Přehled Microsoft Cloud PKI pro Microsoft Intune
Platí pro:
- Windows
- Android
- iOS
- macOS
K vydávání certifikátů pro zařízení spravovaná Intune použijte Microsoft Cloud PKI. Microsoft Cloud PKI je cloudová služba, která zjednodušuje a automatizuje správu životního cyklu certifikátů pro zařízení spravovaná Intune. Poskytuje vyhrazenou infrastrukturu veřejných klíčů (PKI) pro vaši organizaci bez nutnosti místních serverů, konektorů nebo hardwaru. Zpracovává vystavování, obnovení a odvolávání certifikátů pro všechny Intune podporované platformy.
Tento článek obsahuje přehled Microsoft Cloud PKI pro Intune, jak funguje a jaká je jeho architektura.
Co je infrastruktura veřejných klíčů?
Infrastruktura veřejných klíčů je systém, který používá digitální certifikáty k ověřování a šifrování dat mezi zařízeními a službami. Certifikáty PKI jsou nezbytné pro zabezpečení různých scénářů, jako je VPN, Wi-Fi, e-mail, web a identita zařízení. Správa certifikátů PKI ale může být náročná, nákladná a složitá, zejména pro organizace, které mají velký počet zařízení a uživatelů. Pomocí Microsoft Cloud PKI můžete zvýšit zabezpečení a produktivitu svých zařízení a uživatelů a zrychlit digitální transformaci na plně spravovanou cloudovou službu PKI. Kromě toho můžete využít službu Cloud PKI v systému a snížit tak zatížení služby Active Directory Certificate Services (ADCS) nebo privátních místních certifikačních autorit.
Správa Cloud PKI v Centru pro správu Microsoft Intune
Microsoft Cloud PKI objekty se vytvářejí a spravují v Centru pro správu Microsoft Intune. Odtud můžete:
- Nastavte a používejte Microsoft Cloud PKI pro vaši organizaci.
- Povolte ve svém tenantovi Cloud PKI.
- Vytvořte a přiřaďte k zařízením profily certifikátů.
- Monitorujte vystavené certifikáty.
Po vytvoření Cloud PKI vydávající certifikační autority můžete začít vydávat certifikáty za několik minut.
Podporované platformy zařízení
Službu Microsoft Cloud PKI můžete používat s těmito platformami:
- Android
- iOS/iPadOS
- macOS
- Windows
Zařízení musí být zaregistrovaná v Intune a platforma musí podporovat profil certifikátu SCEP konfigurace Intune zařízení.
Přehled funkcí
Následující tabulka uvádí funkce a scénáře podporované u Microsoft Cloud PKI a Microsoft Intune.
Funkce | Přehled |
---|---|
Vytvoření více certifikačních autorit (CA) v tenantovi Intune | Vytvořte dvouvrstvou hierarchii infrastruktury veřejných klíčů s kořenovou a vydávající certifikační autoritou v cloudu. |
Přineste si vlastní certifikační autoritu (BYOCA) | Ukotvení Intune vydávající certifikační autority k privátní certifikační autoritě prostřednictvím služby Ad DS (Active Directory Certificate Services) nebo certifikační služby jiné společnosti než Microsoft. Pokud máte existující infrastrukturu INFRASTRUKTURY VEŘEJNÝCH KLÍČŮ, můžete udržovat stejnou kořenovou certifikační autoritu a vytvořit vydávající certifikační autoritu, která se zřetědí s externím kořenovým serverem. Tato možnost zahrnuje podporu externích privátních n+ úrovní hierarchií certifikační autority. |
Podpisové a šifrovací algoritmy | Intune podporuje RSA, velikosti klíčů 2048, 3072 a 4096. |
Hashovací algoritmy | Intune podporuje SHA-256, SHA-384 a SHA-512. |
Klíče HSM (podepisování a šifrování) | Klíče se zřizují pomocí modulu zabezpečení spravovaného hardwaru Azure (Azure Managed HSM). Certifikační autority vytvořené pomocí licencované sady Intune Suite nebo samostatného doplňku Cloud PKI automaticky používají podpisové a šifrovací klíče HSM. Azure HSM nevyžaduje žádné předplatné Azure. |
Softwarové klíče (podepisování a šifrování) | Certifikační autority vytvořené během zkušebního období sady Intune Suite nebo Cloud PKI samostatný doplněk používají softwarové podpisové a šifrovací klíče pomocí System.Security.Cryptography.RSA nástroje . |
Certifikační autorita | Poskytnutí cloudové autority pro registraci certifikátů podporující protokol SCEP (Simple Certificate Enrollment Protocol) pro každou Cloud PKI vydávající certifikační autoritu. |
