Udostępnij za pośrednictwem

Omówienie PKI w chmurze firmy Microsoft dla Microsoft Intune

  • Artykuł

Dotyczy:

  • System Windows
  • Android
  • iOS
  • macOS

Użyj PKI w chmurze firmy Microsoft, aby wystawiać certyfikaty dla urządzeń zarządzanych Intune. PKI w chmurze firmy Microsoft jest usługą opartą na chmurze, która upraszcza i automatyzuje zarządzanie cyklem życia certyfikatów dla urządzeń zarządzanych Intune. Zapewnia dedykowaną infrastrukturę kluczy publicznych (PKI) dla twojej organizacji bez konieczności używania serwerów lokalnych, łączników ani sprzętu. Obsługuje wystawianie, odnawianie i odwoływanie certyfikatów dla wszystkich Intune obsługiwanych platform.

Ten artykuł zawiera omówienie PKI w chmurze firmy Microsoft Intune, jego działania i architektury.

Co to jest infrastruktura PKI?

Infrastruktura kluczy publicznych to system, który używa certyfikatów cyfrowych do uwierzytelniania i szyfrowania danych między urządzeniami i usługami. Certyfikaty infrastruktury kluczy publicznych są niezbędne do zabezpieczania różnych scenariuszy, takich jak sieć VPN, sieć Wi-Fi, poczta e-mail, sieć Web i tożsamość urządzenia. Jednak zarządzanie certyfikatami infrastruktury kluczy publicznych może być trudne, kosztowne i złożone, szczególnie w przypadku organizacji, które mają dużą liczbę urządzeń i użytkowników. Możesz użyć PKI w chmurze firmy Microsoft, aby zwiększyć bezpieczeństwo i produktywność urządzeń i użytkowników oraz przyspieszyć transformację cyfrową do w pełni zarządzanej usługi infrastruktury kluczy publicznych w chmurze. Ponadto można użyć usługi PKI w chmurze w programie w celu zmniejszenia obciążeń dla usług certyfikatów Active Directory (ADCS) lub prywatnych lokalnych urzędów certyfikacji.

Zarządzanie PKI w chmurze w centrum administracyjnym Microsoft Intune

PKI w chmurze firmy Microsoft obiekty są tworzone i zarządzane w centrum administracyjnym Microsoft Intune. Stamtąd możesz:

  • Skonfiguruj i użyj PKI w chmurze firmy Microsoft dla swojej organizacji.
  • Włącz PKI w chmurze w dzierżawie.
  • Tworzenie i przypisywanie profilów certyfikatów do urządzeń.
  • Monitoruj wystawione certyfikaty.

Po utworzeniu urzędu certyfikacji wystawiającego PKI w chmurze można zacząć wystawiać certyfikaty w ciągu kilku minut.

Obsługiwane platformy urządzeń

Możesz użyć usługi PKI w chmurze firmy Microsoft z następującymi platformami:

  • Android
  • iOS/iPadOS
  • macOS
  • System Windows

Urządzenia muszą być zarejestrowane w Intune, a platforma musi obsługiwać profil certyfikatu SCEP konfiguracji urządzenia Intune.

Omówienie funkcji

W poniższej tabeli wymieniono funkcje i scenariusze obsługiwane przez PKI w chmurze firmy Microsoft i Microsoft Intune.

Funkcja Omówienie
Tworzenie wielu urzędów certyfikacji w dzierżawie Intune Utwórz dwuwarstwową hierarchię infrastruktury PKI z głównym i wystawiającym urzędem certyfikacji w chmurze.
Przynieś własny urząd certyfikacji (BYOCA) Zakotwiczenie urzędu certyfikacji wystawiającego Intune do prywatnego urzędu certyfikacji za pośrednictwem usług certyfikatów Active Directory lub usługi certyfikatów innych niż Microsoft. Jeśli masz istniejącą infrastrukturę infrastruktury PKI, możesz zachować ten sam główny urząd certyfikacji i utworzyć urząd wystawiający certyfikaty, który jest łańcuchem do zewnętrznego katalogu głównego. Ta opcja obejmuje obsługę zewnętrznych hierarchii warstwy N+ prywatnego urzędu certyfikacji.
Algorytmy podpisywania i szyfrowania Intune obsługuje RSA, rozmiary kluczy 2048, 3072 i 4096.
Algorytmy wyznaczania wartości skrótu Intune obsługuje sha-256, SHA-384 i SHA-512.
Klucze modułu HSM (podpisywanie i szyfrowanie) Klucze są aprowizowane przy użyciu modułu Azure Managed Hardware Security Module (Azure Managed HSM).

