Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule opisano modele wdrażania obsługiwane przez Microsoft Intune i usługę PKI w chmurze firmy Microsoft.
Dostępne są dwie opcje wdrażania:
PKI w chmurze firmy Microsoft główny urząd certyfikacji: wdróż PKI w chmurze firmy Microsoft przy użyciu głównych i wystawiających urzędy certyfikacji w chmurze.
Przynieś własny urząd certyfikacji (BYOCA): wdróż PKI w chmurze firmy Microsoft przy użyciu własnego prywatnego urzędu certyfikacji.
Dzięki PKI w chmurze firmy Microsoft podejściu do głównego urzędu certyfikacji można utworzyć co najmniej jeden PKI w ramach jednej dzierżawy Intune. Wdrożenie PKI w chmurze w ten sposób powoduje utworzenie hierarchii dwuwarstwowej, dzięki czemu można mieć wiele urzędów certyfikacji wystawiających certyfikaty podrzędne do głównego urzędu certyfikacji. Te urzędy certyfikacji nie są publiczne. Zamiast tego tworzysz główny urząd certyfikacji i wystawiające urzędy certyfikacji w chmurze, prywatne dla dzierżawy Intune. Urząd wystawiający certyfikaty wystawia certyfikaty dla urządzeń zarządzanych Intune przy użyciu profilu certyfikatu SCEP konfiguracji urządzenia.
Alternatywnie możesz przywieźć własny urząd certyfikacji (BYOCA). Dzięki temu podejściu wdrażasz PKI w chmurze firmy Microsoft przy użyciu własnego prywatnego urzędu certyfikacji. Ta opcja wymaga utworzenia urzędu wystawiającego certyfikaty w chmurze, który jest prywatny dla dzierżawy Intune. Urząd wystawiający certyfikaty jest zakotwiczony w prywatnym urzędzie certyfikacji, takim jak usługi certyfikatów Active Directory (ADCS). Podczas tworzenia urzędu certyfikacji wystawiającego PKI w chmurze BYOCA w Intune jest również tworzone żądanie podpisania certyfikatu (CSR). Prywatny urząd certyfikacji jest wymagany do podpisania pliku CSR.
Przed rozpoczęciem
Przed rozpoczęciem wdrażania należy przejrzeć i zrozumieć łańcuchy zaufania certyfikatów. Aby uzyskać więcej pojęć i podstaw infrastruktury kluczy publicznych, zobacz PKI w chmurze firmy Microsoft podstaw.
Identyfikowanie jednostek uzależnionych
Identyfikowanie jednostek uzależnionych. Jednostka uzależniona to użytkownik lub system, który korzysta z certyfikatów generowanych przez infrastrukturę kluczy publicznych. Przykłady jednostek uzależnionych to:
- Punkt dostępu Wi-Fi przy użyciu uwierzytelniania opartego na certyfikatach radius.
- Serwer sieci VPN uwierzytelniający użytkownika zdalnego.
- Użytkownik odwiedzający witrynę internetową chronioną przez protokół TLS/LLS w przeglądarce internetowej.
Określanie lokalizacji kotwicy zaufania
Określ lokalizację głównej kotwicy zaufania. Kotwica zaufania to certyfikat urzędu certyfikacji lub klucz publiczny urzędu certyfikacji używany przez jednostkę uzależnioną jako punkt początkowy weryfikacji zaufania certyfikatu lub ścieżki. Jednostka uzależniona może mieć co najmniej jedną kotwicę zaufania pochodzącą z więcej niż jednego źródła. Kotwica zaufania może być kluczem publicznym głównego urzędu certyfikacji lub kluczem publicznym urzędu certyfikacji, który wystawia certyfikat jednostki końcowej jednostce uzależnionej.
Upewnij się, że łańcuch zaufania
W przypadku używania certyfikatów do przeprowadzania uwierzytelniania opartego na certyfikatach upewnij się, że obie jednostki uzależnionej mają łańcuch zaufania certyfikatów urzędu certyfikacji (obejmujący klucze publiczne i główny urząd certyfikacji) wszystkich certyfikatów biorących udział w konwersacji opartej na protokole TLS/SSL. W tym kontekście jednostki uzależnionej to:
- Urządzenia zarządzane Intune.
