Přidání certifikační autority partnera do Intune pomocí SCEP

Důležité

Kvůli podpoře požadavků windows na silné mapování certifikátů SCEP zavedených a oznámených v KB5014754 od 10. května 2022 jsme provedli změny v vystavování certifikátů SCEP intune pro nové a obnovené certifikáty SCEP. Po těchto změnách teď nové nebo obnovené certifikáty Intune SCEP pro iOS/iPadOS, macOS a Windows obsahují následující značku do pole Alternativní název subjektu (SAN) certifikátu: URL=tag:microsoft.com,2022-09-14:sid:<value> 

Tato značka se používá při silném mapování ke svázání certifikátu s konkrétním zařízením nebo identifikátorem SID uživatele z ID Entra. S touto změnou a požadavkem na mapování identifikátoru SID z ID Entra:

• Certifikáty zařízení jsou podporovány pro zařízení připojená k hybridnímu systému Windows, pokud má toto zařízení identifikátor SID v Id Entra, které bylo synchronizováno z místní služby Active Directory.
• Certifikáty uživatelů používají IDENTIFIKÁTOR SID uživatele z ID Entra, který se synchronizuje z místní služby Active Directory.

Certifikační autority (CA), které nepodporují značku ADRESY URL v síti SAN, můžou selhat při vydávání certifikátů. Servery služby Microsoft Active Directory Certificate Services, které nainstalovaly aktualizaci z KB5014754 podporují použití této značky. Pokud používáte certifikační autoritu třetí strany, obraťte se na poskytovatele certifikační autority a ujistěte se, že podporuje tento formát nebo jak a kdy se tato podpora přidá.

Další informace najdete v tématu Tip pro podporu: Implementace silného mapování v certifikátech Microsoft Intune – Centrum komunity Microsoftu.

Používejte s Intune certifikační autority třetích stran. Certifikační autority třetích stran můžou zřizovat mobilní zařízení s novými nebo obnovenými certifikáty pomocí protokolu SCEP (Simple Certificate Enrollment Protocol) a můžou podporovat zařízení s Windows, iOS/iPadOS, Androidem a macOS.

Použití této funkce má dvě části: opensourcové rozhraní API a úlohy správce Intune.

Část 1 – Použití opensourcového rozhraní API
Microsoft vytvořil rozhraní API pro integraci s Intune. Prostřednictvím rozhraní API můžete ověřovat certifikáty, posílat oznámení o úspěchu nebo selhání a ke komunikaci s Intune používat ssl, konkrétně ssl socket factory.

Rozhraní API je k dispozici ve veřejném úložišti rozhraní Intune SCEP API na GitHubu , kde si ho můžete stáhnout a použít ve svých řešeních. Pomocí tohoto rozhraní API se servery SCEP třetích stran můžete v Intune spustit vlastní ověření výzvy před tím, než SCEP zřídí certifikát pro zařízení.

Integrace s řešením pro správu SCEP v Intune poskytuje další podrobnosti o používání rozhraní API, jeho metodách a testování řešení, které sestavíte.

Část 2 – Vytvoření aplikace a profilu
Pomocí aplikace Microsoft Entra můžete delegovat práva na Intune, abyste mohli zpracovávat požadavky SCEP přicházející ze zařízení. Aplikace Microsoft Entra obsahuje ID aplikace a hodnoty ověřovacího klíče, které se používají v rámci řešení rozhraní API, které vytvoří vývojář. Správci pak vytvoří a nasadí profily certifikátů SCEP pomocí Intune a můžou zobrazit sestavy o stavu nasazení na zařízeních.

Tento článek obsahuje přehled této funkce z pohledu správce, včetně vytvoření aplikace Microsoft Entra.

