Używanie certyfikatów do uwierzytelniania w usłudze Microsoft Intune
Używanie certyfikatów z Intune do uwierzytelniania użytkowników w aplikacjach i zasobach firmowych za pośrednictwem sieci VPN, sieci Wi-Fi lub profilów poczty e-mail. Jeśli używasz certyfikatów do uwierzytelniania tych połączeń, użytkownicy końcowi nie muszą wprowadzać nazw użytkowników i haseł, co może sprawić, że ich dostęp będzie bezproblemowy. Certyfikaty są również używane do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME.
Certyfikaty zapewniają uwierzytelniony dostęp bez opóźnień w dwóch następujących fazach:
- Faza uwierzytelniania: autentyczność użytkownika jest sprawdzana w celu potwierdzenia, że użytkownik jest tym, za kogo się podaje.
- Faza autoryzacji: użytkownik podlega warunkom, dla których ustala się, czy użytkownik powinien mieć dostęp.
Typowe scenariusze użycia certyfikatów obejmują:
- Uwierzytelnianie sieciowe (na przykład 802.1x) z certyfikatami urządzenia lub użytkownika
- Uwierzytelnianie za pomocą serwerów sieci VPN przy użyciu certyfikatów urządzeń lub użytkowników
- Podpisywanie poczty e-mail na podstawie certyfikatów użytkownika
Intune obsługuje prosty protokół rejestracji certyfikatów (SCEP), standardy kryptografii klucza publicznego (PKCS) i zaimportowane certyfikaty PKCS jako metody aprowizacji certyfikatów na urządzeniach. Różne metody aprowizacji mają różne wymagania i wyniki. Przykład:
- Protokół SCEP aprowizuje certyfikaty unikatowe dla każdego żądania certyfikatu.
- PKCS aprowizuje każde urządzenie unikatowym certyfikatem.
- Zaimportowany PKCS umożliwia wdrożenie tego samego certyfikatu, który został wyeksportowany ze źródła, takiego jak serwer poczty e-mail, do wielu adresatów. Ten certyfikat udostępniony jest przydatny, aby zapewnić wszystkim użytkownikom lub urządzeniom możliwość odszyfrowywania wiadomości e-mail, które zostały zaszyfrowane przez ten certyfikat.
Aby aprowizować użytkownika lub urządzenie z określonym typem certyfikatu, Intune używa profilu certyfikatu.
Oprócz trzech typów certyfikatów i metod aprowizacji potrzebny jest zaufany certyfikat główny z zaufanego urzędu certyfikacji. Urząd certyfikacji może być lokalnym urzędem Microsoft Certification lub urzędem certyfikacji innej firmy. Zaufany certyfikat główny ustanawia relację zaufania z urządzenia do głównego lub pośredniego urzędu certyfikacji (wystawiającego), z którego są wystawiane inne certyfikaty. Aby wdrożyć ten certyfikat, należy użyć profilu zaufanego certyfikatu i wdrożyć go na tych samych urządzeniach i na tych samych urządzeniach oraz na tych samych użytkownikach, którzy otrzymują profile certyfikatów dla protokołu SCEP, PKCS i zaimportowanego PKCS.
Porada
Intune obsługuje również korzystanie z pochodnych poświadczeń dla środowisk, które wymagają użycia kart inteligentnych.
- Urząd certyfikacji. Urząd certyfikacji jest źródłem zaufania, do którego odwołują się certyfikaty na potrzeby uwierzytelniania. Możesz użyć urzędu certyfikacji firmy Microsoft lub urzędu certyfikacji innej firmy.
- Infrastruktura lokalna. Wymagana infrastruktura zależy od używanych typów certyfikatów:
- Zaufany certyfikat główny. Przed wdrożeniem profilów certyfikatów SCEP lub PKCS wdróż zaufany certyfikat główny z urzędu certyfikacji przy użyciu profilu zaufanego certyfikatu . Ten profil pomaga ustanowić relację zaufania z urządzenia z powrotem do urzędu certyfikacji i jest wymagany przez inne profile certyfikatów.
Po wdrożeniu zaufanego certyfikatu głównego możesz wdrożyć profile certyfikatów w celu aprowizowania użytkowników i urządzeń z certyfikatami na potrzeby uwierzytelniania.
