Добавление центра сертификации партнера в Intune с помощью SCEP

Важно!

Для поддержки требований Windows к строгому сопоставлению сертификатов SCEP, которые были введены и объявлены в KB5014754 с 10 мая 2022 г., мы внесли изменения в Intune выдачу сертификатов SCEP для новых и обновленных сертификатов SCEP. С этими изменениями новые или обновленные Intune сертификаты SCEP для iOS/iPadOS, macOS и Windows теперь включают следующий тег в поле Альтернативное имя субъекта (SAN) сертификата:URL=tag:microsoft.com,2022-09-14:sid:<value> 

Этот тег используется строгим сопоставлением для привязки сертификата к определенному устройству или идентификатору безопасности пользователя из Entra ID. С этим изменением и требованием сопоставить идентификатор безопасности с идентификатором Entra:

• Сертификаты устройств поддерживаются для устройств с гибридным присоединением к Windows, если это устройство имеет идентификатор безопасности в идентификаторе Entra, синхронизированный из локальная служба Active Directory.
• Сертификаты пользователей используют идентификатор безопасности пользователя из идентификатора Entra, синхронизированный с локальная служба Active Directory.

Центры сертификации (ЦС), которые не поддерживают тег URL-адреса в СЕТИ, могут не выдавать сертификаты. Серверы служб сертификатов Microsoft Active Directory, на которые установлено обновление из KB5014754 поддерживают использование этого тега. Если вы используете сторонний ЦС, проверка с поставщиком ЦС, чтобы убедиться, что он поддерживает этот формат или как и когда эта поддержка будет добавлена.

Дополнительные сведения см. в разделе Совет по поддержке: Реализация строгого сопоставления в сертификатах Microsoft Intune — Центр сообщества Майкрософт.

Используйте в Intune сторонние центры сертификации (ЦС). Сторонние ЦС могут подготавливать мобильные устройства с новыми или продленными сертификатами, используя службу регистрации сертификатов для сетевых устройств (SCEP), и обеспечивать поддержку устройств Windows, iOS/iPadOS, Android и macOS.

Использование этой функции включает две части: API с открытым исходным кодом и задачи администратора Intune.

Часть 1. Использование API с открытым исходным кодом
Корпорация Майкрософт разработала API для интеграции с Intune. С его помощью можно проверять сертификаты, отправлять уведомления об успешном или неудачном выполнении операции и использовать протокол SSL (в частности, фабрику сокетов SSL) для обмена данными с Intune.

Этот API можно скачать в общедоступном репозитории GitHub для API SCEP Intune и использовать в своих решениях. Этот API можно использовать со сторонними серверами SCEP, чтобы выполнять собственную проверку запроса защиты в Intune перед тем, как SCEP предоставит устройству сертификат.

В статье, посвященной интеграции с решением по управлению SCEP в Intune, содержатся дополнительные сведения об использовании API, его методах и тестировании созданного решения.

Часть 2. Создание приложения и профиля
С помощью приложения Microsoft Entra можно делегировать права Intune для обработки запросов SCEP, поступающих с устройств. Приложение Microsoft Entra включает значения идентификатора приложения и ключа проверки подлинности, которые используются в решении API, создаваемом разработчиком. Затем с помощью Intune администраторы создают и развертывают профили сертификатов SCEP и могут просматривать отчеты о состоянии развертывания на устройствах.

В этой статье представлен обзор этой функции с точки зрения администратора, включая создание приложения Microsoft Entra.

Общие сведения

Ниже приведены общие сведения об использовании SCEP для сертификатов в Intune.

1. В Intune администратор создает профиль сертификата SCEP, а затем назначает этот профиль пользователям или устройствам.
2. Устройство регистрируется в Intune.
3. Intune создает уникальный запрос защиты SCEP. Кроме того, платформа добавляет сведения дополнительной проверки целостности, например об ожидаемом субъекте и SAN.
4. Intune шифрует и подписывает как запрос, так и сведения проверки целостности, а затем отправляет эти сведения на устройство с помощью запроса SCEP.
5. Устройство создает запрос подписи сертификата и пару открытого и закрытого ключей на устройстве в зависимости от профиля сертификата SCEP, который был отправлен из Intune.
6. Запрос подписи и зашифрованный или подписанный запрос защиты отправляются в стороннюю конечную точку сервера SCEP.
7. Сервер SCEP отправляет запрос подписи и запрос защиты в Intune. Затем Intune проверяет подпись, расшифровывает полезные данные и сравнивает запрос подписи со сведениями проверки целостности.
8. Intune отправляет ответ обратно на сервер SCEP и указывает, успешно ли выполнена проверка запроса защиты.
9. Если запрос успешно проверен, сервер SCEP выдает сертификат для устройства.

На схеме ниже показан подробный поток интеграции сторонних SCEP с Intune:

Настройка интеграции сторонних ЦС

Проверка сторонних центров сертификации

Перед интеграцией сторонних центров сертификации с Intune убедитесь, что используемый ЦС поддерживает Intune. В разделе Сторонние центры сертификации партнеров (этой статьи) содержится соответствующий список. Дополнительные сведения также можно найти в руководстве по центру сертификации. ЦС может включать специальные инструкции по установке в зависимости от реализации.