Distribuční body seznamu odvolaných certifikátů (CRL) | Intune hostuje distribuční bod seznamu CRL (CDP) pro každou certifikační autoritu. Doba platnosti seznamu CRL je sedm dnů. Publikování a aktualizace probíhá každých 3,5 dne. Seznam CRL se aktualizuje při každém odvolání certifikátu. |
Koncové body AIA (Authority Information Access) | Intune hostuje koncový bod AIA pro každou vydávající certifikační autoritu. Koncový bod AIA můžou předávající strany použít k načtení nadřazených certifikátů. |
Vystavování certifikátů koncových entit pro uživatele a zařízení | Označuje se také jako vystavení listového certifikátu . Podpora je pro protokol SCEP (PKCS#7) a formát certifikace a zařízení zaregistrovaná Intune-MDM podporující profil SCEP. |
Správa životního cyklu certifikátů | Vydávat, obnovovat a odvolávat certifikáty koncových entit. |
Řídicí panel sestav | Monitorujte aktivní, prošlé a odvolané certifikáty z vyhrazeného řídicího panelu v Centru pro správu Intune. Umožňuje zobrazit sestavy vydaných listových certifikátů a dalších certifikátů a odvolat listové certifikáty. Sestavy se aktualizují každých 24 hodin. |
Auditování | Auditovat aktivity správce, jako jsou akce vytvoření, odvolání a vyhledávání v Centru pro správu Intune. |
Oprávnění řízení přístupu na základě role (RBAC) | Vytváření vlastních rolí s Microsoft Cloud PKI oprávněními Dostupná oprávnění umožňují číst certifikační autority, zakázat a znovu povolit certifikační autority, odvolat vydané listové certifikáty a vytvářet certifikační autority. |
Značky oboru | Přidejte značky oboru ke každé certifikační autoritě, kterou vytvoříte v Centru pro správu. Značky oboru je možné přidávat, odstraňovat a upravovat. |
Architecture
Microsoft Cloud PKI se skládá z několika klíčových komponent, které společně spolupracují na zjednodušení složitosti a správy infrastruktury veřejných klíčů. Zahrnuje službu Cloud PKI pro vytváření a hostování certifikačních autorit v kombinaci s autoritou pro registraci certifikátů, která automaticky obsluhuje příchozí žádosti o certifikáty ze zařízení zaregistrovaných Intune. Registrační autorita podporuje protokol SCEP (Simple Certificate Enrollment Protocol).
*
Rozpis služeb najdete v tématu Komponenty .
Součásti:
A – Microsoft Intune
B – Microsoft Cloud PKI služby
- B1 – služba Microsoft Cloud PKI
- B2 – služba Microsoft Cloud PKI SCEP
- B3 – ověřovací služba Microsoft Cloud PKI SCEP
Certifikační autorita v diagramu tvoří B2 a B3.
Tyto komponenty nahrazují potřebu místní certifikační autority, NDES a Intune Certificate Connectoru.
Akce:
Než se zařízení přihlásí ke službě Intune, správce Intune nebo role Intune s oprávněními ke správě služby Microsoft Cloud PKI musí provést následující akce:
- Vytvořte požadovanou certifikační autoritu Cloud PKI pro kořenové a vydávající certifikační autority v Microsoft Intune.
- Vytvořte a přiřaďte požadované profily důvěryhodných certifikátů pro kořenové a vydávající certifikační autority.
- Vytvořte a přiřaďte požadované profily certifikátů SCEP pro konkrétní platformu.
Tyto akce vyžadují komponenty B1, B2 a B3.
Poznámka
K vystavování certifikátů pro Intune spravovaná zařízení se vyžaduje Cloud PKI vydávající certifikační autorita. Cloud PKI poskytuje službu SCEP, která funguje jako certifikační autorita pro registraci certifikátů. Služba vyžaduje certifikáty od vydávající certifikační autority jménem zařízení spravovaných Intune pomocí profilu SCEP.
Tok pokračuje následujícími akcemi, které jsou v diagramu znázorněné jako A1 až A5:
Č. 1. Zařízení se přihlásí ke službě Intune a obdrží důvěryhodný certifikát a profily SCEP.
Č. 2. Na základě profilu SCEP zařízení vytvoří žádost o podepsání certifikátu (CSR). Privátní klíč se vytvoří na zařízení a nikdy ho neopustí. Výzva CSR a SCEP se odesílají do služby SCEP v cloudu (vlastnost identifikátoru URI SCEP v profilu SCEP). Výzva SCEP je šifrovaná a podepsaná pomocí klíčů RA Intune SCEP.
