S/MIME Certifikatadministration med Microsoft Azure Active Directory og inTune ved hjælp af SSL.com Azure Integration Tool

Introduktion

Microsoft Intune giver mulighed for integration af importerede PFX-certifikater, som ofte bruges til S/MIME kryptering i e-mail-profiler. Intune understøtter import af PFX-certifikater på tværs af disse platforme:

  • Android-enhedsadministrator
  • Android Enterprise:
    • Fuldt Managed
    • Virksomhedsejet arbejdsprofil
    • Personligt ejet arbejdsprofil
  • iOS / iPadOS
  • MacOS
  • Windows 10 / 11

Forståelse S/MIME Certifikatimplementering ved hjælp af Intune

Når Intune bruges til at implementere et importeret PFX-certifikat til en bruger, spiller to nøglekomponenter en rolle ved siden af ​​enheden:
  • Intune Service: Denne service gemmer PFX-certifikaterne sikkert i et krypteret format og administrerer deres implementering på brugerens enhed. Adgangskoderne, der beskytter disse certifikaters private nøgler, krypteres, før de uploades, ved hjælp af enten et hardwaresikkerhedsmodul (HSM) eller Windows Cryptography. Dette sikrer, at Intune aldrig har adgang til de private nøgler.
  • Certifikatforbindelse til Microsoft Intune: Når en enhed anmoder om et importeret PFX-certifikat, videresendes den krypterede adgangskode, certifikatet og enhedens offentlige nøgle til stikket. Connectoren dekrypterer adgangskoden ved hjælp af den private nøgle på stedet, og krypterer derefter adgangskoden igen med enhedsnøglen. Certifikatet returneres derefter til Intune, som leverer det til enheden. Enheden dekrypterer den med sin egen private nøgle og installerer certifikatet.

Specifikke skuespillerroller

  • Entra ID: Fungerer som den primære identitetsudbyder, der integreres med forskellige Microsoft-tjenester og virksomhedsapplikationer.
  • Intune: Administrerer enheder, der er tilmeldt systemet, anvender sikkerhedspolitikker og implementerer certifikater.
  • S/MIME Certifikater: Leveret af SSL.com sikrer disse certifikater sikker e-mail-kommunikation gennem kryptering og e-mail-signering.
  • Entra Connect: Linker lokalt Active Directory med Azure Entra ID for at levere en hybrid identitetsløsning.
  • Enheder: Disse er tilmeldt Intune og sikret med certifikater, hvilket giver brugerne sikker adgang til virksomhedens ressourcer.

Oversigt over arbejdsgange

  1. Organisationen registrerer deres virksomhedsapp i Entra ID.
  2. Enterprise app-oplysningerne er også registreret hos SSL.com.
  3. Intune-administratorer køber certifikater til brugere fra SSL.com.
  4. Under købet vælger administratorerne formålet med certifikatet, såsom generel brug, S/MIME Kryptering, eller S/MIME Underskriver.
  5. PFX-certifikatet importeres derefter til Intune for brugerens konto.
  6. Intune forbinder med Intune-stikket for at validere certifikatet.
  7. Når det er valideret, implementerer Intune certifikatet til brugerens enhed.
De specifikke trin for arbejdsgangen og integrationen diskuteres i de følgende afsnit.
Styrk din e-mail-sikkerhed og beskyt følsomme data med SSL.com S/MIME certifikater.

Sikre din e-mail

Sådan konfigureres Microsoft Intune og Microsoft Active Directory til S/MIME Certifikater

Forudsætninger

Nedenstående er forudsætningerne for API. Disse skal konfigureres på Intune lejer, som certifikater vil blive importeret til fra SSL.com.
  • En konto med Intune-administratorrettigheder
    Tilføj brugere og giv tilladelser – Microsoft Intune | Microsoft Lær
  • Alle de brugere, for hvem PFX-certifikatet er importeret, skal have tildelt Intune-licens
    Tildel Microsoft Intune-licenser | Microsoft Lær
  • Intune-certifikatforbindelse installeret og konfigureret på en Windows-server
    Installer Certificate Connector til Microsoft Intune – Azure | Microsoft Lær
  • Offentlig nøgle eksporteret fra Intune-forbindelsesserver
    Brug importerede PFX-certifikater i Microsoft Intune | Microsoft Lær
  • Opret Enterprise-applikation i Microsoft Entra
    Denne vejledning antager, at Enterprise-appen allerede vil være oprettet hos lejerne, og SSL.com vil have oplysningerne om den registrerede enterprise-app. Processen til registrering af Enterprise-appen (ved hjælp af Entra-portalen) er forklaret nedenfor.
    1. Log ind på portal.azure.com og søg efter Microsoft Access ID
    2. Klik Enterprise applikationer
    3. Klik Ny ansøgning
    4. Klik Opret din egen applikation
    5. Indtast navnet på applikationen, og klik Opret
    6. Ansøgningen er nu oprettet.
    7. Klik App-registreringer
    8. Klik Alle applikationer
    9. Vælg applikationen.
      Bemærk Ansøgnings-id og Katalog-id: disse skal sendes til API.
    10. Klik Certifikater & hemmeligheder og vælg derefter Ny klienthemmelighed
    11. Klik Godkendelse og tilføj webomdirigerings-URL'erne for SSL.com. Omdirigerings-URL'er er https://secure.ssl.com/oauth2/azure til produktion og https://sandbox.ssl.com/oauth2/azure til sandkasse
    12. Angiv et navn til nøglen, og klik Tilføj
      Bemærk nøglens værdi. Dette skal sendes til API'en.

  • Konfigurer en PKCS-certifikatimportprofil
    Når certifikaterne er importeret til Intune, skal du konfigurere en PKCS-certifikatimportprofil og tildele den til relevante Microsoft Entra-grupper. Detaljerede trin er tilgængelige i denne Microsoft guide.

Tilladelseskrav for Enterprise-applikationen til at importere certifikatet

  1. Under App-registreringer >> applikationens navn, klik på API-tilladelser.
  2. Klik Tilføj en tilladelse.
  3. Klik Microsoft Graph.
  4. Klik Delegerede tilladelser og søg på user.read. Sæt kryds i boksene for Bruger.Læs og Bruger.Læs.Alle.
  5. Klik Delegerede tilladelser og søg efter "gruppe". Sæt kryds i boksen for Group.ReadWrite.All.
  6. Klik Delegerede tilladelser og søg efter "DeviceManagementApps". Sæt kryds i boksen for DeviceManagementApps.ReadWrite.All.
  7. Søg efter "DeviceManagementConfiguration". Sæt kryds i boksene for DeviceManagementConfiguration.Read.All og DeviceManagementConfiguration.ReadWrite.All. Fortsæt med at klikke på Tilføj tilladelser .
  8. Klik Tilføj en tilladelse.
  9. Type Microsoft Graph.
  10. Klik Ansøgningstilladelser og søg efter "bruger.læst". Sæt kryds i boksene for Bruger.Læs.Alle og User.ReadWrite.All.
  11. Klik Ansøgningstilladelser og søg efter "gruppe". Sæt kryds i boksen for Group.ReadWrite.All.
  12. Klik Ansøgningstilladelser og søg efter "deviceManagementApps". Sæt kryds i boksen for DeviceManagementApps.ReadWrite.All
  13. Klik Ansøgningstilladelser og søg efter "DeviceManagementService". Sæt kryds i boksen for DeviceManagementService.ReadWrite.All
  14. Søg efter "DeviceManagementConfiguration" og marker afkrydsningsfelterne for DeviceManagementConfiguration.Read.All og DeviceManagementConfiguration.ReadWrite.All. Fortsæt med at klikke på Tilføj tilladelser .
  15. Når alle rettigheder er tildelt, skal du klikke Giv administratorsamtykke til [navn på organisation].
  16. Klik Ja at give tilladelsen
  17. Tilladelsen skulle nu være givet.

Sådan eksporteres certifikater til Azure Active Directory ved hjælp af SSL.com Azure Integration Tool

De følgende afsnit indeholder instruktioner om, hvordan du bruger SSL.com Azure Integration Tool til at eksportere certifikater til Azure Active Directory. 

