Přehled Microsoft Cloud PKI pro Microsoft Intune
Platí pro:
- Windows
- Android
- iOS
- macOS
K vydávání certifikátů pro zařízení spravovaná v Intune použijte Microsoft Cloud PKI. Microsoft Cloud PKI je cloudová služba, která zjednodušuje a automatizuje správu životního cyklu certifikátů pro zařízení spravovaná v Intune. Poskytuje vyhrazenou infrastrukturu veřejných klíčů (PKI) pro vaši organizaci bez nutnosti místních serverů, konektorů nebo hardwaru. Zpracovává vystavování, obnovení a odvolávání certifikátů pro všechny podporované platformy Intune.
Tento článek obsahuje přehled Microsoft Cloud PKI pro Intune, jeho fungování a její architektury.
Co je infrastruktura veřejných klíčů?
Infrastruktura veřejných klíčů je systém, který používá digitální certifikáty k ověřování a šifrování dat mezi zařízeními a službami. Certifikáty PKI jsou nezbytné pro zabezpečení různých scénářů, jako je VPN, Wi-Fi, e-mail, web a identita zařízení. Správa certifikátů PKI ale může být náročná, nákladná a složitá, zejména pro organizace, které mají velký počet zařízení a uživatelů. Pomocí Microsoft Cloud PKI můžete zvýšit zabezpečení a produktivitu svých zařízení a uživatelů a zrychlit digitální transformaci na plně spravovanou cloudovou službu PKI. Kromě toho můžete využít službu Cloud PKI v systému a snížit tak zatížení služby Active Directory Certificate Services (ADCS) nebo privátních místních certifikačních autorit.
Správa Cloud PKI v Centru pro správu Microsoft Intune
Microsoft Cloud PKI objekty se vytvářejí a spravují v Centru pro správu Microsoft Intune. Odtud můžete:
- Nastavte a používejte Microsoft Cloud PKI pro vaši organizaci.
- Povolte ve svém tenantovi Cloud PKI.
- Vytvořte a přiřaďte k zařízením profily certifikátů.
- Monitorujte vystavené certifikáty.
Po vytvoření Cloud PKI vydávající certifikační autority můžete začít vydávat certifikáty za několik minut.
Podporované platformy zařízení
Službu Microsoft Cloud PKI můžete používat s těmito platformami:
- Android
- iOS/iPadOS
- macOS
- Windows
Zařízení musí být zaregistrovaná v Intune a platforma musí podporovat profil certifikátu SCEP konfigurace zařízení Intune.
Přehled funkcí
Následující tabulka uvádí funkce a scénáře podporované u Microsoft Cloud PKI a Microsoft Intune.
| Funkce | Přehled |
|---|---|
| Vytvoření více certifikačních autorit v tenantovi Intune | Vytvořte dvouvrstvou hierarchii infrastruktury veřejných klíčů s kořenovou a vydávající certifikační autoritou v cloudu. |
| Přineste si vlastní certifikační autoritu (BYOCA) | Ukotvit vydávající certifikační autoritu Intune k privátní certifikační autoritě prostřednictvím služby Active Directory Certificate Services nebo certifikační služby jiné společnosti než Microsoft. Pokud máte existující infrastrukturu INFRASTRUKTURY VEŘEJNÝCH KLÍČŮ, můžete udržovat stejnou kořenovou certifikační autoritu a vytvořit vydávající certifikační autoritu, která se zřetědí s externím kořenovým serverem. Tato možnost zahrnuje podporu externích privátních n+ úrovní hierarchií certifikační autority. |
| Podpisové a šifrovací algoritmy | Intune podporuje RSA, velikosti klíčů 2048, 3072 a 4096. |
| Hashovací algoritmy | Intune podporuje SHA-256, SHA-384 a SHA-512. |
| Klíče HSM (podepisování a šifrování) | Klíče se zřizují pomocí modulu zabezpečení spravovaného hardwaru Azure (Azure HSM). Certifikační autority vytvořené pomocí licencované sady Intune Suite nebo Cloud PKI samostatného doplňku automaticky používají podpisové a šifrovací klíče HSM. Azure HSM nevyžaduje žádné předplatné Azure. |
| Softwarové klíče (podepisování a šifrování) | Certifikační autority vytvořené během zkušebního období sady Intune Suite nebo Cloud PKI samostatného doplňku používají softwarové podpisové a šifrovací klíče pomocí System.Security.Cryptography.RSA. |
| Certifikační autorita | Poskytnutí cloudové autority pro registraci certifikátů podporující protokol SCEP (Simple Certificate Enrollment Protocol) pro každou Cloud PKI vydávající certifikační autoritu. |
