S/MIME Certifikatadministration med Microsoft Azure Active Directory og inTune ved hjælp af SSL.com Azure Integration Tool

Hvad er Azure Active Directory?

Azure Active Directory (Azure AD) fungerer som en robust identitets- og adgangsadministrationstjeneste ved at integrere administrationen af ​​digitale certifikater. Denne funktion giver organisationer mulighed for at centralisere deres certifikatstyring, forbedre sikkerheden og forenkle administrative opgaver. Ved at udnytte Azure AD sikrer virksomheder, at deres digitale certifikater administreres med høj tilgængelighed og overensstemmelse med industristandarder, hvilket sikrer følsom information og kommunikation.

Hvad er Microsoft Intune? 

Microsoft Intune strømliner implementeringen af S/MIME certifikater på tværs af forskellige enheder, hvilket forbedrer e-mail-sikkerheden gennem kryptering og digitale signaturer. Ved at udnytte Intune kan organisationer automatisk levere S/MIME signering og krypteringscertifikater til enheder, der kører på Android, iOS/iPadOS, macOS og Windows 10/11. På iOS-enheder, der bruger den native mail-klient, og på iOS- og Android-enheder, der bruger Outlook, er S/MIME certifikater knyttes automatisk til mailprofilerne, hvilket sikrer problemfri integration og forbedret e-mailsikkerhed. Til Windows- og macOS-platforme samt andre mailklienter på iOS og Android vil Intune lette distributionen af S/MIME certifikater. Brugere skal dog manuelt aktivere S/MIME i deres respektive mailapplikationer og vælg deres certifikater. Denne egenskab af Intune forenkler implementeringsprocessen og sikrer det S/MIME certifikater er let tilgængelige på administrerede enheder, hvilket forbedrer den overordnede e-mail-sikkerhed ved at aktivere krypteret og signeret e-mail-kommunikation på tværs af organisationen.
Styrk din e-mail-sikkerhed og beskyt følsomme data med SSL.com S/MIME certifikater.

Sikre din e-mail

Sådan konfigureres Microsoft Intune og Microsoft Active Directory til S/MIME Certifikater

Forudsætninger

Nedenstående er forudsætningerne for API. Disse skal konfigureres på Intune lejer, som certifikater vil blive importeret til fra SSL.com.
  • En konto med Intune-administratorrettigheder
    Tilføj brugere og giv tilladelser – Microsoft Intune | Microsoft Lær
  • Alle de brugere, for hvem PFX-certifikatet er importeret, skal have tildelt Intune-licens
    Tildel Microsoft Intune-licenser | Microsoft Lær
  • Intune-certifikatforbindelse installeret og konfigureret på en Windows-server
    Installer Certificate Connector til Microsoft Intune – Azure | Microsoft Lær
  • Offentlig nøgle eksporteret fra Intune-forbindelsesserver
    Brug importerede PFX-certifikater i Microsoft Intune | Microsoft Lær
  • Opret Enterprise-applikation i Microsoft Entra
    Denne vejledning antager, at Enterprise-appen allerede vil være oprettet hos lejerne, og SSL.com vil have oplysningerne om den registrerede enterprise-app. Processen til registrering af Enterprise-appen (ved hjælp af Entra-portalen) er forklaret nedenfor.
    1. Log ind på portal.azure.com og søg efter Microsoft Access ID
    2. Klik Enterprise applikationer
    3. Klik Ny ansøgning
    4. Klik Opret din egen applikation
    5. Indtast navnet på applikationen, og klik Opret
    6. Ansøgningen er nu oprettet.
    7. Klik App-registreringer
    8. Klik Alle applikationer
    9. Vælg applikationen.
      Bemærk Ansøgnings-id og Katalog-id: disse skal sendes til API.
    10. Klik Certifikater & hemmeligheder og vælg derefter Ny klienthemmelighed
    11. Klik Godkendelse og tilføj webomdirigerings-URL'erne for SSL.com. Omdirigerings-URL'er er https://secure.ssl.com/oauth2/azure til produktion og https://sandbox.ssl.com/oauth2/azure til sandkasse
    12. Angiv et navn til nøglen, og klik Tilføj
      Bemærk nøglens værdi. Dette skal sendes til API'en.

  • Konfigurer en PKCS-certifikatimportprofil
    Når certifikaterne er importeret til Intune, skal du konfigurere en PKCS-certifikatimportprofil og tildele den til relevante Microsoft Entra-grupper. Detaljerede trin er tilgængelige i denne Microsoft guide.

