Übersicht über Microsoft Cloud PKI für Microsoft Intune
Gilt für:
- Windows
- Android
- iOS
- macOS
Verwenden Sie Microsoft Cloud PKI, um Zertifikate für von Intune verwaltete Geräte auszustellen. Microsoft Cloud PKI ist ein cloudbasierter Dienst, der die Verwaltung des Zertifikatlebenszyklus für von Intune verwaltete Geräte vereinfacht und automatisiert. Es stellt eine dedizierte Public Key-Infrastruktur (PKI) für Ihre organization bereit, ohne dass lokale Server, Connectors oder Hardware erforderlich sind. Es übernimmt die Ausstellung, Verlängerung und Sperrung von Zertifikaten für alle von Intune unterstützten Plattformen.
Dieser Artikel bietet eine Übersicht über Microsoft Cloud PKI für Intune, seine Funktionsweise und seine Architektur.
Was ist PKI?
PKI ist ein System, das digitale Zertifikate verwendet, um Daten zwischen Geräten und Diensten zu authentifizieren und zu verschlüsseln. PKI-Zertifikate sind für die Sicherung verschiedener Szenarien wie VPN, WLAN, E-Mail, Web und Geräteidentität unerlässlich. Die Verwaltung von PKI-Zertifikaten kann jedoch schwierig, kostspielig und komplex sein, insbesondere für Organisationen, die über eine große Anzahl von Geräten und Benutzern verfügen. Sie können Microsoft Cloud PKI verwenden, um die Sicherheit und Produktivität Ihrer Geräte und Benutzer zu verbessern und Ihre digitale Transformation zu einem vollständig verwalteten Cloud-PKI-Dienst zu beschleunigen. Darüber hinaus können Sie den Cloud PKI-Dienst in verwenden, um workloads für Active Directory-Zertifikatdienste (ADCS) oder private lokale Zertifizierungsstellen zu reduzieren.
Verwalten von Cloud PKI im Microsoft Intune Admin Center
Microsoft Cloud PKI Objekte werden im Microsoft Intune Admin Center erstellt und verwaltet. Von dort aus haben Sie folgende Möglichkeiten:
- Richten Sie Microsoft Cloud PKI ein, und verwenden Sie sie für Ihre organization.
- Aktivieren Sie Cloud PKI in Ihrem Mandanten.
- Erstellen und Zuweisen von Zertifikatprofilen zu Geräten
- Überwachen sie ausgestellte Zertifikate.
Nachdem Sie eine Cloud PKI ausstellende Zertifizierungsstelle erstellt haben, können Sie in wenigen Minuten damit beginnen, Zertifikate auszustellen.
Unterstützte Geräteplattformen
Sie können den Microsoft Cloud PKI-Dienst mit den folgenden Plattformen verwenden:
- Android
- iOS/iPadOS
- macOS
- Windows
Geräte müssen in Intune registriert sein, und die Plattform muss das SCEP-Zertifikatprofil der Intune-Gerätekonfiguration unterstützen.
Übersicht über Eigenschaften
In der folgenden Tabelle sind die Features und Szenarien aufgeführt, die mit Microsoft Cloud PKI und Microsoft Intune unterstützt werden.
