Обзор microsoft Cloud PKI для Microsoft Intune
Применимо к:
- Windows
- Android
- iOS
- macOS
Используйте Microsoft Cloud PKI для выдачи сертификатов для устройств, управляемых Intune. Microsoft Cloud PKI — это облачная служба, которая упрощает и автоматизирует управление жизненным циклом сертификатов для устройств, управляемых Intune. Она предоставляет выделенную инфраструктуру открытых ключей (PKI) для вашей организации, не требуя каких-либо локальных серверов, соединителей или оборудования. Он обрабатывает выдачу, продление и отзыв сертификатов для всех поддерживаемых платформ Intune.
В этой статье приводятся общие сведения о microsoft Cloud PKI для Intune, ее работе и архитектуре.
Что такое PKI?
PKI — это система, которая использует цифровые сертификаты для проверки подлинности и шифрования данных между устройствами и службами. PKI-сертификаты необходимы для защиты различных сценариев, таких как VPN, Wi-Fi, электронная почта, веб-сайт и удостоверение устройства. Однако управление PKI-сертификатами может быть сложной, дорогостоящей и сложной задачей, особенно для организаций с большим количеством устройств и пользователей. Вы можете использовать Microsoft Cloud PKI для повышения безопасности и производительности устройств и пользователей, а также для ускорения цифрового преобразования в полностью управляемую облачную службу PKI. Кроме того, вы можете использовать облачную службу PKI в для сокращения рабочих нагрузок для служб сертификатов Active Directory (ADCS) или частных локальных центров сертификации.
Управление облачной PKI в Центре администрирования Microsoft Intune
Объекты PKI в Microsoft Cloud создаются и управляются в Центре администрирования Microsoft Intune. Оттуда вы можете:
- Настройте и используйте Microsoft Cloud PKI для вашей организации.
- Включите облачную PKI в клиенте.
- Создание и назначение профилей сертификатов устройствам.
- Мониторинг выданных сертификатов.
После создания ЦС облачной PKI можно начать выдачу сертификатов за считанные минуты.
Поддерживаемые платформы устройств
Службу PKI Microsoft Cloud можно использовать на следующих платформах:
- Android
- iOS/iPadOS
- macOS
- Windows
Устройства должны быть зарегистрированы в Intune, а платформа должна поддерживать профиль сертификата SCEP конфигурации устройств Intune.
Общие сведения о функциях
В следующей таблице перечислены функции и сценарии, поддерживаемые Microsoft Cloud PKI и Microsoft Intune.
| Функция | Обзор |
|---|---|
| Создание нескольких ЦС в клиенте Intune | Создайте двухуровневую иерархию PKI с корнем и центром сертификации в облаке. |
| Использование собственного ЦС (BYOCA) | Привязывать выдающий ЦС Intune к частному ЦС с помощью служб сертификатов Active Directory или службы сертификатов сторонних поставщиков. Если у вас есть инфраструктура PKI, вы можете поддерживать один и тот же корневой ЦС и создать выдающий ЦС, который связан с внешним корневым каталогом. Этот параметр включает поддержку иерархий уровня N+ для внешнего частного ЦС. |
| Алгоритмы подписывания и шифрования | Intune поддерживает RSA, размеры ключей 2048, 3072 и 4096. |
| Хэш-алгоритмы | Intune поддерживает SHA-256, SHA-384 и SHA-512. |
| Ключи HSM (подписывание и шифрование) | Ключи подготавливаются с помощью модуля безопасности управляемого оборудования Azure (управляемый модуль HSM Azure). ЦС, созданные с помощью лицензированной надстройки Intune Suite или облачной надстройки PKI, автоматически используют ключи подписывания и шифрования HSM. Для устройства HSM Azure не требуется подписка Azure. |
| Программные ключи (подписывание и шифрование) | ЦС, созданные в течение пробного периода intune Suite или облачной PKI автономной надстройки, используют ключи подписывания и шифрования с программной поддержкой с помощью System.Security.Cryptography.RSA. |
| Центр регистрации сертификатов | Предоставление облачного центра регистрации сертификатов, поддерживающего протокол SCEP, для каждого ЦС, выдающего облачные PKI. |