Poniższe porównania nie są kompleksowe, ale mają na celu ułatwienie rozróżnienia użycia różnych typów profilów certyfikatów.
Typ profilu | Szczegóły |
---|---|
Zaufany certyfikat | Służy do wdrażania klucza publicznego (certyfikatu) z głównego urzędu certyfikacji lub pośredniczącego urzędu certyfikacji dla użytkowników i urządzeń w celu ustanowienia zaufania z powrotem do źródłowego urzędu certyfikacji. Inne profile certyfikatów wymagają profilu zaufanego certyfikatu i jego certyfikatu głównego. |
Certyfikat SCEP | Wdraża szablon żądania certyfikatu dla użytkowników i urządzeń. Każdy certyfikat aprowizowany przy użyciu protokołu SCEP jest unikatowy i powiązany z użytkownikiem lub urządzeniem żądającym certyfikatu.
Za pomocą protokołu SCEP można wdrażać certyfikaty na urządzeniach, na których nie ma koligacji użytkownika, w tym przy użyciu protokołu SCEP w celu aprowizowania certyfikatu na urządzeniu KIOSK lub urządzeniu bez użytkownika. |
Certyfikat PKCS | Wdraża szablon żądania certyfikatu, który określa typ certyfikatu użytkownika lub urządzenia.
— Żądania dotyczące typu certyfikatu użytkownika zawsze wymagają koligacji użytkownika. Po wdrożeniu do użytkownika każde z urządzeń użytkownika otrzymuje unikatowy certyfikat. Po wdrożeniu na urządzeniu z użytkownikiem ten użytkownik jest skojarzony z certyfikatem dla tego urządzenia. Po wdrożeniu na urządzeniu bez użytkownika nie jest aprowizowany żaden certyfikat. — Szablony z typem certyfikatu urządzenia nie wymagają koligacji użytkownika do aprowizowania certyfikatu. Wdrożenie na urządzeniu aprowizuje urządzenie. Wdrożenie dla użytkownika aprowizuje urządzenie, na które użytkownik jest zalogowany przy użyciu certyfikatu. |
Zaimportowany certyfikat PKCS | Wdraża jeden certyfikat na wielu urządzeniach i użytkowników, który obsługuje scenariusze, takie jak podpisywanie i szyfrowanie S/MIME. Na przykład dzięki wdrożeniu tego samego certyfikatu na każdym urządzeniu każde urządzenie może odszyfrować wiadomości e-mail odebrane z tego samego serwera poczty e-mail.
Inne metody wdrażania certyfikatów są niewystarczające w tym scenariuszu, ponieważ protokół SCEP tworzy unikatowy certyfikat dla każdego żądania, a PKCS kojarzy inny certyfikat dla każdego użytkownika z różnymi użytkownikami otrzymującymi różne certyfikaty. |
Wpisać | Uwierzytelnianie | Podpisywanie S/MIME | Szyfrowanie S/MIME |
---|---|---|---|
Zaimportowany certyfikat PKCS (Public Key Cryptography Standards) | |||
PKCS#12 (lub PFX) | |||
Prosty protokół rejestracji certyfikatów (SCEP) |
Aby wdrożyć te certyfikaty, utwórz i przypisz profile certyfikatów do urządzeń.
Każdy utworzony profil certyfikatu obsługuje pojedynczą platformę. Jeśli na przykład używasz certyfikatów PKCS, utworzysz profil certyfikatu PKCS dla systemu Android i oddzielny profil certyfikatu PKCS dla systemu iOS/iPadOS. Jeśli używasz również certyfikatów SCEP dla tych dwóch platform, utworzysz profil certyfikatu SCEP dla systemu Android i inny dla systemu iOS/iPadOS.
W przypadku korzystania z urzędu Microsoft Certification (CA):
Aby używać profilów certyfikatów SCEP:
Aby użyć profilów certyfikatów PKCS:
Aby użyć zaimportowanych certyfikatów PKCS:
- Zainstaluj łącznik certyfikatów dla Microsoft Intune.
- Wyeksportuj certyfikaty z urzędu certyfikacji, a następnie zaimportuj je do Microsoft Intune. Zobacz projekt PFXImport programu PowerShell.