| Feature | Übersicht |
|---|---|
| Erstellen mehrerer Zertifizierungsstellen in einem Intune-Mandanten | Erstellen Sie eine PKI-Hierarchie mit zwei Ebenen mit Stamm und ausstellende Zertifizierungsstelle in der Cloud. |
| Bring Your Own Ca (BYOCA) | Verankern Sie eine Intune-ausstellende Zertifizierungsstelle über Active Directory-Zertifikatdienste oder einen Nicht-Microsoft-Zertifikatdienst an einer privaten Zertifizierungsstelle. Wenn Sie über eine vorhandene PKI-Infrastruktur verfügen, können Sie dieselbe Stammzertifizierungsstelle verwalten und eine ausstellende Zertifizierungsstelle erstellen, die mit Ihrem externen Stamm verkettet ist. Diese Option umfasst Unterstützung für Hierarchien mit N+-Ebenen für externe private Zertifizierungsstellen. |
| Signatur- und Verschlüsselungsalgorithmen | Intune unterstützt RSA mit den Schlüsselgrößen 2048, 3072 und 4096. |
| Hashalgorithmen | Intune unterstützt SHA-256, SHA-384 und SHA-512. |
| HSM-Schlüssel (Signieren und Verschlüsselung) | Schlüssel werden mithilfe des Azure Managed Hardware Security Module (Azure HSM) bereitgestellt. Zertifizierungsstellen, die mit einer lizenzierten Intune Suite oder Cloud PKI eigenständigen Add-On erstellt wurden, verwenden automatisch HSM-Signatur- und Verschlüsselungsschlüssel. Für Azure HSM ist kein Azure-Abonnement erforderlich. |
| Softwareschlüssel (Signieren und Verschlüsselung) | Zertifizierungsstellen, die während eines Testzeitraums von Intune Suite oder Cloud PKI eigenständigen Add-Ons erstellt wurden, verwenden softwaregestützte Signatur- und Verschlüsselungsschlüssel mit System.Security.Cryptography.RSA. |
| Zertifizierungsstelle | Bereitstellen einer Cloudzertifikatregistrierungsstelle, die das Simple Certificate Enrollment Protocol (SCEP) für jede Cloud PKI ausstellenden Zertifizierungsstelle unterstützt. |
| Verteilungspunkte der Zertifikatsperrliste (Certificate Revocation List, CRL) | Intune hostet den CRL-Verteilungspunkt (CDP) für jede Zertifizierungsstelle. Die Gültigkeitsdauer der Zertifikatsperrliste beträgt sieben Tage. Die Veröffentlichung und Aktualisierung erfolgt alle 3,5 Tage. Die Zertifikatsperrliste wird mit jeder Zertifikatsperrung aktualisiert. |
| Endpunkte für den Zugriff auf Autoritätsinformationen (Authority Information Access, AIA) | Intune hostet den AIA-Endpunkt für jede ausstellende Zertifizierungsstelle. Der AIA-Endpunkt kann von vertrauenden Seiten verwendet werden, um übergeordnete Zertifikate abzurufen. |
| Zertifikatausstellung der Endentität für Benutzer und Geräte | Wird auch als Blattzertifikatausstellung bezeichnet. Unterstützt werden das SCEP(PKCS#7)-Protokoll und das Zertifizierungsformat sowie in Intune-MDM registrierte Geräte, die das SCEP-Profil unterstützen. |
| Zertifikatlebenszyklusverwaltung | Ausstellen, Erneuern und Widerrufen von Endentitätszertifikaten. |
| Berichterstellung Dashboard | Überwachen Sie aktive, abgelaufene und widerrufene Zertifikate aus einem dedizierten Dashboard im Intune Admin Center. Zeigen Sie Berichte für ausgestellte Blattzertifikate und andere Zertifikate an, und widerrufen Sie Blattzertifikate. Berichte werden alle 24 Stunden aktualisiert. |
| Überwachung | Überwachen Sie Administratoraktivitäten wie Erstellen, Widerrufen und Suchen im Intune Admin Center. |
| Berechtigungen für die rollenbasierte Zugriffssteuerung (Role-Based Access Control, RBAC) | Erstellen Sie benutzerdefinierte Rollen mit Microsoft Cloud PKI Berechtigungen. Mit den verfügbaren Berechtigungen können Sie Zertifizierungsstellen lesen, Zertifizierungsstellen deaktivieren und wieder aktivieren, ausgestellte Untergeordnete Zertifikate widerrufen und Zertifizierungsstellen erstellen. |
| Bereichstags | Fügen Sie Bereichstags zu jeder Zertifizierungsstelle hinzu, die Sie im Admin Center erstellen. Bereichstags können hinzugefügt, gelöscht und bearbeitet werden. |
Architektur
Microsoft Cloud PKI besteht aus mehreren Schlüsselkomponenten, die zusammenarbeiten, um die Komplexität und Verwaltung einer Public Key-Infrastruktur zu vereinfachen; ein Cloud PKI-Dienst zum Erstellen und Hosten von Zertifizierungsstellen, kombiniert mit einer Zertifikatregistrierungsstelle, um eingehende Zertifikatanforderungen von in Intune registrierten Geräten automatisch zu verarbeiten. Die Registrierungsstelle unterstützt das Simple Certificate Enrollment Protocol (SCEP).
