Descrição geral do PKI em nuvem da Microsoft para Microsoft Intune
Aplica-se a:
- Windows
- Android
- iOS
- macOS
Utilize PKI em nuvem da Microsoft para emitir certificados para dispositivos geridos por Intune. PKI em nuvem da Microsoft é um serviço baseado na cloud que simplifica e automatiza a gestão do ciclo de vida dos certificados para dispositivos geridos Intune. Fornece uma infraestrutura de chaves públicas (PKI) dedicada para a sua organização, sem necessidade de servidores, conectores ou hardware no local. Processa a emissão, renovação e revogação de certificados para todas as Intune plataformas suportadas.
Este artigo fornece uma descrição geral do PKI em nuvem da Microsoft para Intune, como funciona e a respetiva arquitetura.
O que é a PKI?
A PKI é um sistema que utiliza certificados digitais para autenticar e encriptar dados entre dispositivos e serviços. Os certificados PKI são essenciais para proteger vários cenários, como VPN, Wi-Fi, e-mail, Web e identidade do dispositivo. No entanto, a gestão de certificados PKI pode ser desafiante, dispendiosa e complexa, especialmente para organizações que têm um grande número de dispositivos e utilizadores. Pode utilizar PKI em nuvem da Microsoft para melhorar a segurança e produtividade dos seus dispositivos e utilizadores e acelerar a sua transformação digital para um serviço PKI na cloud totalmente gerido. Além disso, pode utilizar o serviço PKI em nuvem no para reduzir as cargas de trabalho dos Serviços de Certificados do Active Directory (ADCS) ou autoridades de certificação privadas no local.
Gerir PKI em nuvem no centro de administração do Microsoft Intune
PKI em nuvem da Microsoft objetos são criados e geridos no centro de administração do Microsoft Intune. A partir daí, pode:
- Configure e utilize PKI em nuvem da Microsoft para a sua organização.
- Ative PKI em nuvem no seu inquilino.
- Criar e atribuir perfis de certificado a dispositivos.
- Monitorizar certificados emitidos.
Depois de criar uma AC emissora de PKI em nuvem, pode começar a emitir certificados em minutos.
Plataformas de dispositivos com suporte
Pode utilizar o serviço PKI em nuvem da Microsoft com estas plataformas:
- Android
- iOS/iPadOS
- macOS
- Windows
Os dispositivos têm de estar inscritos no Intune e a plataforma tem de suportar o perfil de certificado SCEP de configuração do dispositivo Intune.
Descrição geral das funcionalidades
A tabela seguinte lista as funcionalidades e cenários suportados com PKI em nuvem da Microsoft e Microsoft Intune.
| Recurso | Visão Geral |
|---|---|
| Criar várias autoridades de certificação (AC) num inquilino Intune | Crie uma hierarquia PKI de duas camadas com a AC de raiz e de emissão na cloud. |
| Traga a sua própria AC (BYOCA) | Ancore uma AC emissora de Intune a uma AC privada através dos Serviços de Certificados do Active Directory ou de um serviço de certificados não Microsoft. Se tiver uma infraestrutura PKI existente, pode manter a mesma AC de raiz e criar uma AC emissora que se encoste à sua raiz externa. Esta opção inclui suporte para hierarquias de escalão N+ da AC privada externa. |
| Algoritmos de Assinatura e Encriptação | Intune suporta RSA, tamanhos de chave 2048, 3072 e 4096. |
| Algoritmos hash | Intune suporta SHA-256, SHA-384 e SHA-512. |
| Chaves HSM (assinatura e encriptação) | As chaves são aprovisionadas com o Módulo de Segurança de Hardware Gerido do Azure (Azure Managed HSM). As ACs criadas com um Intune Suite licenciado ou PKI em nuvem Suplemento Autónomo utilizam automaticamente chaves de encriptação e assinatura HSM. Não é necessária nenhuma subscrição do Azure para o Azure HSM. |
| Chaves de Software (assinatura e encriptação) | As ACs criadas durante um período de avaliação do Intune Suite ou PKI em nuvem suplemento autónomo utilizam chaves de encriptação e assinatura com suporte para software com System.Security.Cryptography.RSAo . |
| Autoridade de registo de certificados | Fornecer uma Autoridade de Registo de Certificados da Cloud que suporte o Protocolo SCEP (Simple Certificate Enrollment Protocol) para cada PKI em nuvem AC Emissora. |
