Microsoft Intune için Microsoft Cloud PKI'ya genel bakış
Şunlar için geçerlidir:
- Windows
- Android
- iOS
- Mac OS
Intune tarafından yönetilen cihazlara sertifika vermek için Microsoft Cloud PKI kullanın. Microsoft Cloud PKI, Intune tarafından yönetilen cihazlar için sertifika yaşam döngüsü yönetimini basitleştiren ve otomatikleştiren bulut tabanlı bir hizmettir. Şirket içi sunucu, bağlayıcı veya donanım gerektirmeden kuruluşunuz için ayrılmış bir ortak anahtar altyapısı (PKI) sağlar. Intune tarafından desteklenen tüm platformlar için sertifika verme, yenileme ve iptal işlemlerini gerçekleştirir.
Bu makalede Intune için Microsoft Cloud PKI'ya, nasıl çalıştığına ve mimarisine genel bir bakış sağlanmaktadır.
PKI nedir?
PKI, cihazlar ve hizmetler arasında verilerin kimliğini doğrulamak ve şifrelemek için dijital sertifikalar kullanan bir sistemdir. PKI sertifikaları VPN, Wi-Fi, e-posta, web ve cihaz kimliği gibi çeşitli senaryoların güvenliğini sağlamak için gereklidir. Ancak PKI sertifikalarını yönetmek, özellikle çok sayıda cihazı ve kullanıcısı olan kuruluşlar için zorlayıcı, maliyetli ve karmaşık olabilir. Microsoft Cloud PKI'yı kullanarak cihazlarınızın ve kullanıcılarınızın güvenliğini ve üretkenliğini artırabilir ve dijital dönüşümünüzü tam olarak yönetilen bir bulut PKI hizmetine hızlandırabilirsiniz. Ayrıca, Active Directory Sertifika Hizmetleri (ADCS) veya özel şirket içi sertifika yetkililerinin iş yüklerini azaltmak için içindeki Cloud PKI hizmetini kullanabilirsiniz.
Microsoft Intune yönetim merkezinde Bulut PKI'sini yönetme
Microsoft Cloud PKI nesneleri, Microsoft Intune yönetim merkezinde oluşturulur ve yönetilir. Buradan şunları yapabilirsiniz:
- Kuruluşunuz için Microsoft Cloud PKI'yı ayarlayın ve kullanın.
- Kiracınızda Cloud PKI'yı etkinleştirin.
- Sertifika profilleri oluşturun ve cihazlara atayın.
- Verilen sertifikaları izleyin.
Bulut PKI veren CA'yı oluşturduktan sonra, birkaç dakika içinde sertifika vermeye başlayabilirsiniz.
Desteklenen cihaz platformları
Microsoft Cloud PKI hizmetini şu platformlarla kullanabilirsiniz:
- Android
- iOS/iPadOS
- macOS
- Windows
Cihazların Intune'a kaydedilmesi ve platformun Intune cihaz yapılandırması SCEP sertifika profilini desteklemesi gerekir.
Özelliklere genel bakış
Aşağıdaki tabloda Microsoft Cloud PKI ve Microsoft Intune ile desteklenen özellikler ve senaryolar listelenmiştir.
| Özellik | Genel bakış |
|---|---|
| Intune kiracısında birden çok CA oluşturma | Bulutta kök ve veren CA ile iki katmanlı PKI hiyerarşisi oluşturun. |
| Kendi CA'nızı getirin (BYOCA) | Intune Veren CA'sını Active Directory Sertifika Hizmetleri veya Microsoft dışı bir sertifika hizmeti aracılığıyla özel bir CA'ya bağlama. Mevcut bir PKI altyapınız varsa, aynı kök CA'yı koruyabilir ve dış kökünüze bağlı bir veren CA oluşturabilirsiniz. Bu seçenek dış özel CA N+ katman hiyerarşileri desteğini içerir. |
| İmzalama ve Şifreleme algoritmaları | Intune RSA, anahtar boyutları 2048, 3072 ve 4096'yı destekler. |
| Karma algoritmalar | Intune SHA-256, SHA-384 ve SHA-512'yi destekler. |
| HSM anahtarları (imzalama ve şifreleme) | Anahtarlar Azure Yönetilen Donanım Güvenlik Modülü (Azure Yönetilen HSM) kullanılarak sağlanır. Lisanslı bir Intune Paketi veya Cloud PKI Tek Başına Eklentisi ile oluşturulan CA'lar otomatik olarak HSM imzalama ve şifreleme anahtarlarını kullanır. Azure HSM için Azure aboneliği gerekmez. |
| Yazılım Anahtarları (imzalama ve şifreleme) | Intune Suite veya Cloud PKI tek başına Eklentisi'nin deneme süresi boyunca oluşturulan CA'lar, kullanarak yazılım destekli imzalama ve şifreleme anahtarlarını kullanır System.Security.Cryptography.RSA. |
| Sertifika kayıt yetkilisi | Her Bulut PKI Veren CA için Basit Sertifika Kayıt Protokolü'ni (SCEP) destekleyen bir Bulut Sertifika Kayıt Yetkilisi sağlama. |
| Sertifika İptal Listesi (CRL) dağıtım noktaları | Intune, her CA için CRL dağıtım noktasını (CDP) barındırıyor. CRL geçerlilik süresi yedi gündür. Yayımlama ve yenileme her 3,5 günde bir gerçekleşir. CRL, her sertifika iptaliyle güncelleştirilir. |
| Yetkili Bilgileri Erişimi (AIA) uç noktaları | Intune, her Veren CA için AIA uç noktasını barındırıyor. AIA uç noktası, bağlı olan taraflar tarafından üst sertifikaları almak için kullanılabilir. |
| Kullanıcılar ve cihazlar için son varlık sertifikası verme | Yaprak sertifika verme olarak da adlandırılır. Destek SCEP (PKCS#7) protokolü ve sertifika biçimi ile SCEP profilini destekleyen Intune-MDM kayıtlı cihazlar içindir. |
| Sertifika yaşam döngüsü yönetimi | Son varlık sertifikalarını verme, yenileme ve iptal etme. |
| Raporlama panosu | Intune yönetim merkezindeki ayrılmış bir panodan etkin, süresi dolmuş ve iptal edilmiş sertifikaları izleyin. Verilen yaprak sertifikaların ve diğer sertifikaların raporlarını görüntüleyin ve yaprak sertifikaları iptal edin. Raporlar 24 saatte bir güncelleştirilir. |
| Denetim | Intune yönetim merkezinde oluşturma, iptal etme ve arama eylemleri gibi yönetici etkinliğini denetleme. |
| Rol tabanlı erişim denetimi (RBAC) izinleri | Microsoft Cloud PKI izinleri ile özel roller oluşturun. Kullanılabilir izinler CA'ları okumanızı, CA'ları devre dışı bırakmanızı ve yeniden etkinleştirmenizi, verilen yaprak sertifikaları iptal etmenizi ve sertifika yetkilileri oluşturmanızı sağlar. |
| Kapsam etiketleri | Yönetim merkezinde oluşturduğunuz herhangi bir CA'ya kapsam etiketleri ekleyin. Kapsam etiketleri eklenebilir, silinebilir ve düzenlenebilir. |
Mimari
Microsoft Cloud PKI, ortak anahtar altyapısının karmaşıklığını ve yönetimini basitleştirmek için birlikte çalışan birkaç önemli bileşenden oluşur; Sertifika yetkililerini oluşturmaya ve barındırmaya yönelik bir Bulut PKI hizmeti, Intune'a kayıtlı cihazlardan gelen sertifika isteklerini otomatik olarak hizmet vermek için bir sertifika kayıt yetkilisiyle birlikte. Kayıt yetkilisi Basit Sertifika Kayıt Protokolü'ne (SCEP) destek sağlar.
Bileşenler:
A - Microsoft Intune
B - Microsoft Cloud PKI hizmetleri
- B.1 - Microsoft Bulut PKI hizmeti
- B.2 - Microsoft Cloud PKI SCEP hizmeti
- B.3 - Microsoft Cloud PKI SCEP doğrulama hizmeti
Sertifika kayıt yetkilisi diyagramda B.2 ve B.3'i oluşturur.
Bu bileşenler şirket içi sertifika yetkilisi, NDES ve Intune sertifika bağlayıcısı gereksiniminin yerini alır.
Eylemler:
Cihaz Intune hizmetine giriş yapmadan önce, Microsoft Cloud PKI hizmetini yönetme izinlerine sahip bir Intune yöneticisi veya Intune rolü şunları yapmalıdır:
- Microsoft Intune'da kök ve veren CA'lar için gerekli Bulut PKI sertifika yetkilisini oluşturun.
- Kök ve veren CA'lar için gerekli güven sertifikası profillerini oluşturun ve atayın. Bu akış diyagramda gösterilmez.
- Gerekli platforma özgü SCEP sertifika profillerini oluşturun ve atayın. Bu akış diyagramda gösterilmez.
Not
Intune tarafından yönetilen cihazlar için sertifika vermek için Bulut PKI Veren Sertifika Yetkilisi gereklidir. Cloud PKI, Sertifika Kayıt Yetkilisi işlevi gören bir SCEP hizmeti sağlar. Hizmet, SCEP profili kullanarak Intune tarafından yönetilen cihazlar adına Sertifika Veren CA'dan sertifikalar istemektedir.
- Bir cihaz Intune hizmetiyle oturum açıp güvenilen sertifikayı ve SCEP profillerini alır.
- Cihaz, SCEP profiline bağlı olarak bir sertifika imzalama isteği (CSR) oluşturur. Özel anahtar cihazda oluşturulur ve cihazdan asla ayrılmaz. CSR ve SCEP sınaması, buluttaki SCEP hizmetine gönderilir (SCEP profilindeki SCEP URI özelliği). SCEP sınaması şifrelenir ve Intune SCEP RA anahtarları kullanılarak imzalanır.
