通过

适用于 Microsoft Intune 的 Microsoft Cloud PKI 概述

  • 项目

适用于

  • Windows
  • Android
  • iOS
  • macOS

使用 Microsoft Cloud PKI 为 Intune 托管的设备颁发证书。 Microsoft Cloud PKI 是一项基于云的服务,可简化和自动执行 Intune 托管设备的证书生命周期管理。 它为组织提供专用公钥基础结构 (PKI) ,而无需任何本地服务器、连接器或硬件。 它处理所有 Intune 支持的平台的证书颁发、续订和吊销。

本文概述了 Microsoft Cloud PKI for Intune、其工作原理及其体系结构。

什么是 PKI?

PKI 是一个系统,它使用数字证书在设备和服务之间对数据进行身份验证和加密。 PKI 证书对于保护各种方案(例如 VPN、Wi-Fi、电子邮件、Web 和设备标识)至关重要。 但是,管理 PKI 证书可能具有挑战性、成本高昂且很复杂,尤其是对于拥有大量设备和用户的组织。 可以使用 Microsoft Cloud PKI 来提高设备和用户的安全性和工作效率,并加速向完全托管的云 PKI 服务进行数字化转型。 此外,可以利用 中的云 PKI 服务减少 Active Directory 证书服务 (ADCS) 或专用本地证书颁发机构的工作负荷。

在 Microsoft Intune 管理中心管理云 PKI

Microsoft云 PKI 对象是在 Microsoft Intune 管理中心中创建和管理的。 从那里,你可以:

  • 为组织设置和使用 Microsoft Cloud PKI。
  • 在租户中启用云 PKI。
  • 创建证书配置文件并将其分配给设备。
  • 监视颁发的证书。

创建云 PKI 颁发 CA 后,可以在几分钟内开始颁发证书。

受支持的设备平台

可以将 Microsoft Cloud PKI 服务用于以下平台:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

设备必须在 Intune 中注册,并且平台必须支持 Intune 设备配置 SCEP 证书配置文件。

功能概述

下表列出了 Microsoft Cloud PKI 和 Microsoft Intune 支持的功能和方案。

功能 概述
在 Intune 租户中创建多个 CA 在云中创建具有根 CA 和颁发 CA 的两层 PKI 层次结构。
自带 CA (BYOCA) 通过 Active Directory 证书服务或非Microsoft证书服务将 Intune 颁发 CA 定位到专用 CA。 如果已有 PKI 基础结构,则可以维护相同的根 CA,并创建链接到外部根的颁发 CA。 此选项包括对外部专用 CA N+ 层层次结构的支持。
签名和加密算法 Intune 支持 RSA、密钥大小 2048、3072 和 4096。
哈希算法 Intune 支持 SHA-256、SHA-384 和 SHA-512。
HSM 密钥 (签名和加密) 密钥是使用 Azure 托管硬件安全模块 (Azure 托管 HSM) 预配的

使用许可的 Intune Suite 或云 PKI 独立加载项创建的 CA 会自动使用 HSM 签名和加密密钥。 Azure HSM 不需要 Azure 订阅。
(签名和加密) 的软件密钥 在 Intune Suite 或 Cloud PKI 独立加载项试用期间创建的 CA 使用软件支持的签名和加密密钥。System.Security.Cryptography.RSA
证书注册机构 为每个云 PKI 颁发 CA 提供支持简单证书注册协议的云证书颁发机构 (SCEP) 。
证书吊销列表 (CRL) 分发点 Intune 托管每个 CA 的 CRL 分发点 (CDP) 。

CRL 有效期为 7 天。 每 3.5 天发布和刷新一次。 每次吊销证书都会更新 CRL。
机构信息访问 (AIA) 终结点 Intune 托管每个颁发 CA 的 AIA 终结点。 信赖方可以使用 AIA 终结点来检索父证书。
用户和设备的最终实体证书颁发 也称为 叶证书 颁发。 支持 SCEP (PKCS#7) 协议和认证格式,以及支持 SCEP 配置文件的 Intune-MDM 注册设备。
证书生命周期管理 颁发、续订和撤销最终实体证书。
报告仪表板 在 Intune 管理中心的专用仪表板中监视活动证书、证书过期证书和已吊销证书。 查看已颁发的叶证书和其他证书的报告,以及吊销叶证书。 报告每 24 小时更新一次。
审核 审核 Intune 管理中心中的创建、撤销和搜索操作等管理员活动。
基于角色的访问控制 (RBAC) 权限 创建具有 Microsoft Cloud PKI 权限的自定义角色。 使用可用权限可以读取 CA、禁用和重新启用 CA、撤销颁发的叶证书以及创建证书颁发机构。
作用域标记 将范围标记添加到在管理中心中创建的任何 CA。 可以添加、删除和编辑范围标记。

体系结构

Microsoft云 PKI 由多个关键组件组成,协同工作以简化公钥基础结构的复杂性和管理:用于创建和托管证书颁发机构的云 PKI 服务,结合证书注册机构自动为来自 Intune 注册设备的传入证书请求提供服务。 注册机构支持简单证书注册协议 (SCEP) 。

