Visão geral do PKI em nuvem da Microsoft para Microsoft Intune
Aplica-se a:
- Windows
- Android
- iOS
- macOS
Use PKI em nuvem da Microsoft para emitir certificados para dispositivos gerenciados pelo Intune. PKI em nuvem da Microsoft é um serviço baseado em nuvem que simplifica e automatiza o gerenciamento do ciclo de vida do certificado para dispositivos gerenciados pelo Intune. Ele fornece uma PKI (infraestrutura de chave pública) dedicada para sua organização, sem exigir servidores locais, conectores ou hardware. Ele lida com a emissão, renovação e revogação de certificados para todas as plataformas com suporte do Intune.
Este artigo fornece uma visão geral do PKI em nuvem da Microsoft para o Intune, como ele funciona e sua arquitetura.
O que é PKI?
O PKI é um sistema que usa certificados digitais para autenticar e criptografar dados entre dispositivos e serviços. Os certificados PKI são essenciais para proteger vários cenários, como VPN, Wi-Fi, email, Web e identidade do dispositivo. No entanto, o gerenciamento de certificados PKI pode ser desafiador, caro e complexo, especialmente para organizações que têm um grande número de dispositivos e usuários. Você pode usar PKI em nuvem da Microsoft para aumentar a segurança e a produtividade de seus dispositivos e usuários e acelerar sua transformação digital em um serviço PKI de nuvem totalmente gerenciado. Além disso, você pode utilizar o serviço PKI em nuvem para reduzir cargas de trabalho para a ADCS (Active Directory Certificate Services) ou autoridades privadas de certificação local.
Gerenciar PKI em nuvem no centro de administração Microsoft Intune
PKI em nuvem da Microsoft objetos são criados e gerenciados no centro de administração Microsoft Intune. A partir daí, você pode:
- Configure e use PKI em nuvem da Microsoft para sua organização.
- Habilite PKI em nuvem em seu locatário.
- Crie e atribua perfis de certificado a dispositivos.
- Monitore certificados emitidos.
Depois de criar um PKI em nuvem a emissão de AC, você pode começar a emitir certificados em minutos.
Plataformas de dispositivos com suporte
Você pode usar o serviço PKI em nuvem da Microsoft com estas plataformas:
- Android
- iOS/iPadOS
- macOS
- Windows
Os dispositivos devem ser registrados no Intune e a plataforma deve dar suporte ao perfil de certificado SCEP de configuração do dispositivo do Intune.
Visão geral dos recursos
A tabela a seguir lista os recursos e cenários compatíveis com PKI em nuvem da Microsoft e Microsoft Intune.
| Recurso | Visão Geral |
|---|---|
| Criar vários CAs em um locatário do Intune | Crie uma hierarquia PKI de duas camadas com AC raiz e emissão na nuvem. |
| Traga sua própria AC (BYOCA) | Ancorar uma AC de Emissão do Intune em uma AC privada por meio dos Serviços de Certificado do Active Directory ou de um serviço de certificado que não é da Microsoft. Se você tiver uma infraestrutura PKI existente, poderá manter a mesma AC raiz e criar uma AC emissora que se acorrente à raiz externa. Essa opção inclui suporte para hierarquias de camadaS N+ privadas externas. |
| Algoritmos de assinatura e criptografia | O Intune dá suporte a RSA, tamanhos de chave 2048, 3072 e 4096. |
| Algoritmos hash | O Intune dá suporte a SHA-256, SHA-384 e SHA-512. |
| Chaves HSM (assinatura e criptografia) | As chaves são provisionadas usando o Azure Managed Hardware Security Module (Azure HSM). Os CAs criados com um Intune Suite licenciado ou PKI em nuvem Complemento Autônomo usam automaticamente chaves de assinatura e criptografia HSM. Nenhuma assinatura do Azure é necessária para o Azure HSM. |
| Chaves de Software (assinatura e criptografia) | Os CAs criados durante um período de avaliação do Intune Suite ou PKI em nuvem suplemento autônomo usam chaves de assinatura e criptografia apoiadas por software usando System.Security.Cryptography.RSA. |
| Autoridade de registro de certificado | Fornecendo uma Autoridade de Registro de Certificado de Nuvem com suporte ao SCEP (Protocolo de Registro de Certificado Simples) para cada CA emissora de PKI em nuvem. |
| Pontos de distribuição crl (lista de revogação de certificado) | O Intune hospeda o CDP (ponto de distribuição de CRL) para cada AC. O período de validade do CRL é de sete dias. A publicação e a atualização acontecem a cada 3,5 dias. O CRL é atualizado com cada revogação de certificado. |
| Pontos de extremidade do Acesso às Informações da Autoridade (AIA) | O Intune hospeda o ponto de extremidade do AIA para cada AC emissora. O ponto de extremidade do AIA pode ser usado por partes confiáveis para recuperar certificados pai. |
| Emissão de certificado de entidade final para usuários e dispositivos | Também chamado de emissão de certificado folha . O suporte é para o formato de certificação e protocolo SCEP (PKCS#7) e dispositivos registrados no Intune-MDM que dão suporte ao perfil SCEP. |
| Gerenciamento do ciclo de vida do certificado | Emitir, renovar e revogar certificados de entidade final. |
| Dashboard de relatórios | Monitore certificados ativos, expirados e revogados de um dashboard dedicado no centro de administração do Intune. Exiba relatórios para certificados de folha emitidos e outros certificados e revogue certificados de folha. Os relatórios são atualizados a cada 24 horas. |
| Auditoria | Audite a atividade de administrador, como criar, revogar e pesquisar ações no centro de administração do Intune. |
| Permissões de RBAC (controle de acesso baseado em função) | Crie funções personalizadas com permissões PKI em nuvem da Microsoft. As permissões disponíveis permitem ler CAs, desabilitar e reenvelar CAs, revogar certificados de folha emitidos e criar autoridades de certificado. |
| Marcas de escopo | Adicione marcas de escopo a qualquer AC que você criar no centro de administração. As marcas de escopo podem ser adicionadas, excluídas e editadas. |
Arquitetura
PKI em nuvem da Microsoft é composto por vários componentes-chave que trabalham juntos para simplificar a complexidade e o gerenciamento de uma infraestrutura de chave pública; um serviço PKI em nuvem para criar e hospedar autoridades de certificação, combinado com uma autoridade de registro de certificado para atender automaticamente às solicitações de certificado recebidas de dispositivos registrados no Intune. A autoridade de registro dá suporte ao Protocolo de Registro de Certificado Simples (SCEP).
Componentes:
A - Microsoft Intune
B – serviços de PKI em nuvem da Microsoft
- B.1 – serviço de PKI em nuvem da Microsoft
- B.2 – PKI em nuvem da Microsoft serviço SCEP
- B.3 - PKI em nuvem da Microsoft serviço de validação SCEP
A autoridade de registro de certificado compõe B.2 e B.3 no diagrama.
Esses componentes substituem a necessidade de uma autoridade de certificado local, NDES e conector de certificado do Intune.
Ações:
Antes que o dispositivo faça check-in no serviço do Intune, uma função do Intune ou do Intune com permissões para gerenciar o serviço PKI em nuvem da Microsoft deve:
- Crie a autoridade de certificação PKI em nuvem necessária para os CAs raiz e emissores no Microsoft Intune.
- Crie e atribua os perfis de certificado de confiança necessários para os CAs raiz e emissores. Esse fluxo não é mostrado no diagrama.
- Crie e atribua os perfis de certificado SCEP específicos da plataforma necessários. Esse fluxo não é mostrado no diagrama.
Observação
Um PKI em nuvem Autoridade de Certificação Emissora é necessário para emitir certificados para dispositivos gerenciados do Intune. PKI em nuvem fornece um serviço SCEP que atua como uma Autoridade de Registro de Certificado. O serviço solicita certificados da AC Emissora em nome de dispositivos gerenciados pelo Intune usando um perfil SCEP.
- Um dispositivo faz check-in com o serviço do Intune e recebe os perfis de certificado confiável e SCEP.
- Com base no perfil SCEP, o dispositivo cria uma CSR (solicitação de assinatura de certificado). A chave privada é criada no dispositivo e nunca sai do dispositivo. O CSR e o desafio SCEP são enviados para o serviço SCEP na nuvem (propriedade URI SCEP no perfil SCEP). O desafio SCEP é criptografado e assinado usando as chaves de RA SCEP do Intune.
- O serviço de validação SCEP verifica o CSR em relação ao desafio SCEP (mostrado como B.3 no diagrama). A validação garante que a solicitação venha de um dispositivo registrado e gerenciado. Ele também garante que o Desafio não seja mapeado e que corresponda aos valores esperados do perfil SCEP. Se alguma dessas verificações falhar, a solicitação de certificado será rejeitada.
- Depois que o CSR é validado, o serviço de validação SCEP, também conhecido como autoridade de registro, solicita que a AC emissora assine o CSR (mostrado como B.1 no diagrama).
- O certificado assinado é entregue ao dispositivo registrado no MDM do Intune.
Observação
O desafio SCEP é criptografado e assinado usando as chaves da autoridade de registro SCEP do Intune.
Requisitos de licenciamento
PKI em nuvem da Microsoft requer uma das seguintes licenças:
- licença Microsoft Intune Suite
- PKI em nuvem da Microsoft licença de complementos autônomos do Intune
Para obter mais informações sobre opções de licenciamento, consulte Microsoft Intune licenciamento.
Controle de acesso baseado em função
As permissões a seguir estão disponíveis para atribuir a funções personalizadas do Intune. Essas permissões permitem que os usuários exibam e gerenciem CAs no centro de administração.
- Ler CAs: qualquer usuário atribuído a essa permissão pode ler as propriedades de uma AC.
- Criar autoridades de certificado: qualquer usuário atribuído a essa permissão pode criar uma AC raiz ou emitir.
- Revogar certificados de folha emitidos: qualquer usuário atribuído a essa permissão tem a capacidade de revogar manualmente um certificado emitido por uma AC emissora. Essa permissão também requer a permissão de ac de leitura .
Você pode atribuir marcas de escopo aos CAs raiz e emissores. Para obter mais informações sobre como criar funções personalizadas e marcas de escopo, consulte Controle de acesso baseado em função com Microsoft Intune.
Experimente PKI em nuvem da Microsoft
Você pode experimentar o recurso PKI em nuvem da Microsoft no centro de administração do Intune durante um período de avaliação. As avaliações disponíveis incluem:
Durante o período de avaliação, você pode criar até seis CAs em seu locatário. PKI em nuvem CAs criados durante a avaliação usam chaves com suporte de software e usam System.Security.Cryptography.RSA para gerar e assinar as chaves. Você pode continuar a usar os CAs depois de comprar uma licença de PKI em nuvem. No entanto, as chaves permanecem com backup de software e não podem ser convertidas em chaves com backup de HSM. As chaves de AC gerenciadas pelo serviço Microsoft Intune. Nenhuma assinatura do Azure é necessária para recursos do Azure HSM.
Exemplos de configuração de AC
PKI em nuvem raiz de duas camadas & emitindo CAs e os CAs do bring-your-own podem coexistir no Intune. Você pode usar as seguintes configurações, fornecidas como exemplos, para criar CAs no PKI em nuvem da Microsoft:
- Uma AC raiz com cinco CAs emissores
- Três CAs raiz com uma AC em emissão cada
- Dois CAs raiz com uma AC em emissão cada e dois CAs que trazem seus próprios CAs
- Seis CAs bring-your-own
Limitações e problemas conhecidos
Para ver as últimas alterações e adições, confira Novidades em Microsoft Intune.
- Você pode criar até seis CAs em um locatário do Intune.
- PKI em nuvem licenciado – um total de 6 CAs podem ser criados usando chaves mHSM do Azure.
- Avaliação PKI em nuvem – um total de 6 CAs podem ser criados durante uma avaliação do Intune Suite ou PKI em nuvem complemento autônomo.
- Os seguintes tipos de AC contam para a capacidade da AC:
- ca raiz PKI em nuvem
- PKI em nuvem Emitindo AC
- AC de emissão de BYOCA
- As ações de AC a seguir estão atualmente indisponíveis no centro de administração, mas estamos trabalhando ativamente para fornecê-las.
- Exclua ou desabilite uma AC do locatário do Intune.
Até que essas ações fiquem disponíveis, recomendamos fazer uma solicitação de suporte do Intune para excluir uma AC.
- Exclua ou desabilite uma AC do locatário do Intune.
Comentários
Em breve: Ao longo de 2024, eliminaremos os problemas do GitHub como o mecanismo de comentários para conteúdo e o substituiremos por um novo sistema de comentários. Para obter mais informações, consulte https://aka.ms/ContentUserFeedback.
Enviar e exibir comentários de