A Microsoft Intune-hoz készült Microsoft Cloud PKI áttekintése
A következőkre vonatkozik:
- A Windows
- Android
- iOS
- macOS
A Microsoft Cloud PKI használatával tanúsítványokat bocsáthat ki az Intune által felügyelt eszközökhöz. A Microsoft Cloud PKI egy felhőalapú szolgáltatás, amely leegyszerűsíti és automatizálja az Intune által felügyelt eszközök tanúsítványéletciklus-kezelését. Dedikált nyilvánoskulcs-infrastruktúrát (PKI) biztosít a szervezet számára anélkül, hogy helyszíni kiszolgálókra, összekötőkre vagy hardverekre lenne szükség. Ez kezeli a tanúsítványok kiállítását, megújítását és visszavonását az Összes Intune által támogatott platformon.
Ez a cikk áttekintést nyújt az Intune-hoz készült Microsoft Cloud PKI-ről, annak működéséről és architektúrájáról.
Mi az a PKI?
A PKI egy olyan rendszer, amely digitális tanúsítványokat használ az eszközök és szolgáltatások közötti adatok hitelesítésére és titkosítására. A PKI-tanúsítványok alapvető fontosságúak a különböző forgatókönyvek, például a VPN, a Wi-Fi, az e-mail, a webes és az eszközidentitás biztonságossá tételéhez. A PKI-tanúsítványok kezelése azonban kihívást jelenthet, költséges és összetett lehet, különösen a nagy számú eszközzel és felhasználóval rendelkező szervezetek számára. A Microsoft Cloud PKI-t használhatja az eszközök és felhasználók biztonságának és termelékenységének javítására, valamint a digitális átalakítás felgyorsítására egy teljes körűen felügyelt felhőalapú PKI-szolgáltatásra. Emellett a felhőbeli PKI szolgáltatást is használhatja az active directory tanúsítványszolgáltatások (ADCS) vagy a magánhálózati helyszíni hitelesítésszolgáltatók számítási feladatainak csökkentésére.
Felhőbeli PKI kezelése a Microsoft Intune Felügyeleti központban
A Microsoft Cloud PKI-objektumok a Microsoft Intune Felügyeleti központban hozhatók létre és kezelhetők. Innen a következőt teheti:
- A Microsoft Cloud PKI beállítása és használata a szervezet számára.
- Engedélyezze a felhőbeli PKI-t a bérlőben.
- Tanúsítványprofilok létrehozása és eszközökhöz rendelése.
- A kiadott tanúsítványok monitorozása.
Miután létrehozott egy felhőbeli PKI-t kiállító hitelesítésszolgáltatót, percek alatt megkezdheti a tanúsítványok kiállítását.
Támogatott eszközplatformok
A Microsoft Cloud PKI szolgáltatást az alábbi platformokkal használhatja:
- Android
- iOS/iPadOS
- macOS
- A Windows
Az eszközöket regisztrálni kell az Intune-ban, és a platformnak támogatnia kell az Intune eszközkonfigurációs SCEP-tanúsítványprofilját.
A funkciók áttekintése
Az alábbi táblázat a Microsoft Cloud PKI és a Microsoft Intune által támogatott funkciókat és forgatókönyveket sorolja fel.
