Tanúsítványok használata hitelesítéshez a Microsoft Intune-ban
A tanúsítványokat Intune használva hitelesítheti a felhasználókat az alkalmazásokban és a vállalati erőforrásokban VPN-, Wi-Fi- vagy e-mail-profilokon keresztül. Ha tanúsítványokkal hitelesíti ezeket a kapcsolatokat, a végfelhasználóknak nem kell felhasználóneveket és jelszavakat megadniuk, ami zökkenőmentessé teheti a hozzáférést. A tanúsítványok az E-mailek S/MIME használatával történő aláírására és titkosítására is használhatók.
A Intune-tanúsítványokkal kapcsolatos bevezetés
A tanúsítványok az alábbi két fázison keresztül biztosítják a hitelesített hozzáférést:
- Hitelesítési fázis: A rendszer ellenőrzi a felhasználó hitelességét annak ellenőrzéséhez, hogy a felhasználó az, akinek állítja magát.
- Engedélyezési fázis: A felhasználóra olyan feltételek vonatkoznak, amelyek alapján meghatározható, hogy a felhasználónak hozzáférést kell-e kapnia.
A tanúsítványok tipikus használati forgatókönyvei a következők:
- Hálózati hitelesítés (például 802.1x) eszköz- vagy felhasználói tanúsítványokkal
- Hitelesítés VPN-kiszolgálókkal eszköz- vagy felhasználói tanúsítványok használatával
- E-mail aláírása felhasználói tanúsítványok alapján
Intune támogatja a Simple Certificate Enrollment Protocolt (SCEP), a nyilvános kulcsú titkosítási szabványokat (PKCS) és az importált PKCS-tanúsítványokat a tanúsítványok eszközökre történő kiépítésének módszereiként. A különböző kiépítési módszerek különböző követelményekkel és eredménnyel rendelkeznek. Például:
- Az SCEP olyan tanúsítványokat hoz ki, amelyek egyediek a tanúsítvány minden egyes kéréséhez.
- A PKCS minden eszközt egyedi tanúsítvánnyal helyez üzembe.
- Az Importált PKCS használatával ugyanazt a tanúsítványt helyezheti üzembe, amelyet egy forrásból, például egy e-mail-kiszolgálóról exportált több címzettnek. Ez a megosztott tanúsítvány hasznos annak biztosításához, hogy az összes felhasználó vagy eszköz visszafejthesse az adott tanúsítvány által titkosított e-maileket.
Ha egy felhasználót vagy eszközt egy adott típusú tanúsítvánnyal szeretne kiépíteni, Intune tanúsítványprofilt használ.
A három tanúsítványtípus és kiépítési módszer mellett megbízható hitelesítésszolgáltatótól (CA) származó megbízható főtanúsítványra is szükség van. A hitelesítésszolgáltató lehet helyszíni Microsoft Certification hatóság vagy külső hitelesítésszolgáltató. A megbízható főtanúsítvány megbízhatósági kapcsolatot létesít az eszközről a legfelső szintű vagy köztes (kiállító) hitelesítésszolgáltatóval, amelyből a többi tanúsítványt kiadták. A tanúsítvány üzembe helyezéséhez használja a megbízható tanúsítványprofilt , és telepítse ugyanazokat az eszközöket és felhasználókat, amelyek megkapják az SCEP, a PKCS és az importált PKCS tanúsítványprofiljait.
Tipp
Intune támogatja a származtatott hitelesítő adatok használatát az intelligens kártyákat igénylő környezetekben.
A tanúsítványok használatához szükséges tudnivalók
- Hitelesítésszolgáltató. A hitelesítésszolgáltató az a megbízhatósági forrás, amelyet a tanúsítványok a hitelesítéshez hivatkoznak. Használhat Microsoft hitelesítésszolgáltatót vagy külső hitelesítésszolgáltatót.
- Helyszíni infrastruktúra. A szükséges infrastruktúra a használt tanúsítványtípusoktól függ:
- Megbízható főtanúsítvány. Az SCEP- vagy PKCS-tanúsítványprofilok telepítése előtt telepítse a megbízható főtanúsítványt a hitelesítésszolgáltatótól egy megbízható tanúsítványprofillal . Ez a profil segít az eszköz és a hitelesítésszolgáltató közötti megbízhatósági kapcsolat kialakításában, és ezt a többi tanúsítványprofil is megköveteli.
Egy megbízható főtanúsítvány üzembe helyezésével készen áll tanúsítványprofilok üzembe helyezésére a felhasználók és eszközök hitelesítéshez szükséges tanúsítványokkal történő kiépítéséhez.
Melyik tanúsítványprofilt kell használni?