Примечание.

Для поддержки следующих устройств ЦС должен поддерживать использование URL-адреса HTTPS при настройке URL-адреса HTTPS при настройке URL-адресов сервера SCEP для профиля сертификата SCEP:

• Администратор устройств Android
• владельцы устройств Android Enterprise
• Корпоративный рабочий профиль Android Enterprise
• Android Enterprise — личный рабочий профиль

Авторизация обмена данными между ЦС и Intune

Чтобы разрешить стороннему серверу SCEP выполнять настраиваемую проверку запросов с помощью Intune, создайте приложение в Microsoft Entra ID. Это приложение делегирует Intune права для проверки запросов SCEP.

Убедитесь, что у вас есть необходимые разрешения для регистрации приложения Microsoft Entra. См. раздел Необходимые разрешения в документации по Microsoft Entra.

Create приложения в Microsoft Entra ID

1. В портал Azure перейдите в раздел Microsoft Entra ID>Регистрация приложений, а затем выберите Создать регистрацию.

2. На странице Регистрация приложения укажите следующие сведения:

   • В разделе Имя введите понятное имя для приложения.
   • В разделе Поддерживаемые типы учетных записей выберите Учетные записи в любом каталоге организации.
   • Для параметра URI перенаправления оставьте значение по умолчанию "Интернет", а затем укажите URL-адрес входа для стороннего сервера SCEP.

3. Выберите Зарегистрировать, чтобы создать приложение и открыть страницу "Обзор" для нового приложения.

4. В приложении на странице Обзор скопируйте значение идентификатора приложения (клиента) и запишите его для последующего использования. Это значение понадобится позже.

5. В области навигации для приложения перейдите в раздел Certificates & secrets (Сертификаты и секреты) в разделе Управление. Нажмите кнопку Новый секрет клиента. Введите значение в поле "Описание", выберите любой параметр в области Срок действия истекает и щелкните Добавить, чтобы создать значение для секрета клиента.

   Важно!

   Перед тем как покинуть эту страницу, скопируйте значение для секрета клиента и запишите его для последующего использования в реализации стороннего ЦС. Это значение больше не отображается. Обязательно изучите руководство стороннего ЦС, чтобы получить представление о правильной настройке идентификатора приложения, ключа проверки подлинности и идентификатора клиента.

6. Запишите идентификатор клиента. ИД клиента — это текст имени домена после символа @ в вашей учетной записи. Например, если ваша учетная запись — admin@name.onmicrosoft.com, то идентификатор клиента — name.onmicrosoft.com.

7. В области навигации для приложения перейдите к разделу Разрешения API, который находится под элементом Управление. Вы добавите два отдельных разрешения приложения:

   1. Выберите элемент Добавить разрешение:

      1. На странице Запрос разрешений API выберите элемент Intune, а затем — элемент Разрешения приложений.
      2. Установите флажок scep_challenge_provider (проверка запроса защиты SCEP).
      3. Выберите Добавить разрешения, чтобы сохранить эту конфигурацию.

   2. Щелкните Добавить разрешения еще раз.

      1. На странице Запрос разрешений API выберите элементы Microsoft Graph>Разрешения приложений.
      2. Разверните узел Приложение и установите флажок для Application.Read.All (чтение всех приложений).
      3. Выберите Добавить разрешения, чтобы сохранить эту конфигурацию.

8. Оставайтесь на странице Разрешения API и выберите Предоставить согласие администратора для<клиента>, а затем нажмите кнопку Да.

   Процесс регистрации приложения в Microsoft Entra ID завершен.

Настройка и развертывание профиля сертификата SCEP

Как администратор создайте профиль сертификата SCEP, предназначенный для пользователей или устройств. Затем назначьте профиль.

• Создание профиля сертификата SCEP

• Назначение профиля сертификата

Удаление сертификатов

При отмене регистрации или очистке устройства сертификаты будут удалены. Отзыв сертификатов не выполняется.

Сторонние центры сертификации партнеров

Следующие сторонние центры сертификации поддерживают Intune:

• Cogito Group
• DigiCert
• EasyScep
• EJBCA
• Entrust
• EverTrust
• GlobalSign
• HID Global
• IDnomic
• Команда keyfactor
• KeyTalk
• Keytos
• Диспетчер сертификатов Nexus
• SCEPman
• Sectigo
• SecureW2
• Splashtop
• Venafi

Если вы являетесь поставщиком стороннего ЦС, заинтересованным в интеграции вашего продукта с Intune, просмотрите руководство по API:

• Репозиторий GitHub для API SCEP Intune
• Руководство по API SCEP Intune для сторонних центров сертификации

См. также

• Настройка профилей сертификатов
• Репозиторий GitHub для API SCEP Intune
• Руководство по API SCEP Intune для сторонних центров сертификации