- Usługi uwierzytelniania używane przez sieć Wi-Fi, sieć VPN lub usługi internetowe.
Jeśli brakuje certyfikatu wystawiającego certyfikat urzędu certyfikacji, jednostka uzależniona może zażądać go za pośrednictwem właściwości Dostęp do informacji o urzędzie (AIA) w certyfikacie przy użyciu aparatu łańcucha certyfikatów natywnej platformy systemu operacyjnego.
Uwaga
Podczas nawiązywania połączenia z jednostką uzależnioną, taką jak punkt dostępu Wi-Fi lub serwer sieci VPN, połączenie TLS/SSL jest najpierw ustanawiane przez zarządzane urządzenie Intune podczas próby nawiązania połączenia. PKI w chmurze firmy Microsoft nie udostępnia tych certyfikatów TLS/SSL. Te certyfikaty należy uzyskać za pośrednictwem innej usługi PKI lub urzędu certyfikacji. W związku z tym podczas tworzenia profilu Wi-Fi lub sieci VPN należy również utworzyć profil zaufanego certyfikatu i przypisać go do urządzeń zarządzanych, aby ufać połączeniu TLS/SSL. Profil zaufanego certyfikatu musi zawierać klucze publiczne dla głównych urzędów certyfikacji i wystawiających certyfikaty odpowiedzialne za wystawianie certyfikatu TLS/SSL.
Opcje wdrażania
W tej sekcji opisano opcje wdrażania obsługiwane przez Microsoft Intune dla PKI w chmurze firmy Microsoft.
Istnieją metody wdrażania certyfikatów urzędu certyfikacji dla jednostek uzależnionych, które nie są zarządzane przez Intune. Jednostki uzależnionej, takie jak serwery radius, Wi-Fi punkty dostępu, serwery sieci VPN i serwery aplikacji internetowych obsługujące uwierzytelnianie oparte na certyfikatach.
Jeśli jednostka uzależniona jest członkiem domena usługi Active Directory, użyj zasady grupy do wdrożenia certyfikatów urzędu certyfikacji. Więcej informacji można znaleźć w następujących artykułach:
- Dystrybuowanie certyfikatów na komputerach klienckich przy użyciu zasady grupy
- Automatyczne rejestrowanie urządzenia z systemem Windows przy użyciu zasady grupy
Jeśli jednostka uzależniona nie jest członkiem domena usługi Active Directory, upewnij się, że łańcuch zaufania certyfikatów urzędu certyfikacji dla PKI w chmurze firmy Microsoft głównego i wystawiającego urzędu certyfikacji jest zainstalowany w magazynie zabezpieczeń jednostki uzależnionej. Odpowiedni magazyn zabezpieczeń różni się w zależności od platformy systemu operacyjnego i aplikacji hostingowej dostarczającej usługę.
Należy również wziąć pod uwagę konfigurację oprogramowania jednostki uzależnionej potrzebną do obsługi innych urzędów certyfikacji.
Opcja 1: główny urząd certyfikacji PKI w chmurze firmy Microsoft
Podczas wdrażania głównego urzędu certyfikacji PKI w chmurze certyfikat główny PKI w chmurze musi zostać wdrożony we wszystkich jednostkach uzależnionych. Jeśli wystawiający certyfikat urzędu certyfikacji nie jest obecny w jednostce uzależnionej, jednostka uzależniona może automatycznie pobrać i zainstalować go, inicjując odnajdywanie certyfikatów. Ten proces, znany jako aparat tworzenia łańcuchów certyfikatów (CCE), jest specyficzny dla platformy i służy do pobierania brakującego certyfikatu nadrzędnego. Adres URL certyfikatu wystawiającego certyfikat urzędu certyfikacji znajduje się we właściwości AIA certyfikatu liścia (certyfikat wystawiony dla urządzenia przy użyciu urzędu certyfikacji wystawiającego PKI w chmurze). Jednostka uzależniona może użyć właściwości AIA do pobrania nadrzędnych certyfikatów urzędu certyfikacji. Proces jest podobny do pobierania listy CRL.
