Microsoft Intune Microsoft 云 PKI概述

适用于

  • Windows
  • Android
  • iOS
  • macOS

使用Microsoft 云 PKI为Intune管理的设备颁发证书。 Microsoft 云 PKI是一项基于云的服务,可简化和自动执行Intune托管设备的证书生命周期管理。 它为组织提供专用公钥基础结构 (PKI) ,而无需任何本地服务器、连接器或硬件。 它处理所有受支持平台的证书颁发、续订和吊销Intune。

本文概述了Intune Microsoft 云 PKI及其工作原理及其体系结构。

什么是 PKI?

PKI 是一个系统,它使用数字证书在设备和服务之间对数据进行身份验证和加密。 PKI 证书对于保护各种方案(例如 VPN、Wi-Fi、电子邮件、Web 和设备标识)至关重要。 但是,管理 PKI 证书可能具有挑战性、成本高昂且很复杂,尤其是对于拥有大量设备和用户的组织。 可以使用Microsoft 云 PKI来提高设备和用户的安全性和工作效率,并加速向完全托管的云 PKI 服务进行数字化转型。 此外,可以利用 中的 云 PKI 服务来减少 Active Directory 证书服务 (ADCS) 或专用本地证书颁发机构的工作负荷。

在管理中心管理Microsoft Intune云 PKI

Microsoft 云 PKI对象是在Microsoft Intune管理中心中创建和管理的。 从那里,你可以:

  • 为组织设置和使用Microsoft 云 PKI。
  • 在租户中启用云 PKI。
  • 创建证书配置文件并将其分配给设备。
  • 监视颁发的证书。

创建云 PKI颁发 CA 后,可以在几分钟内开始颁发证书。

受支持的设备平台

可以将 Microsoft 云 PKI 服务用于以下平台:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

设备必须在 Intune 中注册,并且平台必须支持Intune设备配置 SCEP 证书配置文件。

功能概述

下表列出了Microsoft 云 PKI和Microsoft Intune支持的功能和方案。

功能 概述
在Intune租户中创建多个证书颁发机构 (CA) 在云中创建具有根 CA 和颁发 CA 的两层 PKI 层次结构。
自带 CA (BYOCA) 通过 Active Directory 证书服务或非Microsoft证书服务将 CA 颁发到专用 CA 的Intune定位。 如果已有 PKI 基础结构,则可以维护相同的根 CA,并创建链接到外部根的颁发 CA。 此选项包括对外部专用 CA N+ 层层次结构的支持。
签名和加密算法 Intune支持 RSA、密钥大小 2048、3072 和 4096。
哈希算法 Intune支持 SHA-256、SHA-384 和 SHA-512。
HSM 密钥 (签名和加密) 密钥是使用 Azure 托管硬件安全模块 (Azure 托管 HSM) 预配的

使用许可Intune套件或云 PKI独立加载项创建的 CA 会自动使用 HSM 签名和加密密钥。 Azure HSM 不需要 Azure 订阅。
(签名和加密) 的软件密钥 在 Intune Suite 试用期间创建的 CA 或云 PKI独立加载项使用软件支持的签名和加密密钥。System.Security.Cryptography.RSA
证书注册机构 为每个颁发 CA 云 PKI 提供支持简单证书注册协议的云证书颁发机构 (SCEP) 。
证书吊销列表 (CRL) 分发点 Intune为每个 CA 托管 CRL 分发点 (CDP) 。

CRL 有效期为 7 天。 每 3.5 天发布和刷新一次。 每次吊销证书都会更新 CRL。
机构信息访问 (AIA) 终结点 Intune托管每个颁发 CA 的 AIA 终结点。 信赖方可以使用 AIA 终结点来检索父证书。
用户和设备的最终实体证书颁发 也称为 叶证书 颁发。 支持适用于 SCEP (PKCS#7) 协议和认证格式,以及支持 SCEP 配置文件的 Intune-MDM 注册设备。
证书生命周期管理 颁发、续订和撤销最终实体证书。
报告仪表板 监视Intune管理中心中专用仪表板的活动证书、证书过期证书和已吊销证书。 查看已颁发的叶证书和其他证书的报告,以及吊销叶证书。 报告每 24 小时更新一次。
审核 审核Intune管理中心中的创建、撤销和搜索操作等管理员活动。
基于角色的访问控制 (RBAC) 权限 创建具有Microsoft 云 PKI权限的自定义角色。 使用可用权限可以读取 CA、禁用和重新启用 CA、撤销颁发的叶证书以及创建证书颁发机构。
作用域标记 将范围标记添加到在管理中心中创建的任何 CA。 可以添加、删除和编辑范围标记。

体系结构

Microsoft 云 PKI由多个关键组件组成,共同协作以简化公钥基础结构的复杂性和管理。 它包括用于创建和托管证书颁发机构的云 PKI服务,以及证书注册机构,以自动处理来自Intune注册设备的传入证书请求。 注册机构支持简单证书注册协议 (SCEP) 。

Microsoft 云 PKI体系结构的绘图。
* 有关服务细分,请参阅 组件

组件

  • A - Microsoft Intune

  • B - Microsoft 云 PKI服务

    • B1 - Microsoft 云 PKI服务
    • B2 - Microsoft 云 PKI SCEP 服务
    • B3 - Microsoft 云 PKI SCEP 验证服务

    证书 注册机构 在关系图中由 B2 和 B3 组成。

这些组件取代了对本地证书颁发机构、NDES 和Intune证书连接器的需求。

操作

在设备签入Intune服务之前,有权管理Microsoft 云 PKI服务的Intune管理员或Intune角色必须完成以下操作:

  • 为 Microsoft Intune 中的根 CA 和颁发 CA 创建所需的云 PKI证书颁发机构。
  • 为根 CA 和颁发 CA 创建并分配所需的信任证书配置文件。
  • 创建并分配所需的特定于平台的 SCEP 证书配置文件。

这些操作需要组件 B1、B2 和 B3。

注意

需要云 PKI证书颁发机构才能为Intune托管设备颁发证书。 云 PKI提供充当证书注册机构的 SCEP 服务。 该服务使用 SCEP 配置文件代表Intune管理的设备从颁发 CA 请求证书。

流继续执行以下操作,如图所示为 A1 到 A5:

A1. 设备使用 Intune 服务签入,并接收受信任的证书和 SCEP 配置文件。

A2. 根据 SCEP 配置文件,设备 (CSR) 创建证书签名请求。 私钥是在设备上创建的,永远不会离开设备。 CSR 和 SCEP 质询发送到云中的 SCEP 服务, (SCEP 配置文件) 中的 SCEP URI 属性。 SCEP 质询使用Intune SCEP RA 密钥进行加密和签名。

A3. SCEP 验证服务针对 SCEP 质询验证 CSR。 验证可确保请求来自已注册和托管的设备。 它还可确保质询未采样,并且它与 SCEP 配置文件中的预期值匹配。 如果其中任何检查失败,证书请求将被拒绝。

A4。 验证 CSR 后,SCEP 验证服务(也称为 注册机构)请求颁发 CA 对 CSR 进行签名。

A5。 已签名的证书将传送到已注册 MDM 的Intune设备。

注意

SCEP 质询是使用 SCEP 注册机构密钥Intune加密和签名的。

许可要求

Microsoft 云 PKI需要以下许可证之一:

  • Microsoft Intune Suite许可证
  • Microsoft 云 PKI独立Intune加载项许可证

有关许可选项的详细信息,请参阅Microsoft Intune许可

基于角色的访问控制

以下权限可用于分配给自定义Intune角色。 这些权限使用户能够在管理中心查看和管理 CA。

  • 读取 CA:分配此权限的任何用户都可以读取 CA 的属性。
  • 创建证书颁发机构:分配此权限的任何用户都可以创建根 CA 或颁发 CA。
  • 撤销颁发的叶证书:分配此权限的任何用户都能够手动吊销由颁发 CA 颁发的证书。 此权限还需要 读取 CA 权限。

可以将范围标记分配给根 CA 和颁发 CA。 有关如何创建自定义角色和范围标记的详细信息,请参阅使用 Microsoft Intune 进行基于角色的访问控制

尝试Microsoft 云 PKI

可以在试用期间在Intune管理中心试用Microsoft 云 PKI功能。 可用试用版包括:

在试用期间,最多可以在租户中创建六个 CA。 在试用期间创建的 CA 云 PKI使用软件支持的密钥,并使用 System.Security.Cryptography.RSA 生成密钥并签名密钥。 购买云 PKI许可证后,可以继续使用 CA。 但是,密钥仍由软件支持,无法转换为 HSM 支持的密钥。 Microsoft Intune服务托管的 CA 密钥。 Azure HSM 功能不需要 Azure 订阅。

CA 配置示例

颁发 CA 和自带 CA 的两层云 PKI根 & 可以在Intune中共存。 可以使用以下配置(作为示例提供)在 Microsoft 云 PKI 中创建 CA:

  • 具有五个颁发 CA 的一个根 CA
  • 三个根 CA,每个 CA 一个颁发 CA
  • 两个根 CA,各有一个颁发 CA,两个自带 CA
  • 六个自带 CA

已知问题和限制

有关最新更改和新增功能,请参阅 Microsoft Intune 中的新增功能

  • 最多可以在一个Intune租户中创建六个 CA。
    • 许可云 PKI - 可以使用 Azure mHSM 密钥创建总共 6 个 CA。
    • 试用云 PKI - 在试用 Intune Suite 或云 PKI独立加载项期间,总共可以创建 6 个 CA。
  • 以下 CA 类型计入 CA 容量:
    • 云 PKI根 CA
    • 云 PKI颁发 CA
    • BYOCA 发行 CA
  • 在管理中心,选择“查看颁发 CA 的所有证书”时,Intune仅显示前 1,000 个颁发的证书。 我们正在积极努力解决此限制。 作为解决方法,请转到 “设备>监视器”。 然后选择“ 证书 ”查看所有颁发的证书。