| Distribuční body seznamu odvolaných certifikátů (CRL) | Intune hostuje distribuční bod seznamu CRL (CDP) pro každou certifikační autoritu. Doba platnosti seznamu CRL je sedm dnů. Publikování a aktualizace probíhá každých 3,5 dne. Seznam CRL se aktualizuje při každém odvolání certifikátu. |
| Koncové body AIA (Authority Information Access) | Intune hostuje koncový bod AIA pro každou vydávající certifikační autoritu. Koncový bod AIA můžou předávající strany použít k načtení nadřazených certifikátů. |
| Vystavování certifikátů koncových entit pro uživatele a zařízení | Označuje se také jako vystavení listového certifikátu . Podpora je pro protokol SCEP (PKCS#7) a formát certifikace a zařízení zaregistrovaná v Intune-MDM podporující profil SCEP. |
| Správa životního cyklu certifikátů | Vydávat, obnovovat a odvolávat certifikáty koncových entit. |
| Řídicí panel sestav | Monitorování aktivních, prošlých a odvolaných certifikátů z vyhrazeného řídicího panelu v Centru pro správu Intune Umožňuje zobrazit sestavy vydaných listových certifikátů a dalších certifikátů a odvolat listové certifikáty. Sestavy se aktualizují každých 24 hodin. |
| Auditování | Auditovat aktivity správce, jako jsou akce vytvoření, odvolání a vyhledávání v Centru pro správu Intune. |
| Oprávnění řízení přístupu na základě role (RBAC) | Vytváření vlastních rolí s Microsoft Cloud PKI oprávněními Dostupná oprávnění umožňují číst certifikační autority, zakázat a znovu povolit certifikační autority, odvolat vydané listové certifikáty a vytvářet certifikační autority. |
| Značky oboru | Přidejte značky oboru ke každé certifikační autoritě, kterou vytvoříte v Centru pro správu. Značky oboru je možné přidávat, odstraňovat a upravovat. |
Architecture
Microsoft Cloud PKI se skládá z několika klíčových komponent, které společně spolupracují na zjednodušení složitosti a správy infrastruktury veřejných klíčů. Jedná se o službu Cloud PKI pro vytváření a hostování certifikačních autorit v kombinaci s autoritou pro registraci certifikátů, která automaticky obsluhuje příchozí žádosti o certifikáty ze zařízení zaregistrovaných v Intune. Registrační autorita podporuje protokol SCEP (Simple Certificate Enrollment Protocol).
Součásti:
A – Microsoft Intune
B – Microsoft Cloud PKI služby
- B.1 – Microsoft Cloud PKI služba
- B.2 – služba Microsoft Cloud PKI SCEP
- B.3 – Microsoft Cloud PKI ověřovací služba SCEP
Certifikační autorita v diagramu tvoří B.2 a B.3.
Tyto komponenty nahrazují potřebu místní certifikační autority, NDES a Konektoru certifikátů Intune.
Akce:
Než se zařízení přihlásí ke službě Intune, správce Intune nebo role Intune s oprávněními ke správě Microsoft Cloud PKI služby musí:
- Vytvořte požadovanou certifikační autoritu Cloud PKI pro kořenové a vydávající certifikační autority v Microsoft Intune.
- Vytvořte a přiřaďte požadované profily důvěryhodných certifikátů pro kořenové a vydávající certifikační autority. Tento tok se v diagramu nezobrazuje.
- Vytvořte a přiřaďte požadované profily certifikátů SCEP pro konkrétní platformu. Tento tok se v diagramu nezobrazuje.
Poznámka
K vystavování certifikátů pro zařízení spravovaná v Intune se vyžaduje Cloud PKI vydávající certifikační autorita. Cloud PKI poskytuje službu SCEP, která funguje jako certifikační autorita pro registraci certifikátů. Služba si vyžádá certifikáty od vydávající certifikační autority jménem zařízení spravovaných přes Intune pomocí profilu SCEP.
- Zařízení se přihlásí ke službě Intune a obdrží důvěryhodný certifikát a profily SCEP.
- Na základě profilu SCEP zařízení vytvoří žádost o podepsání certifikátu (CSR). Privátní klíč se vytvoří na zařízení a nikdy ho neopustí. Výzva CSR a SCEP se odesílají do služby SCEP v cloudu (vlastnost identifikátoru URI SCEP v profilu SCEP). Výzva SCEP je šifrovaná a podepsaná pomocí klíčů RA SCEP Intune.
- Ověřovací služba SCEP ověřuje csr vůči výzvě SCEP (znázorněné jako B.3 v diagramu). Ověření zajišťuje, že požadavek pochází z zaregistrovaného a spravovaného zařízení. Také zajišťuje, aby výzva byla neotřesněná a aby odpovídala očekávaným hodnotám z profilu SCEP. Pokud některá z těchto kontrol selže, žádost o certifikát se zamítne.