| Kiemelés | Áttekintés |
|---|---|
| Több hitelesítésszolgáltató létrehozása egy Intune-bérlőben | Hozzon létre kétszintű PKI-hierarchiát gyökérszintű és kiállító hitelesítésszolgáltatóval a felhőben. |
| Saját hitelesítésszolgáltató használata (BYOCA) | Intune-kiállító hitelesítésszolgáltató rögzítése privát hitelesítésszolgáltatóhoz az Active Directory tanúsítványszolgáltatáson vagy egy nem Microsoft-tanúsítványszolgáltatáson keresztül. Ha már rendelkezik PKI-infrastruktúrával, megtarthatja ugyanazt a legfelső szintű hitelesítésszolgáltatót, és létrehozhat egy kiállító hitelesítésszolgáltatót, amely a külső gyökérhez kapcsolódik. Ez a lehetőség támogatja a külső magánhálózati hitelesítésszolgáltató N+ szintű hierarchiáit. |
| Aláírási és titkosítási algoritmusok | Az Intune támogatja az RSA-t, a 2048-at, a 3072-es és a 4096-os kulcsméretet. |
| Kivonatoló algoritmusok | Az Intune az SHA-256, az SHA-384 és az SHA-512 használatát támogatja. |
| HSM-kulcsok (aláírás és titkosítás) | A kulcsok kiépítése az Azure Managed Hardware Security Module (Azure Managed HSM) használatával történik. A licencelt Intune Suite-tal vagy felhőalapú PKI önálló bővítménnyel létrehozott hitelesítésszolgáltatók automatikusan HSM aláírási és titkosítási kulcsokat használnak. Az Azure HSM-hez nincs szükség Azure-előfizetésre. |
| Szoftverkulcsok (aláírás és titkosítás) | Az Intune Suite vagy a felhőalapú PKI önálló bővítmény próbaidőszakában létrehozott hitelesítésszolgáltatók szoftveralapú aláíró és titkosítási kulcsokat használnak a használatával System.Security.Cryptography.RSA. |
| Tanúsítványregisztrációs szolgáltató | Felhőbeli tanúsítványregisztrációs szolgáltató biztosítása, amely támogatja az egyszerű tanúsítványigénylési protokollt (SCEP) az egyes felhőbeli PKI-kiállító hitelesítésszolgáltatók számára. |
| Visszavont tanúsítványok listájának (CRL) terjesztési pontjai | Az Intune minden hitelesítésszolgáltatóhoz üzemelteti a CRL-terjesztési pontot (CDP). A CRL érvényességi időtartama hét nap. A közzététel és a frissítés 3,5 naponta történik. A CRL minden visszavont tanúsítványsal frissül. |
| Szolgáltatói információ-hozzáférési (AIA) végpontok | Az Intune üzemelteti az AIA-végpontot minden egyes kiállító hitelesítésszolgáltatóhoz. Az AIA-végpontot a függő entitások használhatják a szülőtanúsítványok lekéréséhez. |
| Végfelhasználói tanúsítványok kiállítása felhasználók és eszközök számára | Levéltanúsítvány-kiállításnak is nevezik. A támogatás az SCEP (PKCS#7) protokoll és tanúsítványformátum, valamint az SCEP-profilt támogató Intune-MDM-ben regisztrált eszközök esetében támogatott. |
| Tanúsítvány életciklusának kezelése | Végfelhasználói tanúsítványok kiállítása, megújítása és visszavonása. |
| Jelentéskészítési irányítópult | Aktív, lejárt és visszavont tanúsítványok monitorozása egy dedikált irányítópultról az Intune Felügyeleti központban. Megtekintheti a kiadott levéltanúsítványok és egyéb tanúsítványok jelentéseit, és visszavonhatja a levéltanúsítványokat. A jelentések 24 óránként frissülnek. |
| Naplózás | Naplózhatja a rendszergazdai tevékenységeket, például a létrehozási, visszavonási és keresési műveleteket az Intune Felügyeleti központban. |
| Szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyek | Egyéni szerepkörök létrehozása Microsoft Cloud PKI-engedélyekkel. Az elérhető engedélyek lehetővé teszik a hitelesítésszolgáltatók olvasását, a hitelesítésszolgáltatók letiltását és újraengedélyezhetőségét, a kiadott levéltanúsítványok visszavonását és a hitelesítésszolgáltatók létrehozását. |
| Hatókörcímkék | Adjon hozzá hatókörcímkéket a felügyeleti központban létrehozott bármely hitelesítésszolgáltatóhoz. A hatókörcímkék hozzáadhatók, törölhetők és szerkeszthetők. |
Architecture
A Microsoft Cloud PKI több kulcsfontosságú összetevőből áll, és közösen dolgoznak a nyilvános kulcsokra épülő infrastruktúra összetettségének és kezelésének egyszerűsítésén; egy felhőalapú PKI-szolgáltatás hitelesítésszolgáltatók létrehozására és üzemeltetésére, valamint egy tanúsítványregisztrációs szolgáltatóval együtt, amely automatikusan kiszolgálja az Intune-ban regisztrált eszközökről érkező tanúsítványkéréseket. A regisztrációs szolgáltató támogatja a Simple Certificate Enrollment Protocol (SCEP) protokollt.