Č. 3. Ověřovací služba SCEP ověřuje csr vůči výzvě SCEP. Ověření zajišťuje, že požadavek pochází z zaregistrovaného a spravovaného zařízení. Také zajišťuje, že výzva není neproměněná a že odpovídá očekávaným hodnotám z profilu SCEP. Pokud některá z těchto kontrol selže, žádost o certifikát se zamítne.
Č. 4. Po ověření csr ověřovací služba SCEP, označovaná také jako registrační autorita, požádá vydávající certifikační autoritu o podepsání CSR.
Č. 5. Podepsaný certifikát se doručí do zařízení zaregistrovaného Intune MDM.
Poznámka
Výzva SCEP je šifrovaná a podepsaná pomocí klíčů registrační autority Intune SCEP.
Licenční požadavky
Microsoft Cloud PKI vyžaduje jednu z následujících licencí:
- Microsoft Intune Suite licence
- Microsoft Cloud PKI licence na samostatné doplňky Intune
Další informace o možnostech licencování najdete v tématu Microsoft Intune licencování.
Řízení přístupu na základě role
K přiřazení vlastních rolí Intune jsou k dispozici následující oprávnění. Tato oprávnění umožňují uživatelům zobrazit a spravovat certifikační autority v Centru pro správu.
- Číst certifikační autority: Každý uživatel s tímto oprávněním může číst vlastnosti certifikační autority.
- Vytvořit certifikační autority: Každý uživatel s tímto oprávněním může vytvořit kořenovou nebo vydávající certifikační autoritu.
- Odvolání vydaných listových certifikátů: Každý uživatel s tímto oprávněním má možnost ručně odvolat certifikát vystavený vydávající certifikační autoritou. Toto oprávnění také vyžaduje oprávnění certifikační autority ke čtení .
Kořenovým a vydávajícím certifikačním autoritám můžete přiřadit značky oboru. Další informace o vytváření vlastních rolí a značek oboru najdete v tématu Řízení přístupu na základě role pomocí Microsoft Intune.
Vyzkoušet Microsoft Cloud PKI
Funkci Microsoft Cloud PKI si můžete vyzkoušet v Centru pro správu Intune během zkušebního období. Mezi dostupné zkušební verze patří:
Během zkušebního období můžete ve svém tenantovi vytvořit až šest certifikačních autorit. Cloud PKI certifikační autority vytvořené během zkušební verze používají klíče zálohované softwarem a používají System.Security.Cryptography.RSA
je ke generování a podepisování klíčů. Certifikační autority můžete dál používat i po zakoupení licence Cloud PKI. Klíče však zůstávají softwarově zálohované a nelze je převést na klíče založené na HSM. Microsoft Intune klíče certifikační autority spravované službou. Pro funkce Azure HSM se nevyžaduje žádné předplatné Azure.
Příklady konfigurace certifikační autority
Dvouvrstvé Cloud PKI kořenové & vydávající certifikační autority a vlastní certifikační autority můžou v Intune existovat společně. K vytvoření certifikačních autorit v Microsoft Cloud PKI můžete použít následující konfigurace uvedené jako příklady:
- Jedna kořenová certifikační autorita s pěti vydávajícími certifikačními autoritami
- Tři kořenové certifikační autority s jednou vydávající certifikační autoritou
- Dvě kořenové certifikační autority s jednou vydávající certifikační autoritou a dvě certifikační autority pro vlastní
- Šest vlastních certifikačních autorit
Známé problémy a omezení
Nejnovější změny a doplňky najdete v tématu Co je nového v Microsoft Intune.
- V tenantovi Intune můžete vytvořit až šest certifikačních autorit.
- Licencované Cloud PKI – Pomocí klíčů Azure mHSM je možné vytvořit celkem 6 certifikačních autorit.
- Zkušební Cloud PKI – Během zkušební verze sady Intune Suite nebo Cloud PKI samostatného doplňku je možné vytvořit celkem 6 certifikačních autorit.
- Do kapacity certifikační autority se započítávají následující typy certifikační autority:
- Cloud PKI kořenová certifikační autorita
- Cloud PKI vydávající certifikační autorita
- Certifikační autorita vydávající BYOCA
- Když v Centru pro správu vyberete Zobrazit všechny certifikáty pro vydávající certifikační autoritu, Intune zobrazí jenom prvních 1 000 vydaných certifikátů. Aktivně pracujeme na řešení tohoto omezení. Jako alternativní řešení přejděte na Sledování zařízení>. Pak vyberte Certifikáty a zobrazte všechny vystavené certifikáty.