Поделиться через

Обзор Microsoft Cloud PKI для Microsoft Intune

  • Статья

Применимо к:

  • Windows
  • Android
  • iOS
  • macOS

Используйте Microsoft Cloud PKI для выдачи сертификатов для устройств, управляемых Intune. Microsoft Cloud PKI — это облачная служба, которая упрощает и автоматизирует управление жизненным циклом сертификатов для устройств, управляемых Intune. Она предоставляет выделенную инфраструктуру открытых ключей (PKI) для вашей организации, не требуя каких-либо локальных серверов, соединителей или оборудования. Он обрабатывает выдачу, продление и отзыв сертификатов для всех Intune поддерживаемых платформ.

В этой статье приводятся общие сведения о Microsoft Cloud PKI для Intune, принципе работы и архитектуре.

Что такое PKI?

PKI — это система, которая использует цифровые сертификаты для проверки подлинности и шифрования данных между устройствами и службами. PKI-сертификаты необходимы для защиты различных сценариев, таких как VPN, Wi-Fi, электронная почта, веб-сайт и удостоверение устройства. Однако управление PKI-сертификатами может быть сложной, дорогостоящей и сложной задачей, особенно для организаций с большим количеством устройств и пользователей. Вы можете использовать Microsoft Cloud PKI для повышения безопасности и производительности устройств и пользователей, а также для ускорения цифрового преобразования в полностью управляемую облачную службу PKI. Кроме того, вы можете использовать службу Cloud PKI в для сокращения рабочих нагрузок служб сертификатов Active Directory (ADCS) или частных локальных центров сертификации.

Управление Cloud PKI в Центре администрирования Microsoft Intune

Microsoft Cloud PKI объекты создаются и управляются в Центре администрирования Microsoft Intune. Оттуда вы можете:

  • Настройте и используйте Microsoft Cloud PKI для своей организации.
  • Включите Cloud PKI в клиенте.
  • Создание и назначение профилей сертификатов устройствам.
  • Мониторинг выданных сертификатов.

После создания Cloud PKI выдающего ЦС можно начать выдачу сертификатов за считанные минуты.

Поддерживаемые платформы устройств

Службу Microsoft Cloud PKI можно использовать на следующих платформах:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Устройства должны быть зарегистрированы в Intune, а платформа должна поддерживать профиль сертификата SCEP конфигурации устройства Intune.

Общие сведения о функциях

В следующей таблице перечислены функции и сценарии, поддерживаемые Microsoft Cloud PKI и Microsoft Intune.

Функция Обзор
Создание нескольких ЦС в клиенте Intune Создайте двухуровневую иерархию PKI с корнем и центром сертификации в облаке.
Использование собственного ЦС (BYOCA) Привязка Intune выдачи ЦС к частному ЦС с помощью служб сертификатов Active Directory или службы сертификатов сторонних поставщиков. Если у вас есть инфраструктура PKI, вы можете поддерживать один и тот же корневой ЦС и создать выдающий ЦС, который связан с внешним корневым каталогом. Этот параметр включает поддержку иерархий уровня N+ для внешнего частного ЦС.
Алгоритмы подписывания и шифрования Intune поддерживает RSA, размеры ключей 2048, 3072 и 4096.
Хэш-алгоритмы Intune поддерживает SHA-256, SHA-384 и SHA-512.
Ключи HSM (подписывание и шифрование) Ключи подготавливаются с помощью модуля безопасности управляемого оборудования Azure (управляемый модуль HSM Azure).

ЦС, созданные с помощью лицензированного Intune Suite или Cloud PKI автономной надстройки, автоматически используют ключи подписывания и шифрования HSM. Для устройства HSM Azure не требуется подписка Azure.
Программные ключи (подписывание и шифрование) ЦС, созданные в течение пробного периода Intune Suite или Cloud PKI автономной надстройки, используют ключи подписывания и шифрования с программной поддержкой с помощью System.Security.Cryptography.RSA.
Центр регистрации сертификатов Предоставление облачного центра регистрации сертификатов, поддерживающего протокол SCEP для каждого Cloud PKI выдающего ЦС.
Точки распространения списка отзыва сертификатов (CRL) Intune размещает точку распространения CRL (CDP) для каждого ЦС.

