Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
Применимо к:
- Windows
- Android
- iOS
- macOS
Используйте Microsoft Cloud PKI для выдачи сертификатов для устройств, управляемых Intune. Microsoft Cloud PKI — это облачная служба, которая упрощает и автоматизирует управление жизненным циклом сертификатов для устройств, управляемых Intune. Она предоставляет выделенную инфраструктуру открытых ключей (PKI) для вашей организации, не требуя каких-либо локальных серверов, соединителей или оборудования. Он обрабатывает выдачу, продление и отзыв сертификатов для всех Intune поддерживаемых платформ.
В этой статье приводятся общие сведения о microsoft Cloud PKI для Intune, ее работе и архитектуре.
Что такое PKI?
PKI — это система, которая использует цифровые сертификаты для проверки подлинности и шифрования данных между устройствами и службами. PKI-сертификаты необходимы для защиты различных сценариев, таких как VPN, Wi-Fi, электронная почта, веб-сайт и удостоверение устройства. Однако управление PKI-сертификатами может быть сложной, дорогостоящей и сложной задачей, особенно для организаций с большим количеством устройств и пользователей. Вы можете использовать Microsoft Cloud PKI для повышения безопасности и производительности устройств и пользователей, а также для ускорения цифрового преобразования в полностью управляемую облачную службу PKI. Кроме того, вы можете использовать облачную службу PKI в для сокращения рабочих нагрузок для служб сертификатов Active Directory (ADCS) или частных локальных центров сертификации.
Управление облачными PKI в Центре администрирования Microsoft Intune
Объекты PKI Microsoft Cloud создаются и управляются в Центре администрирования Microsoft Intune. Оттуда вы можете:
- Настройте и используйте Microsoft Cloud PKI для вашей организации.
- Включите облачную PKI в клиенте.
- Создание и назначение профилей сертификатов устройствам.
- Мониторинг выданных сертификатов.
После создания ЦС облачной PKI можно начать выдачу сертификатов за считанные минуты.
Поддерживаемые платформы устройств
Службу PKI Microsoft Cloud можно использовать на следующих платформах:
- Android
- iOS/iPadOS
- macOS
- Windows
Устройства должны быть зарегистрированы в Intune, а платформа должна поддерживать профиль сертификата SCEP конфигурации устройства Intune.
Общие сведения о функциях
В следующей таблице перечислены функции и сценарии, поддерживаемые microsoft Cloud PKI и Microsoft Intune.
| Функция | Обзор |
|---|---|
| Создание нескольких центров сертификации (ЦС) в клиенте Intune | Создайте двухуровневую иерархию PKI с корнем и центром сертификации в облаке. |
| Использование собственного ЦС (BYOCA) | Привязка Intune выдачи ЦС к частному ЦС с помощью служб сертификатов Active Directory или службы сертификатов сторонних поставщиков. Если у вас есть инфраструктура PKI, вы можете поддерживать один и тот же корневой ЦС и создать выдающий ЦС, который связан с внешним корневым каталогом. Этот параметр включает поддержку иерархий уровня N+ для внешнего частного ЦС. |
| Алгоритмы подписывания и шифрования | Intune поддерживает RSA, размеры ключей 2048, 3072 и 4096. |
| Хэш-алгоритмы | Intune поддерживает SHA-256, SHA-384 и SHA-512. |
| Ключи HSM (подписывание и шифрование) | Ключи подготавливаются с помощью Azure управляемого аппаратного модуля безопасности (Azure управляемого модуля HSM). ЦС, созданные с помощью лицензированного Intune Suite или облачной надстройки PKI Standalone, автоматически используют ключи подписывания и шифрования HSM. Для Azure HSM не требуется подписка на Azure. |
| Программные ключи (подписывание и шифрование) | ЦС, созданные в течение пробного периода Intune Suite или облачной надстройки PKI, используют ключи подписи и шифрования с программной поддержкой с помощью System.Security.Cryptography.RSA. |
| Центр регистрации сертификатов | Предоставление облачного центра регистрации сертификатов, поддерживающего протокол SCEP, для каждого ЦС, выдающего облачные PKI. |