Tilladelseskrav for Enterprise-applikationen til at importere certifikatet

  1. Under App-registreringer >> applikationens navn, klik på API-tilladelser.
  2. Klik Tilføj en tilladelse.
  3. Klik Microsoft Graph.
  4. Klik Delegerede tilladelser og søg på user.read. Sæt kryds i boksene for Bruger.Læs og Bruger.Læs.Alle.
  5. Klik Delegerede tilladelser og søg efter "gruppe". Sæt kryds i boksen for Group.ReadWrite.All.
  6. Klik Delegerede tilladelser og søg efter "DeviceManagementApps". Sæt kryds i boksen for DeviceManagementApps.ReadWrite.All.
  7. Søg efter "DeviceManagementConfiguration". Sæt kryds i boksene for DeviceManagementConfiguration.Read.All og DeviceManagementConfiguration.ReadWrite.All. Fortsæt med at klikke på Tilføj tilladelser .
  8. Klik Tilføj en tilladelse.
  9. Type Microsoft Graph.
  10. Klik Ansøgningstilladelser og søg efter "bruger.læst". Sæt kryds i boksene for Bruger.Læs.Alle og User.ReadWrite.All.
  11. Klik Ansøgningstilladelser og søg efter "gruppe". Sæt kryds i boksen for Group.ReadWrite.All.
  12. Klik Ansøgningstilladelser og søg efter "deviceManagementApps". Sæt kryds i boksen for DeviceManagementApps.ReadWrite.All
  13. Klik Ansøgningstilladelser og søg efter "DeviceManagementService". Sæt kryds i boksen for DeviceManagementService.ReadWrite.All
  14. Søg efter "DeviceManagementConfiguration" og marker afkrydsningsfelterne for DeviceManagementConfiguration.Read.All og DeviceManagementConfiguration.ReadWrite.All. Fortsæt med at klikke på Tilføj tilladelser .
  15. Når alle rettigheder er tildelt, skal du klikke Giv administratorsamtykke til [navn på organisation].
  16. Klik Ja at give tilladelsen
  17. Tilladelsen skulle nu være givet.

Sådan eksporteres certifikater til Azure Active Directory ved hjælp af SSL.com Azure Integration Tool

De følgende afsnit indeholder instruktioner om, hvordan du bruger SSL.com Azure Integration Tool til at eksportere certifikater til Azure Active Directory. 

Krav fra SSL.com

  1. En aktiv aftale om forhåndsvalidering af identitet også kendt som en virksomhed PKI (EPKI) Aftale. Find instruktioner her (Enterprise PKI (EPKI) Aftaleopsætning) for at indsende og aktivere denne aftale. Når den er aktiveret, kan trinene i næste afsnit udføres.
  2. Konfigureret Microsoft Entra- og Intune-konto, som beskrevet i dette forrige afsnit: Sådan konfigureres Microsoft Intune og Microsoft Active Directory til S/MIME Certifikater.

Konfigurer Azure Sync

  1. Log ind på din SSL.com-konto og klik integrationer i topmenuen. Fra de anførte muligheder skal du klikke Azure AD.
  2. Udfyld de påkrævede felter til Azure-integration. Klik derefter på Gem .
    1. kunde-id. Ansøgning (klient) ID.
    2. Klienthemmelighed. Kopier værdien af ​​klienthemmeligheder fra klientlegitimationsoplysninger.
    3. Lejer ID. Directory (lejer) ID.
    4. Intune offentlig nøgle. Base64-version af den offentlige nøgle eksporteret fra Intune-forbindelsesserver. For flere detaljer, tjek dette Microsoft ressource.

Brug SSL.com Azure Integration Tool til udstedelse af S/MIME certifikater

  1. Når Azure indstilling er blevet oprettet. Klik på Bemyndige

  2. Klik Azure-brugere så listen over brugere fra Azure kan importeres til SSL.coms system.

  3. Du bliver bedt om at logge ind på din Microsoft-konto.
  4. Klik på knappen Importer brugere knappen på SSL.com Azure Integration Tool.
  5. SSL.com vil meddele, at oplysningerne om de Azure-brugere, der vil blive tildelt digitale certifikater, er ved at blive importeret. Genindlæs siden for at bekræfte, at disse er blevet importeret. 
  6. SSL.com viser listen over Azure-brugere, angivet med deres fornavn, efternavn og e-mailadresse. Marker afkrydsningsfeltet for alle de brugere, der vil blive tildelt et certifikat.  Antallet af brugere, der vises på listen, kan øges ved at klikke på rullepilen nederst til venstre på siden. Ved færdiggørelse af udvalgte brugere, klik på Tilmeld certifikat knappen for at fortsætte.
  7. Opfyld kravene til certifikatet.
    1. certifikat: Vælg den type certifikat, du vil tildele til de valgte brugere.
    2. Varighed: Angiv længden af ​​tid, før certifikatet udløber. 
    3. Tilsigtet formål: Vælg mellem General Purpose, SMIME-kryptering eller SMIME-signering.
    4. Når valgene er afsluttet, skal du klikke på Tilføj .

  8. Hver bruger vil blive tildelt en ny certifikatordre herfra. Med tilstedeværelsen af ​​en aftale om forhåndsvalidering af identitet vil hver ordre automatisk blive valideret og udstedt. Den vellykkede udstedelse af certifikatet kan bekræftes ved at klikke Mine Ordrer fra topmenuen efterfulgt af detaljer link til den bestemte ordre. Ved at rulle ned og klikke på SLUT ENHEDSCERTIFIKATER sektion, vil oplysningerne om certifikatet fremkomme, herunder dets UDSTEDT status. 


Relaterede guider: 

LDAP, eller Lightweight Directory Access Protocol, er en bredt anerkendt standard til styring af telefonbogsinformationstjenester, herunder bruger- og gruppedata i et netværk. Ligesom Azure Active Directory giver LDAP robust styring af digitale certifikater, selvom de to systemer anvender forskellige sikkerhedsprotokoller.  Hvis du ønsker at administrere din S/MIME certifikater med en tjeneste, der bruger LDAP, se venligst denne SSL.com-artikel: LDAP-integration med S/MIME Certifikater.

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.