| Pontos de distribuição da Lista de Revogação de Certificados (CRL) | Intune aloja o ponto de distribuição CRL (CDP) para cada AC. O período de validade da CRL é de sete dias. A publicação e a atualização ocorrem a cada 3,5 dias. A CRL é atualizada com cada revogação de certificados. |
| Pontos finais do Acesso a Informações de Autoridade (AIA) | Intune aloja o ponto final do AIA para cada AC emissora. O ponto final do AIA pode ser utilizado pelas entidades confiadoras para obter certificados principais. |
| Emissão de certificados de entidade final para utilizadores e dispositivos | Também referido como emissão de certificado de folha . O suporte destina-se ao protocolo SCEP (PKCS#7) e ao formato de certificação e aos dispositivos inscritos Intune-MDM que suportam o perfil SCEP. |
| Gestão do ciclo de vida do certificado | Emitir, renovar e revogar certificados de entidade final. |
| Dashboard de relatórios | Monitorize certificados ativos, expirados e revogados de um dashboard dedicado no centro de administração do Intune. Veja relatórios para certificados de folha emitidos e outros certificados e revogue certificados de folha. Os relatórios são atualizados a cada 24 horas. |
| Auditoria | Audite a atividade de administrador, como criar, revogar e pesquisar ações no centro de administração do Intune. |
| Permissões de controlo de acesso baseado em funções (RBAC) | Crie funções personalizadas com permissões de PKI em nuvem da Microsoft. As permissões disponíveis permitem-lhe ler ACs, desativar e reativar ACs, revogar certificados de folha emitidos e criar autoridades de certificação. |
| Marcas de escopo | Adicione etiquetas de âmbito a qualquer AC que criar no centro de administração. As etiquetas de âmbito podem ser adicionadas, eliminadas e editadas. |
Arquitetura
PKI em nuvem da Microsoft é composto por vários componentes principais que trabalham em conjunto para simplificar a complexidade e a gestão de uma infraestrutura de chave pública. Inclui um serviço de PKI em nuvem para criar e alojar autoridades de certificação, combinado com uma autoridade de registo de certificados para atender automaticamente pedidos de certificado recebidos a partir de dispositivos inscritos Intune. A autoridade de registo suporta o Protocolo SCEP (Simple Certificate Enrollment Protocol).
* Veja Componentes para obter uma discriminação dos serviços.
Componentes:
A - Microsoft Intune
B - serviços de PKI em nuvem da Microsoft
- B1 - serviço PKI em nuvem da Microsoft
- B2 - PKI em nuvem da Microsoft serviço SCEP
- B3 - PKI em nuvem da Microsoft serviço de validação SCEP
A autoridade de registo de certificados compõe B2 e B3 no diagrama.
Estes componentes substituem a necessidade de uma autoridade de certificação no local, o NDES e Intune o conector de certificados.
Ações:
Antes de o dispositivo dar entrada no serviço de Intune, uma função de administrador Intune ou Intune com permissões para gerir o serviço de PKI em nuvem da Microsoft tem de concluir as seguintes ações:
- Crie a autoridade de certificação necessária PKI em nuvem para as ACs de raiz e emissão no Microsoft Intune.
- Crie e atribua os perfis de certificado de fidedignidade necessários para as ACs de raiz e emissão.
- Crie e atribua os perfis de certificado SCEP específicos da plataforma necessários.
Estas ações requerem os componentes B1, B2 e B3.
Observação
É necessária uma Autoridade de Certificação emissora de PKI em nuvem para emitir certificados para dispositivos geridos Intune. PKI em nuvem fornece um serviço SCEP que funciona como uma Autoridade de Registo de Certificados. O serviço solicita certificados da AC emissora em nome de dispositivos geridos Intune através de um perfil SCEP.
O fluxo continua com as seguintes ações, mostradas no diagrama como A1 a A5:
A1. Um dispositivo dá entrada com o serviço Intune e recebe o certificado fidedigno e os perfis SCEP.
A2. Com base no perfil SCEP, o dispositivo cria um pedido de assinatura de certificado (CSR). A chave privada é criada no dispositivo e nunca sai do dispositivo. O CSR e o desafio SCEP são enviados para o serviço SCEP na cloud (propriedade URI do SCEP no perfil SCEP). O desafio SCEP é encriptado e assinado com as chaves de RA scep Intune.