Komponenten:
A – Microsoft Intune
B - Microsoft Cloud PKI Dienstleistungen
- B.1 – Microsoft Cloud PKI Service
- B.2 – Microsoft Cloud PKI SCEP-Dienst
- B.3 – Microsoft Cloud PKI SCEP-Validierungsdienst
Die Zertifizierungsstelle besteht aus B.2 und B.3 im Diagramm.
Diese Komponenten ersetzen die Notwendigkeit einer lokalen Zertifizierungsstelle, eines NDES und eines Intune-Zertifikatconnectors.
Aktionen:
Bevor das Gerät beim Intune-Dienst eincheckt, muss ein Intune-Administrator oder eine Intune-Rolle mit Berechtigungen zum Verwalten des Microsoft Cloud PKI Diensts:
- Erstellen Sie die erforderlichen Cloud PKI Zertifizierungsstelle für die Stamm- und ausstellenden Zertifizierungsstellen in Microsoft Intune.
- Erstellen und Zuweisen der erforderlichen Vertrauenszertifikatprofile für die Stammzertifizierungsstellen und ausstellenden Zertifizierungsstellen. Dieser Flow wird im Diagramm nicht angezeigt.
- Erstellen Sie die erforderlichen plattformspezifischen SCEP-Zertifikatprofile, und weisen Sie sie zu. Dieser Flow wird im Diagramm nicht angezeigt.
Hinweis
Eine Cloud PKI Ausstellende Zertifizierungsstelle ist erforderlich, um Zertifikate für in Intune verwaltete Geräte auszustellen. Cloud PKI stellt einen SCEP-Dienst bereit, der als Zertifikatregistrierungsstelle fungiert. Der Dienst fordert Zertifikate von der ausstellenden Zertifizierungsstelle im Namen von von Intune verwalteten Geräten mithilfe eines SCEP-Profils an.
- Ein Gerät checkt beim Intune-Dienst ein und empfängt das vertrauenswürdige Zertifikat und die SCEP-Profile.
- Basierend auf dem SCEP-Profil erstellt das Gerät eine Zertifikatsignieranforderung (Certificate Signing Request, CSR). Der private Schlüssel wird auf dem Gerät erstellt und verlässt das Gerät nie. Die CSR und die SCEP-Challenge werden an den SCEP-Dienst in der Cloud gesendet (SCEP-URI-Eigenschaft im SCEP-Profil). Die SCEP-Abfrage wird mit den SCEP-RA-Schlüsseln von Intune verschlüsselt und signiert.
- Der SCEP-Validierungsdienst überprüft die CSR anhand der SCEP-Herausforderung (im Diagramm als B.3 dargestellt). Die Überprüfung stellt sicher, dass die Anforderung von einem registrierten und verwalteten Gerät stammt. Außerdem wird sichergestellt, dass die Challenge nicht abgestempelt ist und mit den erwarteten Werten aus dem SCEP-Profil übereinstimmt. Wenn eine dieser Überprüfungen fehlschlägt, wird die Zertifikatanforderung abgelehnt.
- Nachdem die CSR überprüft wurde, fordert der SCEP-Validierungsdienst, auch als Registrierungsstelle bezeichnet, an, dass die ausstellende Zertifizierungsstelle die CSR signiert (im Diagramm als B.1 dargestellt).
- Das signierte Zertifikat wird an das MDM-registrierte Intune-Gerät übermittelt.
Hinweis
Die SCEP-Abfrage wird mit den Intune SCEP-Registrierungsstellenschlüsseln verschlüsselt und signiert.
Lizenzierungsanforderungen
Microsoft Cloud PKI erfordert eine der folgenden Lizenzen:
- Microsoft Intune Suite-Lizenz
- Microsoft Cloud PKI eigenständiger Intune-Add-Ons-Lizenz
Weitere Informationen zu Lizenzierungsoptionen finden Sie unter Microsoft Intune Lizenzierung.
Rollenbasierte Zugriffssteuerung
Die folgenden Berechtigungen sind verfügbar, um benutzerdefinierten Intune-Rollen zuzuweisen. Mit diesen Berechtigungen können Benutzer Zertifizierungsstellen im Admin Center anzeigen und verwalten.
