Omówienie PKI w chmurze firmy Microsoft dla Microsoft Intune
Dotyczy:
- System Windows
- Android
- iOS
- macOS
Użyj PKI w chmurze firmy Microsoft, aby wystawiać certyfikaty dla urządzeń zarządzanych przez usługę Intune. PKI w chmurze firmy Microsoft to usługa oparta na chmurze, która upraszcza i automatyzuje zarządzanie cyklem życia certyfikatów dla urządzeń zarządzanych przez usługę Intune. Zapewnia dedykowaną infrastrukturę kluczy publicznych (PKI) dla twojej organizacji bez konieczności używania serwerów lokalnych, łączników ani sprzętu. Obsługuje wystawianie, odnawianie i odwoływanie certyfikatów dla wszystkich platform obsługiwanych przez usługę Intune.
Ten artykuł zawiera omówienie PKI w chmurze firmy Microsoft dla usługi Intune, jego działania i architektury.
Co to jest infrastruktura PKI?
Infrastruktura kluczy publicznych to system, który używa certyfikatów cyfrowych do uwierzytelniania i szyfrowania danych między urządzeniami i usługami. Certyfikaty infrastruktury kluczy publicznych są niezbędne do zabezpieczania różnych scenariuszy, takich jak sieć VPN, sieć Wi-Fi, poczta e-mail, sieć Web i tożsamość urządzenia. Jednak zarządzanie certyfikatami infrastruktury kluczy publicznych może być trudne, kosztowne i złożone, szczególnie w przypadku organizacji, które mają dużą liczbę urządzeń i użytkowników. Możesz użyć PKI w chmurze firmy Microsoft, aby zwiększyć bezpieczeństwo i produktywność urządzeń i użytkowników oraz przyspieszyć transformację cyfrową do w pełni zarządzanej usługi infrastruktury kluczy publicznych w chmurze. Ponadto można użyć usługi PKI w chmurze w programie w celu zmniejszenia obciążeń dla usług certyfikatów Active Directory (ADCS) lub prywatnych lokalnych urzędów certyfikacji.
Zarządzanie PKI w chmurze w centrum administracyjnym Microsoft Intune
PKI w chmurze firmy Microsoft obiekty są tworzone i zarządzane w centrum administracyjnym Microsoft Intune. Stamtąd możesz:
- Skonfiguruj i użyj PKI w chmurze firmy Microsoft dla swojej organizacji.
- Włącz PKI w chmurze w dzierżawie.
- Tworzenie i przypisywanie profilów certyfikatów do urządzeń.
- Monitoruj wystawione certyfikaty.
Po utworzeniu urzędu certyfikacji wystawiającego PKI w chmurze można zacząć wystawiać certyfikaty w ciągu kilku minut.
Obsługiwane platformy urządzeń
Możesz użyć usługi PKI w chmurze firmy Microsoft z następującymi platformami:
- Android
- iOS/iPadOS
- macOS
- System Windows
Urządzenia muszą być zarejestrowane w usłudze Intune, a platforma musi obsługiwać profil certyfikatu SCEP konfiguracji urządzenia usługi Intune.
Omówienie funkcji
W poniższej tabeli wymieniono funkcje i scenariusze obsługiwane przez PKI w chmurze firmy Microsoft i Microsoft Intune.
| Funkcja | Omówienie |
|---|---|
| Tworzenie wielu urzędów certyfikacji w dzierżawie usługi Intune | Utwórz dwuwarstwową hierarchię infrastruktury PKI z głównym i wystawiającym urzędem certyfikacji w chmurze. |
| Przynieś własny urząd certyfikacji (BYOCA) | Zakotwiczenie urzędu certyfikacji wystawiającego usługę Intune do prywatnego urzędu certyfikacji za pośrednictwem usług certyfikatów Active Directory lub usługi certyfikatów innych niż Microsoft. Jeśli masz istniejącą infrastrukturę infrastruktury PKI, możesz zachować ten sam główny urząd certyfikacji i utworzyć urząd wystawiający certyfikaty, który jest łańcuchem do zewnętrznego katalogu głównego. Ta opcja obejmuje obsługę zewnętrznych hierarchii warstwy N+ prywatnego urzędu certyfikacji. |
| Algorytmy podpisywania i szyfrowania | Usługa Intune obsługuje RSA, rozmiary kluczy 2048, 3072 i 4096. |
| Algorytmy wyznaczania wartości skrótu | Usługa Intune obsługuje algorytmy SHA-256, SHA-384 i SHA-512. |
| Klucze modułu HSM (podpisywanie i szyfrowanie) | Klucze są aprowizowane przy użyciu modułu Azure Managed Hardware Security Module (Azure HSM). Urzędy certyfikacji utworzone przy użyciu licencjonowanego pakietu Intune Suite lub PKI w chmurze autonomicznego dodatku automatycznie używają kluczy podpisywania i szyfrowania modułu HSM. Dla modułu HSM platformy Azure nie jest wymagana żadna subskrypcja platformy Azure. |
| Klucze oprogramowania (podpisywanie i szyfrowanie) | Urzędy certyfikacji utworzone w okresie próbnym pakietu Intune Suite lub PKI w chmurze autonomicznego dodatku używają kluczy podpisywania i szyfrowania opartych na oprogramowaniu przy użyciu System.Security.Cryptography.RSAprogramu . |
| Urząd rejestracji certyfikatów | Zapewnienie urzędu rejestracji certyfikatów w chmurze obsługującego protokół SCEP (Simple Certificate Enrollment Protocol) dla każdego urzędu wystawiającego certyfikaty PKI w chmurze. |
| Punkty dystrybucji listy odwołania certyfikatów (CRL) | Usługa Intune hostuje punkt dystrybucji listy CRL (CDP) dla każdego urzędu certyfikacji. Okres ważności listy CRL wynosi siedem dni. Publikowanie i odświeżanie odbywa się co 3,5 dnia. Lista CRL jest aktualizowana przy użyciu każdego odwołania certyfikatu. |
| Punkty końcowe dostępu do informacji o urzędzie (AIA) | Usługa Intune hostuje punkt końcowy usługi AIA dla każdego urzędu wystawiającego certyfikaty. Punktu końcowego AIA mogą używać jednostki uzależnionej do pobierania certyfikatów nadrzędnych. |
| Wystawianie certyfikatów jednostki końcowej dla użytkowników i urządzeń | Nazywane również wystawianiem certyfikatów liścia . Obsługa protokołu SCEP (PKCS#7) i formatu certyfikacji oraz urządzeń zarejestrowanych w usłudze Intune-MDM obsługujących profil SCEP. |
| Zarządzanie cyklem życia certyfikatów | Wystawianie, odnawianie i odwoływanie certyfikatów jednostek końcowych. |
| Pulpit nawigacyjny raportowania | Monitorowanie aktywnych, wygasłych i odwołanych certyfikatów z dedykowanego pulpitu nawigacyjnego w centrum administracyjnym usługi Intune. Wyświetlanie raportów dla wystawionych certyfikatów liści i innych certyfikatów oraz odwoływanie certyfikatów liści. Raporty są aktualizowane co 24 godziny. |
| Inspekcja | Inspekcja działań administratora, takich jak tworzenie, odwoływanie i wyszukiwanie akcji w centrum administracyjnym usługi Intune. |
| Uprawnienia kontroli dostępu opartej na rolach (RBAC) | Tworzenie ról niestandardowych z uprawnieniami PKI w chmurze firmy Microsoft. Dostępne uprawnienia umożliwiają odczytywanie urzędów certyfikacji, wyłączanie i ponowne włączanie urzędów certyfikacji, odwoływanie wystawionych certyfikatów liści i tworzenie urzędów certyfikacji. |
| Tagi zakresu | Dodaj tagi zakresu do dowolnego urzędu certyfikacji utworzonego w centrum administracyjnym. Tagi zakresu można dodawać, usuwać i edytować. |
Architektura
PKI w chmurze firmy Microsoft składa się z kilku kluczowych składników współpracujących ze sobą w celu uproszczenia złożoności i zarządzania infrastrukturą kluczy publicznych; usługą PKI w chmurze do tworzenia i hostowania urzędów certyfikacji, w połączeniu z urzędem rejestracji certyfikatów w celu automatycznego obsługi przychodzących żądań certyfikatów z urządzeń zarejestrowanych w usłudze Intune. Urząd rejestracji obsługuje protokół SCEP (Simple Certificate Enrollment Protocol).