Az alábbi összehasonlítások nem teljes körűek, de segítenek megkülönböztetni a különböző tanúsítványprofil-típusokat.
| Profil típusa | Részletek |
|---|---|
| Megbízható tanúsítvány | A használatával üzembe helyezheti a nyilvános kulcsot (tanúsítványt) egy legfelső szintű hitelesítésszolgáltatóról vagy köztes hitelesítésszolgáltatóról a felhasználókra és eszközökre, hogy megbízhatósági kapcsolatot létesítsen a forrás hitelesítésszolgáltatóval. Más tanúsítványprofilokhoz a megbízható tanúsítványprofil és annak főtanúsítványa szükséges. |
| SCEP-tanúsítvány | Üzembe helyez egy sablont egy tanúsítványkérelemhez a felhasználók és az eszközök számára. Az SCEP használatával kiépített összes tanúsítvány egyedi, és a tanúsítványt kérő felhasználóhoz vagy eszközhöz van kötve.
Az SCEP-vel tanúsítványokat telepíthet olyan eszközökre, amelyek nem rendelkeznek felhasználói affinitással, beleértve az SCEP használatát a tanúsítványok KIOSK-on vagy felhasználó nélküli eszközökön való kiépítéséhez. |
| PKCS-tanúsítvány | Üzembe helyez egy sablont egy tanúsítványkérelemhez, amely megadja a felhasználó vagy az eszköz tanúsítványtípusát.
– A felhasználó tanúsítványtípusára vonatkozó kérések mindig felhasználói affinitást igényelnek. Amikor egy felhasználóhoz telepíti, a felhasználó eszközei egyedi tanúsítványt kapnak. Ha egy felhasználóval rendelkező eszközön van telepítve, az adott felhasználó az eszköz tanúsítványához van társítva. Felhasználó nélküli eszközön való üzembe helyezéskor a rendszer nem épít ki tanúsítványt. – Az eszköz tanúsítványtípusával rendelkező sablonok nem igényelnek felhasználói affinitást a tanúsítvány kiépítéséhez. Az eszköz üzembe helyezése kiépíti az eszközt. A felhasználó üzembe helyezése kiépít egy eszközt, amelybe a felhasználó tanúsítvánnyal van bejelentkezve. |
| PKCS importált tanúsítvány | Egyetlen tanúsítványt helyez üzembe több eszközön és felhasználón, amely támogatja az olyan forgatókönyveket, mint az S/MIME aláírása és titkosítása. Ha például minden eszközön ugyanazt a tanúsítványt helyezi üzembe, az egyes eszközök visszafejthetik az ugyanabból a levelezési kiszolgálóról érkező e-maileket.
A többi tanúsítványterjesztési módszer nem elegendő ehhez a forgatókönyvhöz, mivel az SCEP minden kéréshez egyedi tanúsítványt hoz létre, és a PKCS minden felhasználóhoz más-más tanúsítványt társít, a különböző felhasználók különböző tanúsítványokat kapnak. |
Intune támogatott tanúsítványok és használat
| Típus | Hitelesítés | S/MIME-aláírás | S/MIME-titkosítás |
|---|---|---|---|
| Nyilvános kulcsú titkosítási szabványok (PKCS) importált tanúsítványa |
|
|
|
| PKCS#12 (vagy PFX) |
|
|
|
| Simple Certificate Enrollment Protocol (SCEP) |
|
|
A tanúsítványok üzembe helyezéséhez hozzon létre és rendeljen hozzá tanúsítványprofilokat az eszközökhöz.
Minden egyes létrehozott tanúsítványprofil egyetlen platformot támogat. PKCS-tanúsítványok használata esetén például létre kell hoznia egy PKCS-tanúsítványprofilt Androidhoz, és egy külön PKCS-tanúsítványprofilt az iOS/iPadOS rendszerhez. Ha a két platformhoz SCEP-tanúsítványokat is használ, hozzon létre egy SCEP-tanúsítványprofilt Androidhoz, egy másikat pedig iOS/iPadOS rendszerhez.
Általános szempontok a Microsoft Certification Authority használatakor
Ha Microsoft Certification Szolgáltatót (CA) használ:
SCEP-tanúsítványprofilok használata:
PKCS-tanúsítványprofilok használata:
Az importált PKCS-tanúsítványok használata:
- Telepítse az Microsoft Intune tanúsítvány-összekötőt.
- Exportálja a tanúsítványokat a hitelesítésszolgáltatótól, majd importálja őket a Microsoft Intune. Lásd : PFXImport PowerShell-projekt.
A tanúsítványok üzembe helyezése az alábbi mechanizmusokkal történik:
- Megbízható tanúsítványprofilok a megbízható legfelső szintű hitelesítésszolgáltató tanúsítványának központi telepítéséhez a legfelső szintű vagy köztes hitelesítésszolgáltatótól az eszközökre
- SCEP-tanúsítványprofilok
- PKCS-tanúsítványprofilok
- PKCS importált tanúsítványprofilok
Külső hitelesítésszolgáltató használatakor megfontolandó általános szempontok
Ha külső (nem Microsoft) hitelesítésszolgáltatót (CA) használ:
Az SCEP-tanúsítványprofilokhoz nincs szükség a Microsoft Intune Tanúsítvány-összekötő használatára. Ehelyett a külső hitelesítésszolgáltató kezeli közvetlenül a tanúsítvány kiállítását és kezelését. SCEP-tanúsítványprofilok használata a Intune Tanúsítvány-összekötő nélkül:
- Konfigurálja az integrációt egy külső hitelesítésszolgáltatóval az egyik támogatott partnerünktől. A telepítő a külső hitelesítésszolgáltató utasításait követi a hitelesítésszolgáltató és a Intune integrációjának befejezéséhez.
- Hozzon létre egy alkalmazást Microsoft Entra ID, amely jogosultságokat delegál Intune az SCEP-tanúsítványok ellenőrzéséhez.
További információ: Külső hitelesítésszolgáltatói integráció beállítása
Az importált PKCS-tanúsítványokhoz a Microsoft Intune Tanúsítvány-összekötőt kell használni. Lásd: A tanúsítvány-összekötő telepítése Microsoft Intune.
A tanúsítványok üzembe helyezése az alábbi mechanizmusokkal történik:
- Megbízható tanúsítványprofilok a megbízható legfelső szintű hitelesítésszolgáltató tanúsítványának központi telepítéséhez a legfelső szintű vagy köztes hitelesítésszolgáltatótól az eszközökre
- SCEP-tanúsítványprofilok
- PKCS-tanúsítványprofilok (csak a Digicert PKI platform támogatja)
- PKCS importált tanúsítványprofilok
Támogatott platformok és tanúsítványprofilok
| Platform | Megbízható tanúsítványprofil | PKCS-tanúsítványprofil | SCEP-tanúsítványprofil | PKCS importált tanúsítványprofil |
|---|---|---|---|---|
| Android-eszközadminisztrátor |
(lásd: 1. megjegyzés) |
|
|
|
| Android Enterprise – Teljes körűen felügyelt (eszköztulajdonos) |
|
|
|
|
| Android Enterprise – Dedikált (eszköztulajdonos) |
|
|
|
|
| Android Enterprise – Corporate-Owned munkahelyi profil |
|
|
|
|
| Android Enterprise – Personally-Owned munkahelyi profil |
|
|
|
|
| Android (AOSP) |
|
|
|
|
| iOS/iPadOS |
|
|
|
|
| macOS |
|
|
|
|
| Windows 8.1 és újabb |
|
|
||
| Windows 10/11 |
(lásd: 2. megjegyzés) |
(lásd: 2. megjegyzés) |
(lásd: 2. megjegyzés) |
|
- 1. megjegyzés – Az Android 11-től kezdődően a megbízható tanúsítványprofilok már nem tudják telepíteni a megbízható főtanúsítványt az Android-eszközadminisztrátorként regisztrált eszközökön. Ez a korlátozás nem vonatkozik a Samsung Knoxra. További információ: Megbízható tanúsítványprofilok androidos eszközadminisztrátor számára.
- 2. megjegyzés – Ez a profil Windows Enterprise több munkamenetes távoli asztalok esetén támogatott.
Fontos
2022. október 22-én a Microsoft Intune megszüntette a Windows 8.1 rendszerű eszközök támogatását. Ezeken az eszközökön nem érhető el technikai támogatás és automatikus frissítés.
Ha jelenleg a Windows 8.1-et használja, térjen át Windowsos 10/11-es eszközökre. A Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek kezelik a Windows 10/11-es ügyféleszközöket.
Fontos
Microsoft Intune 2024. december 31-én megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy váltson át egy másik Android-felügyeleti lehetőségre Intune a támogatás megszűnése előtt. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.
Kapcsolódó tartalom
További források:
Tanúsítványprofilok létrehozása:
- Megbízható tanúsítványprofil konfigurálása
- Infrastruktúra konfigurálása SCEP-tanúsítványok támogatásához a Intune
- PKCS-tanúsítványok konfigurálása és kezelése Intune
- Importált PKCS-tanúsítványprofil létrehozása
Tudnivalók az Microsoft Intune tanúsítvány-összekötőjéről