Not
Bu sayfaya erişim yetkilendirme gerektiriyor. Oturum açmayı veya dizinleri değiştirmeyi deneyebilirsiniz.
Bu sayfaya erişim yetkilendirme gerektiriyor. Dizinleri değiştirmeyi deneyebilirsiniz.
Intune yönetilen cihazlar için sertifika vermek için Microsoft Bulut PKI'sını kullanın. Microsoft Cloud PKI, Intune yönetilen cihazlar için sertifika yaşam döngüsü yönetimini basitleştiren ve otomatikleştiren bulut tabanlı bir hizmettir. Şirket içi sunucu, bağlayıcı veya donanım gerektirmeden kuruluşunuz için ayrılmış bir ortak anahtar altyapısı (PKI) sağlar. Desteklenen tüm Intune platformlar için sertifika verme, yenileme ve iptal işlemlerini gerçekleştirir.
Bu makalede Intune için Microsoft Cloud PKI'ya, nasıl çalıştığına ve mimarisine genel bir bakış sağlanır.
PKI nedir?
PKI, cihazlar ve hizmetler arasında verilerin kimliğini doğrulamak ve şifrelemek için dijital sertifikalar kullanan bir sistemdir. PKI sertifikaları VPN, Wi-Fi, e-posta, web ve cihaz kimliği gibi çeşitli senaryoların güvenliğini sağlamak için gereklidir. Ancak PKI sertifikalarını yönetmek, özellikle çok sayıda cihazı ve kullanıcısı olan kuruluşlar için zorlayıcı, maliyetli ve karmaşık olabilir. Microsoft Cloud PKI'yı kullanarak cihazlarınızın ve kullanıcılarınızın güvenliğini ve üretkenliğini artırabilir ve dijital dönüşümünüzü tam olarak yönetilen bir bulut PKI hizmetine hızlandırabilirsiniz. Ayrıca, Active Directory Sertifika Hizmetleri (ADCS) veya özel şirket içi sertifika yetkililerinin iş yüklerini azaltmak için içindeki Cloud PKI hizmetini kullanabilirsiniz.
Önkoşullar
Lisans gereksinimleri
Bu özellik, Microsoft Intune Plan 1 veya Plan 2'ye ek olarak bir abonelik gerektirir. Lisans seçenekleri için bkz. Microsoft Intune planları ve fiyatlandırması veMicrosoft 365 Güvenlik Kurumsal Planları.
Cihaz platformu gereksinimleri
Microsoft Cloud PKI hizmetini şu platformlarla kullanabilirsiniz:
- Android
- iOS/iPadOS
- macOS
- Windows
Cihazların Intune kaydedilmesi ve platformun Intune cihaz yapılandırması SCEP sertifika profilini desteklemesi gerekir.
Rol gereksinimleri
Özel Intune rollerine atamak için aşağıdaki izinler kullanılabilir. Bu izinler kullanıcıların yönetim merkezinde CA'ları görüntülemesine ve yönetmesine olanak tanır.
- CA'ları okuma: Bu izni atadığınız tüm kullanıcılar CA'nın özelliklerini okuyabilir.
- Sertifika yetkilileri oluşturma: Bu izne atanan tüm kullanıcılar bir kök veya veren CA oluşturabilir.
- Verilen yaprak sertifikaları iptal et: Bu izni atamış olan tüm kullanıcılar, sertifika veren CA tarafından verilen bir sertifikayı el ile iptal etme özelliğine sahiptir. Bu izin için okuma CA izni de gerekir.
Köke ve veren CA'lara kapsam etiketleri atayabilirsiniz. Özel roller ve kapsam etiketleri oluşturma hakkında daha fazla bilgi için bkz. Microsoft Intune ile rol tabanlı erişim denetimi.
Microsoft Intune yönetim merkezinde Bulut PKI'sini yönetme
Microsoft Cloud PKI nesneleri Microsoft Intune yönetim merkezinde oluşturulur ve yönetilir. Buradan şunları yapabilirsiniz:
- Kuruluşunuz için Microsoft Cloud PKI'yı ayarlayın ve kullanın.
- Kiracınızda Cloud PKI'yı etkinleştirin.
- Sertifika profilleri oluşturun ve cihazlara atayın.
- Verilen sertifikaları izleyin.
Bulut PKI veren CA'yı oluşturduktan sonra, birkaç dakika içinde sertifika vermeye başlayabilirsiniz.