| Точки распространения списка отзыва сертификатов (CRL) | Intune размещает точку распространения CRL (CDP) для каждого ЦС. Срок действия отзыва сертификатов составляет семь дней. Публикация и обновление выполняются каждые 3,5 дня. Список отзыва сертификатов обновляется при каждом отзыве сертификата. |
| Конечные точки доступа к информации центра (AIA) | Intune размещает конечную точку AIA для каждого выдающего ЦС. Конечную точку AIA могут использовать проверяющие стороны для получения родительских сертификатов. |
| Выдача сертификата конечной сущности для пользователей и устройств | Также называется выпуском конечного сертификата . Поддержка протокола SCEP (PKCS#7) и формата сертификации, а также устройств, зарегистрированных Intune MDM, поддерживающих профиль SCEP. |
| Управление жизненным циклом сертификатов | Выдача, продление и отзыв сертификатов конечной сущности. |
| Панель мониторинга отчетов | Мониторинг активных, просроченных и отозванных сертификатов на выделенной панели мониторинга в Центре администрирования Intune. Просматривайте отчеты о выданных конечных сертификатах и других сертификатах и отменяйте конечные сертификаты. Отчеты обновляются каждые 24 часа. |
| Аудит | Аудит действий администратора, таких как создание, отзыв и поиск действий в центре администрирования Intune. |
| Разрешения управления доступом на основе ролей (RBAC) | Создание настраиваемых ролей с разрешениями Microsoft Cloud PKI. Доступные разрешения позволяют читать ЦС, отключать и повторно включать ЦС, отзывать выданные конечные сертификаты и создавать центры сертификации. |
| Теги области | Добавьте теги область в любой ЦС, создаваемый в Центре администрирования. Теги области можно добавлять, удалять и редактировать. |
Архитектура
PKI в Microsoft Cloud состоит из нескольких ключевых компонентов, работающих вместе для упрощения сложности инфраструктуры открытых ключей и управления ею. Она включает в себя облачную службу PKI для создания и размещения центров сертификации в сочетании с центром регистрации сертификатов для автоматического обслуживания входящих запросов сертификатов с Intune зарегистрированных устройств. Центр регистрации поддерживает протокол SCEP.
* Сведения о разбивке служб см. в разделе Компоненты .
Компоненты:
A — Microsoft Intune
B — службы PKI Microsoft Cloud
- B1 — служба PKI Microsoft Cloud
- B2 — служба SCEP Microsoft Cloud PKI
- B3 — служба проверки SCEP Microsoft Cloud PKI
На схеме центр регистрации сертификатов составляет B2 и B3.
Эти компоненты заменяют необходимость в локальном центре сертификации, NDES и соединителе сертификатов Intune.
Действия:
Перед тем как устройство запустите службу Intune, администратор Intune или Intune роль с разрешениями на управление службой PKI Microsoft Cloud должны выполнить следующие действия.
- Создайте необходимый центр сертификации PKI облака для корневого каталога и выдающие ЦС в Microsoft Intune.
- Создайте и назначьте необходимые профили сертификатов доверия для корневого и выдающего ЦС.
- Создание и назначение необходимых профилей сертификатов SCEP для конкретной платформы.
Для этих действий требуются компоненты B1, B2 и B3.
Примечание.
Для выдачи сертификатов для Intune управляемых устройств требуется центр сертификации, выдавающий облачные PKI. Cloud PKI предоставляет службу SCEP, которая выступает в качестве центра регистрации сертификатов. Служба запрашивает сертификаты из ЦС выдачи от имени устройств, управляемых Intune, с помощью профиля SCEP.
Поток продолжается со следующими действиями, показанными на схеме от A1 до A5:
A1. Устройство регистрируется в службе Intune и получает доверенный сертификат и профили SCEP.
A2. На основе профиля SCEP устройство создает запрос на подпись сертификата (CSR). Закрытый ключ создается на устройстве и никогда не покидает устройство. Запрос CSR и SCEP отправляются в службу SCEP в облаке (свойство URI SCEP в профиле SCEP). Запрос SCEP шифруется и подписывается с помощью Intune ключей RA SCEP.
