Použití certifikátů pro ověřování v Microsoft Intune
Používejte certifikáty s Intune k ověřování uživatelů v aplikacích a podnikových prostředcích prostřednictvím vpn, Wi-Fi nebo e-mailových profilů. Když k ověření těchto připojení použijete certifikáty, koncoví uživatelé nemusí zadávat uživatelská jména a hesla, což jim umožní bezproblémový přístup. Certifikáty se používají také k podepisování a šifrování e-mailů pomocí S/MIME.
Úvod do certifikátů s Intune
Certifikáty poskytují ověřený přístup bez zpoždění v následujících dvou fázích:
- Fáze ověřování: Zkontroluje se pravost uživatele, aby se potvrdilo, že uživatel je tím, za koho se vydávají.
- Fáze autorizace: Uživatel podléhá podmínkám, pro které se určí, zda má být uživateli udělen přístup.
Mezi typické scénáře použití certifikátů patří:
- Síťové ověřování (například 802.1x) pomocí certifikátů zařízení nebo uživatelů
- Ověřování na serverech VPN pomocí certifikátů zařízení nebo uživatelů
- Podepisování e-mailů na základě uživatelských certifikátů
Intune podporuje protokol SCEP (Simple Certificate Enrollment Protocol), standardy PKCS (Public Key Cryptography Standards) a importované certifikáty PKCS jako metody zřizování certifikátů na zařízeních. Různé metody zřizování mají různé požadavky a výsledky. Příklady:
- SCEP zřizuje certifikáty, které jsou pro každou žádost o certifikát jedinečné.
- PKCS zřídí každé zařízení jedinečným certifikátem.
- S importovaným pkcs můžete nasadit stejný certifikát, který jste exportovali ze zdroje, jako je e-mailový server, pro více příjemců. Tento sdílený certifikát je užitečný k zajištění toho, aby všichni vaši uživatelé nebo zařízení mohli dešifrovat e-maily, které byly tímto certifikátem zašifrované.
Pokud chcete zřídit uživatele nebo zařízení s určitým typem certifikátu, Intune používá profil certifikátu.
Kromě tří typů certifikátů a metod zřizování potřebujete důvěryhodný kořenový certifikát od důvěryhodné certifikační autority (CA). Certifikační autoritou může být místní Microsoft Certification autorita nebo certifikační autorita třetí strany. Důvěryhodný kořenový certifikát vytvoří vztah důvěryhodnosti ze zařízení ke kořenové nebo zprostředkující (vydávající) certifikační autoritě, ze které jsou vystaveny ostatní certifikáty. K nasazení tohoto certifikátu použijete profil důvěryhodného certifikátu a nasadíte ho na stejná zařízení a uživatele, kteří obdrží profily certifikátů pro SCEP, PKCS a importované PKCS.
Tip
Intune také podporuje použití odvozených přihlašovacích údajů v prostředích, která vyžadují použití čipových karet.
Co je potřeba k použití certifikátů
- Certifikační autorita. Vaše certifikační autorita je zdrojem důvěryhodnosti, na který certifikáty odkazují pro ověřování. Můžete použít certifikační autoritu Microsoftu nebo certifikační autoritu třetí strany.
- Místní infrastruktura. Vyžadovat infrastrukturu závisí na typech certifikátů, které používáte:
- Důvěryhodný kořenový certifikát. Před nasazením profilů certifikátů SCEP nebo PKCS nasaďte důvěryhodný kořenový certifikát z certifikační autority pomocí profilu důvěryhodného certifikátu . Tento profil pomáhá navázat vztah důvěryhodnosti ze zařízení zpět k certifikační autoritě a vyžaduje ho ostatní profily certifikátů.
Po nasazení důvěryhodného kořenového certifikátu jste připraveni nasadit profily certifikátů, abyste uživatelům a zařízením zřídili certifikáty pro ověřování.
