Compartir vía


Introducción a la PKI en la nube de Microsoft para Microsoft Intune

Se aplica a:

  • Windows
  • Android
  • iOS
  • macOS

Use la PKI en la nube de Microsoft para emitir certificados para dispositivos administrados por Intune. Microsoft Cloud PKI es un servicio basado en la nube que simplifica y automatiza la administración del ciclo de vida de los certificados para dispositivos administrados por Intune. Proporciona una infraestructura de clave pública (PKI) dedicada para su organización, sin necesidad de ningún servidor local, conectores o hardware. Controla la emisión, renovación y revocación de certificados para todas las plataformas compatibles con Intune.

En este artículo se proporciona información general sobre la PKI en la nube de Microsoft para Intune, cómo funciona y su arquitectura.

¿Qué es PKI?

PKI es un sistema que usa certificados digitales para autenticar y cifrar datos entre dispositivos y servicios. Los certificados PKI son esenciales para proteger varios escenarios, como VPN, Wi-Fi, correo electrónico, web e identidad de dispositivo. Sin embargo, la administración de certificados PKI puede ser difícil, costosa y compleja, especialmente para las organizaciones que tienen un gran número de dispositivos y usuarios. Puede usar la PKI en la nube de Microsoft para mejorar la seguridad y la productividad de los dispositivos y los usuarios, y para acelerar la transformación digital en un servicio PKI en la nube totalmente administrado. Además, puede usar el servicio PKI en la nube en para reducir las cargas de trabajo de Servicios de certificados de Active Directory (ADCS) o entidades de certificación locales privadas.

Administración de PKI en la nube en el Centro de administración de Microsoft Intune

Los objetos PKI de Microsoft Cloud se crean y administran en el Centro de administración de Microsoft Intune. Desde allí, puede:

  • Configure y use la PKI de Microsoft Cloud para su organización.
  • Habilite la PKI en la nube en el inquilino.
  • Cree y asigne perfiles de certificado a los dispositivos.
  • Supervisión de certificados emitidos.

Después de crear una ca de emisión de PKI en la nube, puede empezar a emitir certificados en cuestión de minutos.

Plataformas de dispositivos compatibles

Puede usar el servicio PKI de Microsoft Cloud con estas plataformas:

  • Android
  • iOS/iPadOS
  • macOS
  • Windows

Los dispositivos deben inscribirse en Intune y la plataforma debe admitir el perfil de certificado SCEP de configuración de dispositivo de Intune.

Introducción a las características

En la tabla siguiente se enumeran las características y escenarios admitidos con Microsoft Cloud PKI y Microsoft Intune.

Característica Información general
Creación de varias ENTIDADes de certificación en un inquilino de Intune Cree una jerarquía PKI de dos niveles con la entidad de certificación raíz y la emisora en la nube.
Traiga su propia CA (BYOCA) Anclar una ENTIDAD de certificación emisora de Intune a una CA privada a través de Servicios de certificados de Active Directory o un servicio de certificado que no sea de Microsoft. Si tiene una infraestructura PKI existente, puede mantener la misma ENTIDAD de certificación raíz y crear una entidad de certificación emisora que se encadena a la raíz externa. Esta opción incluye compatibilidad con jerarquías de niveles de N+ de CA privadas externas.
Algoritmos de firma y cifrado Intune admite RSA, tamaños de clave 2048, 3072 y 4096.
Algoritmos de hash Intune admite SHA-256, SHA-384 y SHA-512.
Claves de HSM (firma y cifrado) Las claves se aprovisionan mediante el módulo de seguridad de hardware administrado de Azure (HSM administrado de Azure).

Las entidades de certificación creadas con una licencia de Intune Suite o un complemento independiente de PKI en la nube usan automáticamente claves de cifrado y firma de HSM. No se requiere ninguna suscripción de Azure para Azure HSM.
Claves de software (firma y cifrado) Las entidades de certificación creadas durante un período de prueba de Intune Suite o el complemento PKI independiente en la nube usan claves de cifrado y firma respaldadas por software mediante System.Security.Cryptography.RSA.
Entidad de registro de certificados Proporcionar una entidad de registro de certificados en la nube que admita el protocolo de inscripción de certificados simple (SCEP) para cada CA emisora de PKI en la nube.
Puntos de distribución de lista de revocación de certificados (CRL) Intune hospeda el punto de distribución crl (CDP) para cada entidad de certificación.

