Używanie certyfikatów do uwierzytelniania w Microsoft Intune
Używanie certyfikatów w usłudze Intune do uwierzytelniania użytkowników w aplikacjach i zasobach firmowych za pośrednictwem sieci VPN, sieci Wi-Fi lub profilów poczty e-mail. Jeśli używasz certyfikatów do uwierzytelniania tych połączeń, użytkownicy końcowi nie muszą wprowadzać nazw użytkowników i haseł, co może sprawić, że ich dostęp będzie bezproblemowy. Certyfikaty są również używane do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME.
Wprowadzenie do certyfikatów w usłudze Intune
Certyfikaty zapewniają uwierzytelniony dostęp bez opóźnień w dwóch następujących fazach:
- Faza uwierzytelniania: autentyczność użytkownika jest sprawdzana w celu potwierdzenia, że użytkownik jest tym, za kogo się podaje.
- Faza autoryzacji: użytkownik podlega warunkom, dla których ustala się, czy użytkownik powinien mieć dostęp.
Typowe scenariusze użycia certyfikatów obejmują:
- Uwierzytelnianie sieciowe (na przykład 802.1x) z certyfikatami urządzenia lub użytkownika
- Uwierzytelnianie za pomocą serwerów sieci VPN przy użyciu certyfikatów urządzeń lub użytkowników
- Podpisywanie poczty e-mail na podstawie certyfikatów użytkownika
Usługa Intune obsługuje prosty protokół rejestracji certyfikatów (SCEP), standardy kryptografii klucza publicznego (PKCS) i zaimportowane certyfikaty PKCS jako metody aprowizacji certyfikatów na urządzeniach. Różne metody aprowizacji mają różne wymagania i wyniki. Przykład:
- Protokół SCEP aprowizuje certyfikaty unikatowe dla każdego żądania certyfikatu.
- PKCS aprowizuje każde urządzenie unikatowym certyfikatem.
- Zaimportowany PKCS umożliwia wdrożenie tego samego certyfikatu, który został wyeksportowany ze źródła, takiego jak serwer poczty e-mail, do wielu adresatów. Ten certyfikat udostępniony jest przydatny, aby zapewnić wszystkim użytkownikom lub urządzeniom możliwość odszyfrowywania wiadomości e-mail, które zostały zaszyfrowane przez ten certyfikat.
Aby aprowizować użytkownika lub urządzenie z określonym typem certyfikatu, usługa Intune używa profilu certyfikatu.
Oprócz trzech typów certyfikatów i metod aprowizacji potrzebny jest zaufany certyfikat główny z zaufanego urzędu certyfikacji. Urząd certyfikacji może być lokalnym urzędem certyfikacji firmy Microsoft lub urzędem certyfikacji innej firmy. Zaufany certyfikat główny ustanawia relację zaufania z urządzenia do głównego lub pośredniego urzędu certyfikacji (wystawiającego), z którego są wystawiane inne certyfikaty. Aby wdrożyć ten certyfikat, należy użyć profilu zaufanego certyfikatu i wdrożyć go na tych samych urządzeniach i na tych samych urządzeniach oraz na tych samych użytkownikach, którzy otrzymują profile certyfikatów dla protokołu SCEP, PKCS i zaimportowanego PKCS.
Porada
Usługa Intune obsługuje również korzystanie z pochodnych poświadczeń dla środowisk, które wymagają użycia kart inteligentnych.
Co jest wymagane do używania certyfikatów
- Urząd certyfikacji. Urząd certyfikacji jest źródłem zaufania, do którego odwołują się certyfikaty na potrzeby uwierzytelniania. Możesz użyć urzędu certyfikacji firmy Microsoft lub urzędu certyfikacji innej firmy.
- Infrastruktura lokalna. Wymagana infrastruktura zależy od używanych typów certyfikatów:
- Zaufany certyfikat główny. Przed wdrożeniem profilów certyfikatów SCEP lub PKCS wdróż zaufany certyfikat główny z urzędu certyfikacji przy użyciu profilu zaufanego certyfikatu . Ten profil pomaga ustanowić relację zaufania z urządzenia z powrotem do urzędu certyfikacji i jest wymagany przez inne profile certyfikatów.
Po wdrożeniu zaufanego certyfikatu głównego możesz wdrożyć profile certyfikatów w celu aprowizowania użytkowników i urządzeń z certyfikatami na potrzeby uwierzytelniania.