Összetevők:
A – Microsoft Intune
B – Microsoft Cloud PKI-szolgáltatások
- B.1 – Microsoft Cloud PKI szolgáltatás
- B.2 – Microsoft Cloud PKI SCEP szolgáltatás
- B.3 – Microsoft Cloud PKI SCEP érvényesítési szolgáltatás
A tanúsítványregisztrációs szolgáltató a B.2-t és a B.3-at alkotja a diagramon.
Ezek az összetevők felváltják a helyszíni hitelesítésszolgáltató, az NDES és az Intune tanúsítvány-összekötő szükségességét.
Műveletek:
Mielőtt az eszköz bejelentkezik az Intune szolgáltatásba, egy Intune-rendszergazdai vagy Intune-szerepkörnek rendelkeznie kell a Microsoft Cloud PKI szolgáltatás kezeléséhez szükséges engedélyekkel:
- Hozza létre a szükséges felhőbeli PKI-hitelesítésszolgáltatót a microsoft intune-beli legfelső szintű hitelesítésszolgáltatóhoz és a kiállító hitelesítésszolgáltatókhoz.
- Hozza létre és rendelje hozzá a szükséges megbízhatósági tanúsítványprofilokat a legfelső szintű és a kiállító hitelesítésszolgáltatókhoz. Ez a folyamat nem jelenik meg a diagramon.
- Hozza létre és rendelje hozzá a szükséges platformspecifikus SCEP-tanúsítványprofilokat. Ez a folyamat nem jelenik meg a diagramon.
Megjegyzés:
Az Intune által felügyelt eszközök tanúsítványainak kiállításához felhőalapú PKI kiállító hitelesítésszolgáltatóra van szükség. A felhőalapú PKI egy SCEP-szolgáltatást biztosít, amely tanúsítványregisztrációs szolgáltatóként működik. A szolgáltatás tanúsítványokat kér a kiállító hitelesítésszolgáltatótól az Intune által felügyelt eszközök nevében egy SCEP-profil használatával.
- Egy eszköz bejelentkezik az Intune szolgáltatásba, és megkapja a megbízható tanúsítványt és az SCEP-profilokat.
- Az SCEP-profil alapján az eszköz létrehoz egy tanúsítvány-aláírási kérést (CSR). A titkos kulcs az eszközön jön létre, és soha nem hagyja el az eszközt. A CSR és az SCEP-feladat a felhőben található SCEP-szolgáltatásnak lesz elküldve (SCEP URI tulajdonság az SCEP-profilban). Az SCEP-feladat titkosítása és aláírása az Intune SCEP RA-kulcsokkal történik.
- Az SCEP-érvényesítési szolgáltatás ellenőrzi a CSR-t az SCEP-kihívással szemben (a diagramon B.3-asként látható). Az ellenőrzés biztosítja, hogy a kérés egy regisztrált és felügyelt eszközről érkezik. Azt is biztosítja, hogy a Feladvány nincs megszelídítve, és hogy megfeleljen az SCEP-profil várt értékeinek. Ha ezen ellenőrzések bármelyike sikertelen, a rendszer elutasítja a tanúsítványkérelmet.
- A CSR ellenőrzése után az SCEP érvényesítési szolgáltatása, más néven a regisztrációs szolgáltató kéri, hogy a kiállító hitelesítésszolgáltató aláírja a CSR-t (a diagramon B.1-ként látható).
- Az aláírt tanúsítvány az Intune MDM-ben regisztrált eszközre lesz kézbesítve.
Megjegyzés:
Az SCEP-feladat titkosítása és aláírása az Intune SCEP regisztrációs szolgáltatói kulcsainak használatával történik.
Licencelési követelmények
A Microsoft Cloud PKI a következő licencek egyikét igényli:
- Microsoft Intune Suite-licenc
- Microsoft Cloud PKI önálló Intune-bővítmények licence
További információ a licencelési lehetőségekről: Microsoft Intune-licencelés.
Szerepköralapú hozzáférés-vezérlés
Az alábbi engedélyek érhetők el az egyéni Intune-szerepkörökhöz való hozzárendeléshez. Ezekkel az engedélyekkel a felhasználók megtekinthetik és kezelhetik a hitelesítésszolgáltatókat a felügyeleti központban.
- Ca-k olvasása: Az engedélyhez hozzárendelt felhasználók elolvashatják a hitelesítésszolgáltató tulajdonságait.
