擇安全性,然後選擇信任的登入資料,然後選擇使用者來驗證憑證。
- iOS
-
前往設定,然後選擇一般,然後選擇 VPN 和裝置管理,然後選擇組態設定檔。確認來自 AWS-Private-CA 的憑證存在。
- macOS
-
開啟 Keychain Access,然後開啟 System Keychain 並驗證憑證。
- Windows
-
開啟 certmgr.msc,然後開啟 Personal,然後開啟 Certificates 來驗證憑證。
故障診斷
- SCEP 錯誤 (例如「22013」-SCEP 伺服器傳回無效的回應」)
-
-
驗證工作區 ONE 中的 SCEP URL 和靜態挑戰密碼相符 AWS Private CA。
-
測試 SCEP 端點連線:curl <SCEP_URL>。
-
檢查 AWS CloudTrail 日誌是否有 AWS Private CA 錯誤 (
IssueCertificate失敗等)。
-
- APNs問題 (iOS/macOS)
-
-
確定 APNs憑證有效並指派給正確的組織群組。
-
測試 APNs連線能力:telnet gateway.push.apple.com
2195。
-
- 設定檔安裝失敗
-
-
確認裝置位於正確的智慧型群組 (裝置、清單檢視,然後是群組)。
-
強制設定檔同步:更多動作,然後傳送,然後設定檔清單。
-
- 日誌
-
-
Android:使用 Logcat 或工作區 ONE 日誌。
-
iOS/macOS:log show --predicate 'process == "mdmclient"' --last 1h (透過 Xcode/Apple Configurator)。
-
Windows:事件檢視器,然後是應用程式和服務日誌,然後是 Microsoft-Windows-DeviceManagement。
-
Workspace ONE UEM:監控,然後報告和分析,然後是事件,然後是裝置事件。
-
如需 中用於 SCEP 監控的詳細 Connector AWS,請參閱 Monitor Connector for SCEP。
安全考量
-
安全地存放 SCEP URLs 和秘密。如需詳細資訊,請參閱 AWS Secrets Manager 服務。
-
將智慧型群組條件限制為僅限目標裝置。
-
定期續約 Apple 推播通知 (APNs) 憑證 (有效期為 1 年)。
-
為概念驗證專案設定短憑證有效期間,以將風險降至最低。
-
對於個人裝置,請確定清除會移除所有設定檔和憑證。
如需有關如何使用 SCEP 連接器設定 Omnissa Workspace ONE UEM 和 CA 整合的資訊,請參閱 Omnissa Workspace ONE 文件中的 SCEP