Özelliklere genel bakış
Aşağıdaki tabloda Microsoft Cloud PKI ve Microsoft Intune ile desteklenen özellikler ve senaryolar listelenmiştir.
| Özellik | Genel bakış |
|---|---|
| Intune kiracıda birden çok sertifika yetkilisi (CA) oluşturma | Bulutta kök ve veren CA ile iki katmanlı PKI hiyerarşisi oluşturun. |
| Kendi CA'nızı getirin (BYOCA) | Active Directory Sertifika Hizmetleri veya Microsoft dışı bir sertifika hizmeti aracılığıyla bir Intune Veren CA'sını özel bir CA'ya bağlama. Mevcut bir PKI altyapınız varsa, aynı kök CA'yı koruyabilir ve dış kökünüze bağlı bir veren CA oluşturabilirsiniz. Bu seçenek dış özel CA N+ katman hiyerarşileri desteğini içerir. |
| İmzalama ve Şifreleme algoritmaları | Intune RSA, anahtar boyutları 2048, 3072 ve 4096'yı destekler. |
| Karma algoritmalar | Intune SHA-256, SHA-384 ve SHA-512'yi destekler. |
| HSM anahtarları (imzalama ve şifreleme) | Anahtarlar Azure Yönetilen Donanım Güvenlik Modülü (Azure Yönetilen HSM) kullanılarak sağlanır. Bulut PKI CA'ları HSM imzalama ve şifreleme anahtarlarını kullanır. Azure HSM için Azure aboneliği gerekmez. |
| Yazılım Anahtarları (imzalama ve şifreleme) | Intune Suite veya tek başına Cloud PKI deneme süresi boyunca oluşturulan CA'lar, kullanarak yazılım destekli imzalama ve şifreleme anahtarlarını kullanırSystem.Security.Cryptography.RSA. |
| Sertifika kayıt yetkilisi | Her Bulut PKI Veren CA için Basit Sertifika Kayıt Protokolü'ni (SCEP) destekleyen bir Bulut Sertifika Kayıt Yetkilisi sağlama. |
| Sertifika İptal Listesi (CRL) dağıtım noktaları | Intune her CA için CRL dağıtım noktasını (CDP) barındırıyor. CRL geçerlilik süresi yedi gündür. Yayımlama ve yenileme 3,5 günde bir gerçekleşir. CRL, her sertifika iptaliyle güncelleştirilir. |
| Yetkili Bilgileri Erişimi (AIA) uç noktaları | Intune her Veren CA için AIA uç noktasını barındırıyor. AIA uç noktası, bağlı olan taraflar tarafından üst sertifikaları almak için kullanılabilir. |
| Kullanıcılar ve cihazlar için son varlık sertifikası verme | Yaprak sertifika verme olarak da adlandırılır. Destek SCEP (PKCS#7) protokolü ve sertifika biçimi ile SCEP profilini destekleyen Intune-MDM kayıtlı cihazlar içindir. |
| Sertifika yaşam döngüsü yönetimi | Son varlık sertifikalarını verme, yenileme ve iptal etme. |
| Raporlama panosu | Intune yönetim merkezindeki ayrılmış bir panodan etkin, süresi dolmuş ve iptal edilmiş sertifikaları izleyin. Verilen yaprak sertifikaların ve diğer sertifikaların raporlarını görüntüleyin ve yaprak sertifikaları iptal edin. Raporlar 24 saatte bir güncelleştirilir. |
| Denetim | Intune yönetim merkezinde oluşturma, iptal etme ve arama eylemleri gibi yönetici etkinliklerini denetleme. |
| Rol tabanlı erişim denetimi (RBAC) izinleri | Microsoft Cloud PKI izinleri ile özel roller oluşturun. Kullanılabilir izinler CA'ları okumanızı, CA'ları devre dışı bırakmanızı ve yeniden etkinleştirmenizi, verilen yaprak sertifikaları iptal etmenizi ve sertifika yetkilileri oluşturmanızı sağlar. |
| Kapsam etiketleri | Yönetim merkezinde oluşturduğunuz herhangi bir CA'ya kapsam etiketleri ekleyin. Kapsam etiketleri eklenebilir, silinebilir ve düzenlenebilir. |
Mimari
Microsoft Cloud PKI, ortak anahtar altyapısının karmaşıklığını ve yönetimini basitleştirmek için birlikte çalışan birkaç önemli bileşenden oluşur. Sertifika yetkililerini oluşturmak ve barındırmak için bir Bulut PKI hizmeti, Intune kayıtlı cihazlardan gelen sertifika isteklerini otomatik olarak hizmet vermek için bir sertifika kayıt yetkilisiyle birlikte içerir. Kayıt yetkilisi Basit Sertifika Kayıt Protokolü'ne (SCEP) destek sağlar.
* Hizmetlerin dökümü için bkz. Bileşenler .
Bileşenler:
A - Microsoft Intune
B - Microsoft Cloud PKI hizmetleri
- B1 - Microsoft Cloud PKI hizmeti
- B2 - Microsoft Cloud PKI SCEP hizmeti
- B3 - Microsoft Cloud PKI SCEP doğrulama hizmeti
Sertifika kayıt yetkilisi diyagramda B2 ve B3'leri oluşturur.
Bu bileşenler şirket içi sertifika yetkilisi, NDES ve Intune sertifika bağlayıcısı gereksiniminin yerini alır.
Eylemler:
Cihaz Intune hizmetine giriş yapmadan önce, Microsoft Cloud PKI hizmetini yönetme izinlerine sahip bir Intune yöneticisinin veya Intune rolünün aşağıdaki eylemleri tamamlaması gerekir:
- Microsoft Intune'da kök ve veren CA'lar için gerekli Bulut PKI sertifika yetkilisini oluşturun.
