Usare certificati per l'autenticazione in Microsoft Intune
Usare i certificati con Intune per autenticare gli utenti in applicazioni e risorse aziendali tramite vpn, Wi-Fi o profili di posta elettronica. Quando si usano i certificati per autenticare queste connessioni, gli utenti finali non devono immettere nomi utente e password, il che può facilitare l'accesso. I certificati vengono usati anche per la firma e la crittografia della posta elettronica tramite S/MIME.
Introduzione ai certificati con Intune
I certificati forniscono l'accesso autenticato senza ritardi nelle due fasi seguenti:
- Fase di autenticazione: l'autenticità dell'utente viene controllata per verificare che l'utente sia quello che dichiara di essere.
- Fase di autorizzazione: l'utente è soggetto a condizioni per le quali viene determinata se l'utente deve avere accesso.
Gli scenari di utilizzo tipici per i certificati includono:
- Autenticazione di rete (ad esempio, 802.1x) con certificati utente o dispositivo
- Autenticazione con server VPN tramite certificati utente o dispositivo
- Firma di messaggi di posta elettronica basati su certificati utente
Intune supporta SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) e certificati PKCS importati come metodi per effettuare il provisioning dei certificati nei dispositivi. I diversi metodi di provisioning hanno requisiti e risultati diversi. Ad esempio:
- SCEP effettua il provisioning di certificati univoci per ogni richiesta del certificato.
- PKCS esegue il provisioning di ogni dispositivo con un certificato univoco.
- Con PKCS importato è possibile distribuire lo stesso certificato esportato da un'origine, ad esempio un server di posta elettronica, a più destinatari. Questo certificato condiviso è utile per garantire che tutti gli utenti o i dispositivi possano decrittografare i messaggi di posta elettronica crittografati da tale certificato.
Per effettuare il provisioning di un utente o di un dispositivo con un tipo specifico di certificato, Intune usa un profilo certificato.
Oltre ai tre tipi di certificato e ai metodi di provisioning, è necessario un certificato radice attendibile da un'autorità di certificazione (CA) attendibile. La CA può essere un'autorità di certificazione Microsoft locale o un'autorità di certificazione di terze parti. Il certificato radice attendibile stabilisce un trust dal dispositivo alla CA radice o intermedia (emittente) da cui vengono rilasciati gli altri certificati. Per distribuire questo certificato, usare il profilo certificato attendibile e distribuirlo negli stessi dispositivi e utenti che ricevono i profili certificato per SCEP, PKCS e PKCS importato.
Consiglio
Intune supporta anche l'uso di credenziali derivate per gli ambienti che richiedono l'uso di smart card.
Cosa è necessario per usare i certificati
- Autorità di certificazione. La CA è l'origine dell'attendibilità di cui fanno riferimento i certificati per l'autenticazione. È possibile usare una CA Microsoft o una CA di terze parti.
- Infrastruttura locale. L'infrastruttura necessaria dipende dai tipi di certificato usati:
- Certificato radice attendibile. Prima di distribuire i profili certificato SCEP o PKCS, distribuire il certificato radice attendibile dalla CA usando un profilo certificato attendibile . Questo profilo consente di stabilire l'attendibilità dal dispositivo alla CA ed è richiesto dagli altri profili certificato.
Con un certificato radice attendibile distribuito, si è pronti per distribuire i profili certificato per effettuare il provisioning di utenti e dispositivi con certificati per l'autenticazione.
Quale profilo certificato usare
I confronti seguenti non sono completi, ma consentono di distinguere l'uso dei diversi tipi di profilo certificato.
Tipo di profilo | Dettagli |
---|---|
Certificato attendibile | Usare per distribuire la chiave pubblica (certificato) da una CA radice o da una CA intermedia a utenti e dispositivi per ripristinare un trust nella CA di origine. Altri profili certificato richiedono il profilo certificato attendibile e il relativo certificato radice. |
Certificato SCEP | Distribuisce un modello per una richiesta di certificato a utenti e dispositivi. Ogni certificato di cui viene effettuato il provisioning tramite SCEP è univoco e associato all'utente o al dispositivo che richiede il certificato. Con SCEP è possibile distribuire certificati a dispositivi che non hanno affinità utente, incluso l'uso di SCEP per effettuare il provisioning di un certificato in KIOSK o in un dispositivo senza utente. |
Certificato PKCS | Distribuisce un modello per una richiesta di certificato che specifica un tipo di certificato dell'utente o del dispositivo. - Le richieste per un tipo di certificato dell'utente richiedono sempre l'affinità utente. Quando viene distribuito a un utente, ogni dispositivo dell'utente riceve un certificato univoco. Quando viene distribuito in un dispositivo con un utente, tale utente è associato al certificato per tale dispositivo. Quando viene distribuito in un dispositivo senza utente, non viene effettuato il provisioning di alcun certificato. - I modelli con un tipo di certificato del dispositivo non richiedono affinità utente per il provisioning di un certificato. La distribuzione in un dispositivo effettua il provisioning del dispositivo. La distribuzione a un utente effettua il provisioning del dispositivo a cui l'utente ha eseguito l'accesso con un certificato. |
Certificato PKCS importato | Distribuisce un singolo certificato a più dispositivi e utenti, che supporta scenari come la firma e la crittografia S/MIME. Ad esempio, distribuendo lo stesso certificato in ogni dispositivo, ogni dispositivo può decrittografare la posta elettronica ricevuta dallo stesso server di posta elettronica. Altri metodi di distribuzione del certificato non sono sufficienti per questo scenario, poiché SCEP crea un certificato univoco per ogni richiesta e PKCS associa un certificato diverso per ogni utente, con utenti diversi che ricevono certificati diversi. |
Certificati e utilizzo supportati da Intune
Tipo | Autenticazione | Firma S/MIME | Crittografia S/MIME |
---|---|---|---|
Certificato importato PKCS (Public Key Cryptography Standards) | |||
PKCS#12 (o PFX) | |||
Simple Certificate Enrollment Protocol (SCEP) |
Per distribuire questi certificati, creare e assegnare profili certificato ai dispositivi.
