Использование сертификатов для проверки подлинности в Microsoft Intune

Используйте сертификаты с Intune для проверки подлинности пользователей в приложениях и корпоративных ресурсах через профили VPN, Wi-Fi или электронной почты. При использовании сертификатов для проверки подлинности этих подключений конечным пользователям не нужно вводить имена пользователей и пароли, что упрощает их доступ. Сертификаты также используются для подписывания и шифрования электронной почты с помощью S/MIME.

Общие сведения о сертификатах в Intune

Сертификаты обеспечивают доступ с проверкой подлинности без задержки в следующие два этапа.

• Этап проверки подлинности: подлинность пользователя проверяется, чтобы подтвердить, что пользователь является именно тем, кем себя объявляет.
• Этап авторизации: пользователь проверяется на соответствие условиям для определения, может ли ему быть предоставлен доступ.

Несколько распространенных сценариев использования сертификатов:

• Проверка подлинности на уровне сети (например, 802.1 x) с помощью сертификатов устройств или пользователей
• Проверка подлинности на VPN-серверах с помощью сертификатов устройств или пользователей
• Подписывание электронной почты на основе сертификатов пользователей

В качестве методов подготовки сертификатов на устройствах Intune поддерживает протокол SCEP, стандарты шифрования с открытым ключом (PKCS) и импортируемые сертификаты PKCS. Разные методы подготовки имеют разные требования и результаты. Например:

• SCEP подготавливает сертификаты, уникальные для каждого запроса сертификата.
• PKCS подготавливает каждое устройство с помощью уникального сертификата.
• При использовании импортируемого сертификата PKCS можно развертывать один и тот же сертификат, экспортированный из источника, такого как почтовый сервер, для нескольких получателей. Этот общий сертификат удобен тем, что все пользователи и устройства могут расшифровывать сообщения электронной почты, которые были зашифрованы этим сертификатом.

Для подготовки пользователя или устройства с конкретным типом сертификата Intune использует профиль сертификата.

В дополнение к трем типам сертификатов и методам подготовки требуется доверенный корневой сертификат из доверенного центра сертификации (ЦС). Это может быть локальный центр сертификации Майкрософт или сторонний центр сертификации. Доверенный корневой сертификат устанавливает отношение доверия между устройством и корневым или промежуточным (выдающим) ЦС, который выдает другие сертификаты. Чтобы развернуть этот сертификат, используйте профиль доверенного сертификата и разверните его на те же устройства и пользователи, которые получают профили сертификатов для SCEP, PKCS и импортированных PKCS.

Совет

Intune также поддерживает использование производных учетных данных для сред, в которых требуется применение смарт-карт.

Что необходимо для использования сертификатов

• Центр сертификации. Ваш ЦС является источником доверия, на который ссылаются сертификаты для проверки подлинности. Вы можете использовать ЦС Майкрософт или сторонний ЦС.
• Локальная инфраструктура. Требуемая инфраструктура зависит от используемых типов сертификатов:
  • SCEP
  • Стандарты шифрования с открытым ключом
  • Импортированные стандарты шифрования с открытым ключом
• Доверенный корневой сертификат. Перед развертыванием профилей сертификатов SCEP или PKCS разверните доверенный корневой сертификат из ЦС, используя профиль доверенного сертификата. Этот профиль помогает установить обратные отношения доверия устройства с ЦС и требуется для других профилей сертификатов.

После развертывания доверенного корневого сертификата вы можете развернуть профили сертификатов для подготовки пользователей и устройств с сертификатами для проверки подлинности.

Какой профиль сертификата следует использовать

Хотя приведенное ниже сравнение не является исчерпывающим, оно помогает понять различия при использовании разных типов профилей сертификатов.

Тип профиля	Details
Надежный сертификат	Используется для развертывания открытого ключа (сертификата) из корневого ЦС или промежуточного ЦС для пользователей и устройств в целях установки обратных отношений доверия с исходным ЦС. Для других профилей сертификатов требуется профиль доверенного сертификата и его корневой сертификат.
Сертификат SCEP	Развертывает шаблон запроса сертификата для пользователей и устройств. Каждый сертификат, подготовленный с помощью SCEP, уникален и привязан к пользователю или устройству, запросившему сертификат. С помощью SCEP можно развертывать сертификаты на устройствах, на которых отсутствует сходство пользователей, в том числе с помощью SCEP для подготовки сертификата на устройстве KIOSK или на устройстве без пользователя.
Сертификат PKCS	Развертывает шаблон для запроса сертификата, указывающий тип сертификата пользователя или устройства. — Запросы типа сертификата пользователя всегда требуют сопоставления пользователей. При развертывании для пользователя каждое устройство пользователя получает уникальный сертификат. При развертывании на устройстве с пользователем этот пользователь связывается с сертификатом для этого устройства. При развертывании на устройстве без пользователей сертификат не подготавливается. — Шаблоны с типом сертификата устройства не требуют сопоставления пользователей для подготовки сертификата. Развертывание на устройстве обеспечивает подготовку устройства. Развертывание для пользователя подготавливает устройство, на котором пользователь выполнил вход с помощью сертификата.
Импортированный сертификат PKCS	Развертывает один сертификат для нескольких устройств и пользователей, поддерживающих такие сценарии, как подписывание S/MIME и шифрование. Например, при развертывании одного и того же сертификата на каждом устройстве любое такое устройство сможет расшифровывать электронную почту, полученную от одного и того же почтового сервера. Другие методы развертывания сертификатов недостаточны для этого сценария, так как SCEP создает уникальный сертификат для каждого запроса, а PKCS связывает разный сертификат для каждого пользователя с разными пользователями, получающим разные сертификаты.

Поддерживаемые сертификаты и использование Intune

Тип	Проверка подлинности	Подписывание S/MIME	Шифрование S/MIME
Импортированный сертификат PKCS
PKCS #12 (или PFX)
Протокол SCEP

Чтобы развернуть эти сертификаты, создайте и назначьте профили сертификатов устройствам.

Каждый отдельный профиль сертификата, созданный вами, поддерживает одну платформу. Например, при использовании сертификатов PKCS создается профиль сертификата PKCS для Android и отдельный профиль сертификата PKCS для iOS/iPadOS. Если вы также используете сертификаты SCEP для этих двух платформ, создайте профиль сертификата SCEP для Android и другой для iOS/iPadOS.

Общие рекомендации, которые следует учитывать при использовании центра сертификации Майкрософт

При использовании центра сертификации (ЦС) Майкрософт:

• Чтобы использовать профили сертификатов SCEP, сделайте следующее:

  • Настройте сервер службы регистрации сертификатов для сетевых устройств (NDES) для Intune.
  • Установите соединитель сертификатов для Microsoft Intune.

• Чтобы использовать профили сертификатов PKCS, сделайте следующее:

  • Установите соединитель сертификатов для Microsoft Intune.

• Чтобы использовать импортированные сертификаты PKCS, сделайте следующее:

  • Установите соединитель сертификатов для Microsoft Intune.
  • Экспортируйте сертификаты из центра сертификации, а затем импортируйте их в Microsoft Intune. См. проект PFXImport PowerShell.

• Разверните сертификаты с помощью следующих механизмов:

  • профили доверенных сертификатов для развертывания доверенного корневого сертификата ЦС из корневого или промежуточного (выдающего) ЦС на устройствах;
  • Профили сертификатов SCEP
  • Профили сертификатов PKCS
  • Профили импортированных сертификатов PKCS

Общие рекомендации, которые следует учитывать при использовании стороннего центра сертификации

При использовании стороннего центра сертификации (не Майкрософт):

• Профили сертификатов SCEP не требуют использования соединителя сертификатов Microsoft Intune. Вместо этого сторонний ЦС обрабатывает выдачу сертификатов и управление ими напрямую. Чтобы использовать профили сертификатов SCEP без соединителя сертификатов Intune:

  • Настройте интеграцию со сторонним ЦС от одного из наших поддерживаемых партнеров. Для настройки необходимо выполнить инструкции из стороннего центра сертификации, чтобы интегрировать его с Intune.
  • Создайте приложение в Microsoft Entra ID, которое делегирует права Intune для проверки сертификата SCEP.

  Дополнительные сведения см. в статье Настройка интеграции со сторонним ЦС.

• Для импортированных сертификатов PKCS требуется использовать соединитель сертификатов Microsoft Intune. См. статью Установка соединителя сертификатов для Microsoft Intune.

• Разверните сертификаты с помощью следующих механизмов:

  • профили доверенных сертификатов для развертывания доверенного корневого сертификата ЦС из корневого или промежуточного (выдающего) ЦС на устройствах;
  • Профили сертификатов SCEP
  • профили сертификатов PKCS (поддерживаются только платформой Digicert PKI);
  • профили импортированных сертификатов PKCS.

Поддерживаемые платформы и профили сертификатов

Платформа	Профиль доверенного сертификата	Профиль сертификата PKCS	Профиль сертификата SCEP	Профиль импортированного сертификата PKCS
Администратор устройств Android	(см . примечание 1)
Android Enterprise — полностью управляемый (владелец устройства)
Android Enterprise — выделенный (владелец устройства)
Android Enterprise — рабочий профиль Corporate-Owned
Android Enterprise — рабочий профиль Personally-Owned
Android (AOSP)
iOS/iPadOS
macOS
Windows 8.1 и более поздние версии
Windows 10/11	(см . примечание 2)	(см . примечание 2)	(см . примечание 2)

• Примечание 1 . Начиная с Android 11 профили доверенных сертификатов больше не могут устанавливать доверенный корневой сертификат на устройствах, зарегистрированных в качестве администратора устройств Android. Это ограничение не распространяется на Samsung Knox. Дополнительные сведения см. в разделе Профили доверенных сертификатов для администратора устройств Android.
• Примечание 2 . Этот профиль поддерживается для многосеансовых удаленных рабочих столов Windows Enterprise.

Важно!

22 октября 2022 г. Microsoft Intune прекратила поддержку устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.

Если в настоящее время вы используете Windows 8.1, перейдите на устройства Windows 10/11. В Microsoft Intune есть встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.

Важно!

Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 31 декабря 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в разделе Прекращение поддержки администратора устройств Android на устройствах GMS.

Связанные материалы

Дополнительные ресурсы:

• Использование S/MIME для подписывания и шифрования сообщений электронной почты
• Использование сторонних центров сертификации

Создание профилей сертификатов:

• Настройка профиля доверенного сертификата
• Настройка инфраструктуры для поддержки сертификатов SCEP с помощью Intune
• Настройка инфраструктуры сертификатов Microsoft Intune для стандартов шифрования с открытым ключом (PKCS)
• Создание профиля импортированного сертификата PKCS

Узнайте о соединителе сертификатов для Microsoft Intune.