Přidání certifikační autority partnera do Intune pomocí SCEP

Používejte s Intune certifikační autority třetích stran. Certifikační autority třetích stran můžou zřizovat mobilní zařízení s novými nebo obnovenými certifikáty pomocí protokolu SCEP (Simple Certificate Enrollment Protocol) a můžou podporovat zařízení s Windows, iOS/iPadOS, Androidem a macOS.

Použití této funkce má dvě části: opensourcové rozhraní API a úlohy správce Intune.

Část 1 – Použití opensourcového rozhraní API
Microsoft vytvořil rozhraní API pro integraci s Intune. Prostřednictvím rozhraní API můžete ověřovat certifikáty, posílat oznámení o úspěchu nebo selhání a ke komunikaci s Intune používat ssl, konkrétně ssl socket factory.

Rozhraní API je k dispozici ve veřejném úložišti rozhraní Intune SCEP API na GitHubu , kde si ho můžete stáhnout a použít ve svých řešeních. Pomocí tohoto rozhraní API se servery SCEP třetích stran můžete v Intune spustit vlastní ověření výzvy před tím, než SCEP zřídí certifikát pro zařízení.

Integrace s řešením pro správu SCEP v Intune poskytuje další podrobnosti o používání rozhraní API, jeho metodách a testování řešení, které sestavíte.

Část 2 – Vytvoření aplikace a profilu
Pomocí Microsoft Entra aplikace můžete delegovat práva na Intune, abyste mohli zpracovávat požadavky SCEP přicházející ze zařízení. Aplikace Microsoft Entra zahrnuje ID aplikace a hodnoty ověřovacího klíče, které se používají v rámci řešení rozhraní API, které vývojář vytvoří. Správci pak vytvoří a nasadí profily certifikátů SCEP pomocí Intune a můžou zobrazit sestavy o stavu nasazení na zařízeních.

Tento článek obsahuje přehled této funkce z pohledu správce, včetně vytvoření aplikace Microsoft Entra.

Přehled

Následující kroky poskytují přehled použití protokolu SCEP pro certifikáty v Intune:

1. V Intune správce vytvoří profil certifikátu SCEP a pak tento profil cílí na uživatele nebo zařízení.
2. Zařízení se přihlásí do Intune.
3. Intune vytvoří jedinečnou výzvu SCEP. Přidává také další informace o kontrole integrity, například jaký by měl být očekávaný předmět a síť SAN.
4. Intune šifruje a podepíše informace o výzvě i kontrole integrity a pak tyto informace odešle do zařízení s požadavkem SCEP.
5. Zařízení vygeneruje žádost o podepsání certifikátu (CSR) a pár veřejného a privátního klíče na zařízení na základě profilu certifikátu SCEP, který je nasdílený z Intune.
6. Csr a šifrovaný/podepsaný úkol se odesílají do koncového bodu serveru SCEP třetí strany.
7. Server SCEP odešle žádost o podepsání certifikátu a výzvu do Intune. Intune pak podpis ověří, dešifruje datovou část a porovná csr s informacemi o kontrole integrity.
8. Intune odešle zpět odpověď na server SCEP a uvede, jestli je ověření výzvy úspěšné nebo ne.
9. Pokud se výzva úspěšně ověří, server SCEP vydá certifikát zařízení.

Následující diagram znázorňuje podrobný postup integrace SCEP třetí strany s Intune:

Nastavení integrace certifikační autority třetí strany

Ověření certifikační autority třetí strany

Před integrací certifikačních autorit třetích stran s Intune ověřte, že certifikační autorita, kterou používáte, podporuje Intune. Seznam obsahuje externí partneři certifikační autority (v tomto článku). Další informace najdete také v pokynech certifikační autority. Certifikační autorita může obsahovat pokyny k nastavení specifické pro jejich implementaci.

Poznámka

Pokud chcete podporovat následující zařízení, musí certifikační autorita podporovat použití adresy URL https, když nakonfigurujete adresu URL HTTPS, musíte při konfiguraci adres URL serveru SCEP pro profil certifikátu SCEP nakonfigurovat adresu URL https:

• Správce zařízení s Androidem
• Vlastník zařízení s Androidem Enterprise
• Pracovní profil Androidu Enterprise vlastněný společností
• Pracovní profil Androidu Enterprise v osobním vlastnictví

Autorizace komunikace mezi certifikační autoritou a Intune

Pokud chcete serveru SCEP třetí strany povolit spuštění vlastního ověření výzvy pomocí Intune, vytvořte aplikaci v Microsoft Entra ID. Tato aplikace uděluje intune delegovaná práva k ověřování požadavků SCEP.