El período de validez de CRL es de siete días. La publicación y actualización se producen cada 3,5 días. La CRL se actualiza con cada revocación de certificados.
Puntos finales de Acceso a la información de autoridad (AIA) Intune hospeda el punto de conexión de AIA para cada ca emisora. Los usuarios de confianza pueden usar el punto de conexión de AIA para recuperar certificados primarios.
Emisión de certificados de entidad final para usuarios y dispositivos También se conoce como emisión de certificados hoja . La compatibilidad es para el formato de certificación y el protocolo SCEP (PKCS#7) y los dispositivos inscritos en Intune-MDM que admiten el perfil SCEP.
Administración del ciclo de vida del certificado Emita, renueve y revoque certificados de entidad final.
Panel de informes Supervise los certificados activos, expirados y revocados desde un panel dedicado en el Centro de administración de Intune. Vea los informes de los certificados hoja emitidos y otros certificados, y revoque los certificados hoja. Los informes se actualizan cada 24 horas.
Auditoría Audite la actividad de administrador, como crear, revocar y buscar acciones en el Centro de administración de Intune.
Permisos de control de acceso basado en rol (RBAC) Cree roles personalizados con permisos PKI de Microsoft Cloud. Los permisos disponibles le permiten leer CA, deshabilitar y volver a habilitar ca, revocar certificados hoja emitidos y crear entidades de certificación.
Etiquetas de ámbito Agregue etiquetas de ámbito a cualquier entidad de certificación que cree en el centro de administración. Las etiquetas de ámbito se pueden agregar, eliminar y editar.

Arquitectura

Microsoft Cloud PKI se compone de varios componentes clave que trabajan juntos para simplificar la complejidad y la administración de una infraestructura de clave pública; un servicio PKI en la nube para crear y hospedar entidades de certificación, combinado con una entidad de registro de certificados para atender automáticamente las solicitudes de certificado entrantes de dispositivos inscritos en Intune. La entidad de registro admite el Protocolo simple de inscripción de certificados (SCEP).

Dibujo de la arquitectura PKI de Microsoft Cloud.

Componentes:

  • R: Microsoft Intune

  • B: servicios PKI en la nube de Microsoft

    • B.1: servicio PKI en la nube de Microsoft
    • B.2: servicio SCEP de Microsoft Cloud PKI
    • B.3: servicio de validación de SCEP de Microsoft Cloud PKI

    La entidad de registro de certificados forma B.2 y B.3 en el diagrama.

Estos componentes reemplazan la necesidad de una entidad de certificación local, NDES y un conector de certificados de Intune.

Acciones:

Antes de que el dispositivo inicie sesión en el servicio Intune, un rol de administrador de Intune o de Intune con permisos para administrar el servicio PKI de Microsoft Cloud debe:

  • Cree la entidad de certificación PKI en la nube necesaria para las entidades de certificación raíz y emisoras en Microsoft Intune.
  • Cree y asigne los perfiles de certificado de confianza necesarios para la entidad de certificación raíz y la emisión. Este flujo no se muestra en el diagrama.
  • Cree y asigne los perfiles de certificado SCEP específicos de la plataforma necesarios. Este flujo no se muestra en el diagrama.

Nota:

Se requiere una entidad de certificación de emisión de PKI en la nube para emitir certificados para dispositivos administrados de Intune. La PKI en la nube proporciona un servicio SCEP que actúa como entidad de registro de certificados. El servicio solicita certificados de la ENTIDAD de certificación emisora en nombre de dispositivos administrados por Intune mediante un perfil SCEP.

  1. Un dispositivo comprueba con el servicio Intune y recibe el certificado de confianza y los perfiles SCEP.
  2. En función del perfil SCEP, el dispositivo crea una solicitud de firma de certificado (CSR). La clave privada se crea en el dispositivo y nunca sale del dispositivo. La CSR y el desafío SCEP se envían al servicio SCEP en la nube (propiedad URI de SCEP en el perfil SCEP). El desafío de SCEP se cifra y firma mediante las claves de RA de SCEP de Intune.
  3. El servicio de validación SCEP comprueba el CSR frente al desafío SCEP (que se muestra como B.3 en el diagrama). La validación garantiza que la solicitud procede de un dispositivo inscrito y administrado. También garantiza que el desafío no se ha eliminado y que coincide con los valores esperados del perfil de SCEP. Si se produce un error en cualquiera de estas comprobaciones, se rechaza la solicitud de certificado.
  4. Una vez validada la CSR, el servicio de validación SCEP, también conocido como entidad de registro, solicita que la ca emisora firme la CSR (que se muestra como B.1 en el diagrama).
  5. El certificado firmado se entrega al dispositivo inscrito en MDM de Intune.