Přehled

Následující kroky poskytují přehled použití protokolu SCEP pro certifikáty v Intune:

1. V Intune správce vytvoří profil certifikátu SCEP a pak tento profil cílí na uživatele nebo zařízení.
2. Zařízení se přihlásí do Intune.
3. Intune vytvoří jedinečnou výzvu SCEP. Přidává také další informace o kontrole integrity, například jaký by měl být očekávaný předmět a síť SAN.
4. Intune šifruje a podepíše informace o výzvě i kontrole integrity a pak tyto informace odešle do zařízení s požadavkem SCEP.
5. Zařízení vygeneruje žádost o podepsání certifikátu (CSR) a pár veřejného a privátního klíče na zařízení na základě profilu certifikátu SCEP, který je nasdílený z Intune.
6. Csr a šifrovaný/podepsaný úkol se odesílají do koncového bodu serveru SCEP třetí strany.
7. Server SCEP odešle žádost o podepsání certifikátu a výzvu do Intune. Intune pak podpis ověří, dešifruje datovou část a porovná csr s informacemi o kontrole integrity.
8. Intune odešle zpět odpověď na server SCEP a uvede, jestli je ověření výzvy úspěšné nebo ne.
9. Pokud se výzva úspěšně ověří, server SCEP vydá certifikát zařízení.

Následující diagram znázorňuje podrobný postup integrace SCEP třetí strany s Intune:

Nastavení integrace certifikační autority třetí strany

Ověření certifikační autority třetí strany

Před integrací certifikačních autorit třetích stran s Intune ověřte, že certifikační autorita, kterou používáte, podporuje Intune. Seznam obsahuje externí partneři certifikační autority (v tomto článku). Další informace najdete také v pokynech certifikační autority. Certifikační autorita může obsahovat pokyny k nastavení specifické pro jejich implementaci.

Poznámka

Pokud chcete podporovat následující zařízení, musí certifikační autorita podporovat použití adresy URL https, když nakonfigurujete adresu URL HTTPS, musíte při konfiguraci adres URL serveru SCEP pro profil certifikátu SCEP nakonfigurovat adresu URL https:

• Registrace správce zařízení s Androidem
• Vlastník zařízení s Androidem Enterprise
• Pracovní profil Androidu Enterprise vlastněný společností
• Pracovní profil Androidu Enterprise v osobním vlastnictví

Autorizace komunikace mezi certifikační autoritou a Intune

Pokud chcete serveru SCEP třetí strany povolit spuštění vlastního ověření výzvy pomocí Intune, vytvořte aplikaci v Microsoft Entra ID. Tato aplikace uděluje intune delegovaná práva k ověřování požadavků SCEP.

Ujistěte se, že máte požadovaná oprávnění k registraci aplikace Microsoft Entra. Viz Požadovaná oprávnění v dokumentaci Microsoft Entra.

Vytvoření aplikace v Microsoft Entra ID

1. Na webu Azure Portal přejděte do částiRegistrace aplikacíMicrosoft Entra ID> a pak vyberte Nová registrace.

2. Na stránce Zaregistrovat aplikaci zadejte následující podrobnosti:

   • V části Název zadejte smysluplný název aplikace.
   • V části Podporované typy účtů vyberte Účty v libovolném adresáři organizace.
   • V části Identifikátor URI přesměrování ponechte výchozí hodnotu Web a pak zadejte přihlašovací adresu URL pro server SCEP třetí strany.

3. Výběrem možnosti Zaregistrovat vytvořte aplikaci a otevřete stránku Přehled nové aplikace.

4. Na stránce Přehled aplikace zkopírujte hodnotu ID aplikace (klienta) a poznamenejte si ji pro pozdější použití. Tuto hodnotu budete potřebovat později.

5. V navigačním podokně aplikace přejděte na Certifikáty & tajné kódy v části Spravovat. Vyberte tlačítko Nový tajný klíč klienta . Do pole Popis zadejte hodnotu, vyberte libovolnou možnost Pro vypršení platnosti a pak zvolte Přidat , aby se vygenerovala hodnota tajného klíče klienta.

