Vue d’ensemble des PKI cloud Microsoft pour Microsoft Intune
S’applique à :
- Windows
- Android
- iOS
- macOS
Utilisez PKI cloud Microsoft pour émettre des certificats pour les appareils gérés par Intune. PKI cloud Microsoft est un service cloud qui simplifie et automatise la gestion du cycle de vie des certificats pour les appareils gérés par Intune. Il fournit une infrastructure à clé publique (PKI) dédiée pour vos organization, sans nécessiter de serveurs locaux, de connecteurs ou de matériel. Il gère l’émission, le renouvellement et la révocation des certificats pour toutes les plateformes Intune prises en charge.
Cet article fournit une vue d’ensemble de PKI cloud Microsoft pour Intune, son fonctionnement et son architecture.
Qu’est-ce que l’infrastructure à clé publique ?
L’infrastructure à clé publique est un système qui utilise des certificats numériques pour authentifier et chiffrer les données entre les appareils et les services. Les certificats PKI sont essentiels pour sécuriser différents scénarios, tels que VPN, Wi-Fi, e-mail, web et identité d’appareil. Toutefois, la gestion des certificats PKI peut être difficile, coûteuse et complexe, en particulier pour les organisations qui ont un grand nombre d’appareils et d’utilisateurs. Vous pouvez utiliser PKI cloud Microsoft pour améliorer la sécurité et la productivité de vos appareils et de vos utilisateurs, et pour accélérer votre transformation numérique vers un service PKI cloud entièrement managé. En outre, vous pouvez utiliser le service PKI cloud dans pour réduire les charges de travail pour les services de certificats Active Directory (ADCS) ou les autorités de certification locales privées.
Gérer les PKI cloud dans Microsoft Intune centre d’administration
PKI cloud Microsoft objets sont créés et gérés dans le centre d’administration Microsoft Intune. À partir de là, vous pouvez :
- Configurez et utilisez PKI cloud Microsoft pour votre organization.
- Activez PKI cloud dans votre locataire.
- Créez et affectez des profils de certificat aux appareils.
- Surveiller les certificats émis.
Après avoir créé une PKI cloud l’autorité de certification émettrice, vous pouvez commencer à émettre des certificats en quelques minutes.
Plateformes d’appareils prises en charge
Vous pouvez utiliser le service PKI cloud Microsoft avec les plateformes suivantes :
- Android
- iOS/iPadOS
- macOS
- Windows
Les appareils doivent être inscrits dans Intune et la plateforme doit prendre en charge le profil de certificat SCEP de configuration d’appareil Intune.
Vue d’ensemble des fonctionnalités
Le tableau suivant répertorie les fonctionnalités et les scénarios pris en charge avec PKI cloud Microsoft et Microsoft Intune.
| Fonctionnalité | Vue d’ensemble |
|---|---|
| Créer plusieurs autorités de certification dans un locataire Intune | Créez une hiérarchie PKI à deux niveaux avec la racine et l’autorité de certification émettrice dans le cloud. |
| Apportez votre propre autorité de certification (BYOCA) | Ancrer une Intune l’autorité de certification émettrice à une autorité de certification privée par le biais des services de certificats Active Directory ou d’un service de certificat non-Microsoft. Si vous disposez d’une infrastructure PKI existante, vous pouvez conserver la même autorité de certification racine et créer une autorité de certification émettrice qui se chaîne à votre racine externe. Cette option inclut la prise en charge des hiérarchies de niveau N+ de l’autorité de certification privée externe. |
| Algorithmes de signature et de chiffrement | Intune prend en charge RSA, tailles de clé 2048, 3072 et 4096. |
| Algorithmes de hachage | Intune prend en charge SHA-256, SHA-384 et SHA-512. |
| Clés HSM (signature et chiffrement) | Les clés sont approvisionnées à l’aide du module de sécurité matériel managé Azure (Azure Managed HSM). Les autorités de certification créées avec une licence Intune Suite ou PKI cloud module complémentaire autonome utilisent automatiquement des clés de chiffrement et de signature HSM. Aucun abonnement Azure n’est requis pour Azure HSM. |
| Clés logicielles (signature et chiffrement) | Les autorités de certification créées pendant une période d’essai de Intune Suite ou PKI cloud module complémentaire autonome utilisent des clés de signature et de chiffrement sauvegardées par logiciel à l’aide System.Security.Cryptography.RSAde . |
| Autorité d’inscription de certificat | Fourniture d’une autorité d’inscription de certificats cloud prenant en charge le protocole SCEP (Simple Certificate Enrollment Protocol) pour chaque PKI cloud autorité de certification émettrice. |