| Точки распространения списка отзыва сертификатов (CRL) | Intune размещает точку распространения CRL (CDP) для каждого ЦС. Срок действия отзыва сертификатов составляет семь дней. Публикация и обновление выполняются каждые 3,5 дня. Список отзыва сертификатов обновляется при каждом отзыве сертификата. |
| Конечные точки доступа к информации центра (AIA) | Intune размещает конечную точку AIA для каждого выдающего ЦС. Конечную точку AIA могут использовать проверяющие стороны для получения родительских сертификатов. |
| Выдача сертификата конечной сущности для пользователей и устройств | Также называется выпуском конечного сертификата . Поддерживается протокол SCEP (PKCS#7) и формат сертификации, а также зарегистрированные в Intune-MDM устройства, поддерживающие профиль SCEP. |
| Управление жизненным циклом сертификатов | Выдача, продление и отзыв сертификатов конечной сущности. |
| Панель мониторинга отчетов | Мониторинг активных, просроченных и отозванных сертификатов на выделенной панели мониторинга в Центре администрирования Intune. Просматривайте отчеты о выданных конечных сертификатах и других сертификатах и отменяйте конечные сертификаты. Отчеты обновляются каждые 24 часа. |
| Аудит | Аудит действий администратора, таких как создание, отзыв и поиск действий в Центре администрирования Intune. |
| Разрешения управления доступом на основе ролей (RBAC) | Создание настраиваемых ролей с разрешениями Microsoft Cloud PKI. Доступные разрешения позволяют читать ЦС, отключать и повторно включать ЦС, отзывать выданные конечные сертификаты и создавать центры сертификации. |
| Теги области | Добавьте теги области в любой ЦС, создаваемый в Центре администрирования. Теги области можно добавлять, удалять и редактировать. |
Архитектура
PKI Microsoft Cloud состоит из нескольких ключевых компонентов, работающих вместе для упрощения сложности инфраструктуры открытых ключей и управления ею. Облачная служба PKI для создания и размещения центров сертификации в сочетании с центром регистрации сертификатов для автоматического обслуживания входящих запросов на сертификаты с устройств, зарегистрированных в Intune. Центр регистрации поддерживает протокол SCEP.
Компоненты:
A — Microsoft Intune
B — службы PKI Microsoft Cloud
- B.1. Служба PKI Microsoft Cloud
- B.2. Служба SCEP Microsoft Cloud PKI
- B.3. Служба проверки SCEP Microsoft Cloud PKI
На схеме центр регистрации сертификатов составляет B.2 и B.3.
Эти компоненты заменяют необходимость в локальном центре сертификации, NDES и соединителе сертификатов Intune.
Действия:
Перед тем как устройство запустите службу Intune, администратор Intune или роль Intune с разрешениями на управление службой PKI Microsoft Cloud должны:
- Создайте необходимый центр сертификации PKI облака для корневого каталога и выдающего ЦС в Microsoft Intune.
- Создайте и назначьте необходимые профили сертификатов доверия для корневого и выдающего ЦС. Этот поток не показан на схеме.
- Создание и назначение необходимых профилей сертификатов SCEP для конкретной платформы. Этот поток не показан на схеме.
Примечание.
Для выдачи сертификатов для управляемых устройств Intune требуется центр сертификации облачной PKI. Cloud PKI предоставляет службу SCEP, которая выступает в качестве центра регистрации сертификатов. Служба запрашивает сертификаты из центра сертификации выдачи от имени устройств, управляемых Intune, с помощью профиля SCEP.
- Устройство регистрируется в службе Intune и получает доверенный сертификат и профили SCEP.
- На основе профиля SCEP устройство создает запрос на подпись сертификата (CSR). Закрытый ключ создается на устройстве и никогда не покидает устройство. Запрос CSR и SCEP отправляются в службу SCEP в облаке (свойство URI SCEP в профиле SCEP). Запрос SCEP шифруется и подписывается с помощью ключей RA SCEP в Intune.
- Служба проверки SCEP проверяет CSR на соответствие запросу SCEP (на схеме показано как B.3). Проверка гарантирует, что запрос поступает от зарегистрированного и управляемого устройства. Кроме того, это гарантирует, что задача будет неумерен и соответствует ожидаемым значениям из профиля SCEP. Если какая-либо из этих проверок завершается ошибкой, запрос сертификата отклоняется.