Składniki:
A — Microsoft Intune
B — usługi PKI w chmurze firmy Microsoft
- B.1 — usługa PKI w chmurze firmy Microsoft
- B.2 — usługa PKI w chmurze firmy Microsoft SCEP
- B.3 — PKI w chmurze firmy Microsoft usługi weryfikacji protokołu SCEP
Urząd rejestracji certyfikatów tworzy B.2 i B.3 na diagramie.
Te składniki zastępują potrzebę lokalnego urzędu certyfikacji, usługi NDES i łącznika certyfikatów usługi Intune.
Akcje:
Przed zaewidencjonowaniem urządzenia w usłudze Intune administrator usługi Intune lub rola usługi Intune z uprawnieniami do zarządzania usługą PKI w chmurze firmy Microsoft musi:
- Utwórz wymagany urząd certyfikacji PKI w chmurze dla głównych i wystawiających urzędów certyfikacji w Microsoft Intune.
- Utwórz i przypisz wymagane profile certyfikatów zaufania dla głównych i wystawiających urzędów certyfikacji. Ten przepływ nie jest wyświetlany na diagramie.
- Utwórz i przypisz wymagane profile certyfikatów SCEP specyficzne dla platformy. Ten przepływ nie jest wyświetlany na diagramie.
Uwaga
Do wystawiania certyfikatów dla urządzeń zarządzanych przez usługę Intune wymagany jest urząd certyfikacji PKI w chmurze wystawiania certyfikatów. PKI w chmurze udostępnia usługę SCEP, która działa jako urząd rejestracji certyfikatów. Usługa żąda certyfikatów z urzędu wystawiającego certyfikaty w imieniu urządzeń zarządzanych przez usługę Intune przy użyciu profilu SCEP.
- Urządzenie zaewidencjonuje się w usłudze Intune i otrzyma zaufany certyfikat i profile SCEP.
- Na podstawie profilu protokołu SCEP urządzenie tworzy żądanie podpisania certyfikatu (CSR). Klucz prywatny jest tworzony na urządzeniu i nigdy nie opuszcza urządzenia. Żądanie CSR i SCEP są wysyłane do usługi SCEP w chmurze (właściwość SCEP URI w profilu SCEP). Wyzwanie SCEP jest szyfrowane i podpisane przy użyciu kluczy RA SCEP usługi Intune.
- Usługa weryfikacji protokołu SCEP weryfikuje csr pod kątem wyzwania SCEP (pokazanego jako B.3 na diagramie). Weryfikacja zapewnia, że żądanie pochodzi z zarejestrowanego i zarządzanego urządzenia. Zapewnia również, że wyzwanie jest nieobsługowane i że jest zgodne z oczekiwanymi wartościami z profilu SCEP. Jeśli którykolwiek z tych testów zakończy się niepowodzeniem, żądanie certyfikatu zostanie odrzucone.
- Po zweryfikowaniu pliku CSR usługa weryfikacji protokołu SCEP, znana również jako urząd rejestracji, żąda, aby urząd wystawiający certyfikat podpisyał csr (pokazany jako B.1 na diagramie).
- Podpisany certyfikat jest dostarczany do urządzenia zarejestrowanego w usłudze Intune mdm.
Uwaga
Wyzwanie SCEP jest szyfrowane i podpisane przy użyciu kluczy urzędu rejestracji SCEP usługi Intune.
Wymagania dotyczące licencjonowania
PKI w chmurze firmy Microsoft wymaga jednej z następujących licencji:
- licencja Microsoft Intune Suite
- PKI w chmurze firmy Microsoft autonomicznej licencji dodatków usługi Intune
Aby uzyskać więcej informacji na temat opcji licencjonowania, zobacz licencjonowanie Microsoft Intune.
Kontrola dostępu oparta na rolach
Dostępne są następujące uprawnienia do przypisywania do niestandardowych ról usługi Intune. Te uprawnienia umożliwiają użytkownikom wyświetlanie urzędów certyfikacji i zarządzanie nimi w centrum administracyjnym.