| Points de distribution de liste de révocation de certificats (CRL) | Intune héberge le point de distribution de liste de révocation de certificats (CDP) pour chaque autorité de certification. La période de validité de la liste de révocation de certificats est de sept jours. La publication et l’actualisation se produisent tous les 3,5 jours. La liste de révocation de certificats est mise à jour à chaque révocation de certificat. |
| Points de terminaison d’accès aux informations d’autorité (AIA) | Intune héberge le point de terminaison AIA pour chaque autorité de certification émettrice. Le point de terminaison AIA peut être utilisé par les parties de confiance pour récupérer les certificats parents. |
| Émission de certificat d’entité finale pour les utilisateurs et les appareils | Également appelé émission de certificat feuille . La prise en charge est pour le protocole SCEP (PKCS#7) et le format de certification, ainsi que pour les appareils inscrits Intune-GPM prenant en charge le profil SCEP. |
| Gestion du cycle de vie des certificats | Émettre, renouveler et révoquer des certificats d’entité finale. |
| Tableau de bord de création de rapports | Surveillez les certificats actifs, expirés et révoqués à partir d’un tableau de bord dédié dans le centre d’administration Intune. Affichez les rapports des certificats feuille émis et d’autres certificats, et révoquez les certificats feuille. Les rapports sont mis à jour toutes les 24 heures. |
| Audit | Auditez les activités d’administration telles que les actions de création, de révocation et de recherche dans le centre d’administration Intune. |
| Autorisations de contrôle d’accès en fonction du rôle (RBAC) | Créez des rôles personnalisés avec des autorisations PKI cloud Microsoft. Les autorisations disponibles vous permettent de lire les autorités de certification, de désactiver et de réactiver les autorités de certification, de révoquer les certificats feuille émis et de créer des autorités de certification. |
| Balises d'étendue | Ajoutez des balises d’étendue à toute autorité de certification que vous créez dans le Centre d’administration. Les balises d’étendue peuvent être ajoutées, supprimées et modifiées. |
Architecture
PKI cloud Microsoft est constitué de plusieurs composants clés qui travaillent ensemble pour simplifier la complexité et la gestion d’une infrastructure à clé publique. Il inclut un service PKI cloud pour la création et l’hébergement d’autorités de certification, combiné à une autorité d’inscription de certificats pour traiter automatiquement les demandes de certificat entrantes à partir d’appareils inscrits Intune. L’autorité d’inscription prend en charge le protocole SCEP (Simple Certificate Enrollment Protocol).
* Consultez Composants pour une répartition des services.
Composants :
A - Microsoft Intune
B - services PKI cloud Microsoft
- B1 - service PKI cloud Microsoft
- B2 - PKI cloud Microsoft service SCEP
- B3 - PKI cloud Microsoft service de validation SCEP
L’autorité d’enregistrement de certificat compose B2 et B3 dans le diagramme.
Ces composants remplacent la nécessité d’avoir une autorité de certification locale, NDES et Intune connecteur de certificat.
Actions :
Avant que l’appareil s’archive au service Intune, un administrateur Intune ou un rôle Intune disposant d’autorisations pour gérer le service PKI cloud Microsoft doit effectuer les actions suivantes :
- Créez l’autorité de certification PKI cloud requise pour la racine et les autorités de certification émettrices dans Microsoft Intune.
- Créez et affectez les profils de certificat d’approbation requis pour les autorités de certification racine et émettrices.
- Créez et affectez les profils de certificat SCEP spécifiques à la plateforme requis.
Ces actions nécessitent les composants B1, B2 et B3.
Remarque
Une autorité de certification émettrice PKI cloud est nécessaire pour émettre des certificats pour Intune appareils gérés. PKI cloud fournit un service SCEP qui fait office d’autorité d’inscription de certificats. Le service demande des certificats à l’autorité de certification émettrice pour le compte d’appareils gérés Intune à l’aide d’un profil SCEP.
Le flux se poursuit avec les actions suivantes, présentées dans le diagramme sous la forme A1 à A5 :
A1. Un appareil s’enregistre auprès du service Intune et reçoit le certificat approuvé et les profils SCEP.
A2. En fonction du profil SCEP, l’appareil crée une demande de signature de certificat (CSR). La clé privée est créée sur l’appareil et ne quitte jamais l’appareil. Le csr et le défi SCEP sont envoyés au service SCEP dans le cloud (propriété URI SCEP dans le profil SCEP). Le défi SCEP est chiffré et signé à l’aide de la Intune clés RA SCEP.