- После проверки CSR служба проверки SCEP, также известная как центр регистрации, запрашивает, чтобы выдающий ЦС подписал CSR (показан как B.1 на схеме).
- Подписанный сертификат доставляется на устройство, зарегистрированное в Intune MDM.
Примечание.
Запрос SCEP шифруется и подписывается с помощью ключей центра регистрации SCEP Intune.
Требования к лицензированию
Для PKI Microsoft Cloud требуется одна из следующих лицензий:
- Лицензия Microsoft Intune Suite
- Лицензия на автономные надстройки Intune для Microsoft Cloud PKI
Дополнительные сведения о вариантах лицензирования см. в статье Лицензирование Microsoft Intune.
Управление доступом на основе ролей
Для назначения пользовательским ролям Intune доступны следующие разрешения. Эти разрешения позволяют пользователям просматривать ЦС и управлять ими в Центре администрирования.
- Чтение ЦС. Любой пользователь, которому назначено это разрешение, может считывать свойства ЦС.
- Создание центров сертификации. Любой пользователь, которому назначено это разрешение, может создать корневой или выдающий ЦС.
- Отозвать выданные конечные сертификаты. Любой пользователь, которому назначено это разрешение, может вручную отозвать сертификат, выданный выдаваемым ЦС. Для этого разрешения также требуется разрешение ЦС на чтение .
Вы можете назначить теги области корню и выдающие ЦС. Дополнительные сведения о создании настраиваемых ролей и тегов области см. в статье Управление доступом на основе ролей с помощью Microsoft Intune.
Попробуйте Microsoft Cloud PKI
Вы можете опробовать функцию Microsoft Cloud PKI в Центре администрирования Intune в течение пробного периода. Доступные пробные версии:
В течение пробного периода в клиенте можно создать до шести ЦС. Облачные ЦС PKI, созданные во время пробной версии, используют ключи с программной поддержкой и используют System.Security.Cryptography.RSA для создания и подписания ключей. Вы можете продолжать использовать ЦС после приобретения лицензии облачной PKI. Однако ключи остаются программной поддержкой и не могут быть преобразованы в ключи с поддержкой HSM. Ключи ЦС, управляемые службой Microsoft Intune. Для возможностей azure HSM не требуется подписка Azure.
Примеры конфигурации ЦС
Двухуровневый корневой облачный PKI & выдачи ЦС, и использование собственных ЦС может сосуществовать в Intune. Для создания ЦС в Microsoft Cloud PKI можно использовать следующие конфигурации, приведенные в качестве примеров:
- Один корневой ЦС с пятью выдаваемыми ЦС
- Три корневых ЦС с одним выдаваемого ЦС каждый
- Два корневых ЦС с одним выдающей ЦС каждый и два собственных ЦС
- Шесть собственных ЦС
Известные проблемы и ограничения
Последние изменения и дополнения см. в статье Новые возможности Microsoft Intune.
- В клиенте Intune можно создать до шести ЦС.
- Лицензированная облачная PKI— с помощью ключей mHSM Azure можно создать в общей сложности 6 ЦС.
- Пробная версия PKI облака. В общей сложности 6 ЦС можно создать во время пробной версии Intune Suite или автономной надстройки Cloud PKI.
- Следующие типы ЦС учитываются в емкости ЦС:
- Корневой ЦС PKI облака
- ЦС, выдающий облачный PKI
- BYOCA, выдающий ЦС
- В Центре администрирования нет способа удалить или отключить ЦС из клиента Intune. Мы активно работаем над предоставлением этих действий. Пока они не станут доступны, рекомендуется отправить запрос в службу поддержки Intune для удаления ЦС.
- В Центре администрирования при выборе пункта Просмотреть все сертификаты для выдающего ЦС Intune отображает только первые 1000 выданных сертификатов. Мы активно работаем над устранением этого ограничения. В качестве обходного решения перейдите в раздел Монитор устройств>. Затем выберите Сертификаты , чтобы просмотреть все выданные сертификаты.
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по