Urzędy certyfikacji utworzone przy użyciu licencjonowanego pakietu Intune Suite lub PKI w chmurze dodatku autonomicznego automatycznie używają kluczy podpisywania i szyfrowania modułu HSM. Dla modułu HSM platformy Azure nie jest wymagana żadna subskrypcja platformy Azure.
Klucze oprogramowania (podpisywanie i szyfrowanie) Urzędy certyfikacji utworzone w okresie próbnym pakietu Intune Suite lub PKI w chmurze autonomicznego dodatku używają kluczy podpisywania i szyfrowania opartych na oprogramowaniu przy użyciu System.Security.Cryptography.RSAprogramu .
Urząd rejestracji certyfikatów Zapewnienie urzędu rejestracji certyfikatów w chmurze obsługującego protokół SCEP (Simple Certificate Enrollment Protocol) dla każdego urzędu wystawiającego certyfikaty PKI w chmurze.
Punkty dystrybucji listy odwołania certyfikatów (CRL) Intune hostuje punkt dystrybucji listy CRL (CDP) dla każdego urzędu certyfikacji.

Okres ważności listy CRL wynosi siedem dni. Publikowanie i odświeżanie odbywa się co 3,5 dnia. Lista CRL jest aktualizowana przy użyciu każdego odwołania certyfikatu.
Punkty końcowe dostępu do informacji o urzędzie (AIA) Intune hostuje punkt końcowy usługi AIA dla każdego urzędu wystawiającego certyfikaty. Punktu końcowego AIA mogą używać jednostki uzależnionej do pobierania certyfikatów nadrzędnych.
Wystawianie certyfikatów jednostki końcowej dla użytkowników i urządzeń Nazywane również wystawianiem certyfikatów liścia . Obsługa protokołu SCEP (PKCS#7) i formatu certyfikacji oraz urządzeń zarejestrowanych w programie Intune-MDM obsługujących profil SCEP.
Zarządzanie cyklem życia certyfikatów Wystawianie, odnawianie i odwoływanie certyfikatów jednostek końcowych.
Pulpit nawigacyjny raportowania Monitorowanie aktywnych, wygasłych i odwołanych certyfikatów z dedykowanego pulpitu nawigacyjnego w centrum administracyjnym Intune. Wyświetlanie raportów dla wystawionych certyfikatów liści i innych certyfikatów oraz odwoływanie certyfikatów liści. Raporty są aktualizowane co 24 godziny.
Inspekcja Inspekcja działań administratora, takich jak tworzenie, odwoływanie i wyszukiwanie akcji w centrum administracyjnym Intune.
Uprawnienia kontroli dostępu opartej na rolach (RBAC) Tworzenie ról niestandardowych z uprawnieniami PKI w chmurze firmy Microsoft. Dostępne uprawnienia umożliwiają odczytywanie urzędów certyfikacji, wyłączanie i ponowne włączanie urzędów certyfikacji, odwoływanie wystawionych certyfikatów liści i tworzenie urzędów certyfikacji.
Tagi zakresu Dodaj tagi zakresu do dowolnego urzędu certyfikacji utworzonego w centrum administracyjnym. Tagi zakresu można dodawać, usuwać i edytować.

Architektura

PKI w chmurze firmy Microsoft składa się z kilku kluczowych składników współpracujących ze sobą w celu uproszczenia złożoności infrastruktury kluczy publicznych i zarządzania nią. Obejmuje ona usługę PKI w chmurze do tworzenia i hostowania urzędów certyfikacji w połączeniu z urzędem rejestracji certyfikatów w celu automatycznego obsługi przychodzących żądań certyfikatów z urządzeń zarejestrowanych w Intune. Urząd rejestracji obsługuje protokół SCEP (Simple Certificate Enrollment Protocol).