Wdrażanie certyfikatów przy użyciu następujących mechanizmów:
- Profile zaufanych certyfikatów do wdrażania certyfikatu zaufanego głównego urzędu certyfikacji z głównego lub pośredniego urzędu certyfikacji (wystawiającego) na urządzeniach
- Profile certyfikatów SCEP
- Profile certyfikatów PKCS
- Zaimportowane profile certyfikatów PKCS
W przypadku korzystania z urzędu certyfikacji (ca) innej firmy (spoza firmy Microsoft):
Profile certyfikatów SCEP nie wymagają użycia łącznika certyfikatów Microsoft Intune. Zamiast tego urząd certyfikacji innej firmy obsługuje wystawianie certyfikatów i zarządzanie nim bezpośrednio. Aby używać profilów certyfikatów protokołu SCEP bez łącznika certyfikatów Intune:
- Skonfiguruj integrację z urzędem certyfikacji innej firmy od jednego z naszych obsługiwanych partnerów. Konfiguracja obejmuje wykonanie instrukcji z urzędu certyfikacji innej firmy w celu ukończenia integracji urzędu certyfikacji z Intune.
- Utwórz aplikację w Tożsamość Microsoft Entra, która delegować prawa do Intune w celu weryfikacji certyfikatu SCEP.
Aby uzyskać więcej informacji, zobacz Konfigurowanie integracji urzędu certyfikacji innej firmy
Zaimportowane certyfikaty PKCS wymagają użycia łącznika certyfikatów Microsoft Intune. Zobacz Instalowanie łącznika certyfikatów dla Microsoft Intune.
Wdrażanie certyfikatów przy użyciu następujących mechanizmów:
- Profile zaufanych certyfikatów do wdrażania certyfikatu zaufanego głównego urzędu certyfikacji z głównego lub pośredniego urzędu certyfikacji (wystawiającego) na urządzeniach
- Profile certyfikatów SCEP
- Profile certyfikatów PKCS (obsługiwane tylko w przypadku platformy infrastruktury PKI firmy Digicert)
- Zaimportowane profile certyfikatów PKCS
Platforma | Profil zaufanego certyfikatu | Profil certyfikatu PCKS | Profil certyfikatu SCEP | Zaimportowany profil certyfikatu PKCS |
---|---|---|---|---|
Administratora urządzenia z systemem Android |
(zobacz Uwaga 1) |
|||
Android Enterprise — w pełni zarządzane (właściciel urządzenia) |
||||
Android Enterprise — dedykowany (właściciel urządzenia) |
||||
Android Enterprise — profil służbowy Corporate-Owned |
||||
Android Enterprise — profil służbowy Personally-Owned |
||||
Android (AOSP) | ||||
iOS/iPadOS | ||||
macOS | ||||
System Windows 8.1 lub nowszy | ||||
Windows 10/11 |
(zobacz Uwaga 2) |
(zobacz Uwaga 2) |
(zobacz Uwaga 2) |
- Uwaga 1 — począwszy od systemu Android 11 profile zaufanych certyfikatów nie mogą już instalować zaufanego certyfikatu głównego na urządzeniach zarejestrowanych jako administrator urządzeń z systemem Android. To ograniczenie nie ma zastosowania do rozwiązania Samsung Knox. Aby uzyskać więcej informacji, zobacz Profile zaufanych certyfikatów dla administratora urządzeń z systemem Android.
- Uwaga 2 . Ten profil jest obsługiwany w przypadku pulpitów zdalnych z wieloma sesjami systemu Windows Enterprise.
Ważne
22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.
Jeśli obecnie używasz systemu Windows 8.1, przejdź na urządzenia z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.
Ważne
Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.
Więcej zasobów:
- Podpisywanie i szyfrowanie wiadomości e-mail przy użyciu protokołu S/MIME
- Korzystanie z urzędu certyfikacji innej firmy
Tworzenie profilów certyfikatów:
- Konfigurowanie profilu zaufanego certyfikatu
- Konfigurowanie infrastruktury do obsługi certyfikatów SCEP przy użyciu Intune
- Konfigurowanie certyfikatów PKCS i zarządzanie nimi przy użyciu Intune
- Tworzenie profilu zaimportowanego certyfikatu PKCS
Dowiedz się więcej o łączniku certyfikatów dla Microsoft Intune