Использование сертификатов для проверки подлинности в Microsoft Intune
Используйте сертификаты с Intune для проверки подлинности пользователей в приложениях и корпоративных ресурсах через профили VPN, Wi-Fi или электронной почты. При использовании сертификатов для проверки подлинности этих подключений конечным пользователям не нужно вводить имена пользователей и пароли, что упрощает их доступ. Сертификаты также используются для подписывания и шифрования электронной почты с помощью S/MIME.
Общие сведения о сертификатах в Intune
Сертификаты обеспечивают доступ с проверкой подлинности без задержки в следующие два этапа.
- Этап проверки подлинности: подлинность пользователя проверяется, чтобы подтвердить, что пользователь является именно тем, кем себя объявляет.
- Этап авторизации: пользователь проверяется на соответствие условиям для определения, может ли ему быть предоставлен доступ.
Несколько распространенных сценариев использования сертификатов:
- Проверка подлинности на уровне сети (например, 802.1 x) с помощью сертификатов устройств или пользователей
- Проверка подлинности на VPN-серверах с помощью сертификатов устройств или пользователей
- Подписывание электронной почты на основе сертификатов пользователей
В качестве методов подготовки сертификатов на устройствах Intune поддерживает протокол SCEP, стандарты шифрования с открытым ключом (PKCS) и импортируемые сертификаты PKCS. Разные методы подготовки имеют разные требования и результаты. Например:
- SCEP подготавливает сертификаты, уникальные для каждого запроса сертификата.
- PKCS подготавливает каждое устройство с помощью уникального сертификата.
- При использовании импортируемого сертификата PKCS можно развертывать один и тот же сертификат, экспортированный из источника, такого как почтовый сервер, для нескольких получателей. Этот общий сертификат удобен тем, что все пользователи и устройства могут расшифровывать сообщения электронной почты, которые были зашифрованы этим сертификатом.
Для подготовки пользователя или устройства с конкретным типом сертификата Intune использует профиль сертификата.
В дополнение к трем типам сертификатов и методам подготовки требуется доверенный корневой сертификат из доверенного центра сертификации (ЦС). Это может быть локальный центр сертификации Майкрософт или сторонний центр сертификации. Доверенный корневой сертификат устанавливает отношение доверия между устройством и корневым или промежуточным (выдающим) ЦС, который выдает другие сертификаты. Чтобы развернуть этот сертификат, используйте профиль доверенного сертификата и разверните его на те же устройства и пользователи, которые получают профили сертификатов для SCEP, PKCS и импортированных PKCS.
Совет
Intune также поддерживает использование производных учетных данных для сред, в которых требуется применение смарт-карт.
Что необходимо для использования сертификатов
- Центр сертификации. Ваш ЦС является источником доверия, на который ссылаются сертификаты для проверки подлинности. Вы можете использовать ЦС Майкрософт или сторонний ЦС.
- Локальная инфраструктура. Требуемая инфраструктура зависит от используемых типов сертификатов:
- Доверенный корневой сертификат. Перед развертыванием профилей сертификатов SCEP или PKCS разверните доверенный корневой сертификат из ЦС, используя профиль доверенного сертификата. Этот профиль помогает установить обратные отношения доверия устройства с ЦС и требуется для других профилей сертификатов.
После развертывания доверенного корневого сертификата вы можете развернуть профили сертификатов для подготовки пользователей и устройств с сертификатами для проверки подлинности.
Какой профиль сертификата следует использовать
Хотя приведенное ниже сравнение не является исчерпывающим, оно помогает понять различия при использовании разных типов профилей сертификатов.
| Тип профиля | Details |
|---|---|
| Надежный сертификат | Используется для развертывания открытого ключа (сертификата) из корневого ЦС или промежуточного ЦС для пользователей и устройств в целях установки обратных отношений доверия с исходным ЦС. Для других профилей сертификатов требуется профиль доверенного сертификата и его корневой сертификат. |
| Сертификат SCEP | Развертывает шаблон запроса сертификата для пользователей и устройств. Каждый сертификат, подготовленный с помощью SCEP, уникален и привязан к пользователю или устройству, запросившему сертификат. С помощью SCEP можно развертывать сертификаты на устройствах, на которых отсутствует сходство пользователей, в том числе с помощью SCEP для подготовки сертификата на устройстве KIOSK или на устройстве без пользователя. |
| Сертификат PKCS | Развертывает шаблон для запроса сертификата, указывающий тип сертификата пользователя или устройства. — Запросы типа сертификата пользователя всегда требуют сопоставления пользователей. При развертывании для пользователя каждое устройство пользователя получает уникальный сертификат. При развертывании на устройстве с пользователем этот пользователь связывается с сертификатом для этого устройства. При развертывании на устройстве без пользователей сертификат не подготавливается. — Шаблоны с типом сертификата устройства не требуют сопоставления пользователей для подготовки сертификата. Развертывание на устройстве обеспечивает подготовку устройства. Развертывание для пользователя подготавливает устройство, на котором пользователь выполнил вход с помощью сертификата. |
| Импортированный сертификат PKCS | Развертывает один сертификат для нескольких устройств и пользователей, поддерживающих такие сценарии, как подписывание S/MIME и шифрование. Например, при развертывании одного и того же сертификата на каждом устройстве любое такое устройство сможет расшифровывать электронную почту, полученную от одного и того же почтового сервера. Другие методы развертывания сертификатов недостаточны для этого сценария, так как SCEP создает уникальный сертификат для каждого запроса, а PKCS связывает разный сертификат для каждого пользователя с разными пользователями, получающим разные сертификаты. |
Поддерживаемые сертификаты и использование Intune
| Тип | Проверка подлинности | Подписывание S/MIME | Шифрование S/MIME |
|---|---|---|---|
| Импортированный сертификат PKCS |  |
|
|
| PKCS #12 (или PFX) | |
|
|
| Протокол SCEP | |
|
Чтобы развернуть эти сертификаты, создайте и назначьте профили сертификатов устройствам.