Rysunek architektury PKI w chmurze firmy Microsoft.
* Zobacz Składniki , aby zapoznać się z podziałem usług.

Składniki:

  • A — Microsoft Intune

  • B — usługi PKI w chmurze firmy Microsoft

    • B1 — usługa PKI w chmurze firmy Microsoft
    • B2 — usługa PKI w chmurze firmy Microsoft SCEP
    • B3 — PKI w chmurze firmy Microsoft usługi weryfikacji protokołu SCEP

    Urząd rejestracji certyfikatów tworzy B2 i B3 na diagramie.

Te składniki zastępują potrzebę lokalnego urzędu certyfikacji, usługi NDES i łącznika certyfikatów Intune.

Akcje:

Przed zaewidencjonowaniem urządzenia w usłudze Intune administrator Intune lub rola Intune z uprawnieniami do zarządzania usługą PKI w chmurze firmy Microsoft musi wykonać następujące czynności:

  • Utwórz wymagany urząd certyfikacji PKI w chmurze dla głównych i wystawiających urzędów certyfikacji w Microsoft Intune.
  • Utwórz i przypisz wymagane profile certyfikatów zaufania dla głównych i wystawiających urzędów certyfikacji.
  • Utwórz i przypisz wymagane profile certyfikatów SCEP specyficzne dla platformy.

Te akcje wymagają składników B1, B2 i B3.

Uwaga

Do wystawiania certyfikatów dla Intune zarządzanych urządzeń wymagany jest urząd certyfikacji PKI w chmurze wystawiania certyfikatów. PKI w chmurze udostępnia usługę SCEP, która działa jako urząd rejestracji certyfikatów. Usługa żąda certyfikatów z urzędu wystawiającego certyfikaty w imieniu urządzeń zarządzanych Intune przy użyciu profilu protokołu SCEP.

Przepływ kontynuuje następujące akcje, pokazane na diagramie jako od A1 do A5:

A1. Urządzenie zaewidencjonuje usługę Intune i odbiera zaufany certyfikat i profile SCEP.

A2. Na podstawie profilu protokołu SCEP urządzenie tworzy żądanie podpisania certyfikatu (CSR). Klucz prywatny jest tworzony na urządzeniu i nigdy nie opuszcza urządzenia. Żądanie CSR i SCEP są wysyłane do usługi SCEP w chmurze (właściwość SCEP URI w profilu SCEP). Wyzwanie SCEP jest szyfrowane i podpisane przy użyciu Intune kluczy RA protokołu SCEP.

A3. Usługa weryfikacji protokołu SCEP weryfikuje csr pod kątem wyzwania SCEP. Weryfikacja zapewnia, że żądanie pochodzi z zarejestrowanego i zarządzanego urządzenia. Zapewnia również, że wyzwanie jest nieobsługowane i że jest zgodne z oczekiwanymi wartościami z profilu protokołu SCEP. Jeśli którykolwiek z tych testów zakończy się niepowodzeniem, żądanie certyfikatu zostanie odrzucone.

A4. Po zweryfikowaniu pliku CSR usługa sprawdzania poprawności protokołu SCEP, znana również jako urząd rejestracji, żąda, aby urząd wystawiający certyfikaty podpisał certyfikat CSR.

A5. Podpisany certyfikat jest dostarczany do urządzenia zarejestrowanego w Intune MDM.

Uwaga

Wyzwanie SCEP jest szyfrowane i podpisane przy użyciu Intune kluczy urzędu rejestracji protokołu SCEP.

Wymagania dotyczące licencjonowania

PKI w chmurze firmy Microsoft wymaga jednej z następujących licencji:

  • licencja Microsoft Intune Suite
  • PKI w chmurze firmy Microsoft autonomicznej licencji dodatków Intune

Aby uzyskać więcej informacji na temat opcji licencjonowania, zobacz licencjonowanie Microsoft Intune.

Kontrola dostępu oparta na rolach

Dostępne są następujące uprawnienia do przypisywania do niestandardowych ról Intune. Te uprawnienia umożliwiają użytkownikom wyświetlanie urzędów certyfikacji i zarządzanie nimi w centrum administracyjnym.