Który profil certyfikatu ma być używany
Poniższe porównania nie są kompleksowe, ale mają na celu ułatwienie rozróżnienia użycia różnych typów profilów certyfikatów.
| Typ profilu | Szczegóły |
|---|---|
| Zaufany certyfikat | Służy do wdrażania klucza publicznego (certyfikatu) z głównego urzędu certyfikacji lub pośredniczącego urzędu certyfikacji dla użytkowników i urządzeń w celu ustanowienia zaufania z powrotem do źródłowego urzędu certyfikacji. Inne profile certyfikatów wymagają profilu zaufanego certyfikatu i jego certyfikatu głównego. |
| Certyfikat SCEP | Wdraża szablon żądania certyfikatu dla użytkowników i urządzeń. Każdy certyfikat aprowizowany przy użyciu protokołu SCEP jest unikatowy i powiązany z użytkownikiem lub urządzeniem żądającym certyfikatu. Za pomocą protokołu SCEP można wdrażać certyfikaty na urządzeniach, na których nie ma koligacji użytkownika, w tym przy użyciu protokołu SCEP w celu aprowizowania certyfikatu na urządzeniu KIOSK lub urządzeniu bez użytkownika. |
| Certyfikat PKCS | Wdraża szablon żądania certyfikatu, który określa typ certyfikatu użytkownika lub urządzenia. — Żądania dotyczące typu certyfikatu użytkownika zawsze wymagają koligacji użytkownika. Po wdrożeniu do użytkownika każde z urządzeń użytkownika otrzymuje unikatowy certyfikat. Po wdrożeniu na urządzeniu z użytkownikiem ten użytkownik jest skojarzony z certyfikatem dla tego urządzenia. Po wdrożeniu na urządzeniu bez użytkownika nie jest aprowizowany żaden certyfikat. — Szablony z typem certyfikatu urządzenia nie wymagają koligacji użytkownika do aprowizowania certyfikatu. Wdrożenie na urządzeniu aprowizuje urządzenie. Wdrożenie dla użytkownika aprowizuje urządzenie, na które użytkownik jest zalogowany przy użyciu certyfikatu. |
| Zaimportowany certyfikat PKCS | Wdraża jeden certyfikat na wielu urządzeniach i użytkowników, który obsługuje scenariusze, takie jak podpisywanie i szyfrowanie S/MIME. Na przykład dzięki wdrożeniu tego samego certyfikatu na każdym urządzeniu każde urządzenie może odszyfrować wiadomości e-mail odebrane z tego samego serwera poczty e-mail. Inne metody wdrażania certyfikatów są niewystarczające w tym scenariuszu, ponieważ protokół SCEP tworzy unikatowy certyfikat dla każdego żądania, a PKCS kojarzy inny certyfikat dla każdego użytkownika z różnymi użytkownikami otrzymującymi różne certyfikaty. |
Obsługiwane certyfikaty i użycie usługi Intune
| Wpisać | Uwierzytelnianie | Podpisywanie S/MIME | Szyfrowanie S/MIME |
|---|---|---|---|
| Zaimportowany certyfikat PKCS (Public Key Cryptography Standards) |  |
|
|
| PKCS#12 (lub PFX) | |
|
|
| Prosty protokół rejestracji certyfikatów (SCEP) | |
|
Aby wdrożyć te certyfikaty, utwórz i przypisz profile certyfikatów do urządzeń.
Każdy utworzony profil certyfikatu obsługuje pojedynczą platformę. Jeśli na przykład używasz certyfikatów PKCS, utworzysz profil certyfikatu PKCS dla systemu Android i oddzielny profil certyfikatu PKCS dla systemu iOS/iPadOS. Jeśli używasz również certyfikatów SCEP dla tych dwóch platform, utworzysz profil certyfikatu SCEP dla systemu Android i inny dla systemu iOS/iPadOS.
Zagadnienia ogólne dotyczące korzystania z urzędu certyfikacji firmy Microsoft
W przypadku korzystania z urzędu certyfikacji firmy Microsoft:
Aby używać profilów certyfikatów SCEP:
- skonfiguruj serwer usługi rejestracji urządzeń sieciowych (NDES) do użycia z usługą Intune.
- Zainstaluj łącznik certyfikatów dla Microsoft Intune.
Aby użyć profilów certyfikatów PKCS:
Aby użyć zaimportowanych certyfikatów PKCS:
- Zainstaluj łącznik certyfikatów dla Microsoft Intune.
