Overzicht van Microsoft Cloud PKI voor Microsoft Intune
Van toepassing op:
- Windows
- Android
- iOS
- macOS
Gebruik Microsoft Cloud PKI om certificaten uit te geven voor door Intune beheerde apparaten. Microsoft Cloud PKI is een cloudservice die het levenscyclusbeheer van certificaten voor door Intune beheerde apparaten vereenvoudigt en automatiseert. Het biedt een toegewezen PKI (Public Key Infrastructure) voor uw organisatie, zonder dat er on-premises servers, connectors of hardware nodig zijn. Het verwerkt de certificaatuitgifte, verlenging en intrekking voor alle door Intune ondersteunde platforms.
Dit artikel bevat een overzicht van Microsoft Cloud PKI voor Intune, hoe het werkt en de architectuur ervan.
Wat is PKI?
PKI is een systeem dat gebruikmaakt van digitale certificaten om gegevens tussen apparaten en services te verifiëren en te versleutelen. PKI-certificaten zijn essentieel voor het beveiligen van verschillende scenario's, zoals VPN, Wi-Fi, e-mail, web en apparaatidentiteit. Het beheren van PKI-certificaten kan echter lastig, kostbaar en complex zijn, met name voor organisaties met een groot aantal apparaten en gebruikers. U kunt Microsoft Cloud PKI gebruiken om de beveiliging en productiviteit van uw apparaten en gebruikers te verbeteren en om uw digitale transformatie naar een volledig beheerde cloud PKI-service te versnellen. Daarnaast kunt u de Cloud PKI-service in gebruiken om workloads te verminderen voor Active Directory Certificate Services (ADCS) of persoonlijke on-premises certificeringsinstanties.
Cloud PKI beheren in het Microsoft Intune-beheercentrum
Microsoft Cloud PKI-objecten worden gemaakt en beheerd in het Microsoft Intune-beheercentrum. Van daaruit kunt u het volgende doen:
- Microsoft Cloud PKI instellen en gebruiken voor uw organisatie.
- Schakel Cloud PKI in uw tenant in.
- Certificaatprofielen maken en toewijzen aan apparaten.
- Uitgegeven certificaten bewaken.
Nadat u een cloud-PKI-verlenende CA hebt gemaakt, kunt u binnen enkele minuten beginnen met het uitgeven van certificaten.
Ondersteunde apparaatplatforms
U kunt de Microsoft Cloud PKI-service gebruiken met deze platforms:
- Android
- iOS/iPadOS
- macOS
- Windows
Apparaten moeten zijn ingeschreven bij Intune en het platform moet ondersteuning bieden voor het SCEP-certificaatprofiel voor intune-apparaatconfiguratie.
Overzicht van functies
De volgende tabel bevat de functies en scenario's die worden ondersteund met Microsoft Cloud PKI en Microsoft Intune.
| Functie | Overzicht |
|---|---|
| Meerdere CA's maken in een Intune-tenant | Maak een PKI-hiërarchie met twee lagen met hoofdmap en verlenende CA in de cloud. |
| Bring Your Own CA (BYOCA) | Veranker een Intune-verlenende CA aan een privé-CA via Active Directory Certificate Services of een niet-Microsoft-certificaatservice. Als u een bestaande PKI-infrastructuur hebt, kunt u dezelfde basis-CA onderhouden en een verlenende CA maken die is gekoppeld aan uw externe hoofdmap. Deze optie omvat ondersteuning voor hiërarchieën van externe privé-CA N+-lagen. |
| Algoritmen voor ondertekening en versleuteling | Intune ondersteunt RSA, sleutelgrootten 2048, 3072 en 4096. |
| Hash-algoritmen | Intune ondersteunt SHA-256, SHA-384 en SHA-512. |
| HSM-sleutels (ondertekening en versleuteling) | Sleutels worden ingericht met behulp van Azure Managed Hardware Security Module (Azure Managed HSM). CA's die zijn gemaakt met een gelicentieerde Intune Suite of Cloud PKI Standalone-invoegtoepassing gebruiken automatisch HSM-ondertekenings- en versleutelingssleutels. Er is geen Azure-abonnement vereist voor Azure HSM. |
| Softwaresleutels (ondertekening en versleuteling) | CA's die zijn gemaakt tijdens een proefperiode van de zelfstandige invoegtoepassing Intune Suite of Cloud PKI, gebruiken softwareondersteunde ondertekenings- en versleutelingssleutels met behulp van System.Security.Cryptography.RSA. |
| Certificaatregistratie-instantie | Het verstrekken van een cloudcertificaatregistratie-instantie die SCEP (Simple Certificate Enrollment Protocol) ondersteunt voor elke cloud-PKI-verlenende CA. |
| Certificaatintrekkingslijst (CRL) distributiepunten | Intune fungeert als host voor het CRL-distributiepunt (CDP) voor elke CA. De CRL-geldigheidsperiode is zeven dagen. Publiceren en vernieuwen vindt elke 3,5 dagen plaats. De CRL wordt bijgewerkt bij elke certificaatintrekking. |
| AIA-eindpunten (Authority Information Access) | Intune host het AIA-eindpunt voor elke verlenende CA. Het AIA-eindpunt kan door relying party's worden gebruikt om bovenliggende certificaten op te halen. |
| Certificaatuitgifte voor eindentiteit voor gebruikers en apparaten | Ook wel bladcertificaatuitgifte genoemd. Ondersteuning is voor het SCEP-protocol (PKCS#7) en de certificeringsindeling, en voor apparaten die zijn ingeschreven bij Intune-MDM die het SCEP-profiel ondersteunen. |
| Levenscyclusbeheer van certificaten | Eindentiteitscertificaten uitgeven, verlengen en intrekken. |
| Rapportagedashboard | Actieve, verlopen en ingetrokken certificaten bewaken vanuit een toegewezen dashboard in het Intune-beheercentrum. Rapporten weergeven voor uitgegeven leaf-certificaten en andere certificaten en bladcertificaten intrekken. Rapporten worden elke 24 uur bijgewerkt. |
| Controleren | Beheeractiviteiten controleren, zoals acties voor maken, intrekken en zoeken in het Intune-beheercentrum. |
| Machtigingen voor op rollen gebaseerd toegangsbeheer (RBAC) | Aangepaste rollen maken met PKI-machtigingen voor Microsoft Cloud. Met de beschikbare machtigingen kunt u CA's lezen, CA's uitschakelen en opnieuw inschakelen, uitgegeven leaf-certificaten intrekken en certificeringsinstanties maken. |
| Bereiktags | Voeg bereiktags toe aan een CA die u in het beheercentrum maakt. Bereiktags kunnen worden toegevoegd, verwijderd en bewerkt. |
Architectuur
Microsoft Cloud PKI bestaat uit verschillende belangrijke onderdelen die samenwerken om de complexiteit en het beheer van een openbare-sleutelinfrastructuur te vereenvoudigen; een Cloud PKI-service voor het maken en hosten van certificeringsinstanties, gecombineerd met een certificaatregistratie-instantie voor het automatisch verwerken van binnenkomende certificaataanvragen van apparaten die zijn ingeschreven bij Intune. De registratie-instantie ondersteunt het Simple Certificate Enrollment Protocol (SCEP).
Onderdelen:
A - Microsoft Intune
B - Microsoft Cloud PKI-services
- B.1 - Microsoft Cloud PKI-service
- B.2 - Microsoft Cloud PKI SCEP-service
- B.3 - Microsoft Cloud PKI SCEP-validatieservice
De certificaatregistratie-instantie bestaat uit B.2 en B.3 in het diagram.
Deze onderdelen vervangen de noodzaak van een on-premises certificeringsinstantie, NDES en Intune-certificaatconnector.
Acties:
Voordat het apparaat incheckt bij de Intune-service, moet een Intune-beheerder of Intune-rol met machtigingen voor het beheren van de Microsoft Cloud PKI-service:
- Maak de vereiste Cloud PKI-certificeringsinstantie voor de hoofdmap en het verlenen van CA's in Microsoft Intune.
- Maak en wijs de vereiste vertrouwenscertificaatprofielen toe voor de hoofdmap en verlenende CA's. Deze stroom wordt niet weergegeven in het diagram.
- Maak en wijs de vereiste platformspecifieke SCEP-certificaatprofielen toe. Deze stroom wordt niet weergegeven in het diagram.
Opmerking
Een cloud-PKI-verlenende certificeringsinstantie is vereist om certificaten uit te geven voor door Intune beheerde apparaten. Cloud PKI biedt een SCEP-service die fungeert als certificaatregistratie-instantie. De service vraagt certificaten aan bij de verlenende CA namens door Intune beheerde apparaten met behulp van een SCEP-profiel.
- Een apparaat wordt ingecheckt bij de Intune-service en ontvangt het vertrouwde certificaat en SCEP-profielen.
- Op basis van het SCEP-profiel maakt het apparaat een aanvraag voor certificaatondertekening (CSR). De persoonlijke sleutel wordt gemaakt op het apparaat en verlaat het apparaat nooit. De CSR en de SCEP-uitdaging worden verzonden naar de SCEP-service in de cloud (SCEP-URI-eigenschap in het SCEP-profiel). De SCEP-uitdaging wordt versleuteld en ondertekend met behulp van de Intune SCEP RA-sleutels.
- De SCEP-validatieservice controleert de CSR op basis van de SCEP-uitdaging (weergegeven als B.3 in het diagram). Validatie zorgt ervoor dat de aanvraag afkomstig is van een geregistreerd en beheerd apparaat. Het zorgt er ook voor dat de uitdaging niet wordt getemperd en dat deze overeenkomt met de verwachte waarden van het SCEP-profiel. Als een van deze controles mislukt, wordt de certificaataanvraag geweigerd.
- Nadat de CSR is gevalideerd, vraagt de SCEP-validatieservice, ook wel de registratie-instantie genoemd, dat de verlenende CA de CSR ondertekent (weergegeven als B.1 in het diagram).
- Het ondertekende certificaat wordt geleverd aan het Intune MDM-apparaat.
Opmerking
De SCEP-uitdaging wordt versleuteld en ondertekend met behulp van de Intune SCEP-registratie-instantiesleutels.
Licentievereisten
Microsoft Cloud PKI vereist een van de volgende licenties:
- Microsoft Intune Suite-licentie
- Zelfstandige Licentie voor Intune-invoegtoepassingen voor Microsoft Cloud PKI
Zie Microsoft Intune-licenties voor meer informatie over licentieopties.
Op rollen gebaseerd toegangsbeheer
De volgende machtigingen zijn beschikbaar om toe te wijzen aan aangepaste Intune-rollen. Met deze machtigingen kunnen gebruikers CA's weergeven en beheren in het beheercentrum.
- Ca's lezen: elke gebruiker waaraan deze machtiging is toegewezen, kan de eigenschappen van een CA lezen.
- Certificeringsinstanties maken: elke gebruiker waaraan deze machtiging is toegewezen, kan een basis- of verlenende CA maken.
- Uitgegeven leafcertificaten intrekken: elke gebruiker waaraan deze machtiging is toegewezen, kan een certificaat dat is uitgegeven door een verlenende CA handmatig intrekken. Voor deze machtiging is ook de machtiging lees-CA vereist.
U kunt bereiktags toewijzen aan de hoofdmap en verlenende CA's. Zie Op rollen gebaseerd toegangsbeheer met Microsoft Intune voor meer informatie over het maken van aangepaste rollen en bereiktags.
Microsoft Cloud PKI uitproberen
U kunt de Functie Microsoft Cloud PKI uitproberen in het Intune-beheercentrum tijdens een proefperiode. Beschikbare proefversies zijn onder andere:
Tijdens de proefperiode kunt u maximaal zes CA's maken in uw tenant. Cloud PKI-CA's die tijdens de proefversie zijn gemaakt, gebruiken door software ondersteunde sleutels en gebruiken System.Security.Cryptography.RSA om de sleutels te genereren en te ondertekenen. U kunt de CA's blijven gebruiken nadat u een Cloud PKI-licentie hebt gekocht. De sleutels blijven echter software-ondersteund en kunnen niet worden geconverteerd naar door HSM ondersteunde sleutels. De door de Microsoft Intune-service beheerde CA-sleutels. Er is geen Azure-abonnement vereist voor Azure HSM-mogelijkheden.
CA-configuratievoorbeelden
Cloud PKI-hoofdmap met twee lagen & verlenende CA's en bring-your-own CA's kunnen naast elkaar bestaan in Intune. U kunt de volgende configuraties, als voorbeelden, gebruiken om CA's te maken in Microsoft Cloud PKI:
- Eén basis-CA met vijf verlenende CA's
- Drie basis-CA's met elk één verlenende CA
- Twee basis-CA's met elk één verlenende CA en twee bring-your-own CA's
- Zes bring-your-own CA's
Bekende problemen en beperkingen
Zie Wat is er nieuw in Microsoft Intune voor de meest recente wijzigingen en toevoegingen.
- U kunt maximaal zes CA's maken in een Intune-tenant.
- Gelicentieerde Cloud PKI: er kunnen in totaal 6 CA's worden gemaakt met behulp van Azure mHSM-sleutels.
- Proefversie van Cloud PKI: er kunnen in totaal 6 CA's worden gemaakt tijdens een proefversie van de zelfstandige invoegtoepassing Intune Suite of Cloud PKI.
- De volgende CA-typen tellen mee voor de CA-capaciteit:
- Cloud PKI-basis-CA
- Cloud PKI verlenende CA
- BYOCA Issuing CA
- Er is geen manier in het beheercentrum om een CA uit uw Intune-tenant te verwijderen of uit te schakelen. We werken actief aan deze acties. Totdat ze beschikbaar zijn, raden we u aan een Intune-ondersteuningsaanvraag in te dienen om een CA te verwijderen.
- Wanneer u in het beheercentrum Alle certificaten voor een verlenende CA weergeven selecteert, worden in Intune alleen de eerste 1000 uitgegeven certificaten weergegeven. We werken actief aan het aanpakken van deze beperking. Als tijdelijke oplossing gaat u naar Apparaten>bewaken. Selecteer vervolgens Certificaten om alle uitgegeven certificaten weer te geven.