- Lesen von Zertifizierungsstellen: Jeder Benutzer, dem diese Berechtigung zugewiesen ist, kann die Eigenschaften einer Zertifizierungsstelle lesen.
- Erstellen von Zertifizierungsstellen: Jeder Benutzer, dem diese Berechtigung zugewiesen ist, kann eine Stamm- oder ausstellende Zertifizierungsstelle erstellen.
- Ausgestellte Blattzertifikate widerrufen: Jeder Benutzer, dem diese Berechtigung zugewiesen ist, kann ein von einer ausstellenden Zertifizierungsstelle ausgestelltes Zertifikat manuell widerrufen. Für diese Berechtigung ist auch die Lesezertifizierungsstelle erforderlich.
Sie können den Stamm- und ausstellenden Zertifizierungsstellen Bereichstags zuweisen. Weitere Informationen zum Erstellen benutzerdefinierter Rollen und Bereichstags finden Sie unter Rollenbasierte Zugriffssteuerung mit Microsoft Intune.
Microsoft Cloud PKI ausprobieren
Sie können das feature Microsoft Cloud PKI im Intune Admin Center während eines Testzeitraums testen. Zu den verfügbaren Testversionen gehören:
Während des Testzeitraums können Sie bis zu sechs Zertifizierungsstellen in Ihrem Mandanten erstellen. Cloud PKI Zertifizierungsstellen, die während der Testversion erstellt wurden, softwaregestützte Schlüssel verwenden und zum Generieren und Signieren der Schlüssel verwendenSystem.Security.Cryptography.RSA. Sie können die Zertifizierungsstellen nach dem Erwerb einer Cloud PKI-Lizenz weiterhin verwenden. Die Schlüssel bleiben jedoch softwaregestützte Schlüssel und können nicht in HSM-gestützte Schlüssel konvertiert werden. Die Microsoft Intune dienstseitig verwalteten Zertifizierungsstellenschlüssel. Für Azure HSM-Funktionen ist kein Azure-Abonnement erforderlich.
Beispiele für die Zertifizierungsstellenkonfiguration
Zweischichtige Cloud PKI & ausstellenden Zertifizierungsstellen und Bring-Your-Own-Zertifizierungsstellen können in Intune gleichzeitig vorhanden sein. Sie können die folgenden Konfigurationen als Beispiele verwenden, um Zertifizierungsstellen in Microsoft Cloud PKI zu erstellen:
- Eine Stammzertifizierungsstelle mit fünf ausstellenden Zertifizierungsstellen
- Drei Stammzertifizierungsstellen mit jeweils einer ausstellenden Zertifizierungsstelle
- Zwei Stammzertifizierungsstellen mit jeweils einer ausstellenden Zertifizierungsstelle und zwei Bring-Your-Own-CAs
- Sechs Bring-Your-Own-Zertifizierungsstellen
Bekannte Probleme und Einschränkungen
Die neuesten Änderungen und Ergänzungen finden Sie unter Neuerungen in Microsoft Intune.
- Sie können bis zu sechs Zertifizierungsstellen in einem Intune-Mandanten erstellen.
- Lizenzierte Cloud PKI: Insgesamt können 6 Zertifizierungsstellen mit Azure mHSM-Schlüsseln erstellt werden.
- Testversion Cloud PKI: Insgesamt 6 Zertifizierungsstellen können während einer Testversion von Intune Suite oder Cloud PKI eigenständigen Add-Ons erstellt werden.
- Die folgenden ZS-Typen werden auf die Kapazität der Zertifizierungsstelle angerechnet:
- Cloud PKI Stammzertifizierungsstelle
- Cloud PKI Ausstellende Zertifizierungsstelle
- BYOCA, ausstellende Zertifizierungsstelle
- Die folgenden ZS-Aktionen sind derzeit im Admin Center nicht verfügbar, aber wir arbeiten aktiv daran, sie bereitzustellen.
- Löschen oder Deaktivieren einer Zertifizierungsstelle aus Ihrem Intune-Mandanten.
Bis diese Aktionen verfügbar sind, empfiehlt es sich, eine Intune-Supportanfrage zum Löschen einer Zertifizierungsstelle zu stellen.
- Löschen oder Deaktivieren einer Zertifizierungsstelle aus Ihrem Intune-Mandanten.
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für