   Důležité

   Před opuštěním této stránky zkopírujte hodnotu tajného klíče klienta a poznamenejte si ji pro pozdější použití s implementací vaší certifikační autority třetí strany. Tato hodnota se znovu nezobrazí. Nezapomeňte si projít pokyny pro vaši certifikační autoritu třetí strany, jak chce nakonfigurovat ID aplikace, ověřovací klíč a ID tenanta.

6. Poznamenejte si ID tenanta. ID tenanta je text domény za @přihlášením k vašemu účtu. Pokud je admin@name.onmicrosoft.comnapříklad váš účet , id tenanta je name.onmicrosoft.com.

7. V navigačním podokně aplikace přejděte na Oprávnění rozhraní API, která jsou v části Spravovat. Přidáte dvě samostatná oprávnění aplikace:

   1. Vyberte Přidat oprávnění:

      1. Na stránce Vyžádat oprávnění rozhraní API vyberte Intune a pak vyberte Oprávnění aplikace.
      2. Zaškrtněte políčko pro scep_challenge_provider (ověření výzvy SCEP).
      3. Výběrem možnosti Přidat oprávnění tuto konfiguraci uložte.

   2. Znovu vyberte Přidat oprávnění .

      1. Na stránce Vyžádat oprávnění rozhraní API vyberteOprávnění aplikaceMicrosoft Graph>.
      2. Rozbalte Položku Aplikace a zaškrtněte políčko Application.Read.All (Číst všechny aplikace).
      3. Výběrem možnosti Přidat oprávnění tuto konfiguraci uložte.

8. Zůstaňte na stránce oprávnění rozhraní API a vyberte Udělit souhlas správce pro<vašeho tenanta> a pak vyberte Ano.

   Proces registrace aplikace v Microsoft Entra ID je dokončený.

Konfigurace a nasazení profilu certifikátu SCEP

Jako správce vytvořte profil certifikátu SCEP, který bude cílit na uživatele nebo zařízení. Pak profil přiřaďte.

• Vytvoření profilu certifikátu SCEP

• Přiřazení profilu certifikátu

Odebírání certifikátů

Když zrušíte registraci nebo vymažete zařízení, certifikáty se odeberou. Certifikáty se neodvolá.

Partneři certifikační autority třetích stran

Intune podporují následující certifikační autority třetích stran:

• Skupina Cogito
• DigiCert
• EasyScep
• EJBCA
• Svěřit
• EverTrust
• GlobalSign
• Globální HID
• IDnomic
• Příkaz keyfactor
• KeyTalk
• Klávesová zkratka
• Nexus Certificate Manager
• SCEPman
• Sectigo
• SecureW2
• Úvodní deska
• Venafi

Pokud jste certifikační autorita třetí strany, která má zájem o integraci vašeho produktu s Intune, projděte si doprovodné materiály k rozhraní API:

• Úložiště Intune SCEP API na GitHubu
• Pokyny k rozhraní Intune SCEP API pro certifikační autority třetích stran

Informace o zabezpečení a ochraně osobních údajů

Některé informace o uživateli v profilu SCEP budou viditelné pro certifikační autoritu (CA) třetí strany, která přijímá žádost o podepsání certifikátu. K tomu dochází, když nasadíte nový nebo aktualizovaný profil SCEP, který obsahuje Common name (CN) atribut uživatele, a proměnné, jako UserNamejsou , OnPrem_Distinguished_Namea OnPremisesSamAccountName. Během nasazování profilu nahradí Microsoft Intune tyto proměnné skutečnými hodnotami. Cílová zařízení pak musí kontaktovat certifikační autoritu třetí strany a požádat o certifikát se skutečnými hodnotami.

Seznam podporovaných uživatelských proměnných najdete v kroku 7 v části Vytvoření profilu certifikátu SCEP.

Viz také

• Konfigurace profilů certifikátů
• Úložiště Intune SCEP API na GitHubu
• Pokyny k rozhraní Intune SCEP API pro certifikační autority třetích stran