Panoramica di Microsoft Cloud PKI per Microsoft Intune
Si applica a:
- Windows
- Android
- iOS
- macOS
Usare L'infrastruttura a chiave pubblica di Microsoft Cloud per rilasciare certificati per i dispositivi gestiti da Intune. Microsoft Cloud PKI è un servizio basato sul cloud che semplifica e automatizza la gestione del ciclo di vita dei certificati per i dispositivi gestiti da Intune. Fornisce un'infrastruttura a chiave pubblica dedicata (PKI) per l'organizzazione, senza richiedere server, connettori o hardware locali. Gestisce il rilascio, il rinnovo e la revoca del certificato per tutte le piattaforme supportate da Intune.
Questo articolo offre una panoramica dell'infrastruttura a chiave pubblica di Microsoft Cloud per Intune, del suo funzionamento e della relativa architettura.
Che cos'è L'infrastruttura a chiave pubblica?
L'infrastruttura a chiave pubblica è un sistema che usa certificati digitali per autenticare e crittografare i dati tra dispositivi e servizi. I certificati PKI sono essenziali per proteggere vari scenari, ad esempio VPN, Wi-Fi, posta elettronica, Web e identità del dispositivo. Tuttavia, la gestione dei certificati PKI può essere complessa, costosa e complessa, soprattutto per le organizzazioni che hanno un numero elevato di dispositivi e utenti. È possibile usare Microsoft Cloud PKI per migliorare la sicurezza e la produttività dei dispositivi e degli utenti e accelerare la trasformazione digitale in un servizio PKI cloud completamente gestito. Inoltre, è possibile usare il servizio Cloud PKI in per ridurre i carichi di lavoro per Active Directory Certificate Services (ADCS) o le autorità di certificazione locali private.
Gestire l'infrastruttura a chiave pubblica cloud nell'interfaccia di amministrazione di Microsoft Intune
Gli oggetti PKI di Microsoft Cloud vengono creati e gestiti nell'interfaccia di amministrazione di Microsoft Intune. Da qui è possibile:
- Configurare e usare Microsoft Cloud PKI per l'organizzazione.
- Abilitare l'infrastruttura a chiave pubblica cloud nel tenant.
- Creare e assegnare profili certificato ai dispositivi.
- Monitorare i certificati rilasciati.
Dopo aver creato una CA emittente PKI cloud, è possibile iniziare a emettere certificati in pochi minuti.
Piattaforme per dispositivi supportate
È possibile usare il servizio PKI di Microsoft Cloud con queste piattaforme:
- Android
- iOS/iPadOS
- macOS
- Windows
I dispositivi devono essere registrati in Intune e la piattaforma deve supportare il profilo certificato SCEP della configurazione del dispositivo di Intune.
Panoramica delle funzionalità
Nella tabella seguente sono elencate le funzionalità e gli scenari supportati con Microsoft Cloud PKI e Microsoft Intune.
| Funzionalità | Panoramica |
|---|---|
| Creare più CA in un tenant di Intune | Creare una gerarchia PKI a due livelli con ca radice ed emittente nel cloud. |
| Bring your own CA (BYOCA) | Ancorare una CA emittente di Intune a una CA privata tramite Servizi certificati Active Directory o un servizio certificati non Microsoft. Se si dispone di un'infrastruttura PKI esistente, è possibile mantenere la stessa CA radice e creare una CA emittente che si concateni alla radice esterna. Questa opzione include il supporto per gerarchie di livello CA N+ private esterne. |
| Algoritmi di firma e crittografia | Intune supporta RSA, dimensioni delle chiavi 2048, 3072 e 4096. |
| Algoritmi hash | Intune supporta SHA-256, SHA-384 e SHA-512. |
| Chiavi HSM (firma e crittografia) | Il provisioning delle chiavi viene eseguito tramite Il modulo di sicurezza hardware gestito di Azure (Modulo di protezione hardware gestito di Azure). Le autorità di certificazione create con un componente aggiuntivo autonomo di Intune Suite o Cloud PKI con licenza usano automaticamente le chiavi di crittografia e firma HSM. Non è necessaria alcuna sottoscrizione di Azure per Il modulo di protezione hardware di Azure. |
| Chiavi software (firma e crittografia) | Le autorità di certificazione create durante un periodo di valutazione di Intune Suite o cloud PKI autonomo usano chiavi di crittografia e firma supportate dal software tramite System.Security.Cryptography.RSA. |
| Autorità di registrazione certificati | Fornire un'autorità di registrazione certificati cloud che supporta Simple Certificate Enrollment Protocol (SCEP) per ogni CA emittente PKI cloud. |
| Punti di distribuzione CRL (Certificate Revocation List) | Intune ospita il punto di distribuzione CRL (CDP) per ogni CA. Il periodo di validità CRL è di sette giorni. La pubblicazione e l'aggiornamento vengono eseguiti ogni 3,5 giorni. Il CRL viene aggiornato con ogni revoca del certificato. |
| Endpoint di Authority Information Access (AIA) | Intune ospita l'endpoint AIA per ogni CA emittente. L'endpoint AIA può essere usato dalle relying party per recuperare i certificati padre. |
| Rilascio del certificato dell'entità finale per utenti e dispositivi | Noto anche come rilascio di certificati foglia . Il supporto è per il formato di certificazione e il protocollo SCEP (PKCS#7) e per i dispositivi registrati in Intune-MDM che supportano il profilo SCEP. |
| Gestione del ciclo di vita dei certificati | Emettere, rinnovare e revocare i certificati di entità finale. |
| Dashboard di creazione di report | Monitorare i certificati attivi, scaduti e revocati da un dashboard dedicato nell'interfaccia di amministrazione di Intune. Visualizzare i report per i certificati foglia emessi e altri certificati e revocare i certificati foglia. I report vengono aggiornati ogni 24 ore. |
| Controllo | Controllare l'attività di amministratore, ad esempio creare, revocare e cercare azioni nell'interfaccia di amministrazione di Intune. |
| Autorizzazioni per il controllo degli accessi in base al ruolo | Creare ruoli personalizzati con le autorizzazioni PKI di Microsoft Cloud. Le autorizzazioni disponibili consentono di leggere le CA, disabilitare e riabilitare le CA, revocare i certificati foglia rilasciati e creare autorità di certificazione. |
| Tag di ambito | Aggiungere tag di ambito a qualsiasi AUTORITÀ di certificazione creata nell'interfaccia di amministrazione. I tag di ambito possono essere aggiunti, eliminati e modificati. |
Architettura
Microsoft Cloud PKI è costituito da diversi componenti chiave che interagiscono per semplificare la complessità e la gestione di un'infrastruttura a chiave pubblica; un servizio PKI cloud per la creazione e l'hosting di autorità di certificazione, combinato con un'autorità di registrazione certificati per gestire automaticamente le richieste di certificati in ingresso dai dispositivi registrati in Intune. L'autorità di registrazione supporta il protocollo SCEP (Simple Certificate Enrollment Protocol).
Componenti:
A - Microsoft Intune
B - Servizi PKI cloud Microsoft
- B.1 - Servizio PKI cloud Microsoft
- B.2 - Servizio SCEP PKI di Microsoft Cloud
- B.3 - Servizio di convalida SCEP PKI di Microsoft Cloud
L'autorità di registrazione certificati costituisce B.2 e B.3 nel diagramma.
Questi componenti sostituiscono la necessità di un'autorità di certificazione locale, un connettore di certificati NDES e Intune.
Azioni:
Prima che il dispositivo esercichi l'accesso al servizio Intune, un amministratore di Intune o un ruolo di Intune con le autorizzazioni per gestire il servizio PKI di Microsoft Cloud deve:
- Creare l'autorità di certificazione PKI cloud necessaria per le CA radice e emittenti in Microsoft Intune.
- Creare e assegnare i profili di certificato di attendibilità necessari per le CA radice e emittenti. Questo flusso non viene visualizzato nel diagramma.
- Creare e assegnare i profili di certificato SCEP specifici della piattaforma necessari. Questo flusso non viene visualizzato nel diagramma.
Nota
Per rilasciare certificati per i dispositivi gestiti da Intune è necessaria un'autorità di certificazione emittente PKI cloud. L'infrastruttura a chiave pubblica cloud fornisce un servizio SCEP che funge da autorità di registrazione certificati. Il servizio richiede certificati dalla CA emittente per conto dei dispositivi gestiti da Intune usando un profilo SCEP.
- Un dispositivo esegue l'accesso con il servizio Intune e riceve il certificato attendibile e i profili SCEP.
- In base al profilo SCEP, il dispositivo crea una richiesta di firma del certificato.Based on the SCEP profile, the device creates a certificate signing request (CSR). La chiave privata viene creata nel dispositivo e non lascia mai il dispositivo. La richiesta csr e la richiesta di verifica SCEP vengono inviate al servizio SCEP nel cloud (proprietà URI SCEP nel profilo SCEP). La richiesta di verifica SCEP viene crittografata e firmata usando le chiavi RA SCEP di Intune.
- Il servizio di convalida SCEP verifica la richiesta csr rispetto alla richiesta di verifica SCEP (illustrata come B.3 nel diagramma). La convalida garantisce che la richiesta provenga da un dispositivo registrato e gestito. Garantisce inoltre che la verifica non venga gestita e che corrisponda ai valori previsti dal profilo SCEP. Se uno di questi controlli ha esito negativo, la richiesta di certificato viene rifiutata.
- Dopo la convalida della richiesta csr, il servizio di convalida SCEP, noto anche come autorità di registrazione, richiede che l'autorità di certificazione emittente firmi la richiesta csr (indicata come B.1 nel diagramma).
- Il certificato firmato viene recapitato al dispositivo registrato in MDM di Intune.
Nota
La richiesta SCEP viene crittografata e firmata usando le chiavi dell'autorità di registrazione SCEP di Intune.
Requisiti di licenza
Microsoft Cloud PKI richiede una delle licenze seguenti:
- Licenza di Microsoft Intune Suite
- Licenza dei componenti aggiuntivi di Intune autonomi per Microsoft Cloud PKI
Per altre informazioni sulle opzioni di licenza, vedere Licenze di Microsoft Intune.
Controllo degli accessi in base al ruolo
Le autorizzazioni seguenti sono disponibili per l'assegnazione ai ruoli di Intune personalizzati. Queste autorizzazioni consentono agli utenti di visualizzare e gestire le CA nell'interfaccia di amministrazione.
- Leggere le CA: qualsiasi utente a cui è stata assegnata questa autorizzazione può leggere le proprietà di una CA.
- Creare autorità di certificazione: qualsiasi utente a cui è stata assegnata questa autorizzazione può creare una CA radice o emittente.
- Revocare i certificati foglia rilasciati: qualsiasi utente a cui è stata assegnata questa autorizzazione ha la possibilità di revocare manualmente un certificato emesso da una CA emittente. Questa autorizzazione richiede anche l'autorizzazione ca in lettura .
È possibile assegnare tag di ambito alle CA radice ed emittenti. Per altre informazioni su come creare ruoli personalizzati e tag di ambito, vedere Controllo degli accessi in base al ruolo con Microsoft Intune.
Provare Microsoft Cloud PKI
È possibile provare la funzionalità PKI di Microsoft Cloud nell'interfaccia di amministrazione di Intune durante un periodo di valutazione. Le versioni di valutazione disponibili includono:
- Versione di valutazione di Microsoft Intune Suite
- Versione di valutazione del componente aggiuntivo autonomo
Durante il periodo di valutazione, è possibile creare fino a sei CA nel tenant. Le autorità di certificazione PKI cloud create durante la versione di valutazione usano chiavi supportate dal software e usano System.Security.Cryptography.RSA per generare e firmare le chiavi. È possibile continuare a usare le CA dopo l'acquisto di una licenza PKI cloud. Tuttavia, le chiavi rimangono supportate dal software e non possono essere convertite in chiavi supportate dal modulo di protezione hardware. Chiavi CA gestite dal servizio Microsoft Intune. Per le funzionalità del modulo di protezione hardware di Azure non è necessaria alcuna sottoscrizione di Azure.
Esempi di configurazione ca
La radice dell'infrastruttura a chiave pubblica cloud a due livelli & le CA emittenti e le CA bring-your-own possono coesistere in Intune. È possibile usare le configurazioni seguenti, fornite come esempi, per creare CA in Microsoft Cloud PKI:
- Una CA radice con cinque autorità di certificazione emittenti
- Tre CA radice con una CA emittente ognuna
- Due CA radice con una CA emittente ciascuna e due CA bring-your-own
- Sei autorità di certificazione bring your own
Problemi noti e limitazioni
Per le modifiche e le aggiunte più recenti, vedere Novità di Microsoft Intune.
- È possibile creare fino a sei CA in un tenant di Intune.
- Infrastruttura a chiave pubblica cloud con licenza: è possibile creare un totale di 6 CA usando le chiavi mHSM di Azure.
- Infrastruttura a chiave pubblica cloud di valutazione: è possibile creare un totale di 6 CA durante una versione di valutazione di Intune Suite o del componente aggiuntivo autonomo cloud PKI.
- I tipi di CA seguenti vengono conteggiati per la capacità della CA:
- CA radice PKI cloud
- Ca emittente PKI cloud
- AUTORITÀ di certificazione emittente BYOCA
- Nell'interfaccia di amministrazione non è possibile eliminare o disabilitare una CA dal tenant di Intune. Stiamo lavorando attivamente per fornire queste azioni. Fino a quando non diventano disponibili, è consigliabile effettuare una richiesta di supporto di Intune per eliminare una CA.
- Nell'interfaccia di amministrazione, quando si seleziona Visualizza tutti i certificati per una CA emittente, Intune mostra solo i primi 1000 certificati rilasciati. Stiamo lavorando attivamente per risolvere questa limitazione. Come soluzione alternativa, passare a Monitoraggio dispositivi>. Selezionare quindi Certificati per visualizzare tutti i certificati rilasciati.