Nota:

El desafío de SCEP se cifra y firma mediante las claves de autoridad de registro de SCEP de Intune.

Requisitos de licencias

Microsoft Cloud PKI requiere una de las siguientes licencias:

  • Licencia de Microsoft Intune Suite
  • Licencia de complementos de Intune independientes de Microsoft Cloud PKI

Para obtener más información sobre las opciones de licencia, consulte Licencias de Microsoft Intune.

Control de acceso basado en roles

Los permisos siguientes están disponibles para asignar a roles personalizados de Intune. Estos permisos permiten a los usuarios ver y administrar ca en el centro de administración.

  • Leer CA: cualquier usuario asignado a este permiso puede leer las propiedades de una CA.
  • Crear entidades de certificación: cualquier usuario asignado a este permiso puede crear una entidad de certificación raíz o emisora.
  • Revocar certificados hoja emitidos: cualquier usuario asignado a este permiso tiene la capacidad de revocar manualmente un certificado emitido por una entidad de certificación emisora. Este permiso también requiere el permiso de ca de lectura .

Puede asignar etiquetas de ámbito a la entidad de certificación raíz y emisora. Para obtener más información sobre cómo crear roles personalizados y etiquetas de ámbito, consulte Control de acceso basado en rol con Microsoft Intune.

Prueba de la PKI en la nube de Microsoft

Puede probar la característica PKI de Microsoft Cloud en el Centro de administración de Intune durante un período de prueba. Las pruebas disponibles incluyen:

Durante el período de prueba, puede crear hasta seis CA en el inquilino. Las ENTIDADes de certificación PKI en la nube creadas durante la prueba usan claves respaldadas por software y usan System.Security.Cryptography.RSA para generar y firmar las claves. Puede seguir usando las CA después de comprar una licencia PKI en la nube. Sin embargo, las claves permanecen respaldadas por software y no se pueden convertir en claves respaldadas por HSM. Claves de CA administradas por el servicio Microsoft Intune. No se requiere ninguna suscripción de Azure para las funcionalidades de Azure HSM.

Ejemplos de configuración de CA

Las entidades de certificación raíz de PKI en la nube de dos niveles & emiten ca y las entidades de certificación bring-your-own pueden coexistir en Intune. Puede usar las siguientes configuraciones, que se proporcionan como ejemplos, para crear ca en Microsoft Cloud PKI:

  • Una entidad de certificación raíz con cinco CA emisoras
  • Tres entidades de certificación raíz con una entidad de certificación emisora cada una
  • Dos ENTIDADes de certificación raíz con una ca emisora cada una y dos entidades de certificación bring-your-own
  • Seis entidades de certificación para traer sus propias entidades de certificación

Problemas y limitaciones conocidos

Para ver los cambios y adiciones más recientes, consulte Novedades de Microsoft Intune.

  • Puede crear hasta seis CA en un inquilino de Intune.
    • PKI en la nube con licencia: se pueden crear un total de 6 ENTIDADes de certificación mediante claves de Azure mHSM.
    • PKI en la nube de prueba: se pueden crear un total de 6 CA durante una prueba de Intune Suite o un complemento PKI en la nube independiente.
  • Los siguientes tipos de CA cuentan para la capacidad de ca:
    • Entidad de certificación raíz de PKI en la nube
    • Ca emisora de PKI en la nube
    • ENTIDAD DE CERTIFICACIÓN emisora de BYOCA
  • No hay ninguna manera en el Centro de administración de eliminar o deshabilitar una ENTIDAD de certificación del inquilino de Intune. Estamos trabajando activamente para proporcionar estas acciones. Hasta que estén disponibles, se recomienda realizar una solicitud de soporte técnico de Intune para eliminar una CA.
  • En el Centro de administración, al seleccionar Ver todos los certificados de una entidad de certificación emisora, Intune solo muestra los primeros 1000 certificados emitidos. Estamos trabajando activamente para abordar esta limitación. Como solución alternativa, vaya a Monitor de dispositivos>. A continuación, seleccione Certificados para ver todos los certificados emitidos.