Ogni singolo profilo certificato creato supporta una singola piattaforma. Ad esempio, se si usano certificati PKCS, si crea un profilo certificato PKCS per Android e un profilo certificato PKCS separato per iOS/iPadOS. Se si usano anche certificati SCEP per queste due piattaforme, si crea un profilo di certificato SCEP per Android e un altro per iOS/iPadOS.
Considerazioni generali quando si usa un'autorità di certificazione Microsoft
Quando si usa un'autorità di certificazione (CA) Microsoft:
Per usare i profili certificato SCEP:
Per usare i profili certificato PKCS:
Per usare i certificati importati PKCS:
- Installare il connettore di certificati per Microsoft Intune.
- Esportare i certificati dall'autorità di certificazione e quindi importarli in Microsoft Intune. Vedere il progetto PowerShell PFXImport.
Distribuire i certificati usando i meccanismi seguenti:
- Profili certificato attendibili per distribuire il certificato CA radice attendibile dalla CA radice o intermedia (emittente) nei dispositivi
- Profili certificato SCEP
- Profili certificato PKCS
- Profili certificato PKCS importati
Considerazioni generali quando si usa un'autorità di certificazione di terze parti
Quando si usa un'autorità di certificazione (CA) di terze parti (non Microsoft):
Per usare i profili certificato SCEP:
- Configurare l'integrazione con una CA di terze parti da uno dei partner supportati. Il programma di installazione include le istruzioni della CA di terze parti per completare l'integrazione della ca con Intune.
- Creare un'applicazione in Microsoft Entra ID che delega i diritti a Intune per eseguire la convalida della verifica del certificato SCEP.
I certificati importati PKCS richiedono l'installazione del connettore di certificati per Microsoft Intune.
Distribuire i certificati usando i meccanismi seguenti:
- Profili certificato attendibili per distribuire il certificato CA radice attendibile dalla CA radice o intermedia (emittente) nei dispositivi
- Profili certificato SCEP
- Profili certificato PKCS (supportati solo con la piattaforma PKI Digicert)
- Profili certificato PKCS importati
Piattaforme supportate e profili certificato
Piattaforma | Profilo certificato attendibile | Profilo certificato PKCS | Profilo certificato SCEP | Profilo certificato PKCS importato |
---|---|---|---|---|
Amministratore del dispositivo Android | (vedere la nota 1) | |||
Android Enterprise - Completamente gestito (proprietario del dispositivo) | ||||
Android Enterprise - Dedicato (proprietario del dispositivo) | ||||
Android Enterprise - Profilo di lavoro Corporate-Owned | ||||
Android Enterprise - Profilo di lavoro Personally-Owned | ||||
Android | ||||
iOS/iPadOS | ||||
macOS | ||||
Windows 8.1 e versioni successive | ||||
Windows 10/11 | (vedere la nota 2) | (vedere la nota 2) | (vedere la nota 2) |
- Nota 1 : a partire da Android 11, i profili certificato attendibili non possono più installare il certificato radice attendibile nei dispositivi registrati come amministratore di dispositivi Android. Questa limitazione non si applica a Samsung Knox. Per altre informazioni, vedere Profili certificato attendibili per l'amministratore di dispositivi Android.
- Nota 2 : questo profilo è supportato per i desktop remoti a più sessioni di Windows Enterprise.
Importante
Il 22 ottobre 2022 Microsoft Intune terminato il supporto per i dispositivi che eseguono Windows 8.1. L'assistenza tecnica e gli aggiornamenti automatici su questi dispositivi non sono disponibili.
Se attualmente si usa Windows 8.1, è consigliabile passare a dispositivi Windows 10/11. Microsoft Intune dispone di funzionalità predefinite per la sicurezza e i dispositivi che gestiscono i dispositivi client Windows 10/11.
Importante
Microsoft Intune termina il supporto per la gestione degli amministratori di dispositivi Android nei dispositivi con accesso a Google Mobile Services (GMS) il 30 agosto 2024. Dopo tale data, la registrazione del dispositivo, il supporto tecnico, le correzioni di bug e le correzioni di sicurezza non saranno disponibili. Se attualmente si usa la gestione dell'amministratore dei dispositivi, è consigliabile passare a un'altra opzione di gestione Android in Intune prima della fine del supporto. Per altre informazioni, vedere Supporto finale per l'amministratore di dispositivi Android nei dispositivi GMS.
Passaggi successivi
Altre risorse:
- Usare S/MIME per firmare e crittografare i messaggi di posta elettronica
- Usare l'autorità di certificazione di terze parti
Creare profili certificato:
- Configurare un profilo certificato attendibile
- Configurare l'infrastruttura per supportare i certificati SCEP con Intune
- Configurare e gestire i certificati PKCS con Intune
- Creare un profilo certificato pkcs importato
Informazioni sul connettore di certificati per Microsoft Intune
Commenti e suggerimenti
https://aka.ms/ContentUserFeedback.
Presto disponibile: Nel corso del 2024 verranno gradualmente disattivati i problemi di GitHub come meccanismo di feedback per il contenuto e ciò verrà sostituito con un nuovo sistema di feedback. Per altre informazioni, vedereInvia e visualizza il feedback per