Který profil certifikátu se má použít
Následující porovnání nejsou komplexní, ale slouží k odlišení různých typů profilů certifikátů.
| Typ profilu | Podrobnosti |
|---|---|
| Důvěryhodný certifikát | Slouží k nasazení veřejného klíče (certifikátu) z kořenové nebo zprostředkující certifikační autority uživatelům a zařízením, aby se navázal vztah důvěryhodnosti zpět ke zdrojové certifikační autoritě. Jiné profily certifikátů vyžadují profil důvěryhodného certifikátu a jeho kořenový certifikát. |
| Certifikát SCEP | Nasadí šablonu pro žádost o certifikát pro uživatele a zařízení. Každý certifikát, který je zřízený pomocí protokolu SCEP, je jedinečný a je svázaný s uživatelem nebo zařízením, které certifikát požaduje.
S SCEP můžete nasadit certifikáty na zařízení, která nemají přidružení uživatele, včetně použití protokolu SCEP ke zřízení certifikátu na zařízení bez veřejného terminálu nebo zařízení bez uživatele. |
| Certifikát PKCS | Nasadí šablonu pro žádost o certifikát, která určuje typ certifikátu uživatele nebo zařízení.
– Požadavky na typ certifikátu uživatele vždy vyžadují přidružení uživatele. Při nasazení pro uživatele obdrží každé zařízení uživatele jedinečný certifikát. Při nasazení do zařízení s uživatelem se tento uživatel přidružuje k certifikátu pro toto zařízení. Při nasazení do zařízení bez uživatelů se nezřídí žádný certifikát. – Šablony s typem certifikátu zařízení nevyžadují přidružení uživatele ke zřízení certifikátu. Nasazení do zařízení zřídí zařízení. Nasazení pro uživatele zřídí zařízení, ke kterým je uživatel přihlášený pomocí certifikátu. |
| Importovaný certifikát PKCS | Nasadí jeden certifikát do více zařízení a uživatelů, což podporuje scénáře, jako je podepisování A/MIME a šifrování. Například nasazením stejného certifikátu do každého zařízení může každé zařízení dešifrovat e-maily přijaté ze stejného e-mailového serveru.
Jiné metody nasazení certifikátů nejsou pro tento scénář dostatečné, protože SCEP vytvoří pro každý požadavek jedinečný certifikát a PKCS přidruží pro každého uživatele jiný certifikát, přičemž různí uživatelé obdrží jiné certifikáty. |
Intune podporované certifikáty a využití
| Typ | Ověřování | Podepisování S/MIME | Šifrování S/MIME |
|---|---|---|---|
| Importovaný certifikát PKCS (Public Key Cryptography Standards) |
|
|
|
| PKCS#12 (nebo PFX) |
|
|
|
| SCEP (Simple Certificate Enrollment Protocol) |
|
|
Pokud chcete tyto certifikáty nasadit, vytvořte a přiřaďte k zařízením profily certifikátů.
Každý profil certifikátu, který vytvoříte, podporuje jednu platformu. Pokud například používáte certifikáty PKCS, vytvoříte profil certifikátu PKCS pro Android a samostatný profil certifikátu PKCS pro iOS/iPadOS. Pokud pro tyto dvě platformy používáte také certifikáty SCEP, vytvoříte profil certifikátu SCEP pro Android a jiný pro iOS/iPadOS.
Obecné aspekty při používání autority Microsoft Certification
Pokud používáte Microsoft Certification autoritu (CA):
Použití profilů certifikátů SCEP:
Použití profilů certifikátů PKCS:
Použití importovaných certifikátů PKCS:
- Nainstalujte Certificate Connector pro Microsoft Intune.
- Exportujte certifikáty z certifikační autority a pak je importujte do Microsoft Intune. Projděte si projekt PFXImport PowerShellu.
Nasaďte certifikáty pomocí následujících mechanismů:
- Profily důvěryhodných certifikátů pro nasazení certifikátu důvěryhodné kořenové certifikační autority z kořenové nebo zprostředkující (vydávající) certifikační autority do zařízení
- Profily certifikátů SCEP
- Profily certifikátů PKCS
- Profily importovaných certifikátů PKCS
Obecné aspekty při používání certifikační autority třetí strany
Pokud používáte certifikační autoritu třetí strany (mimo Microsoft):
Profily certifikátů SCEP nevyžadují použití konektoru Microsoft Intune Certificate Connector. Místo toho se o vystavování a správu certifikátů stará přímo certifikační autorita třetí strany. Použití profilů certifikátů SCEP bez Intune Certificate Connector:
- Nakonfigurujte integraci s certifikační autoritou třetí strany od některého z našich podporovaných partnerů. Instalace zahrnuje postup podle pokynů od certifikační autority třetí strany k dokončení integrace certifikační autority s Intune.