- Kök ve veren CA'lar için gerekli güven sertifikası profillerini oluşturun ve atayın.
- Gerekli platforma özgü SCEP sertifika profillerini oluşturun ve atayın.
Bu eylemler B1, B2 ve B3 bileşenlerini gerektirir.
Not
Yönetilen Intune cihazlar için sertifika vermek için Bulut PKI Veren Sertifika Yetkilisi gerekir. Cloud PKI, Sertifika Kayıt Yetkilisi işlevi gören bir SCEP hizmeti sağlar. Hizmet, SCEP profili kullanarak Intune yönetilen cihazlar adına Sertifika Veren CA'dan sertifikalar talep eder.
Akış, diyagramda A1 ile A5 arasında gösterilen aşağıdaki eylemlerle devam eder:
A1. Bir cihaz, Intune hizmetiyle oturum açıp güvenilen sertifikayı ve SCEP profillerini alır.
A2. Cihaz, SCEP profiline bağlı olarak bir sertifika imzalama isteği (CSR) oluşturur. Özel anahtar cihazda oluşturulur ve cihazdan asla ayrılmaz. CSR ve SCEP sınaması, buluttaki SCEP hizmetine gönderilir (SCEP profilindeki SCEP URI özelliği). SCEP sınaması şifrelenir ve Intune SCEP RA anahtarları kullanılarak imzalanır.
A3. SCEP doğrulama hizmeti, CSR'yi SCEP sınaması karşısında doğrular. Doğrulama, isteğin kayıtlı ve yönetilen bir cihazdan gelmesini sağlar. Ayrıca sınamanın etkilenmemesini ve SCEP profilinden beklenen değerlerle eşleşmesini sağlar. Bu denetimlerden herhangi biri başarısız olursa sertifika isteği reddedilir.
A4'e. CSR doğrulandıktan sonra, kayıt yetkilisi olarak da bilinen SCEP doğrulama hizmeti, veren CA'nın CSR'yi imzalar.
A5'i seçin. İmzalı sertifika, MDM'ye kayıtlı Intune cihaza teslim edilir.
Not
SCEP sınaması şifrelenir ve Intune SCEP kayıt yetkilisi anahtarları kullanılarak imzalanır.
Microsoft Cloud PKI'yı deneyin
Microsoft Cloud PKI özelliğini bir deneme süresi boyunca Intune yönetim merkezinden deneyebilirsiniz. Kullanılabilir denemeler şunlardır:
Deneme süresi boyunca kiracınızda en fazla altı CA oluşturabilirsiniz. Deneme süresince oluşturulan Bulut PKI CA'ları yazılım destekli anahtarları kullanır ve anahtarları oluşturmak ve imzalamak için kullanır System.Security.Cryptography.RSA . Bulut PKI lisansı satın aldıktan sonra CA'ları kullanmaya devam edebilirsiniz. Ancak, anahtarlar yazılım destekli kalır ve HSM destekli anahtarlara dönüştürülemez. Microsoft Intune hizmeti tarafından yönetilen CA anahtarları. Azure HSM özellikleri için Azure abonelik gerekmez.
CA yapılandırma örnekleri
İki katmanlı Bulut PKI kökü, CA'ları veren & ve kendi CA'larınızı getirin Intune bir arada bulunabilir. Microsoft Cloud PKI'da CA oluşturmak için örnek olarak sağlanan aşağıdaki yapılandırmaları kullanabilirsiniz:
- Beş CA veren bir kök CA
- Her biri bir ca veren üç kök CA
- Her biri bir ca veren iki kök CA ve iki kendi CA'nızı getirme
- Altı kendi CA'nızı getirin
Bilinen sorunlar ve sınırlamalar
En son değişiklikler ve eklemeler için bkz. Microsoft Intune'deki yenilikler.
- bir Intune kiracısında en fazla altı CA oluşturabilirsiniz.
- Lisanslı Bulut PKI'sı - Azure mHSM anahtarları kullanılarak toplam 6 CA oluşturulabilir.
- Deneme Bulutu PKI- Intune Paketi veya tek başına Cloud PKI denemesi sırasında toplam 6 CA oluşturulabilir.
- Aşağıdaki CA türleri CA kapasitesine doğru sayılır:
- Bulut PKI Kök CA'sı
- Bulut PKI Veren CA
- BYOCA Veren CA
- Yönetim merkezinde, Veren CA'nın tüm sertifikalarını görüntüle'yi seçtiğinizde Intune yalnızca verilen ilk 1.000 sertifikayı gösterir. Bu sınırlamayı gidermek için etkin bir şekilde çalışıyoruz. Geçici bir çözüm olarak Cihazlar>İzleyicisi'ne gidin. Ardından sertifikalar'ı seçerek verilen tüm sertifikaları görüntüleyin.
- Veri yerleşimi seçeneği şu anda Cloud PKI kullanan müşteriler tarafından kullanılamıyor.