A3. Le service de validation SCEP vérifie la demande de signature de certificat par rapport au défi SCEP. La validation garantit que la demande provient d’un appareil inscrit et géré. Il garantit également que le défi n’est pas affecté et qu’il correspond aux valeurs attendues du profil SCEP. Si l’une de ces vérifications échoue, la demande de certificat est rejetée.
A4. Une fois la demande de signature de certificat validée, le service de validation SCEP, également appelé autorité d’inscription, demande que l’autorité de certification émettrice signe la demande de signature de certificat.
A5. Le certificat signé est remis à l’Intune appareil inscrit à GPM.
Remarque
Le défi SCEP est chiffré et signé à l’aide des clés d’autorité d’inscription SCEP Intune.
Conditions d'octroi de licence
PKI cloud Microsoft nécessite l’une des licences suivantes :
- licence Microsoft Intune Suite
- PKI cloud Microsoft licence autonome des modules complémentaires Intune
Pour plus d’informations sur les options de licence, consultez licences Microsoft Intune.
Contrôle d’accès en fonction du rôle
Les autorisations suivantes peuvent être attribuées à des rôles de Intune personnalisés. Ces autorisations permettent aux utilisateurs d’afficher et de gérer les autorités de certification dans le centre d’administration.
- Autorités de certification de lecture : tout utilisateur affecté à cette autorisation peut lire les propriétés d’une autorité de certification.
- Créer des autorités de certification : tout utilisateur affecté à cette autorisation peut créer une autorité de certification racine ou émettrice.
- Révoquer les certificats feuille émis : tout utilisateur affecté à cette autorisation a la possibilité de révoquer manuellement un certificat émis par une autorité de certification émettrice. Cette autorisation nécessite également l’autorisation d’autorité de certification en lecture .
Vous pouvez affecter des balises d’étendue à la racine et émettre des autorités de certification. Pour plus d’informations sur la création de rôles personnalisés et d’étiquettes d’étendue, consultez Contrôle d’accès en fonction du rôle avec Microsoft Intune.
Essayer PKI cloud Microsoft
Vous pouvez essayer la fonctionnalité PKI cloud Microsoft dans le centre d’administration Intune pendant une période d’évaluation. Les versions d’évaluation disponibles sont les suivantes :
Pendant la période d’évaluation, vous pouvez créer jusqu’à six autorités de certification dans votre locataire. PKI cloud autorités de certification créées pendant la version d’évaluation utilisent des clés sauvegardées par logiciel, et utilisez System.Security.Cryptography.RSA pour générer et signer les clés. Vous pouvez continuer à utiliser les autorités de certification après l’achat d’une licence PKI cloud. Toutefois, les clés restent sauvegardées par logiciel et ne peuvent pas être converties en clés sauvegardées par HSM. Clés d’autorité de certification managées du service Microsoft Intune. Aucun abonnement Azure n’est requis pour les fonctionnalités Azure HSM.
Exemples de configuration d’autorité de certification
Les autorités de certification à deux niveaux PKI cloud racine & émettrices et les autorités de certification apportez vos propres autorités de certification peuvent coexister dans Intune. Vous pouvez utiliser les configurations suivantes, fournies à titre d’exemples, pour créer des autorités de certification dans PKI cloud Microsoft :
- Une autorité de certification racine avec cinq autorités de certification émettrices
- Trois autorités de certification racines avec une autorité de certification émettrice chacune
- Deux autorités de certification racines avec une autorité de certification émettrice chacune et deux autorités de certification apportez vos propres autorités de certification
- Six autorités de certification apportez vos propres autorités de certification
Problèmes connus et conseils
Pour connaître les dernières modifications et ajouts, consultez Nouveautés de Microsoft Intune.
- Vous pouvez créer jusqu’à six autorités de certification dans un locataire Intune.
- PKI cloud sous licence : un total de 6 autorités de certification peuvent être créées à l’aide de clés Azure mHSM.
- PKI cloud d’évaluation : un total de 6 autorités de certification peuvent être créées lors d’une version d’évaluation de Intune Suite ou PKI cloud module complémentaire autonome.
- Les types d’autorité de certification suivants comptent dans la capacité de l’autorité de certification :
- PKI cloud l’autorité de certification racine
- autorité de certification émettrice de PKI cloud
- Autorité de certification émettrice BYOCA
- Dans le Centre d’administration, lorsque vous sélectionnez Afficher tous les certificats pour une autorité de certification émettrice, Intune affiche uniquement les 1 000 premiers certificats émis. Nous nous efforçons activement de résoudre cette limitation. Pour contourner ce problème, accédez à Moniteur d’appareils>. Sélectionnez ensuite Certificats pour afficher tous les certificats émis.