- Wyeksportuj certyfikaty z urzędu certyfikacji, a następnie zaimportuj je do Microsoft Intune. Zobacz projekt PFXImport programu PowerShell.
Wdrażanie certyfikatów przy użyciu następujących mechanizmów:
- Profile zaufanych certyfikatów do wdrażania certyfikatu zaufanego głównego urzędu certyfikacji z głównego lub pośredniego urzędu certyfikacji (wystawiającego) na urządzeniach
- Profile certyfikatów SCEP
- Profile certyfikatów PKCS
- Zaimportowane profile certyfikatów PKCS
Zagadnienia ogólne dotyczące korzystania z urzędu certyfikacji innej firmy
W przypadku korzystania z urzędu certyfikacji (ca) innej firmy (spoza firmy Microsoft):
Aby używać profilów certyfikatów SCEP:
- Skonfiguruj integrację z urzędem certyfikacji innej firmy od jednego z naszych obsługiwanych partnerów. Konfiguracja obejmuje wykonanie instrukcji z urzędu certyfikacji innej firmy w celu ukończenia integracji urzędu certyfikacji z usługą Intune.
- Utwórz aplikację w identyfikatorze Microsoft Entra, która deleguje prawa do usługi Intune w celu weryfikacji wyzwania certyfikatu SCEP.
Zaimportowane certyfikaty PKCS wymagają zainstalowania łącznika certyfikatów dla Microsoft Intune.
Wdrażanie certyfikatów przy użyciu następujących mechanizmów:
- Profile zaufanych certyfikatów do wdrażania certyfikatu zaufanego głównego urzędu certyfikacji z głównego lub pośredniego urzędu certyfikacji (wystawiającego) na urządzeniach
- Profile certyfikatów SCEP
- Profile certyfikatów PKCS (obsługiwane tylko w przypadku platformy infrastruktury PKI firmy Digicert)
- Zaimportowane profile certyfikatów PKCS
Obsługiwane platformy i profile certyfikatów
| Platforma | Profil zaufanego certyfikatu | Profil certyfikatu PCKS | Profil certyfikatu SCEP | Zaimportowany profil certyfikatu PKCS |
|---|---|---|---|---|
| Administratora urządzenia z systemem Android | (zobacz Uwaga 1) |
|
|
|
| Android Enterprise — w pełni zarządzane (właściciel urządzenia) | |
|
|
|
| Android Enterprise — dedykowany (właściciel urządzenia) | |
|
|
|
| Android Enterprise — profil służbowy Corporate-Owned | |
|
|
|
| Android Enterprise — profil służbowy Personally-Owned | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 i nowsze | |
|
||
| Windows 10/11 | (zobacz Uwaga 2) |
(zobacz Uwaga 2) |
(zobacz Uwaga 2) |
|
- Uwaga 1 — począwszy od systemu Android 11 profile zaufanych certyfikatów nie mogą już instalować zaufanego certyfikatu głównego na urządzeniach zarejestrowanych jako administrator urządzeń z systemem Android. To ograniczenie nie ma zastosowania do rozwiązania Samsung Knox. Aby uzyskać więcej informacji, zobacz Profile zaufanych certyfikatów dla administratora urządzeń z systemem Android.
- Uwaga 2 . Ten profil jest obsługiwany w przypadku pulpitów zdalnych z wieloma sesjami systemu Windows Enterprise.
Ważna
22 października 2022 r. Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje na tych urządzeniach nie są dostępne.
Jeśli obecnie używasz Windows 8.1, zalecamy przejście na urządzenia Windows 10/11. Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi Windows 10/11.
Ważna
Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 30 sierpnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w usłudze Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, przeczytaj Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.
Następne kroki
Więcej zasobów:
- Podpisywanie i szyfrowanie wiadomości e-mail przy użyciu protokołu S/MIME
- Korzystanie z urzędu certyfikacji innej firmy
Tworzenie profilów certyfikatów:
- Konfigurowanie profilu zaufanego certyfikatu
- Konfigurowanie infrastruktury do obsługi certyfikatów protokołu SCEP w usłudze Intune
- Konfigurowanie certyfikatów PKCS i zarządzanie nimi za pomocą usługi Intune
- Tworzenie profilu zaimportowanego certyfikatu PKCS
Dowiedz się więcej o łączniku certyfikatów dla Microsoft Intune
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla