Microsoft Intune Microsoft 云 PKI概述
适用于:
- Windows
- Android
- iOS
- macOS
使用Microsoft 云 PKI为Intune管理的设备颁发证书。 Microsoft 云 PKI是一项基于云的服务,可简化和自动执行Intune托管设备的证书生命周期管理。 它为组织提供专用公钥基础结构 (PKI) ,而无需任何本地服务器、连接器或硬件。 它处理所有受支持平台的证书颁发、续订和吊销Intune。
本文概述了Intune Microsoft 云 PKI及其工作原理及其体系结构。
什么是 PKI?
PKI 是一个系统,它使用数字证书在设备和服务之间对数据进行身份验证和加密。 PKI 证书对于保护各种方案(例如 VPN、Wi-Fi、电子邮件、Web 和设备标识)至关重要。 但是,管理 PKI 证书可能具有挑战性、成本高昂且很复杂,尤其是对于拥有大量设备和用户的组织。 可以使用Microsoft 云 PKI来提高设备和用户的安全性和工作效率,并加速向完全托管的云 PKI 服务进行数字化转型。 此外,可以利用 中的 云 PKI 服务来减少 Active Directory 证书服务 (ADCS) 或专用本地证书颁发机构的工作负荷。
在管理中心管理Microsoft Intune云 PKI
Microsoft 云 PKI对象是在Microsoft Intune管理中心中创建和管理的。 从那里,你可以:
- 为组织设置和使用Microsoft 云 PKI。
- 在租户中启用云 PKI。
- 创建证书配置文件并将其分配给设备。
- 监视颁发的证书。
创建云 PKI颁发 CA 后,可以在几分钟内开始颁发证书。
受支持的设备平台
可以将 Microsoft 云 PKI 服务用于以下平台:
- Android
- iOS/iPadOS
- macOS
- Windows
设备必须在 Intune 中注册,并且平台必须支持Intune设备配置 SCEP 证书配置文件。
功能概述
下表列出了Microsoft 云 PKI和Microsoft Intune支持的功能和方案。
| 功能 | 概述 |
|---|---|
| 在Intune租户中创建多个 CA | 在云中创建具有根 CA 和颁发 CA 的两层 PKI 层次结构。 |
| 自带 CA (BYOCA) | 通过 Active Directory 证书服务或非Microsoft证书服务将 CA 颁发到专用 CA 的Intune定位。 如果已有 PKI 基础结构,则可以维护相同的根 CA,并创建链接到外部根的颁发 CA。 此选项包括对外部专用 CA N+ 层层次结构的支持。 |
| 签名和加密算法 | Intune支持 RSA、密钥大小 2048、3072 和 4096。 |
| 哈希算法 | Intune支持 SHA-256、SHA-384 和 SHA-512。 |
| HSM 密钥 (签名和加密) | 密钥是使用 Azure 托管硬件安全模块 (Azure 托管 HSM) 预配的 。 使用许可Intune套件或云 PKI独立加载项创建的 CA 会自动使用 HSM 签名和加密密钥。 Azure HSM 不需要 Azure 订阅。 |
| (签名和加密) 的软件密钥 | 在 Intune Suite 试用期间创建的 CA 或云 PKI独立加载项使用软件支持的签名和加密密钥。System.Security.Cryptography.RSA |
| 证书注册机构 | 为每个颁发 CA 云 PKI 提供支持简单证书注册协议的云证书颁发机构 (SCEP) 。 |
| 证书吊销列表 (CRL) 分发点 | Intune为每个 CA 托管 CRL 分发点 (CDP) 。 CRL 有效期为 7 天。 每 3.5 天发布和刷新一次。 每次吊销证书都会更新 CRL。 |
| 机构信息访问 (AIA) 终结点 | Intune托管每个颁发 CA 的 AIA 终结点。 信赖方可以使用 AIA 终结点来检索父证书。 |
| 用户和设备的最终实体证书颁发 | 也称为 叶证书 颁发。 支持适用于 SCEP (PKCS#7) 协议和认证格式,以及支持 SCEP 配置文件的 Intune-MDM 注册设备。 |
| 证书生命周期管理 | 颁发、续订和撤销最终实体证书。 |
| 报告仪表板 | 监视Intune管理中心中专用仪表板的活动证书、证书过期证书和已吊销证书。 查看已颁发的叶证书和其他证书的报告,以及吊销叶证书。 报告每 24 小时更新一次。 |
| 审核 | 审核Intune管理中心中的创建、撤销和搜索操作等管理员活动。 |
| 基于角色的访问控制 (RBAC) 权限 | 创建具有Microsoft 云 PKI权限的自定义角色。 使用可用权限可以读取 CA、禁用和重新启用 CA、撤销颁发的叶证书以及创建证书颁发机构。 |
| 作用域标记 | 将范围标记添加到在管理中心中创建的任何 CA。 可以添加、删除和编辑范围标记。 |
体系结构
Microsoft 云 PKI由多个关键组件组成,共同工作以简化公钥基础结构的复杂性和管理;用于创建和托管证书颁发机构的云 PKI服务,以及证书注册机构,以自动处理来自Intune注册设备的传入证书请求。 注册机构支持简单证书注册协议 (SCEP) 。
组件:
A - Microsoft Intune
B - Microsoft 云 PKI服务
- B.1 - Microsoft 云 PKI服务
- B.2 - Microsoft 云 PKI SCEP 服务
- B.3 - Microsoft 云 PKI SCEP 验证服务
证书 注册机构 由关系图中的 B.2 和 B.3 组成。
这些组件取代了对本地证书颁发机构、NDES 和Intune证书连接器的需求。
操作:
在设备签入Intune服务之前,具有管理Microsoft 云 PKI服务的Intune管理员或Intune角色必须:
- 为 Microsoft Intune 中的根 CA 和颁发 CA 创建所需的云 PKI证书颁发机构。
- 为根 CA 和颁发 CA 创建并分配所需的信任证书配置文件。 此流未显示在关系图中。
- 创建并分配所需的特定于平台的 SCEP 证书配置文件。 此流未显示在关系图中。
注意
需要云 PKI证书颁发机构才能为Intune托管设备颁发证书。 云 PKI提供充当证书注册机构的 SCEP 服务。 该服务使用 SCEP 配置文件代表Intune管理的设备从颁发 CA 请求证书。
- 设备使用 Intune 服务签入,并接收受信任的证书和 SCEP 配置文件。
- 根据 SCEP 配置文件,设备 (CSR) 创建证书签名请求。 私钥是在设备上创建的,永远不会离开设备。 CSR 和 SCEP 质询发送到云中的 SCEP 服务, (SCEP 配置文件) 中的 SCEP URI 属性。 SCEP 质询使用Intune SCEP RA 密钥进行加密和签名。
- SCEP 验证服务针对 SCEP 质询验证 CSR, (图表) 中显示为 B.3 。 验证可确保请求来自已注册和托管的设备。 它还可确保挑战未采样,并且与 SCEP 配置文件中的预期值匹配。 如果其中任何检查失败,证书请求将被拒绝。
- 验证 CSR 后,SCEP 验证服务(也称为 注册机构)请求发证 CA 对 CSR () 图中显示为 B.1 的 CSR 签名。
- 已签名的证书将传送到已注册 MDM 的Intune设备。
注意
SCEP 质询是使用 SCEP 注册机构密钥Intune加密和签名的。
许可要求
Microsoft 云 PKI需要以下许可证之一:
- Microsoft Intune Suite许可证
- Microsoft 云 PKI独立Intune加载项许可证
有关许可选项的详细信息,请参阅Microsoft Intune许可。
基于角色的访问控制
以下权限可用于分配给自定义Intune角色。 这些权限使用户能够在管理中心查看和管理 CA。
- 读取 CA:分配此权限的任何用户都可以读取 CA 的属性。
- 创建证书颁发机构:分配此权限的任何用户都可以创建根 CA 或颁发 CA。
- 撤销颁发的叶证书:分配此权限的任何用户都能够手动吊销由颁发 CA 颁发的证书。 此权限还需要 读取 CA 权限。
可以将范围标记分配给根 CA 和颁发 CA。 有关如何创建自定义角色和范围标记的详细信息,请参阅使用 Microsoft Intune 进行基于角色的访问控制。
尝试Microsoft 云 PKI
可以在试用期间在Intune管理中心试用Microsoft 云 PKI功能。 可用试用版包括:
在试用期间,最多可以在租户中创建六个 CA。 在试用期间创建的 CA 云 PKI使用软件支持的密钥,并使用 System.Security.Cryptography.RSA 生成密钥并签名密钥。 购买云 PKI许可证后,可以继续使用 CA。 但是,密钥仍由软件支持,无法转换为 HSM 支持的密钥。 Microsoft Intune服务托管的 CA 密钥。 Azure HSM 功能不需要 Azure 订阅。
CA 配置示例
颁发 CA 和自带 CA 的两层云 PKI根 & 可以在Intune中共存。 可以使用以下配置(作为示例提供)在 Microsoft 云 PKI 中创建 CA:
- 具有五个颁发 CA 的一个根 CA
- 三个根 CA,每个 CA 一个颁发 CA
- 两个根 CA,各有一个颁发 CA,两个自带 CA
- 六个自带 CA
已知问题和限制
有关最新更改和新增功能,请参阅 Microsoft Intune 中的新增功能。
- 最多可以在一个Intune租户中创建六个 CA。
- 许可云 PKI - 可以使用 Azure mHSM 密钥创建总共 6 个 CA。
- 试用云 PKI - 在试用 Intune Suite 或云 PKI独立加载项期间,总共可以创建 6 个 CA。
- 以下 CA 类型计入 CA 容量:
- 云 PKI根 CA
- 云 PKI颁发 CA
- BYOCA 发行 CA
- 在管理中心,选择“查看颁发 CA 的所有证书”时,Intune仅显示前 1000 个颁发的证书。 我们正在积极努力解决此限制。 作为解决方法,请转到 “设备>监视器”。 然后选择“ 证书 ”查看所有颁发的证书。