Uwaga
System operacyjny Android wymaga od serwerów zwrócenia całego łańcucha certyfikatów i nie wykonuje odnajdywania certyfikatów zgodnie ze ścieżkami AIA. Aby uzyskać więcej informacji, zobacz Dokumentacja deweloperów systemu Android. Pamiętaj, aby wdrożyć pełny łańcuch certyfikatów na urządzeniach zarządzanych z systemem Android i jednostkach uzależnionych.
Intune urządzenia zarządzane, niezależnie od platformy systemu operacyjnego, wymagają następującego łańcucha zaufania certyfikatów urzędu certyfikacji.
| Typ certyfikatu urzędu certyfikacji | Łańcuch zaufania certyfikatów urzędu certyfikacji | Metoda wdrażania |
|---|---|---|
| certyfikat urzędu certyfikacji PKI w chmurze | Wymagany certyfikat głównego urzędu certyfikacji, wystawianie urzędu certyfikacji opcjonalne, ale zalecane | Intune profilu konfiguracji zaufanego certyfikatu |
| Certyfikat prywatnego urzędu certyfikacji | Wymagany certyfikat głównego urzędu certyfikacji, wystawianie certyfikatu urzędu certyfikacji jest opcjonalne, ale zalecane | Intune profilu konfiguracji zaufanego certyfikatu |
Jednostki uzależnionej wymagają następującego łańcucha zaufania certyfikatów urzędu certyfikacji.
| Typ certyfikatu urzędu certyfikacji | Łańcuch zaufania certyfikatów urzędu certyfikacji | Metoda wdrażania |
|---|---|---|
| certyfikat urzędu certyfikacji PKI w chmurze | Wymagany certyfikat głównego urzędu certyfikacji, wystawianie urzędu certyfikacji opcjonalne, ale zalecane | Jeśli serwer lub usługa jednostki uzależnionej jest serwerem członkowskim w domenie usługi Active Directory (AD), użyj zasady grupy do wdrożenia certyfikatów urzędu certyfikacji. Jeśli nie ma jej w domenie usługi AD, może być wymagana ręczna metoda instalacji. |
| Certyfikat prywatnego urzędu certyfikacji | Wymagany certyfikat głównego urzędu certyfikacji, wystawianie certyfikatu urzędu certyfikacji opcjonalne, ale zalecane | Jeśli serwer lub usługa jednostki uzależnionej jest serwerem członkowskim w domenie usługi Active Directory (AD), użyj zasady grupy do wdrożenia certyfikatów urzędu certyfikacji. Jeśli nie ma jej w domenie usługi AD, może być wymagana ręczna metoda instalacji. |
Na poniższym diagramie przedstawiono certyfikaty działające zarówno dla klientów, jak i jednostek uzależnionych.
Na poniższym diagramie przedstawiono odpowiednie łańcuchy zaufania certyfikatów urzędu certyfikacji, które muszą zostać wdrożone zarówno na zarządzanych urządzeniach, jak i na jednostkach uzależnionych. Łańcuchy zaufania urzędu certyfikacji zapewniają, że certyfikaty PKI w chmurze wystawione dla urządzeń zarządzanych Intune są zaufane i mogą być używane do uwierzytelniania w jednostkach uzależnionych.
Opcja 2: Przynieś własny urząd certyfikacji (BYOCA)
Podczas wdrażania przy użyciu własnego urzędu certyfikacji urządzenie zarządzane Intune wymaga następujących certyfikatów urzędu certyfikacji:
- Łańcuch zaufania prywatnego urzędu certyfikacji, w tym certyfikaty główne i wystawiające certyfikaty urzędu certyfikacji, urzędu certyfikacji odpowiedzialnego za podpisywanie csr byoca.
- Certyfikat urzędu certyfikacji wystawiającego byoca.
Wszystkie jednostki uzależnionej powinny mieć już łańcuch certyfikatów prywatnego urzędu certyfikacji.
