Certificaten gebruiken voor verificatie in Microsoft Intune
Gebruik certificaten met Intune om uw gebruikers te verifiëren bij toepassingen en bedrijfsresources via VPN-, Wi-Fi- of e-mailprofielen. Wanneer u certificaten gebruikt om deze verbindingen te verifiëren, hoeven uw eindgebruikers geen gebruikersnamen en wachtwoorden in te voeren, waardoor hun toegang naadloos kan worden uitgevoerd. Certificaten worden ook gebruikt voor ondertekening en versleuteling van e-mail met behulp van S/MIME.
Inleiding tot certificaten met Intune
Certificaten bieden zonder vertraging geverifieerde toegang via de volgende twee fasen:
- Verificatiefase: de echtheid van de gebruiker wordt gecontroleerd om te bevestigen dat de gebruiker is wie hij beweert te zijn.
- Autorisatiefase: De gebruiker wordt onderworpen aan voorwaarden waarvoor wordt bepaald of de gebruiker toegang moet krijgen.
Veelvoorkomende gebruiksscenario's voor certificaten zijn:
- Netwerkverificatie (bijvoorbeeld 802.1x) met apparaat- of gebruikerscertificaten
- Verifiëren met VPN-servers met behulp van apparaat- of gebruikerscertificaten
- E-mail ondertekenen op basis van gebruikerscertificaten
Intune ondersteunt SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) en geïmporteerde PKCS-certificaten als methoden voor het inrichten van certificaten op apparaten. De verschillende inrichtingsmethoden hebben verschillende vereisten en resultaten. Bijvoorbeeld:
- SCEP richt certificaten in die uniek zijn voor elke aanvraag voor het certificaat.
- PKCS richt elk apparaat in met een uniek certificaat.
- Met geïmporteerde PKCS kunt u hetzelfde certificaat implementeren dat u hebt geëxporteerd vanuit een bron, zoals een e-mailserver, voor meerdere geadresseerden. Dit gedeelde certificaat is handig om ervoor te zorgen dat al uw gebruikers of apparaten vervolgens e-mailberichten kunnen ontsleutelen die door dat certificaat zijn versleuteld.
Als u een gebruiker of apparaat wilt inrichten met een specifiek type certificaat, gebruikt Intune een certificaatprofiel.
Naast de drie certificaattypen en inrichtingsmethoden hebt u een vertrouwd basiscertificaat van een vertrouwde certificeringsinstantie (CA) nodig. De CA kan een on-premises Microsoft Certification-instantie of een externe certificeringsinstantie zijn. Het vertrouwde basiscertificaat brengt een vertrouwensrelatie tot stand van het apparaat naar uw hoofd- of tussenliggende (verlenende) CA van waaruit de andere certificaten worden uitgegeven. Als u dit certificaat wilt implementeren, gebruikt u het vertrouwde certificaatprofiel en implementeert u het op dezelfde apparaten en gebruikers die de certificaatprofielen voor SCEP, PKCS en geïmporteerde PKCS ontvangen.
Tip
Intune ondersteunt ook het gebruik van afgeleide referenties voor omgevingen waarvoor het gebruik van smartcards is vereist.
Wat is vereist voor het gebruik van certificaten
- Een certificeringsinstantie. Uw CA is de bron van vertrouwen waarnaar de certificaten verwijzen voor verificatie. U kunt een Microsoft-CA of een externe CA gebruiken.
- On-premises infrastructuur. De infrastructuur die u nodig hebt, is afhankelijk van de certificaattypen die u gebruikt:
- Een vertrouwd basiscertificaat. Voordat u SCEP- of PKCS-certificaatprofielen implementeert, implementeert u het vertrouwde basiscertificaat van uw CA met behulp van een vertrouwd certificaatprofiel . Dit profiel helpt bij het tot stand brengen van de vertrouwensrelatie van het apparaat naar de CA en is vereist voor de andere certificaatprofielen.
Nu een vertrouwd basiscertificaat is geïmplementeerd, kunt u certificaatprofielen implementeren om gebruikers en apparaten in te richten met certificaten voor verificatie.
Welk certificaatprofiel u wilt gebruiken
De volgende vergelijkingen zijn niet uitgebreid, maar zijn bedoeld om het gebruik van de verschillende certificaatprofieltypen te onderscheiden.
| Profieltype | Details |
|---|---|
| Vertrouwd certificaat | Gebruik om de openbare sleutel (certificaat) van een basis-CA of tussenliggende CA te implementeren voor gebruikers en apparaten om een vertrouwensrelatie tot stand te brengen naar de bron-CA. Voor andere certificaatprofielen is het vertrouwde certificaatprofiel en het bijbehorende basiscertificaat vereist. |
| SCEP-certificaat | Implementeert een sjabloon voor een certificaataanvraag voor gebruikers en apparaten. Elk certificaat dat is ingericht met SCEP is uniek en gekoppeld aan de gebruiker of het apparaat dat het certificaat aanvraagt.
Met SCEP kunt u certificaten implementeren op apparaten zonder gebruikersaffiniteit, inclusief het gebruik van SCEP om een certificaat in te richten op KIOSK of een apparaat zonder gebruiker. |
| PKCS-certificaat | Hiermee wordt een sjabloon geïmplementeerd voor een certificaataanvraag die een certificaattype van een gebruiker of apparaat opgeeft.
- Aanvragen voor een certificaattype gebruiker vereisen altijd gebruikersaffiniteit. Wanneer deze is geïmplementeerd voor een gebruiker, ontvangt elk van de apparaten van de gebruiker een uniek certificaat. Wanneer deze met een gebruiker is geïmplementeerd op een apparaat, wordt die gebruiker gekoppeld aan het certificaat voor dat apparaat. Wanneer geïmplementeerd op een apparaat zonder gebruiker, wordt er geen certificaat ingericht. - Voor sjablonen met een certificaattype apparaat is geen gebruikersaffiniteit vereist om een certificaat in te richten. Implementatie op een apparaat richt het apparaat in. Implementatie naar een gebruiker richt het apparaat in waarbij de gebruiker is aangemeld met een certificaat. |
| Geïmporteerd PKCS-certificaat | Hiermee wordt één certificaat geïmplementeerd op meerdere apparaten en gebruikers, wat scenario's ondersteunt, zoals S/MIME-ondertekening en -versleuteling. Door bijvoorbeeld hetzelfde certificaat op elk apparaat te implementeren, kan elk apparaat e-mail ontsleutelen die is ontvangen van dezelfde e-mailserver.
Andere certificaatimplementatiemethoden zijn onvoldoende voor dit scenario, omdat SCEP een uniek certificaat maakt voor elke aanvraag en PKCS een ander certificaat voor elke gebruiker koppelt, waarbij verschillende gebruikers verschillende certificaten ontvangen. |
Intune ondersteunde certificaten en gebruik
| Type | Verificatie | S/MIME-ondertekening | S/MIME-versleuteling |
|---|---|---|---|
| PKCS-certificaat (Public Key Cryptography Standards) geïmporteerd |
|
|
|
| PKCS#12 (of PFX) |
|
|
|
| Simple Certificate Enrollment Protocol (SCEP) |
|
|
Als u deze certificaten wilt implementeren, maakt en wijst u certificaatprofielen toe aan apparaten.
Elk afzonderlijk certificaatprofiel dat u maakt, ondersteunt één platform. Als u bijvoorbeeld PKCS-certificaten gebruikt, maakt u een PKCS-certificaatprofiel voor Android en een afzonderlijk PKCS-certificaatprofiel voor iOS/iPadOS. Als u ook SCEP-certificaten voor deze twee platforms gebruikt, maakt u een SCEP-certificaatprofiel voor Android en een andere voor iOS/iPadOS.
Algemene overwegingen wanneer u een Microsoft Certification-instantie gebruikt
Wanneer u een Microsoft Certification Authority (CA) gebruikt:
SCEP-certificaatprofielen gebruiken:
PKCS-certificaatprofielen gebruiken:
Geïmporteerde PKCS-certificaten gebruiken:
- Installeer de certificaatconnector voor Microsoft Intune.
- Exporteer certificaten van de certificeringsinstantie en importeer ze vervolgens in Microsoft Intune. Zie het PowerShell-project PFXImport.
