Ssl 当通过Intune SCEP配置文件生成TPM芯片上的单个私钥时，您如何对其进行PIN保护

我们正在为我们的win10机队从本地Active Directory转移到Azure AD/Intune设备管理。作为这次迁移的一部分，我们的PKI功能正在遭受打击。我们通过实现几个SCEP实例来与我们的云托管CA对话，每个实例都有自己的证书模板，从而缓解了大部分问题

其中两个模板是用户签名证书，我们的员工使用它们来获取用于文档签名的签名证书。作为我们监管要求的一部分，用户必须在每次使用这些证书时输入密码。在遗留系统中，我们通过在遗留CryptoAPI（CAPI）框架中提供强大的私钥保护来实现这一点。私钥存储在Microsoft Enhanced Key Storage Provider中，这使我们能够强制实施强大的私钥保护

在Intune环境中，网络安全希望我们通过CNG的Microsoft平台加密提供商将私钥存储在TPM芯片上。这也在Intune SCEP证书配置文件中指定，我们在其中设置了以下选项：

在TPM中存储私钥，如果没有TPM，则请求失败

虽然这是预期的工作，但我们无法提示用户设置私钥密码。据我所知，这可以在设备和SCEP端点之间的certreq过程中完成。然而，这个过程是由Intune定义的，我们不知道在Intune中该如何设置。我们已经尝试设置注册表标志以强制强私钥保护，但这显然不起作用，因为强私钥保护是CAPI的一种机制，而不是CNG