Intune urządzenia zarządzane, niezależnie od platformy systemu operacyjnego, wymagają następującego łańcucha zaufania certyfikatów urzędu certyfikacji.
| Typ certyfikatu urzędu certyfikacji | Łańcuch zaufania certyfikatów urzędu certyfikacji | Metoda wdrażania |
|---|---|---|
| certyfikat urzędu certyfikacji PKI w chmurze | Wystawianie urzędu certyfikacji opcjonalne, ale zalecane | Intune profilu konfiguracji zaufanego certyfikatu |
| Certyfikat prywatnego urzędu certyfikacji | Wymagany certyfikat głównego urzędu certyfikacji, wystawianie urzędu certyfikacji opcjonalne, ale zalecane | Intune profilu konfiguracji zaufanego certyfikatu |
Jednostka uzależniona powinna mieć już łańcuch certyfikatów prywatnego urzędu certyfikacji. Jednak certyfikat urzędu wystawiającego certyfikat BYOCA powinien być również wdrożony dla jednostek uzależnionych. Jeśli jednostka uzależniona jest serwerem członkowskim w domena usługi Active Directory, użyj obiektu zasad grupy jako metody wdrażania.
Uwaga
Jeśli certyfikat urzędu certyfikacji wystawiający PKI w chmurze BYOCA nie jest wdrożony na platformie jednostki uzależnionej, właściwość AIA (URL) PKI w chmurze wystawionego certyfikatu SCEP (certyfikat jednostki końcowej/liścia) może być używana przez CCE jednostki uzależnionej do żądania i instalowania PKI w chmurze certyfikatu urzędu wystawiającego certyfikat urzędu certyfikacji BYOCA (klucz publiczny) w magazynie zaufania. Jednak to zachowanie nie jest gwarantowane i zależne od każdej implementacji systemu operacyjnego/platformy CCE. Najlepszym rozwiązaniem jest wdrożenie certyfikatu urzędu certyfikacji wystawiającego certyfikat BYOCA na zarządzanym urządzeniu i jednostce uzależnionej.
Jednostki uzależnionej ufają PKI w chmurze firma BYOCA wystawiła certyfikat SCEP na zarządzanym urządzeniu, ponieważ łączy się on z łańcuchem zaufania prywatnego urzędu certyfikacji już obecnym na jednostce uzależnionej.
Na poniższym diagramie przedstawiono sposób wdrażania odpowiednich łańcuchów zaufania certyfikatów urzędu certyfikacji na urządzeniach zarządzanych Intune.
* Na tym diagramie prywatny odnosi się do usługi certyfikatów Active Directory lub usługi innej niż Microsoft.
Podsumowanie
PKI w chmurze główne i wystawiające urzędy certyfikacji oraz urzędy certyfikacji wystawiające certyfikaty BYOCA zakotwiczone w prywatnym urzędzie certyfikacji mogą istnieć w tej samej dzierżawie, ponieważ PKI w chmurze może obsługiwać oba modele wdrażania jednocześnie.
Przed rozpoczęciem wdrażania i wystawianiem certyfikatów określ lokalizację głównej kotwicy zaufania. Może to być PKI w chmurze głównego lub prywatnego głównego urzędu certyfikacji. Lokalizacja określa łańcuch zaufania certyfikatów wymagany zarówno przez Intune zarządzanych urządzeń, jak i jednostki uzależnione.
- PKI w chmurze głównego urzędu certyfikacji: należy wdrożyć łańcuch zaufania certyfikatów PKI w chmurze, który składa się z kluczy publicznych urzędu certyfikacji wystawiającego certyfikaty główne &, dla wszystkich jednostek uzależnionych.
- PKI w chmurze urzędu wystawiającego certyfikaty BYOCA przy użyciu prywatnego głównego urzędu certyfikacji: zaufany łańcuch certyfikatów urzędu certyfikacji, który składa się z głównego urzędu certyfikacji i urzędu wystawiającego certyfikaty, powinien być już wdrożony na jednostkach uzależnionych w całej infrastrukturze. Chociaż nie jest to wymagane, zalecamy utworzenie certyfikatu urzędu certyfikacji wystawiającego certyfikat PKI w chmurze BYOCA.