Implementeer certificaten met behulp van de volgende mechanismen:
- Vertrouwde certificaatprofielen voor het implementeren van het vertrouwde basis-CA-certificaat van uw basis- of tussenliggende (verlenende) CA op apparaten
- SCEP-certificaatprofielen
- PKCS-certificaatprofielen
- Geïmporteerde PKCS-certificaatprofielen
Algemene overwegingen wanneer u een externe certificeringsinstantie gebruikt
Wanneer u een externe (niet-Microsoft) certificeringsinstantie (CA) gebruikt:
Voor SCEP-certificaatprofielen is het gebruik van de Microsoft Intune Certificate Connector niet vereist. In plaats daarvan verwerkt de externe CA de certificaatuitgifte en het beheer rechtstreeks. SCEP-certificaatprofielen gebruiken zonder de Intune Certificate Connector:
- Integratie configureren met een externe CA van een van onze ondersteunde partners. Setup omvat het volgen van de instructies van de externe CA om de integratie van hun CA met Intune te voltooien.
- Maak een toepassing in Microsoft Entra ID die rechten delegeert aan Intune om scep-certificaatvraagvalidatie uit te voeren.
Zie Ca-integratie van derden instellen voor meer informatie
Voor geïmporteerde PKCS-certificaten is het gebruik van de Microsoft Intune Certificate Connector vereist. Zie De certificaatconnector voor Microsoft Intune installeren.
Implementeer certificaten met behulp van de volgende mechanismen:
- Vertrouwde certificaatprofielen voor het implementeren van het vertrouwde basis-CA-certificaat van uw basis- of tussenliggende (verlenende) CA op apparaten
- SCEP-certificaatprofielen
- PKCS-certificaatprofielen (alleen ondersteund met het Digicert PKI-platform)
- Geïmporteerde PKCS-certificaatprofielen
Ondersteunde platforms en certificaatprofielen
| Platform | Vertrouwd certificaatprofiel | PKCS-certificaatprofiel | SCEP-certificaatprofiel | Geïmporteerd PKCS-certificaatprofiel |
|---|---|---|---|---|
| Android apparaatbeheerder |
(zie opmerking 1) |
|
|
|
| Android Enterprise - Volledig beheerd (apparaateigenaar) |
|
|
|
|
| Android Enterprise - Toegewezen (apparaateigenaar) |
|
|
|
|
| Android Enterprise - Corporate-Owned-werkprofiel |
|
|
|
|
| Android Enterprise - Personally-Owned-werkprofiel |
|
|
|
|
| Android (AOSP) |
|
|
|
|
| iOS/iPadOS |
|
|
|
|
| macOS |
|
|
|
|
| Windows 8.1 en hoger |
|
|
||
| Windows 10/11 |
(zie opmerking 2) |
(zie opmerking 2) |
(zie opmerking 2) |
|
- Opmerking 1 : vanaf Android 11 kunnen vertrouwde certificaatprofielen het vertrouwde basiscertificaat niet meer installeren op apparaten die zijn ingeschreven als Android-apparaatbeheerder. Deze beperking is niet van toepassing op Samsung Knox. Zie Vertrouwde certificaatprofielen voor Android-apparaatbeheerder voor meer informatie.
- Opmerking 2 : dit profiel wordt ondersteund voor externe bureaubladen met meerdere sessies in Windows Enterprise.
Belangrijk
Op 22 oktober 2022 Microsoft Intune de ondersteuning beëindigd voor apparaten met Windows 8.1. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.
Als je momenteel Windows 8.1 gebruikt, ga je naar Windows 10/11-apparaten. Microsoft Intune heeft ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.
Belangrijk
Microsoft Intune beëindigt de ondersteuning voor beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 31 december 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning wordt beëindigd. Zie Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.
Verwante onderwerpen
Meer resources:
- S/MIME gebruiken om e-mailberichten te ondertekenen en te versleutelen
- Externe certificeringsinstantie gebruiken
Certificaatprofielen maken:
- Een vertrouwd certificaatprofiel configureren
- Infrastructuur configureren voor ondersteuning van SCEP-certificaten met Intune
- PKCS-certificaten configureren en beheren met Intune
- Een geïmporteerd PKCS-certificaatprofiel maken
Meer informatie over de certificaatconnector voor Microsoft Intune