Ujistěte se, že máte požadovaná oprávnění k registraci aplikace Microsoft Entra. Viz Požadovaná oprávnění v dokumentaci k Microsoft Entra.

Vytvoření aplikace v id Microsoft Entra

1. V Azure Portal přejděte na Microsoft Entra ID>Registrace aplikací a pak vyberte Nová registrace.

2. Na stránce Zaregistrovat aplikaci zadejte následující podrobnosti:

   • V části Název zadejte smysluplný název aplikace.
   • V části Podporované typy účtů vyberte Účty v libovolném adresáři organizace.
   • V části Identifikátor URI přesměrování ponechte výchozí hodnotu Web a pak zadejte přihlašovací adresu URL pro server SCEP třetí strany.

3. Výběrem možnosti Zaregistrovat vytvořte aplikaci a otevřete stránku Přehled nové aplikace.

4. Na stránce Přehled aplikace zkopírujte hodnotu ID aplikace (klienta) a poznamenejte si ji pro pozdější použití. Tuto hodnotu budete potřebovat později.

5. V navigačním podokně aplikace přejděte na Tajné kódy certifikátů & v části Spravovat. Vyberte tlačítko Nový tajný klíč klienta . Do pole Popis zadejte hodnotu, vyberte libovolnou možnost Pro vypršení platnosti a pak zvolte Přidat , aby se vygenerovala hodnota tajného klíče klienta.

   Důležité

   Před opuštěním této stránky zkopírujte hodnotu tajného klíče klienta a poznamenejte si ji pro pozdější použití s implementací vaší certifikační autority třetí strany. Tato hodnota se znovu nezobrazí. Nezapomeňte si projít pokyny pro vaši certifikační autoritu třetí strany, jak chce nakonfigurovat ID aplikace, ověřovací klíč a ID tenanta.

6. Poznamenejte si ID tenanta. ID tenanta je text domény za @přihlášením k vašemu účtu. Pokud je admin@name.onmicrosoft.comnapříklad váš účet , id tenanta je name.onmicrosoft.com.

7. V navigačním podokně aplikace přejděte na Oprávnění rozhraní API, která jsou v části Spravovat. Přidáte dvě samostatná oprávnění aplikace:

   1. Vyberte Přidat oprávnění:

      1. Na stránce Vyžádat oprávnění rozhraní API vyberte Intune a pak vyberte Oprávnění aplikace.
      2. Zaškrtněte políčko pro scep_challenge_provider (ověření výzvy SCEP).
      3. Výběrem možnosti Přidat oprávnění tuto konfiguraci uložte.

   2. Znovu vyberte Přidat oprávnění .

      1. Na stránce Vyžádat oprávnění rozhraní API vyberteOprávnění aplikaceMicrosoft Graph>.
      2. Rozbalte Položku Aplikace a zaškrtněte políčko Application.Read.All (Číst všechny aplikace).
      3. Výběrem možnosti Přidat oprávnění tuto konfiguraci uložte.

8. Zůstaňte na stránce oprávnění rozhraní API a vyberte Udělit souhlas správce pro<vašeho tenanta> a pak vyberte Ano.

   Proces registrace aplikace ve Microsoft Entra ID je dokončený.

Konfigurace a nasazení profilu certifikátu SCEP

Jako správce vytvořte profil certifikátu SCEP, který bude cílit na uživatele nebo zařízení. Pak profil přiřaďte.

• Vytvoření profilu certifikátu SCEP

• Přiřazení profilu certifikátu

Odebírání certifikátů

Když zrušíte registraci nebo vymažete zařízení, certifikáty se odeberou. Certifikáty se neodvolá.

Partneři certifikační autority třetích stran

Intune podporují následující certifikační autority třetích stran:

• Skupina Cogito
• DigiCert
• EasyScep
• EJBCA
• Svěřit
• EverTrust
• GlobalSign
• Globální HID
• IDnomic
• KeyTalk
• Klávesová zkratka
• Nexus Certificate Manager
• SCEPman
• Sectigo
• SecureW2
• Venafi

Pokud jste certifikační autorita třetí strany, která má zájem o integraci vašeho produktu s Intune, projděte si doprovodné materiály k rozhraní API:

• Úložiště Intune SCEP API na GitHubu
• Pokyny k rozhraní Intune SCEP API pro certifikační autority třetích stran

Viz také

• Konfigurace profilů certifikátů
• Úložiště Intune SCEP API na GitHubu
• Pokyny k rozhraní Intune SCEP API pro certifikační autority třetích stran