- SCEP doğrulama hizmeti, CSR'yi SCEP sınaması karşısında doğrular (diyagramda B.3 olarak gösterilir). Doğrulama, isteğin kayıtlı ve yönetilen bir cihazdan gelmesini sağlar. Ayrıca Sınamanın etkilenmemesini ve SCEP profilinden beklenen değerlerle eşleşmesini sağlar. Bu denetimlerden herhangi biri başarısız olursa sertifika isteği reddedilir.
- CSR doğrulandıktan sonra, kayıt yetkilisi olarak da bilinen SCEP doğrulama hizmeti, veren CA'nın CSR'yi imzalamasını ister (diyagramda B.1 olarak gösterilir).
- İmzalı sertifika, Intune MDM'ye kayıtlı cihaza teslim edilir.
Not
SCEP sınaması şifrelenir ve Intune SCEP kayıt yetkilisi anahtarları kullanılarak imzalanır.
Lisans gereksinimleri
Microsoft Cloud PKI aşağıdaki lisanslardan birini gerektirir:
- Microsoft Intune Paketi lisansı
- Microsoft Cloud PKI tek başına Intune eklentileri lisansı
Lisans seçenekleri hakkında daha fazla bilgi için bkz. Microsoft Intune lisanslama.
Rol tabanlı erişim denetimi
Özel Intune rollerine atamak için aşağıdaki izinler kullanılabilir. Bu izinler kullanıcıların yönetim merkezinde CA'ları görüntülemesine ve yönetmesine olanak tanır.
- CA'ları okuma: Bu izni atadığınız tüm kullanıcılar CA'nın özelliklerini okuyabilir.
- Sertifika yetkilileri oluşturma: Bu izne atanan tüm kullanıcılar bir kök veya veren CA oluşturabilir.
- Verilen yaprak sertifikaları iptal et: Bu izni atamış olan tüm kullanıcılar, sertifika veren CA tarafından verilen bir sertifikayı el ile iptal etme özelliğine sahiptir. Bu izin için okuma CA izni de gerekir.
Köke ve veren CA'lara kapsam etiketleri atayabilirsiniz. Özel roller ve kapsam etiketleri oluşturma hakkında daha fazla bilgi için bkz. Microsoft Intune ile rol tabanlı erişim denetimi.
Microsoft Cloud PKI'yı deneyin
Bir deneme süresi boyunca Intune yönetim merkezinde Microsoft Cloud PKI özelliğini deneyebilirsiniz. Kullanılabilir denemeler şunlardır:
Deneme süresi boyunca kiracınızda en fazla altı CA oluşturabilirsiniz. Deneme süresince oluşturulan Bulut PKI CA'ları yazılım destekli anahtarları kullanır ve anahtarları oluşturmak ve imzalamak için kullanır System.Security.Cryptography.RSA . Bulut PKI lisansı satın aldıktan sonra CA'ları kullanmaya devam edebilirsiniz. Ancak, anahtarlar yazılım destekli kalır ve HSM destekli anahtarlara dönüştürülemez. Microsoft Intune hizmeti tarafından yönetilen CA anahtarları. Azure HSM özellikleri için Azure aboneliği gerekmez.
CA yapılandırma örnekleri
İki katmanlı Cloud PKI kök & CA'lar ve kendi CA'larınızı getirin intune'da bir arada bulunabilir. Microsoft Cloud PKI'da CA oluşturmak için örnek olarak sağlanan aşağıdaki yapılandırmaları kullanabilirsiniz:
- Beş CA veren bir kök CA
- Her biri bir ca veren üç kök CA
- Her biri bir ca veren iki kök CA ve iki kendi CA'nızı getirme
- Altı kendi CA'nızı getirin
Bilinen sorunlar ve sınırlamalar
En son değişiklikler ve eklemeler için bkz. Microsoft Intune'daki yenilikler.
- Bir Intune kiracısında en fazla altı CA oluşturabilirsiniz.
- Lisanslı Bulut PKI'sı – Azure mHSM anahtarları kullanılarak toplam 6 CA oluşturulabilir.
- Deneme Bulutu PKI- Intune Paketi veya Cloud PKI tek başına eklentisi denemesi sırasında toplam 6 CA oluşturulabilir.
- Aşağıdaki CA türleri CA kapasitesine doğru sayılır:
- Bulut PKI Kök CA'sı
- Bulut PKI Veren CA
- BYOCA Veren CA
- Yönetim merkezinde, Intune kiracınızdan CA'ları silmenin veya devre dışı bırakmanın bir yolu yoktur. Bu eylemleri sağlamak için etkin bir şekilde çalışıyoruz. Kullanılabilir duruma gelene kadar, CA'yı silmek için bir Intune destek isteği göndermenizi öneririz.
- Yönetim merkezinde, Veren CA'nın tüm sertifikalarını görüntüle'yi seçtiğinizde, Intune yalnızca verilen ilk 1000 sertifikayı gösterir. Bu sınırlamayı gidermek için etkin bir şekilde çalışıyoruz. Geçici bir çözüm olarak Cihazlar>İzleyicisi'ne gidin. Ardından sertifikalar'ı seçerek verilen tüm sertifikaları görüntüleyin.
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin