Certificaten gebruiken voor verificatie in Microsoft Intune

Gebruik certificaten met Intune om uw gebruikers te verifiëren bij toepassingen en bedrijfsresources via VPN-, Wi-Fi- of e-mailprofielen. Wanneer u certificaten gebruikt om deze verbindingen te verifiëren, hoeven uw eindgebruikers geen gebruikersnamen en wachtwoorden in te voeren, waardoor hun toegang naadloos kan worden uitgevoerd. Certificaten worden ook gebruikt voor ondertekening en versleuteling van e-mail met behulp van S/MIME.

Inleiding tot certificaten met Intune

Certificaten bieden zonder vertraging geverifieerde toegang via de volgende twee fasen:

  • Verificatiefase: de authenticiteit van de gebruiker wordt gecontroleerd om te bevestigen dat de gebruiker is wie hij beweert te zijn.
  • Autorisatiefase: De gebruiker wordt onderworpen aan voorwaarden waarvoor wordt bepaald of de gebruiker toegang moet krijgen.

Veelvoorkomende gebruiksscenario's voor certificaten zijn:

  • Netwerkverificatie (bijvoorbeeld 802.1x) met apparaat- of gebruikerscertificaten
  • Verifiëren met VPN-servers met behulp van apparaat- of gebruikerscertificaten
  • E-mail ondertekenen op basis van gebruikerscertificaten

Intune ondersteunt SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) en geïmporteerde PKCS-certificaten als methoden voor het inrichten van certificaten op apparaten. De verschillende inrichtingsmethoden hebben verschillende vereisten en resultaten. Bijvoorbeeld:

  • SCEP richt certificaten in die uniek zijn voor elke aanvraag voor het certificaat.
  • PKCS richt elk apparaat in met een uniek certificaat.
  • Met geïmporteerde PKCS kunt u hetzelfde certificaat implementeren dat u hebt geëxporteerd vanuit een bron, zoals een e-mailserver, voor meerdere geadresseerden. Dit gedeelde certificaat is handig om ervoor te zorgen dat al uw gebruikers of apparaten e-mailberichten kunnen ontsleutelen die door dat certificaat zijn versleuteld.

Als u een gebruiker of apparaat wilt inrichten met een specifiek type certificaat, gebruikt Intune een certificaatprofiel.

Naast de drie certificaattypen en inrichtingsmethoden hebt u een vertrouwd basiscertificaat van een vertrouwde certificeringsinstantie (CA) nodig. De CA kan een on-premises Microsoft certificeringsinstantie of een externe certificeringsinstantie zijn. Het vertrouwde basiscertificaat brengt een vertrouwensrelatie tot stand van het apparaat naar uw hoofd- of tussenliggende (verlenende) CA van waaruit de andere certificaten worden uitgegeven. Als u dit certificaat wilt implementeren, gebruikt u het vertrouwde certificaatprofiel en implementeert u het op dezelfde apparaten en gebruikers die de certificaatprofielen voor SCEP, PKCS en geïmporteerde PKCS ontvangen.

Tip

Intune ondersteunt ook het gebruik van afgeleide referenties voor omgevingen waarvoor het gebruik van smartcards is vereist.

Wat is vereist voor het gebruik van certificaten

  • Een certificeringsinstantie. Uw CA is de bron van vertrouwen waarnaar de certificaten verwijzen voor verificatie. U kunt een Microsoft-CA of een externe CA gebruiken.
  • On-premises infrastructuur. De infrastructuur die u nodig hebt, is afhankelijk van de certificaattypen die u gaat gebruiken:
  • Een vertrouwd basiscertificaat. Voordat u SCEP- of PKCS-certificaatprofielen implementeert, implementeert u het vertrouwde basiscertificaat van uw CA met behulp van een vertrouwd certificaatprofiel . Dit profiel helpt bij het tot stand brengen van de vertrouwensrelatie van het apparaat naar de CA en is vereist voor de andere certificaatprofielen.

Als een vertrouwd basiscertificaat is geïmplementeerd, kunt u certificaatprofielen implementeren om gebruikers en apparaten in te richten met certificaten voor verificatie.

Welk certificaatprofiel u wilt gebruiken

De volgende vergelijkingen zijn niet uitgebreid, maar zijn bedoeld om het gebruik van de verschillende certificaatprofieltypen te onderscheiden.

Profieltype Details
Vertrouwd certificaat Gebruik om de openbare sleutel (certificaat) van een basis-CA of tussenliggende CA te implementeren voor gebruikers en apparaten om een vertrouwensrelatie tot stand te brengen naar de bron-CA. Voor andere certificaatprofielen is het vertrouwde certificaatprofiel en het bijbehorende basiscertificaat vereist.
SCEP-certificaat Implementeert een sjabloon voor een certificaataanvraag voor gebruikers en apparaten. Elk certificaat dat is ingericht met SCEP is uniek en gekoppeld aan de gebruiker of het apparaat dat het certificaat aanvraagt.

Met SCEP kunt u certificaten implementeren op apparaten zonder gebruikersaffiniteit, inclusief het gebruik van SCEP om een certificaat in te richten op KIOSK of een apparaat zonder gebruiker.
PKCS-certificaat Hiermee wordt een sjabloon geïmplementeerd voor een certificaataanvraag die een certificaattype van een gebruiker of apparaat opgeeft.

- Aanvragen voor een certificaattype gebruiker vereisen altijd gebruikersaffiniteit. Wanneer deze is geïmplementeerd voor een gebruiker, ontvangt elk van de apparaten van de gebruiker een uniek certificaat. Wanneer deze met een gebruiker is geïmplementeerd op een apparaat, wordt die gebruiker gekoppeld aan het certificaat voor dat apparaat. Wanneer geïmplementeerd op een apparaat zonder gebruiker, wordt er geen certificaat ingericht.
- Voor sjablonen met een certificaattype apparaat is geen gebruikersaffiniteit vereist om een certificaat in te richten. Implementatie op een apparaat richt het apparaat in. Implementatie naar een gebruiker richt het apparaat in waarbij de gebruiker is aangemeld met een certificaat.
Geïmporteerd PKCS-certificaat Hiermee wordt één certificaat geïmplementeerd op meerdere apparaten en gebruikers, wat scenario's ondersteunt, zoals S/MIME-ondertekening en -versleuteling. Door bijvoorbeeld hetzelfde certificaat op elk apparaat te implementeren, kan elk apparaat e-mail ontsleutelen die is ontvangen van dezelfde e-mailserver.

Andere certificaatimplementatiemethoden zijn onvoldoende voor dit scenario, omdat SCEP een uniek certificaat maakt voor elke aanvraag en PKCS een ander certificaat voor elke gebruiker koppelt, waarbij verschillende gebruikers verschillende certificaten ontvangen.

Intune ondersteunde certificaten en gebruik

Type Verificatie S/MIME-ondertekening S/MIME-versleuteling
PKCS-certificaat (Public Key Cryptography Standards) geïmporteerd Ondersteund Ondersteund
PKCS#12 (of PFX) Ondersteund Ondersteund
Simple Certificate Enrollment Protocol (SCEP) Ondersteund Ondersteund

Als u deze certificaten wilt implementeren, maakt en wijst u certificaatprofielen toe aan apparaten.

Elk afzonderlijk certificaatprofiel dat u maakt, ondersteunt één platform. Als u bijvoorbeeld PKCS-certificaten gebruikt, maakt u een PKCS-certificaatprofiel voor Android en een afzonderlijk PKCS-certificaatprofiel voor iOS/iPadOS. Als u ook SCEP-certificaten gebruikt voor deze twee platforms, maakt u een SCEP-certificaatprofiel voor Android en een andere voor iOS/iPadOS.

Algemene overwegingen bij het gebruik van een Microsoft certificeringsinstantie

Wanneer u een Microsoft Certificeringsinstantie (CA) gebruikt:

Algemene overwegingen wanneer u een externe certificeringsinstantie gebruikt

Wanneer u een externe (niet-Microsoft) certificeringsinstantie (CA) gebruikt:

Ondersteunde platforms en certificaatprofielen

Platform Vertrouwd certificaatprofiel PKCS-certificaatprofiel SCEP-certificaatprofiel Geïmporteerd PKCS-certificaatprofiel
Android-apparaatbeheerder Ondersteund
(zie opmerking 1)
Ondersteund Ondersteund Ondersteund
Android Enterprise
- Volledig beheerd (apparaateigenaar)
Ondersteund Ondersteund Ondersteund Ondersteund
Android Enterprise
- Toegewezen (apparaateigenaar)
Ondersteund Ondersteund Ondersteund Ondersteund
Android Enterprise
- Corporate-Owned werkprofiel
Ondersteund Ondersteund Ondersteund Ondersteund
Android Enterprise
- Personally-Owned werkprofiel
Ondersteund Ondersteund Ondersteund Ondersteund
Android (AOSP) Ondersteund Ondersteund Ondersteund
iOS/iPadOS Ondersteund Ondersteund Ondersteund Ondersteund
macOS Ondersteund Ondersteund Ondersteund Ondersteund
Windows 8.1 en hoger Ondersteund Ondersteund
Windows 10/11 Ondersteund
(zie opmerking 2)
Ondersteund
(zie opmerking 2)
Ondersteund
(zie opmerking 2)
Ondersteund

Belangrijk

Op 22 oktober 2022 beëindigt Microsoft Intune de ondersteuning voor apparaten met Windows 8.1. Na die datum zijn technische ondersteuning en automatische updates op deze apparaten niet meer beschikbaar. Ga voor meer informatie naar Plannen voor wijziging: ondersteuning voor Windows 8.1 beëindigen.

Als u momenteel Windows 8.1 gebruikt, raden we u aan over te stappen op Windows 10/11-apparaten. Microsoft Intune beschikt over ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd. Ga voor meer informatie naar Einde van ondersteuning voor Windows 7 en Windows 8.1.

Volgende stappen

Meer informatie

Certificaatprofielen maken:

Meer informatie over de certificaatconnector voor Microsoft Intune