- Odczyt urzędów certyfikacji: każdy użytkownik, do którego przypisano to uprawnienie, może odczytać właściwości urzędu certyfikacji.
- Tworzenie urzędów certyfikacji: każdy użytkownik, do którego przypisano to uprawnienie, może utworzyć główny lub wystawiający urząd certyfikacji.
- Odwołaj wystawione certyfikaty liścia: każdy użytkownik, do którego przypisano to uprawnienie, może ręcznie odwołać certyfikat wystawiony przez urząd wystawiający certyfikat. To uprawnienie wymaga również uprawnienia do odczytu urzędu certyfikacji .
Tagi zakresu można przypisywać do głównych i wystawiających urzędów certyfikacji. Aby uzyskać więcej informacji na temat tworzenia niestandardowych ról i tagów zakresu, zobacz Kontrola dostępu oparta na rolach z Microsoft Intune.
Spróbuj PKI w chmurze firmy Microsoft
Możesz wypróbować funkcję PKI w chmurze firmy Microsoft w centrum administracyjnym usługi Intune w okresie próbnym. Dostępne wersje próbne obejmują:
W okresie próby można utworzyć maksymalnie sześć urzędów certyfikacji w dzierżawie. PKI w chmurze urzędy certyfikacji utworzone podczas próby używają kluczy opartych na oprogramowaniu i używają ich System.Security.Cryptography.RSA do generowania i podpisywania kluczy. Możesz nadal korzystać z urzędów certyfikacji po zakupie licencji PKI w chmurze. Klucze pozostają jednak wspierane przez oprogramowanie i nie można ich przekonwertować na klucze wspierane przez moduł HSM. Klucze urzędu certyfikacji zarządzane przez usługę Microsoft Intune. Dla możliwości modułu HSM platformy Azure nie jest wymagana żadna subskrypcja platformy Azure.
Przykłady konfiguracji urzędu certyfikacji
W usłudze Intune mogą współistnieć dwuwarstwowe urzędy certyfikacji PKI w chmurze główne & wystawiające urzędy certyfikacji, a urzędy certyfikacji typu "bring-your-own" mogą współistnieć w usłudze Intune. Następujące konfiguracje, podane jako przykłady, umożliwiają tworzenie urzędów certyfikacji w PKI w chmurze firmy Microsoft:
- Jeden główny urząd certyfikacji z pięcioma urzędami certyfikacji wystawiającym certyfikaty
- Trzy główne urzędy certyfikacji z jednym urzędem wystawiającym certyfikaty
- Dwa główne urzędy certyfikacji z jednym urzędem wystawiającym certyfikaty i dwoma własnymi urzędami certyfikacji
- Sześć własnych urzędów certyfikacji
Znane problemy i ograniczenia
Najnowsze zmiany i dodatki można znaleźć w temacie Co nowego w Microsoft Intune.
- W dzierżawie usługi Intune można utworzyć maksymalnie sześć urzędów certyfikacji.
- Licencjonowane PKI w chmurze — można utworzyć łącznie 6 urzędów certyfikacji przy użyciu kluczy usługi Azure mHSM.
- Wersja próbna PKI w chmurze — w wersji próbnej pakietu Intune Suite można utworzyć łącznie 6 urzędów certyfikacji lub PKI w chmurze autonomicznego dodatku.
- Następujące typy urzędu certyfikacji są liczone do pojemności urzędu certyfikacji:
- główny urząd certyfikacji PKI w chmurze
- urząd wystawiający PKI w chmurze
- Urząd wystawiający certyfikaty BYOCA
- Następujące akcje urzędu certyfikacji są obecnie niedostępne w centrum administracyjnym, ale aktywnie pracujemy nad ich udostępnieniem.
- Usuń lub wyłącz urząd certyfikacji z dzierżawy usługi Intune.
Dopóki te akcje nie staną się dostępne, zalecamy utworzenie wniosku o pomoc techniczną usługi Intune w celu usunięcia urzędu certyfikacji.
- Usuń lub wyłącz urząd certyfikacji z dzierżawy usługi Intune.
Opinia
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź: https://aka.ms/ContentUserFeedback.
Prześlij i wyświetl opinię dla