- Hitelesítésszolgáltatók létrehozása: Az ehhez az engedélyhez hozzárendelt bármely felhasználó létrehozhat egy legfelső szintű vagy kiállító hitelesítésszolgáltatót.
- Kiadott levéltanúsítványok visszavonása: Az ehhez az engedélyhez hozzárendelt összes felhasználónak lehetősége van manuálisan visszavonni egy kiállító hitelesítésszolgáltató által kiadott tanúsítványt. Ehhez az engedélyhez olvasási hitelesítésszolgáltatói engedély is szükséges.
Hatókörcímkéket rendelhet a gyökérhez és a kiállító hitelesítésszolgáltatókhoz. További információ az egyéni szerepkörök és hatókörcímkék létrehozásáról: Szerepköralapú hozzáférés-vezérlés a Microsoft Intune-nal.
A Microsoft Cloud PKI kipróbálás
Próbaidőszakban kipróbálhatja a Microsoft Cloud PKI funkciót az Intune Felügyeleti központban. Az elérhető próbaverziók a következők:
A próbaidőszak alatt legfeljebb hat hitelesítésszolgáltatót hozhat létre a bérlőben. A próbaverzió során létrehozott felhőalapú PKI-k szoftveralapú kulcsokat használnak, és a használatával System.Security.Cryptography.RSA generálják és aláírják a kulcsokat. A felhőbeli PKI-licenc megvásárlása után továbbra is használhatja a hitelesítésszolgáltatókat. A kulcsok azonban szoftveralapúak maradnak, és nem konvertálhatók HSM-alapú kulcsokká. A Microsoft Intune szolgáltatás által felügyelt hitelesítésszolgáltatói kulcsok. Az Azure HSM képességeihez nincs szükség Azure-előfizetésre.
CA-konfigurációs példák
A kétrétegű felhőbeli nyilvános kulcsokra épülő nyilvános kulcsokra épülő infrastruktúra legfelső szintű & kiállító hitelesítésszolgáltatók, és a saját hitelesítésszolgáltatók is létezhetnek az Intune-ban. A következő, példákként megadott konfigurációkkal hozhat létre hitelesítésszolgáltatókat a Microsoft Cloud PKI-ben:
- Egy legfelső szintű hitelesítésszolgáltató öt kiállító hitelesítésszolgáltatóval
- Három legfelső szintű hitelesítésszolgáltató egy-egy kiállító hitelesítésszolgáltatóval
- Két legfelső szintű hitelesítésszolgáltató egy-egy kiállító hitelesítésszolgáltatóval és két saját hitelesítésszolgáltatóval
- Hat saját hitelesítésszolgáltató
Ismert problémák és korlátozások
A legújabb módosításokról és kiegészítésekről a Microsoft Intune újdonságai című témakörben olvashat.
- Egy Intune-bérlőben legfeljebb hat hitelesítésszolgáltatót hozhat létre.
- Licencelt felhőbeli PKI – Összesen 6 hitelesítésszolgáltató hozható létre Azure mHSM-kulcsokkal.
- Próbaverziós felhőbeli PKI – Összesen 6 hitelesítésszolgáltató hozható létre az Intune Suite vagy a Felhőalapú PKI önálló bővítmény próbaverziója során.
- A következő ca-típusok számítanak bele a ca-kapacitásba:
- Felhőbeli PKI legfelső szintű hitelesítésszolgáltatója
- Felhőbeli nyilvános kulcsokra épülő infrastruktúra kiállító hitelesítésszolgáltatója
- BYOCA kiállító hitelesítésszolgáltató
- A felügyeleti központban nem lehet törölni vagy letiltani egy hitelesítésszolgáltatót az Intune-bérlőből. Aktívan dolgozunk ezen műveletek biztosításán. Amíg elérhetővé nem válnak, javasoljuk, hogy küldjön egy Intune-támogatási kérést a hitelesítésszolgáltató törléséhez.
- A felügyeleti központban, amikor a Kiállító hitelesítésszolgáltató összes tanúsítványának megtekintése lehetőséget választja, az Intune csak az első 1000 kiállított tanúsítványt jeleníti meg. Aktívan dolgozunk ennek a korlátozásnak a megoldásán. Áthidaló megoldásként lépjen az Eszközökmonitorozása> területre. Ezután válassza a Tanúsítványok lehetőséget az összes kiállított tanúsítvány megtekintéséhez.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: