Поделиться через


Использование сертификатов для проверки подлинности в Microsoft Intune

Используйте сертификаты с Intune для проверки подлинности пользователей в приложениях и корпоративных ресурсах через профили VPN, Wi-Fi или электронной почты. При использовании сертификатов для проверки подлинности этих подключений конечным пользователям не нужно вводить имена пользователей и пароли, что упрощает их доступ. Сертификаты также используются для подписывания и шифрования электронной почты с помощью S/MIME.

Общие сведения о сертификатах в Intune

Сертификаты обеспечивают доступ с проверкой подлинности без задержки в следующие два этапа.

  • Этап проверки подлинности: подлинность пользователя проверяется, чтобы подтвердить, что пользователь является именно тем, кем себя объявляет.
  • Этап авторизации: пользователь проверяется на соответствие условиям для определения, может ли ему быть предоставлен доступ.

Несколько распространенных сценариев использования сертификатов:

  • Проверка подлинности на уровне сети (например, 802.1 x) с помощью сертификатов устройств или пользователей
  • Проверка подлинности на VPN-серверах с помощью сертификатов устройств или пользователей
  • Подписывание электронной почты на основе сертификатов пользователей

В качестве методов подготовки сертификатов на устройствах Intune поддерживает протокол SCEP, стандарты шифрования с открытым ключом (PKCS) и импортируемые сертификаты PKCS. Разные методы подготовки имеют разные требования и результаты. Например:

  • SCEP подготавливает сертификаты, уникальные для каждого запроса сертификата.
  • PKCS подготавливает каждое устройство с помощью уникального сертификата.
  • При использовании импортируемого сертификата PKCS можно развертывать один и тот же сертификат, экспортированный из источника, такого как почтовый сервер, для нескольких получателей. Этот общий сертификат удобен тем, что все пользователи и устройства могут расшифровывать сообщения электронной почты, которые были зашифрованы этим сертификатом.

Для подготовки пользователя или устройства с конкретным типом сертификата Intune использует профиль сертификата.

В дополнение к трем типам сертификатов и методам подготовки требуется доверенный корневой сертификат из доверенного центра сертификации (ЦС). Это может быть локальный центр сертификации Майкрософт или сторонний центр сертификации. Доверенный корневой сертификат устанавливает отношение доверия между устройством и корневым или промежуточным (выдающим) ЦС, который выдает другие сертификаты. Чтобы развернуть этот сертификат, используйте профиль доверенного сертификата и разверните его на те же устройства и пользователи, которые получают профили сертификатов для SCEP, PKCS и импортированных PKCS.

Совет

Intune также поддерживает использование производных учетных данных для сред, в которых требуется применение смарт-карт.

Что необходимо для использования сертификатов

  • Центр сертификации. Ваш ЦС является источником доверия, на который ссылаются сертификаты для проверки подлинности. Вы можете использовать ЦС Майкрософт или сторонний ЦС.
  • Локальная инфраструктура. Требуемая инфраструктура зависит от используемых типов сертификатов:
  • Доверенный корневой сертификат. Перед развертыванием профилей сертификатов SCEP или PKCS разверните доверенный корневой сертификат из ЦС, используя профиль доверенного сертификата. Этот профиль помогает установить обратные отношения доверия устройства с ЦС и требуется для других профилей сертификатов.

После развертывания доверенного корневого сертификата вы можете развернуть профили сертификатов для подготовки пользователей и устройств с сертификатами для проверки подлинности.

Какой профиль сертификата следует использовать

Хотя приведенное ниже сравнение не является исчерпывающим, оно помогает понять различия при использовании разных типов профилей сертификатов.

Тип профиля Details
Надежный сертификат Используется для развертывания открытого ключа (сертификата) из корневого ЦС или промежуточного ЦС для пользователей и устройств в целях установки обратных отношений доверия с исходным ЦС. Для других профилей сертификатов требуется профиль доверенного сертификата и его корневой сертификат.
Сертификат SCEP Развертывает шаблон запроса сертификата для пользователей и устройств. Каждый сертификат, подготовленный с помощью SCEP, уникален и привязан к пользователю или устройству, запросившему сертификат.

С помощью SCEP можно развертывать сертификаты на устройствах, на которых отсутствует сходство пользователей, в том числе с помощью SCEP для подготовки сертификата на устройстве KIOSK или на устройстве без пользователя.
Сертификат PKCS Развертывает шаблон для запроса сертификата, указывающий тип сертификата пользователя или устройства.