Срок действия отзыва сертификатов составляет семь дней. Публикация и обновление выполняются каждые 3,5 дня. Список отзыва сертификатов обновляется при каждом отзыве сертификата.
Конечные точки доступа к информации центра (AIA) Intune размещает конечную точку AIA для каждого выдающего ЦС. Конечную точку AIA могут использовать проверяющие стороны для получения родительских сертификатов.
Выдача сертификата конечной сущности для пользователей и устройств Также называется выпуском конечного сертификата . Поддержка протокола SCEP (PKCS#7) и формата сертификации, а также устройств, зарегистрированных Intune MDM, поддерживающих профиль SCEP.
Управление жизненным циклом сертификатов Выдача, продление и отзыв сертификатов конечной сущности.
Панель мониторинга отчетов Мониторинг активных, просроченных и отозванных сертификатов на выделенной панели мониторинга в Центре администрирования Intune. Просматривайте отчеты о выданных конечных сертификатах и других сертификатах и отменяйте конечные сертификаты. Отчеты обновляются каждые 24 часа.
Аудит Аудит действий администратора, таких как создание, отзыв и поиск действий в центре администрирования Intune.
Разрешения управления доступом на основе ролей (RBAC) Создание пользовательских ролей с разрешениями Microsoft Cloud PKI. Доступные разрешения позволяют читать ЦС, отключать и повторно включать ЦС, отзывать выданные конечные сертификаты и создавать центры сертификации.
Теги области Добавьте теги область в любой ЦС, создаваемый в Центре администрирования. Теги области можно добавлять, удалять и редактировать.

Архитектура

Microsoft Cloud PKI состоит из нескольких ключевых компонентов, работающих вместе для упрощения сложности инфраструктуры открытых ключей и управления ею; службы Cloud PKI для создания и размещения центров сертификации в сочетании с центром регистрации сертификатов для автоматического обслуживания входящих запросов сертификатов с Intune зарегистрированных устройств. Центр регистрации поддерживает протокол SCEP.

Схема архитектуры Microsoft Cloud PKI.

Компоненты:

  • A — Microsoft Intune

  • B — службы Microsoft Cloud PKI

    • B.1 — служба Microsoft Cloud PKI
    • B.2 — Microsoft Cloud PKI служба SCEP
    • B.3. Служба проверки SCEP Microsoft Cloud PKI

    На схеме центр регистрации сертификатов составляет B.2 и B.3.

Эти компоненты заменяют необходимость в локальном центре сертификации, NDES и соединителе сертификатов Intune.

Действия:

Перед тем как устройство запустите службу Intune, администратор Intune или роль Intune с разрешениями на управление службой Microsoft Cloud PKI должны:

  • Создайте необходимый центр сертификации Cloud PKI для корневого центра сертификации и выдачи ЦС в Microsoft Intune.
  • Создайте и назначьте необходимые профили сертификатов доверия для корневого и выдающего ЦС. Этот поток не показан на схеме.
  • Создание и назначение необходимых профилей сертификатов SCEP для конкретной платформы. Этот поток не показан на схеме.

Примечание.

Для выдачи сертификатов для Intune управляемых устройств требуется центр сертификации Cloud PKI выдачи. Cloud PKI предоставляет службу SCEP, которая выступает в качестве центра регистрации сертификатов. Служба запрашивает сертификаты из ЦС выдачи от имени устройств, управляемых Intune, с помощью профиля SCEP.

