Przeczytaj w języku angielskim

Udostępnij za pośrednictwem


Używanie certyfikatów do uwierzytelniania w usłudze Microsoft Intune

Używanie certyfikatów z Intune do uwierzytelniania użytkowników w aplikacjach i zasobach firmowych za pośrednictwem sieci VPN, sieci Wi-Fi lub profilów poczty e-mail. Jeśli używasz certyfikatów do uwierzytelniania tych połączeń, użytkownicy końcowi nie muszą wprowadzać nazw użytkowników i haseł, co może sprawić, że ich dostęp będzie bezproblemowy. Certyfikaty są również używane do podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME.

Wprowadzenie do certyfikatów z Intune

Certyfikaty zapewniają uwierzytelniony dostęp bez opóźnień w dwóch następujących fazach:

  • Faza uwierzytelniania: autentyczność użytkownika jest sprawdzana w celu potwierdzenia, że użytkownik jest tym, za kogo się podaje.
  • Faza autoryzacji: użytkownik podlega warunkom, dla których ustala się, czy użytkownik powinien mieć dostęp.

Typowe scenariusze użycia certyfikatów obejmują:

  • Uwierzytelnianie sieciowe (na przykład 802.1x) z certyfikatami urządzenia lub użytkownika
  • Uwierzytelnianie za pomocą serwerów sieci VPN przy użyciu certyfikatów urządzeń lub użytkowników
  • Podpisywanie poczty e-mail na podstawie certyfikatów użytkownika

Intune obsługuje prosty protokół rejestracji certyfikatów (SCEP), standardy kryptografii klucza publicznego (PKCS) i zaimportowane certyfikaty PKCS jako metody aprowizacji certyfikatów na urządzeniach. Różne metody aprowizacji mają różne wymagania i wyniki. Przykład:

  • Protokół SCEP aprowizuje certyfikaty unikatowe dla każdego żądania certyfikatu.
  • PKCS aprowizuje każde urządzenie unikatowym certyfikatem.
  • Zaimportowany PKCS umożliwia wdrożenie tego samego certyfikatu, który został wyeksportowany ze źródła, takiego jak serwer poczty e-mail, do wielu adresatów. Ten certyfikat udostępniony jest przydatny, aby zapewnić wszystkim użytkownikom lub urządzeniom możliwość odszyfrowywania wiadomości e-mail, które zostały zaszyfrowane przez ten certyfikat.

Aby aprowizować użytkownika lub urządzenie z określonym typem certyfikatu, Intune używa profilu certyfikatu.

Oprócz trzech typów certyfikatów i metod aprowizacji potrzebny jest zaufany certyfikat główny z zaufanego urzędu certyfikacji. Urząd certyfikacji może być lokalnym urzędem Microsoft Certification lub urzędem certyfikacji innej firmy. Zaufany certyfikat główny ustanawia relację zaufania z urządzenia do głównego lub pośredniego urzędu certyfikacji (wystawiającego), z którego są wystawiane inne certyfikaty. Aby wdrożyć ten certyfikat, należy użyć profilu zaufanego certyfikatu i wdrożyć go na tych samych urządzeniach i na tych samych urządzeniach oraz na tych samych użytkownikach, którzy otrzymują profile certyfikatów dla protokołu SCEP, PKCS i zaimportowanego PKCS.

Porada

Intune obsługuje również korzystanie z pochodnych poświadczeń dla środowisk, które wymagają użycia kart inteligentnych.

Co jest wymagane do używania certyfikatów

  • Urząd certyfikacji. Urząd certyfikacji jest źródłem zaufania, do którego odwołują się certyfikaty na potrzeby uwierzytelniania. Możesz użyć urzędu certyfikacji firmy Microsoft lub urzędu certyfikacji innej firmy.
  • Infrastruktura lokalna. Wymagana infrastruktura zależy od używanych typów certyfikatów:
  • Zaufany certyfikat główny. Przed wdrożeniem profilów certyfikatów SCEP lub PKCS wdróż zaufany certyfikat główny z urzędu certyfikacji przy użyciu profilu zaufanego certyfikatu . Ten profil pomaga ustanowić relację zaufania z urządzenia z powrotem do urzędu certyfikacji i jest wymagany przez inne profile certyfikatów.

Po wdrożeniu zaufanego certyfikatu głównego możesz wdrożyć profile certyfikatów w celu aprowizowania użytkowników i urządzeń z certyfikatami na potrzeby uwierzytelniania.

Który profil certyfikatu ma być używany

Poniższe porównania nie są kompleksowe, ale mają na celu ułatwienie rozróżnienia użycia różnych typów profilów certyfikatów.

Typ profilu Szczegóły
Zaufany certyfikat Służy do wdrażania klucza publicznego (certyfikatu) z głównego urzędu certyfikacji lub pośredniczącego urzędu certyfikacji dla użytkowników i urządzeń w celu ustanowienia zaufania z powrotem do źródłowego urzędu certyfikacji. Inne profile certyfikatów wymagają profilu zaufanego certyfikatu i jego certyfikatu głównego.
Certyfikat SCEP Wdraża szablon żądania certyfikatu dla użytkowników i urządzeń. Każdy certyfikat aprowizowany przy użyciu protokołu SCEP jest unikatowy i powiązany z użytkownikiem lub urządzeniem żądającym certyfikatu.

Za pomocą protokołu SCEP można wdrażać certyfikaty na urządzeniach, na których nie ma koligacji użytkownika, w tym przy użyciu protokołu SCEP w celu aprowizowania certyfikatu na urządzeniu KIOSK lub urządzeniu bez użytkownika.
Certyfikat PKCS Wdraża szablon żądania certyfikatu, który określa typ certyfikatu użytkownika lub urządzenia.

— Żądania dotyczące typu certyfikatu użytkownika zawsze wymagają koligacji użytkownika. Po wdrożeniu do użytkownika każde z urządzeń użytkownika otrzymuje unikatowy certyfikat. Po wdrożeniu na urządzeniu z użytkownikiem ten użytkownik jest skojarzony z certyfikatem dla tego urządzenia. Po wdrożeniu na urządzeniu bez użytkownika nie jest aprowizowany żaden certyfikat.
— Szablony z typem certyfikatu urządzenia nie wymagają koligacji użytkownika do aprowizowania certyfikatu. Wdrożenie na urządzeniu aprowizuje urządzenie. Wdrożenie dla użytkownika aprowizuje urządzenie, na które użytkownik jest zalogowany przy użyciu certyfikatu.
Zaimportowany certyfikat PKCS Wdraża jeden certyfikat na wielu urządzeniach i użytkowników, który obsługuje scenariusze, takie jak podpisywanie i szyfrowanie S/MIME. Na przykład dzięki wdrożeniu tego samego certyfikatu na każdym urządzeniu każde urządzenie może odszyfrować wiadomości e-mail odebrane z tego samego serwera poczty e-mail.

Inne metody wdrażania certyfikatów są niewystarczające w tym scenariuszu, ponieważ protokół SCEP tworzy unikatowy certyfikat dla każdego żądania, a PKCS kojarzy inny certyfikat dla każdego użytkownika z różnymi użytkownikami otrzymującymi różne certyfikaty.

Intune obsługiwane certyfikaty i użycie

Wpisać Uwierzytelnianie Podpisywanie S/MIME Szyfrowanie S/MIME
Zaimportowany certyfikat PKCS (Public Key Cryptography Standards) Pełna obsługa Pełna obsługa
PKCS#12 (lub PFX) Pełna obsługa Pełna obsługa
Prosty protokół rejestracji certyfikatów (SCEP) Pełna obsługa Pełna obsługa

Aby wdrożyć te certyfikaty, utwórz i przypisz profile certyfikatów do urządzeń.

Każdy utworzony profil certyfikatu obsługuje pojedynczą platformę. Jeśli na przykład używasz certyfikatów PKCS, utworzysz profil certyfikatu PKCS dla systemu Android i oddzielny profil certyfikatu PKCS dla systemu iOS/iPadOS. Jeśli używasz również certyfikatów SCEP dla tych dwóch platform, utworzysz profil certyfikatu SCEP dla systemu Android i inny dla systemu iOS/iPadOS.

Zagadnienia ogólne dotyczące korzystania z urzędu Microsoft Certification

W przypadku korzystania z urzędu Microsoft Certification (CA):

Zagadnienia ogólne dotyczące korzystania z urzędu certyfikacji innej firmy

W przypadku korzystania z urzędu certyfikacji (ca) innej firmy (spoza firmy Microsoft):

Obsługiwane platformy i profile certyfikatów

Platforma Profil zaufanego certyfikatu Profil certyfikatu PCKS Profil certyfikatu SCEP Zaimportowany profil certyfikatu PKCS
Administratora urządzenia z systemem Android Obsługiwane
(zobacz Uwaga 1)
Pełna obsługa Pełna obsługa Pełna obsługa
Android Enterprise
— w pełni zarządzane (właściciel urządzenia)
Pełna obsługa Pełna obsługa Pełna obsługa Pełna obsługa
Android Enterprise
— dedykowany (właściciel urządzenia)
Pełna obsługa Pełna obsługa Pełna obsługa Pełna obsługa
Android Enterprise
— profil służbowy Corporate-Owned
Pełna obsługa Pełna obsługa Pełna obsługa Pełna obsługa
Android Enterprise
— profil służbowy Personally-Owned
Pełna obsługa Pełna obsługa Pełna obsługa Pełna obsługa
Android (AOSP) Pełna obsługa Pełna obsługa Pełna obsługa
iOS/iPadOS Pełna obsługa Pełna obsługa Pełna obsługa Pełna obsługa
macOS Pełna obsługa Pełna obsługa Pełna obsługa Pełna obsługa
System Windows 8.1 lub nowszy Pełna obsługa Pełna obsługa
Windows 10/11 Obsługiwane
(zobacz Uwaga 2)
Obsługiwane
(zobacz Uwaga 2)
Obsługiwane
(zobacz Uwaga 2)
Pełna obsługa

Ważne

22 października 2022 r. usługa Microsoft Intune zakończyła obsługę urządzeń z systemem Windows 8.1. Pomoc techniczna i automatyczne aktualizacje tych urządzeń nie są dostępne.

Jeśli obecnie używasz systemu Windows 8.1, przejdź na urządzenia z systemem Windows 10/11. Usługa Microsoft Intune ma wbudowane funkcje zabezpieczeń i urządzeń, które zarządzają urządzeniami klienckimi z systemem Windows 10/11.

Ważne

Microsoft Intune kończy obsługę zarządzania przez administratora urządzeń z systemem Android na urządzeniach z dostępem do usług Google Mobile Services (GMS) 31 grudnia 2024 r. Po tej dacie rejestracja urządzeń, pomoc techniczna, poprawki błędów i poprawki zabezpieczeń będą niedostępne. Jeśli obecnie używasz zarządzania administratorem urządzeń, zalecamy przejście na inną opcję zarządzania systemem Android w Intune przed zakończeniem pomocy technicznej. Aby uzyskać więcej informacji, zobacz Zakończ obsługę administratora urządzeń z systemem Android na urządzeniach GMS.

Więcej zasobów:

Tworzenie profilów certyfikatów:

Dowiedz się więcej o łączniku certyfikatów dla Microsoft Intune