— Запросы типа сертификата пользователя всегда требуют сопоставления пользователей. При развертывании для пользователя каждое устройство пользователя получает уникальный сертификат. При развертывании на устройстве с пользователем этот пользователь связывается с сертификатом для этого устройства. При развертывании на устройстве без пользователей сертификат не подготавливается.
— Шаблоны с типом сертификата устройства не требуют сопоставления пользователей для подготовки сертификата. Развертывание на устройстве обеспечивает подготовку устройства. Развертывание для пользователя подготавливает устройство, на котором пользователь выполнил вход с помощью сертификата.
Импортированный сертификат PKCS Развертывает один сертификат для нескольких устройств и пользователей, поддерживающих такие сценарии, как подписывание S/MIME и шифрование. Например, при развертывании одного и того же сертификата на каждом устройстве любое такое устройство сможет расшифровывать электронную почту, полученную от одного и того же почтового сервера.

Другие методы развертывания сертификатов недостаточны для этого сценария, так как SCEP создает уникальный сертификат для каждого запроса, а PKCS связывает разный сертификат для каждого пользователя с разными пользователями, получающим разные сертификаты.

Поддерживаемые сертификаты и использование Intune

Тип Проверка подлинности Подписывание S/MIME Шифрование S/MIME
Импортированный сертификат PKCS Поддерживается Поддерживается
PKCS #12 (или PFX) Поддерживается Поддерживается
Протокол SCEP Поддерживается Поддерживается

Чтобы развернуть эти сертификаты, создайте и назначьте профили сертификатов устройствам.

Каждый отдельный профиль сертификата, созданный вами, поддерживает одну платформу. Например, при использовании сертификатов PKCS создается профиль сертификата PKCS для Android и отдельный профиль сертификата PKCS для iOS/iPadOS. Если вы также используете сертификаты SCEP для этих двух платформ, создайте профиль сертификата SCEP для Android и другой для iOS/iPadOS.

Общие рекомендации, которые следует учитывать при использовании центра сертификации Майкрософт

При использовании центра сертификации (ЦС) Майкрософт:

Общие рекомендации, которые следует учитывать при использовании стороннего центра сертификации

При использовании стороннего центра сертификации (не Майкрософт):

  • Профили сертификатов SCEP не требуют использования соединителя сертификатов Microsoft Intune. Вместо этого сторонний ЦС обрабатывает выдачу сертификатов и управление ими напрямую. Чтобы использовать профили сертификатов SCEP без соединителя сертификатов Intune:

    Дополнительные сведения см. в статье Настройка интеграции со сторонним ЦС.

  • Для импортированных сертификатов PKCS требуется использовать соединитель сертификатов Microsoft Intune. См. статью Установка соединителя сертификатов для Microsoft Intune.

  • Разверните сертификаты с помощью следующих механизмов:

    • профили доверенных сертификатов для развертывания доверенного корневого сертификата ЦС из корневого или промежуточного (выдающего) ЦС на устройствах;
    • Профили сертификатов SCEP
    • профили сертификатов PKCS (поддерживаются только платформой Digicert PKI);
    • профили импортированных сертификатов PKCS.

Поддерживаемые платформы и профили сертификатов

Платформа Профиль доверенного сертификата Профиль сертификата PKCS Профиль сертификата SCEP Профиль импортированного сертификата PKCS
Администратор устройств Android Поддержанный
(см . примечание 1)
Поддерживается Поддерживается Поддерживается
Android Enterprise
— полностью управляемый (владелец устройства)
Поддерживается Поддерживается Поддерживается Поддерживается
Android Enterprise
— выделенный (владелец устройства)
Поддерживается Поддерживается Поддерживается Поддерживается
Android Enterprise
— рабочий профиль Corporate-Owned
Поддерживается Поддерживается Поддерживается Поддерживается
Android Enterprise
— рабочий профиль Personally-Owned
Поддерживается Поддерживается Поддерживается Поддерживается
Android (AOSP) Поддерживается Поддерживается Поддерживается
iOS/iPadOS Поддерживается Поддерживается Поддерживается Поддерживается
macOS Поддерживается Поддерживается Поддерживается Поддерживается
Windows 8.1 и более поздние версии Поддерживается Поддерживается
Windows 10/11 Поддержанный
(см . примечание 2)
Поддержанный
(см . примечание 2)
Поддержанный
(см . примечание 2)
Поддерживается

Важно!

22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Дополнительные ресурсы:

Создание профилей сертификатов:

Узнайте о соединителе сертификатов для Microsoft Intune.