- Po ověření csr ověřovací služba SCEP, označovaná také jako registrační autorita, požádá vydávající certifikační autoritu o podepsání CSR (znázorněné jako B.1 na diagramu).
- Podepsaný certifikát se doručí do zařízení zaregistrovaného v Intune MDM.
Poznámka
Výzva SCEP je šifrovaná a podepsaná pomocí klíčů registrační autority Intune SCEP.
Licenční požadavky
Microsoft Cloud PKI vyžaduje jednu z následujících licencí:
- Microsoft Intune Suite licence
- Microsoft Cloud PKI licence na samostatné doplňky Intune
Další informace o možnostech licencování najdete v tématu Microsoft Intune licencování.
Řízení přístupu na základě role
K přiřazení vlastních rolí Intune jsou k dispozici následující oprávnění. Tato oprávnění umožňují uživatelům zobrazit a spravovat certifikační autority v Centru pro správu.
- Číst certifikační autority: Každý uživatel s tímto oprávněním může číst vlastnosti certifikační autority.
- Vytvořit certifikační autority: Každý uživatel s tímto oprávněním může vytvořit kořenovou nebo vydávající certifikační autoritu.
- Odvolání vydaných listových certifikátů: Každý uživatel s tímto oprávněním má možnost ručně odvolat certifikát vystavený vydávající certifikační autoritou. Toto oprávnění také vyžaduje oprávnění certifikační autority ke čtení .
Kořenovým a vydávajícím certifikačním autoritám můžete přiřadit značky oboru. Další informace o vytváření vlastních rolí a značek oboru najdete v tématu Řízení přístupu na základě role pomocí Microsoft Intune.
Vyzkoušet Microsoft Cloud PKI
Funkci Microsoft Cloud PKI můžete vyzkoušet v Centru pro správu Intune během zkušebního období. Mezi dostupné zkušební verze patří:
Během zkušebního období můžete ve svém tenantovi vytvořit až šest certifikačních autorit. Cloud PKI certifikační autority vytvořené během zkušební verze používají klíče zálohované softwarem a používají System.Security.Cryptography.RSA je ke generování a podepisování klíčů. Certifikační autority můžete dál používat i po zakoupení licence Cloud PKI. Klíče však zůstávají softwarově zálohované a nelze je převést na klíče založené na HSM. Microsoft Intune klíče certifikační autority spravované službou. Pro funkce Azure HSM se nevyžaduje žádné předplatné Azure.
Příklady konfigurace certifikační autority
V Intune můžou současně existovat dvouvrstvé Cloud PKI kořenové & vydávající certifikační autority a vlastní certifikační autority. K vytvoření certifikačních autorit v Microsoft Cloud PKI můžete použít následující konfigurace uvedené jako příklady:
- Jedna kořenová certifikační autorita s pěti vydávajícími certifikačními autoritami
- Tři kořenové certifikační autority s jednou vydávající certifikační autoritou
- Dvě kořenové certifikační autority s jednou vydávající certifikační autoritou a dvě certifikační autority pro vlastní
- Šest vlastních certifikačních autorit
Známé problémy a omezení
Nejnovější změny a doplňky najdete v tématu Co je nového v Microsoft Intune.
- V tenantovi Intune můžete vytvořit až šest certifikačních autorit.
- Licencované Cloud PKI – Pomocí klíčů Azure mHSM je možné vytvořit celkem 6 certifikačních autorit.
- Zkušební Cloud PKI – Během zkušební verze sady Intune Suite nebo Cloud PKI samostatného doplňku je možné vytvořit celkem 6 certifikačních autorit.
- Do kapacity certifikační autority se započítávají následující typy certifikační autority:
- Cloud PKI kořenová certifikační autorita
- Cloud PKI vydávající certifikační autorita
- Certifikační autorita vydávající BYOCA
- Následující akce certifikační autority v současné době nejsou v Centru pro správu k dispozici, ale aktivně pracujeme na jejich poskytování.
- Odstraňte nebo zakažte certifikační autoritu z tenanta Intune.
Dokud nebudou tyto akce dostupné, doporučujeme podat žádost o podporu Intune o odstranění certifikační autority.
- Odstraňte nebo zakažte certifikační autoritu z tenanta Intune.
Váš názor
Připravujeme: V průběhu roku 2024 budeme postupně vyřazovat problémy z GitHub coby mechanismus zpětné vazby pro obsah a nahrazovat ho novým systémem zpětné vazby. Další informace naleznete v tématu: https://aka.ms/ContentUserFeedback.
Odeslat a zobrazit názory pro