Microsoft云 PKI 体系结构的绘图。

组件

  • A - Microsoft Intune

  • B - Microsoft云 PKI 服务

    • B.1 - Microsoft云 PKI 服务
    • B.2 - Microsoft云 PKI SCEP 服务
    • B.3 - Microsoft云 PKI SCEP 验证服务

    证书 注册机构 由关系图中的 B.2 和 B.3 组成。

这些组件取代了对本地证书颁发机构、NDES 和 Intune 证书连接器的需求。

操作

在设备签入 Intune 服务之前,有权管理 Microsoft Cloud PKI 服务的 Intune 管理员或 Intune 角色必须:

  • 在 Microsoft Intune 中为根 CA 和颁发 CA 创建所需的云 PKI 证书颁发机构。
  • 为根 CA 和颁发 CA 创建并分配所需的信任证书配置文件。 此流未显示在关系图中。
  • 创建并分配所需的特定于平台的 SCEP 证书配置文件。 此流未显示在关系图中。

注意

云 PKI 颁发证书颁发机构需要为 Intune 托管设备颁发证书。 云 PKI 提供充当证书注册机构的 SCEP 服务。 该服务使用 SCEP 配置文件代表 Intune 托管的设备从颁发 CA 请求证书。

  1. 设备使用 Intune 服务签入并接收受信任的证书和 SCEP 配置文件。
  2. 根据 SCEP 配置文件,设备 (CSR) 创建证书签名请求。 私钥是在设备上创建的,永远不会离开设备。 CSR 和 SCEP 质询发送到云中的 SCEP 服务, (SCEP 配置文件) 中的 SCEP URI 属性。 SCEP 质询使用 Intune SCEP RA 密钥进行加密和签名。
  3. SCEP 验证服务针对 SCEP 质询验证 CSR, (图表) 中显示为 B.3 。 验证可确保请求来自已注册和托管的设备。 它还可确保挑战未采样,并且与 SCEP 配置文件中的预期值匹配。 如果其中任何检查失败,证书请求将被拒绝。
  4. 验证 CSR 后,SCEP 验证服务(也称为 注册机构)请求发证 CA 对 CSR () 图中显示为 B.1 的 CSR 签名。
  5. 签名的证书将传递到已注册 Intune MDM 的设备。

注意

SCEP 质询使用 Intune SCEP 注册机构密钥进行加密和签名。

许可要求

Microsoft云 PKI 需要以下许可证之一:

  • Microsoft Intune Suite 许可证
  • Microsoft云 PKI 独立 Intune 加载项许可证

有关许可选项的详细信息,请参阅 Microsoft Intune 许可

基于角色的访问控制

以下权限可用于分配给自定义 Intune 角色。 这些权限使用户能够在管理中心查看和管理 CA。

  • 读取 CA:分配此权限的任何用户都可以读取 CA 的属性。
  • 创建证书颁发机构:分配此权限的任何用户都可以创建根 CA 或颁发 CA。
  • 撤销颁发的叶证书:分配此权限的任何用户都能够手动吊销由颁发 CA 颁发的证书。 此权限还需要 读取 CA 权限。

可以将范围标记分配给根 CA 和颁发 CA。 有关如何创建自定义角色和范围标记的详细信息,请参阅 使用 Microsoft Intune 进行基于角色的访问控制

尝试Microsoft云 PKI

可以在试用期间在 Intune 管理中心试用 Microsoft Cloud PKI 功能。 可用试用版包括:

在试用期间,最多可以在租户中创建六个 CA。 在试用期间创建的云 PKI CA 使用软件支持的密钥,并使用 System.Security.Cryptography.RSA 生成和签名密钥。 购买云 PKI 许可证后,可以继续使用 CA。 但是,密钥仍由软件支持,无法转换为 HSM 支持的密钥。 Microsoft Intune 服务托管 CA 密钥。 Azure HSM 功能不需要 Azure 订阅。

CA 配置示例

两层云 PKI 根 & 颁发 CA,自带 CA 可以在 Intune 中共存。 可以使用以下配置(作为示例提供)在 Microsoft Cloud PKI 中创建 CA:

  • 具有五个颁发 CA 的一个根 CA
  • 三个根 CA,每个 CA 一个颁发 CA
  • 两个根 CA,各有一个颁发 CA,两个自带 CA
  • 六个自带 CA

已知问题和限制

有关最新更改和新增功能,请参阅 Microsoft Intune 中的新增功能

  • 一个 Intune 租户中最多可以创建六个 CA。
    • 许可的云 PKI - 可以使用 Azure mHSM 密钥创建总共 6 个 CA。
    • 试用云 PKI - 在 Intune Suite 或云 PKI 独立加载项试用期间,总共可以创建 6 个 CA。
  • 以下 CA 类型计入 CA 容量:
    • 云 PKI 根 CA
    • 云 PKI 颁发 CA
    • BYOCA 发行 CA
  • 管理中心无法从 Intune 租户中删除或禁用 CA。 我们正在积极提供这些操作。 在可用之前,我们建议发出 Intune 支持请求以删除 CA。
  • 在管理中心,选择“查看颁发 CA 的所有证书 ”时,Intune 仅显示前 1000 个颁发的证书。 我们正在积极努力解决此限制。 作为解决方法,请转到 “设备>监视器”。 然后选择“ 证书 ”查看所有颁发的证书。