Каждый отдельный профиль сертификата, созданный вами, поддерживает одну платформу. Например, при использовании сертификатов PKCS создается профиль сертификата PKCS для Android и отдельный профиль сертификата PKCS для iOS/iPadOS. Если вы также используете сертификаты SCEP для этих двух платформ, создайте профиль сертификата SCEP для Android и другой для iOS/iPadOS.
Общие рекомендации, которые следует учитывать при использовании центра сертификации Майкрософт
При использовании центра сертификации (ЦС) Майкрософт:
Чтобы использовать профили сертификатов SCEP, сделайте следующее:
Чтобы использовать профили сертификатов PKCS, сделайте следующее:
Чтобы использовать импортированные сертификаты PKCS, сделайте следующее:
- Установите соединитель сертификатов для Microsoft Intune.
- Экспортируйте сертификаты из центра сертификации, а затем импортируйте их в Microsoft Intune. См. проект PFXImport PowerShell.
Разверните сертификаты с помощью следующих механизмов:
- профили доверенных сертификатов для развертывания доверенного корневого сертификата ЦС из корневого или промежуточного (выдающего) ЦС на устройствах;
- Профили сертификатов SCEP
- Профили сертификатов PKCS
- Профили импортированных сертификатов PKCS
Общие рекомендации, которые следует учитывать при использовании стороннего центра сертификации
При использовании стороннего центра сертификации (не Майкрософт):
Чтобы использовать профили сертификатов SCEP, сделайте следующее:
- Настройте интеграцию со сторонним ЦС от одного из наших поддерживаемых партнеров. Для настройки необходимо выполнить инструкции из стороннего центра сертификации, чтобы интегрировать его с Intune.
- Создайте приложение в Microsoft Entra идентификаторе, которое делегирует intune права на проверку сертификата SCEP.
Для использования импортированных сертификатов PKCS требуется установить соединитель сертификатов для Microsoft Intune.
Разверните сертификаты с помощью следующих механизмов:
- профили доверенных сертификатов для развертывания доверенного корневого сертификата ЦС из корневого или промежуточного (выдающего) ЦС на устройствах;
- Профили сертификатов SCEP
- профили сертификатов PKCS (поддерживаются только платформой Digicert PKI);
- профили импортированных сертификатов PKCS.
Поддерживаемые платформы и профили сертификатов
| Платформа | Профиль доверенного сертификата | Профиль сертификата PKCS | Профиль сертификата SCEP | Профиль импортированного сертификата PKCS |
|---|---|---|---|---|
| Администратор устройств Android | (см . примечание 1) |
|
|
|
| Android Enterprise — полностью управляемый (владелец устройства) | |
|
|
|
| Android Enterprise — выделенный (владелец устройства) | |
|
|
|
| Android Enterprise — рабочий профиль Corporate-Owned | |
|
|
|
| Android Enterprise — рабочий профиль Personally-Owned | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 и более поздние версии | |
|
||
| Windows 10/11 | (см . примечание 2) |
(см . примечание 2) |
(см . примечание 2) |
|
- Примечание 1 . Начиная с Android 11 профили доверенных сертификатов больше не могут устанавливать доверенный корневой сертификат на устройствах, зарегистрированных в качестве администратора устройств Android. Это ограничение не распространяется на Samsung Knox. Дополнительные сведения см. в разделе Профили доверенных сертификатов для администратора устройств Android.
- Примечание 2 . Этот профиль поддерживается для многосеансовых удаленных рабочих столов Windows Enterprise.
Важно!
22 октября 2022 г. Microsoft Intune прекращена поддержка устройств под управлением Windows 8.1. Техническая помощь и автоматические обновления на этих устройствах недоступны.
Если в настоящее время вы используете Windows 8.1, рекомендуется перейти на устройства Windows 10/11. Microsoft Intune имеет встроенные функции безопасности и устройств, которые управляют клиентскими устройствами Windows 10/11.
Важно!
Microsoft Intune прекращает поддержку управления администраторами устройств Android на устройствах с доступом к Google Mobile Services (GMS) 30 августа 2024 г. После этой даты регистрация устройств, техническая поддержка, исправления ошибок и исправления безопасности будут недоступны. Если в настоящее время вы используете управление администраторами устройств, мы рекомендуем перейти на другой вариант управления Android в Intune до окончания поддержки. Дополнительные сведения см. в статье Прекращение поддержки администратора устройств Android на устройствах GMS.
Дальнейшие действия
Дополнительные ресурсы:
- Использование S/MIME для подписывания и шифрования сообщений электронной почты
- Использование сторонних центров сертификации
Создание профилей сертификатов:
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по