A3. O serviço de validação SCEP verifica a CSR relativamente ao desafio scep. A validação garante que o pedido provém de um dispositivo inscrito e gerido. Também garante que o desafio não está ativado e que corresponde aos valores esperados do perfil SCEP. Se alguma destas verificações falhar, o pedido de certificado é rejeitado.
A4. Após a validação do CSR, o serviço de validação SCEP, também conhecido como autoridade de registo, pede que a AC emissora assine o CSR.
A5. O certificado assinado é entregue no Intune dispositivo inscrito na MDM.
Observação
O desafio SCEP é encriptado e assinado com as chaves de autoridade de registo do SCEP Intune.
Requisitos de licenciamento
PKI em nuvem da Microsoft requer uma das seguintes licenças:
- licença de Microsoft Intune Suite
- PKI em nuvem da Microsoft licença de suplementos Intune autónomos
Para obter mais informações sobre as opções de licenciamento, veja Microsoft Intune licenciamento.
Controlo de acesso baseado em funções
As seguintes permissões estão disponíveis para atribuir a funções de Intune personalizadas. Estas permissões permitem que os utilizadores vejam e giram as ACs no centro de administração.
- Ler ACs: qualquer utilizador com esta permissão atribuída pode ler as propriedades de uma AC.
- Criar autoridades de certificação: qualquer utilizador com esta permissão atribuída pode criar uma AC de raiz ou emissora.
- Revogar certificados de folha emitidos: qualquer utilizador que tenha atribuído esta permissão tem a capacidade de revogar manualmente um certificado emitido por uma AC emissora. Esta permissão também requer a permissão de AC de leitura .
Pode atribuir etiquetas de âmbito à raiz e emitir ACs. Para obter mais informações sobre como criar funções personalizadas e etiquetas de âmbito, veja Controlo de acesso baseado em funções com Microsoft Intune.
Experimente PKI em nuvem da Microsoft
Pode experimentar a funcionalidade PKI em nuvem da Microsoft no centro de administração do Intune durante um período de avaliação. As avaliações disponíveis incluem:
Durante o período de avaliação, pode criar até seis ACs no seu inquilino. PKI em nuvem ACs criadas durante a avaliação utilizam chaves suportadas por software e utilizam System.Security.Cryptography.RSA para gerar e assinar as chaves. Pode continuar a utilizar as ACs depois de comprar uma licença de PKI em nuvem. No entanto, as chaves permanecem suportadas por software e não podem ser convertidas em chaves suportadas pelo HSM. As chaves de AC geridas do serviço Microsoft Intune. Não é necessária nenhuma subscrição do Azure para as capacidades do Azure HSM.
Exemplos de configuração de AC
As PKI em nuvem raiz de duas camadas & ACs emissoras e as ACs bring-your-own podem coexistir no Intune. Pode utilizar as seguintes configurações, fornecidas como exemplos, para criar ACs no PKI em nuvem da Microsoft:
- Uma AC de raiz com cinco ACs emissoras
- Três ACs de raiz com uma AC emissora cada
- Duas ACs de raiz com uma AC emissora cada e duas ACs bring-your-own
- Seis ACs bring-your-own
Limitações e problemas conhecidos
Para obter as alterações e adições mais recentes, consulte Novidades no Microsoft Intune.
- Pode criar até seis ACs num inquilino Intune.
- PKI em nuvem licenciadas – pode ser criado um total de 6 ACs com chaves de mHSM do Azure.
- PKI em nuvem de avaliação – pode ser criado um total de 6 ACs durante uma avaliação do Intune Suite ou PKI em nuvem suplemento autónomo.
- Os seguintes tipos de AC contam para a capacidade de AC:
- AC de Raiz do PKI em nuvem
- AC emissora de PKI em nuvem
- AC Emissora BYOCA
- No centro de administração, quando seleciona Ver todos os certificados de uma AC emissora, Intune mostra apenas os primeiros 1000 certificados emitidos. Estamos a trabalhar ativamente para resolver esta limitação. Como solução, aceda aMonitorde Dispositivos>. Em seguida, selecione Certificados para ver todos os certificados emitidos.