  • Odczyt urzędów certyfikacji: każdy użytkownik, do którego przypisano to uprawnienie, może odczytać właściwości urzędu certyfikacji.
  • Tworzenie urzędów certyfikacji: każdy użytkownik, do którego przypisano to uprawnienie, może utworzyć główny lub wystawiający urząd certyfikacji.
  • Odwołaj wystawione certyfikaty liścia: każdy użytkownik, do którego przypisano to uprawnienie, może ręcznie odwołać certyfikat wystawiony przez urząd wystawiający certyfikat. To uprawnienie wymaga również uprawnienia do odczytu urzędu certyfikacji .

Tagi zakresu można przypisywać do głównych i wystawiających urzędów certyfikacji. Aby uzyskać więcej informacji na temat tworzenia niestandardowych ról i tagów zakresu, zobacz Kontrola dostępu oparta na rolach z Microsoft Intune.

Spróbuj PKI w chmurze firmy Microsoft

Możesz wypróbować funkcję PKI w chmurze firmy Microsoft w centrum administracyjnym Intune w okresie próbnym. Dostępne wersje próbne obejmują:

W okresie próby można utworzyć maksymalnie sześć urzędów certyfikacji w dzierżawie. PKI w chmurze urzędy certyfikacji utworzone podczas próby używają kluczy opartych na oprogramowaniu i używają ich System.Security.Cryptography.RSA do generowania i podpisywania kluczy. Możesz nadal korzystać z urzędów certyfikacji po zakupie licencji PKI w chmurze. Klucze pozostają jednak wspierane przez oprogramowanie i nie można ich przekonwertować na klucze wspierane przez moduł HSM. Klucze urzędu certyfikacji zarządzane przez usługę Microsoft Intune. Dla możliwości modułu HSM platformy Azure nie jest wymagana żadna subskrypcja platformy Azure.

Przykłady konfiguracji urzędu certyfikacji

Dwuwarstwowe urzędy certyfikacji PKI w chmurze główne & wystawiające urzędy certyfikacji i urzędy certyfikacji typu "bring-your-own" mogą współistnieć w Intune. Następujące konfiguracje, podane jako przykłady, umożliwiają tworzenie urzędów certyfikacji w PKI w chmurze firmy Microsoft:

  • Jeden główny urząd certyfikacji z pięcioma urzędami certyfikacji wystawiającym certyfikaty
  • Trzy główne urzędy certyfikacji z jednym urzędem wystawiającym certyfikaty
  • Dwa główne urzędy certyfikacji z jednym urzędem wystawiającym certyfikaty i dwoma własnymi urzędami certyfikacji
  • Sześć własnych urzędów certyfikacji

Znane problemy i ograniczenia

Najnowsze zmiany i dodatki można znaleźć w temacie Co nowego w Microsoft Intune.

  • W dzierżawie Intune można utworzyć maksymalnie sześć urzędów certyfikacji.
    • Licencjonowane PKI w chmurze — można utworzyć łącznie 6 urzędów certyfikacji przy użyciu kluczy usługi Azure mHSM.
    • Wersja próbna PKI w chmurze — w ramach wersji próbnej pakietu Intune Suite lub PKI w chmurze autonomicznego dodatku można utworzyć łącznie 6 urzędów certyfikacji.
  • Następujące typy urzędu certyfikacji są liczone do pojemności urzędu certyfikacji:
    • główny urząd certyfikacji PKI w chmurze
    • urząd wystawiający PKI w chmurze
    • Urząd wystawiający certyfikaty BYOCA
  • W centrum administracyjnym po wybraniu pozycji Wyświetl wszystkie certyfikaty dla urzędu wystawiającego certyfikaty Intune wyświetlane są tylko pierwsze 1000 wystawionych certyfikatów. Aktywnie pracujemy nad rozwiązaniem tego ograniczenia. Aby obejść ten problem, przejdź do pozycji Monitor urządzeń>. Następnie wybierz pozycję Certyfikaty , aby wyświetlić wszystkie wystawione certyfikaty.