A3. Служба проверки SCEP проверяет CSR на соответствие запросу SCEP. Проверка гарантирует, что запрос поступает от зарегистрированного и управляемого устройства. Это также гарантирует, что задача будет неумеренена и соответствует ожидаемым значениям из профиля SCEP. Если какая-либо из этих проверок завершается ошибкой, запрос сертификата отклоняется.
A4. После проверки CSR служба проверки SCEP, также известная как центр регистрации, запрашивает, чтобы выдающий ЦС подписал CSR.
A5. Подписанный сертификат доставляется на устройство, зарегистрированное Intune MDM.
Примечание.
Запрос SCEP шифруется и подписывается с помощью ключей центра регистрации SCEP Intune.
Требования к лицензированию
Для PKI Microsoft Cloud требуется одна из следующих лицензий:
- лицензия Microsoft Intune Suite
- Лицензия на автономные Intune надстройки Microsoft Cloud PKI
Дополнительные сведения о вариантах лицензирования см. в разделе лицензирование Microsoft Intune.
Управление доступом на основе ролей
Для назначения пользовательским Intune ролям доступны следующие разрешения. Эти разрешения позволяют пользователям просматривать ЦС и управлять ими в Центре администрирования.
- Чтение ЦС. Любой пользователь, которому назначено это разрешение, может считывать свойства ЦС.
- Создание центров сертификации. Любой пользователь, которому назначено это разрешение, может создать корневой или выдающий ЦС.
- Отозвать выданные конечные сертификаты. Любой пользователь, которому назначено это разрешение, может вручную отозвать сертификат, выданный выдаваемым ЦС. Для этого разрешения также требуется разрешение ЦС на чтение .
Вы можете назначить область теги корню и выдающие ЦС. Дополнительные сведения о создании пользовательских ролей и тегов область см. в статье Управление доступом на основе ролей с помощью Microsoft Intune.
Попробуйте Microsoft Cloud PKI
Вы можете опробовать функцию Microsoft Cloud PKI в Центре администрирования Intune в течение пробного периода. Доступные пробные версии:
В течение пробного периода в клиенте можно создать до шести ЦС. Облачные ЦС PKI, созданные во время пробной версии, используют ключи с программной поддержкой и используют System.Security.Cryptography.RSA для создания и подписания ключей. Вы можете продолжать использовать ЦС после приобретения лицензии облачной PKI. Однако ключи остаются программной поддержкой и не могут быть преобразованы в ключи с поддержкой HSM. Ключи ЦС, управляемые службой Microsoft Intune. Для Azure возможностей HSM не требуется подписка на Azure.
Примеры конфигурации ЦС
Двухуровневый корневой & облачной PKI выдает ЦС, а собственные ЦС могут сосуществовать в Intune. Для создания ЦС в Microsoft Cloud PKI можно использовать следующие конфигурации, приведенные в качестве примеров:
- Один корневой ЦС с пятью выдаваемыми ЦС
- Три корневых ЦС с одним выдаваемого ЦС каждый
- Два корневых ЦС с одним выдающей ЦС каждый и два собственных ЦС
- Шесть собственных ЦС
Известные проблемы и ограничения
Последние изменения и дополнения см. в статье Новые возможности Microsoft Intune.
- В клиенте Intune можно создать до шести ЦС.
- Лицензированная облачная PKI. Всего можно создать 6 ЦС с помощью Azure ключей mHSM.
- Пробная версия cloud PKI. Во время пробной версии Intune Suite или автономной надстройки cloud PKI можно создать в общей сложности 6 ЦС.
- Следующие типы ЦС учитываются в емкости ЦС:
- Корневой ЦС PKI облака
- ЦС, выдающий облачный PKI
- BYOCA, выдающий ЦС
- В Центре администрирования при выборе пункта Просмотреть все сертификаты для выдающего ЦС Intune отображаются только первые 1000 выданных сертификатов. Мы активно работаем над устранением этого ограничения. В качестве обходного решения перейдите в раздел Монитор устройств>. Затем выберите Сертификаты , чтобы просмотреть все выданные сертификаты.
- Вариант расположения данных в настоящее время недоступен для клиентов, использующих облачную PKI.