Krav fra SSL.com

  1. En aktiv aftale om forhåndsvalidering af identitet også kendt som en virksomhed PKI (EPKI) Aftale. Find instruktioner her (Enterprise PKI (EPKI) Aftaleopsætning) for at indsende og aktivere denne aftale. Når den er aktiveret, kan trinene i næste afsnit udføres.
  2. Konfigureret Microsoft Entra- og Intune-konto, som beskrevet i dette forrige afsnit: Sådan konfigureres Microsoft Intune og Microsoft Active Directory til S/MIME Certifikater.

Konfigurer Azure Sync

  1. Log ind på din SSL.com-konto og klik integrationer i topmenuen. Fra de anførte muligheder skal du klikke Azure AD.
  2. Udfyld de påkrævede felter til Azure-integration. Klik derefter på Gem .
    1. kunde-id. Ansøgning (klient) ID.
    2. Klienthemmelighed. Kopier værdien af ​​klienthemmeligheder fra klientlegitimationsoplysninger.
    3. Lejer ID. Directory (lejer) ID.
    4. Intune offentlig nøgle. Base64-version af den offentlige nøgle eksporteret fra Intune-forbindelsesserver. For flere detaljer, tjek dette Microsoft ressource.

Brug SSL.com Azure Integration Tool til udstedelse af S/MIME certifikater

  1. Når Azure indstilling er blevet oprettet. Klik på Bemyndige

  2. Klik Azure-brugere så listen over brugere fra Azure kan importeres til SSL.coms system.

  3. Du bliver bedt om at logge ind på din Microsoft-konto.
  4. Klik på knappen Importer brugere knappen på SSL.com Azure Integration Tool.
  5. SSL.com vil meddele, at oplysningerne om de Azure-brugere, der vil blive tildelt digitale certifikater, er ved at blive importeret. Genindlæs siden for at bekræfte, at disse er blevet importeret. 
  6. SSL.com viser listen over Azure-brugere, angivet med deres fornavn, efternavn og e-mailadresse. Marker afkrydsningsfeltet for alle de brugere, der vil blive tildelt et certifikat.  Antallet af brugere, der vises på listen, kan øges ved at klikke på rullepilen nederst til venstre på siden. Ved færdiggørelse af udvalgte brugere, klik på Tilmeld certifikat knappen for at fortsætte.
  7. Opfyld kravene til certifikatet.
    1. certifikat: Vælg den type certifikat, du vil tildele til de valgte brugere.
    2. Varighed: Angiv længden af ​​tid, før certifikatet udløber. 
    3. Tilsigtet formål: Vælg mellem General Purpose, SMIME-kryptering eller SMIME-signering.
    4. Når valgene er afsluttet, skal du klikke på Tilføj .

  8. Hver bruger vil blive tildelt en ny certifikatordre herfra. Med tilstedeværelsen af ​​en aftale om forhåndsvalidering af identitet vil hver ordre automatisk blive valideret og udstedt. Den vellykkede udstedelse af certifikatet kan bekræftes ved at klikke Mine Ordrer fra topmenuen efterfulgt af detaljer link til den bestemte ordre. Ved at rulle ned og klikke på SLUT ENHEDSCERTIFIKATER sektion, vil oplysningerne om certifikatet fremkomme, herunder dets UDSTEDT status. 


Relaterede guider: 

LDAP, eller Lightweight Directory Access Protocol, er en bredt anerkendt standard til styring af telefonbogsinformationstjenester, herunder bruger- og gruppedata i et netværk. Ligesom Azure Active Directory giver LDAP robust styring af digitale certifikater, selvom de to systemer anvender forskellige sikkerhedsprotokoller.  Hvis du ønsker at administrere din S/MIME certifikater med en tjeneste, der bruger LDAP, se venligst denne SSL.com-artikel: LDAP-integration med S/MIME Certifikater.

Hold dig informeret og sikker

SSL.com er en global leder inden for cybersikkerhed, PKI og digitale certifikater. Tilmeld dig for at modtage de seneste industrinyheder, tips og produktmeddelelser fra SSL.com.

Vi vil meget gerne have din feedback

Tag vores undersøgelse og fortæl os dine tanker om dit seneste køb.