- Vytvořte aplikaci v Microsoft Entra ID, která deleguje práva na Intune k ověření výzvy certifikátu SCEP.
Další informace najdete v tématu Nastavení integrace certifikační autority třetí strany.
Importované certifikáty PKCS vyžadují použití Microsoft Intune Certificate Connectoru. Viz Instalace certificate connectoru pro Microsoft Intune.
Nasaďte certifikáty pomocí následujících mechanismů:
- Profily důvěryhodných certifikátů pro nasazení certifikátu důvěryhodné kořenové certifikační autority z kořenové nebo zprostředkující (vydávající) certifikační autority do zařízení
- Profily certifikátů SCEP
- Profily certifikátů PKCS (podporované pouze s platformou Digicert PKI)
- Profily importovaných certifikátů PKCS
Podporované platformy a profily certifikátů
| Platforma | Profil důvěryhodného certifikátu | Profil certifikátu PKCS | Profil certifikátu SCEP | Importovaný profil certifikátu PKCS |
|---|---|---|---|---|
| Registrace správce zařízení s Androidem |
(viz poznámka 1) |
|
|
|
| Android Enterprise – plně spravovaná (vlastník zařízení) |
|
|
|
|
| Android Enterprise – Dedicated (vlastník zařízení) |
|
|
|
|
| Android Enterprise – pracovní profil Corporate-Owned |
|
|
|
|
| Android Enterprise – pracovní profil Personally-Owned |
|
|
|
|
| Android (AOSP) |
|
|
|
|
| iOS/iPadOS |
|
|
|
|
| macOS |
|
|
|
|
| Windows 8.1 a novější |
|
|
||
| Windows 10/11 |
(viz poznámka 2) |
(viz poznámka 2) |
(viz poznámka 2) |
|
- Poznámka 1 – Počínaje Androidem 11 už profily důvěryhodných certifikátů nemůžou instalovat důvěryhodný kořenový certifikát na zařízeních zaregistrovaných jako správce zařízení s Androidem. Toto omezení se nevztahuje na Samsung Knox. Další informace najdete v tématu Profily důvěryhodných certifikátů pro správce zařízení s Androidem.
- Poznámka 2 – Tento profil je podporován pro vzdálené plochy Windows Enterprise s více relacemi.
Důležité
22. října 2022 Microsoft Intune ukončil podporu pro zařízení se systémem Windows 8.1. Technická pomoc a automatické aktualizace na těchto zařízeních nejsou k dispozici.
Pokud aktuálně používáte Windows 8.1, pak doporučujeme přejít na zařízení s Windows 10/11. Microsoft Intune má vestavěné funkce zabezpečení a zařízení, které spravují klientská zařízení Windows 10/11.
Důležité
Microsoft Intune končí podpora správy správců zařízení s Androidem na zařízeních s přístupem k Google Mobile Services (GMS) 31. prosince 2024. Po tomto datu nebude registrace zařízení, technická podpora, opravy chyb a opravy zabezpečení k dispozici. Pokud aktuálně používáte správu správce zařízení, doporučujeme přejít na jinou možnost správy Androidu v Intune před ukončením podpory. Další informace najdete v tématu Ukončení podpory správce zařízení s Androidem na zařízeních GMS.
Související obsah
Další zdroje informací:
Vytvoření profilů certifikátů:
- Konfigurace profilu důvěryhodného certifikátu
- Konfigurace infrastruktury pro podporu certifikátů SCEP pomocí Intune
- Konfigurace a správa certifikátů PKCS pomocí Intune
- Vytvoření importovaného profilu certifikátu PKCS
Informace o Certificate Connectoru pro Microsoft Intune