  1. Устройство регистрируется в службе Intune и получает доверенный сертификат и профили SCEP.
  2. На основе профиля SCEP устройство создает запрос на подпись сертификата (CSR). Закрытый ключ создается на устройстве и никогда не покидает устройство. Запрос CSR и SCEP отправляются в службу SCEP в облаке (свойство URI SCEP в профиле SCEP). Запрос SCEP шифруется и подписывается с помощью Intune ключей RA SCEP.
  3. Служба проверки SCEP проверяет CSR на соответствие запросу SCEP (на схеме показано как B.3). Проверка гарантирует, что запрос поступает от зарегистрированного и управляемого устройства. Кроме того, это гарантирует, что задача будет неумерен и соответствует ожидаемым значениям из профиля SCEP. Если какая-либо из этих проверок завершается ошибкой, запрос сертификата отклоняется.
  4. После проверки CSR служба проверки SCEP, также известная как центр регистрации, запрашивает, чтобы выдающий ЦС подписал CSR (показан как B.1 на схеме).
  5. Подписанный сертификат доставляется на устройство, зарегистрированное Intune MDM.

Примечание.

Запрос SCEP шифруется и подписывается с помощью ключей центра регистрации SCEP Intune.

Требования к лицензированию

Microsoft Cloud PKI требуется одна из следующих лицензий:

  • лицензия Microsoft Intune Suite
  • Microsoft Cloud PKI лицензия на автономные Intune надстройки

Дополнительные сведения о вариантах лицензирования см. в разделе лицензирование Microsoft Intune.

Управление доступом на основе ролей

Для назначения пользовательским Intune ролям доступны следующие разрешения. Эти разрешения позволяют пользователям просматривать ЦС и управлять ими в Центре администрирования.

  • Чтение ЦС. Любой пользователь, которому назначено это разрешение, может считывать свойства ЦС.
  • Создание центров сертификации. Любой пользователь, которому назначено это разрешение, может создать корневой или выдающий ЦС.
  • Отозвать выданные конечные сертификаты. Любой пользователь, которому назначено это разрешение, может вручную отозвать сертификат, выданный выдаваемым ЦС. Для этого разрешения также требуется разрешение ЦС на чтение .

Вы можете назначить область теги корню и выдающие ЦС. Дополнительные сведения о создании пользовательских ролей и тегов область см. в статье Управление доступом на основе ролей с помощью Microsoft Intune.

Попробуйте Microsoft Cloud PKI

Вы можете опробовать функцию Microsoft Cloud PKI в Центре администрирования Intune в течение пробного периода. Доступные пробные версии:

В течение пробного периода в клиенте можно создать до шести ЦС. Cloud PKI ЦС, созданные во время пробной версии, используют ключи с программной поддержкой и используют System.Security.Cryptography.RSA для создания и подписания ключей. Вы можете продолжать использовать ЦС после приобретения лицензии на Cloud PKI. Однако ключи остаются программной поддержкой и не могут быть преобразованы в ключи с поддержкой HSM. Ключи ЦС, управляемые службой Microsoft Intune. Для возможностей azure HSM не требуется подписка Azure.

Примеры конфигурации ЦС

Двухуровневые Cloud PKI корневые & выдачи ЦС, и собственные ЦС могут сосуществовать в Intune. Для создания ЦС в Microsoft Cloud PKI можно использовать следующие конфигурации, приведенные в качестве примеров:

  • Один корневой ЦС с пятью выдаваемыми ЦС
  • Три корневых ЦС с одним выдаваемого ЦС каждый
  • Два корневых ЦС с одним выдающей ЦС каждый и два собственных ЦС
  • Шесть собственных ЦС

Известные проблемы и ограничения

Последние изменения и дополнения см. в статье Новые возможности Microsoft Intune.

  • В клиенте Intune можно создать до шести ЦС.
    • Лицензированные Cloud PKI. Всего с помощью ключей mHSM Azure можно создать 6 ЦС.
    • Пробная Cloud PKI. Во время пробной версии Intune Suite или Cloud PKI автономной надстройки можно создать в общей сложности 6 ЦС.
  • Следующие типы ЦС учитываются в емкости ЦС:
    • Cloud PKI корневой ЦС
    • ЦС Cloud PKI выдачи
    • BYOCA, выдающий ЦС
  • В Центре администрирования при выборе пункта Просмотреть все сертификаты для выдающего ЦС Intune отображаются только первые 1000 выданных сертификатов. Мы активно работаем над устранением этого ограничения. В качестве обходного решения перейдите в раздел Монитор устройств>. Затем выберите Сертификаты , чтобы просмотреть все выданные сертификаты.