S/MIME Zertifikatsverwaltung mit Microsoft Azure Active Directory und inTune mithilfe des SSL.com Azure Integration Tool

Was ist Azure Active Directory?

Azure Active Directory (Azure AD) fungiert als robuster Identitäts- und Zugriffsverwaltungsdienst, indem es die Verwaltung digitaler Zertifikate integriert. Mit dieser Funktion können Organisationen ihre Zertifikatsverwaltung zentralisieren, die Sicherheit verbessern und Verwaltungsaufgaben vereinfachen. Durch die Nutzung von Azure AD stellen Unternehmen sicher, dass ihre digitalen Zertifikate mit hoher Verfügbarkeit und unter Einhaltung von Branchenstandards verwaltet werden, wodurch vertrauliche Informationen und Kommunikation geschützt werden.

Was ist Microsoft Intune? 

Microsoft Intune vereinfacht die Implementierung von S/MIME Zertifikate über verschiedene Geräte hinweg und verbessert die E-Mail-Sicherheit durch Verschlüsselung und digitale Signaturen. Durch die Nutzung von Intune können Unternehmen automatisch S/MIME Signatur- und Verschlüsselungszertifikate für Geräte mit Android, iOS/iPadOS, macOS und Windows 10/11. Auf iOS-Geräten mit dem nativen Mail-Client und auf iOS- und Android-Geräten mit Outlook ist die S/MIME Zertifikate werden automatisch mit den E-Mail-Profilen verknüpft, was eine nahtlose Integration und verbesserte E-Mail-Sicherheit gewährleistet. Für Windows- und macOS-Plattformen sowie andere Mail-Clients auf iOS und Android erleichtert Intune die Verteilung von S/MIME Zertifikate. Benutzer müssen jedoch manuell aktivieren S/MIME in ihren jeweiligen Mail-Anwendungen und wählen ihre Zertifikate aus. Diese Funktion von Intune vereinfacht den Bereitstellungsprozess und stellt sicher, dass S/MIME Zertifikate sind auf verwalteten Geräten sofort verfügbar und verbessern so die allgemeine E-Mail-Sicherheit, indem sie verschlüsselte und signierte E-Mail-Kommunikation im gesamten Unternehmen ermöglichen.
Stärken Sie Ihre E-Mail-Sicherheit und schützen Sie vertrauliche Daten mit SSL.com S/MIME Zertifikate.

Sichern Sie Ihre E-Mail

So konfigurieren Sie Microsoft Intune und Microsoft Active Directory für S/MIME Zertifikate

Voraussetzungen:

Nachfolgend sind die Voraussetzungen für die API aufgeführt. Diese müssen auf dem Intune konfiguriert werden. Mandant, in den Zertifikate von SSL.com importiert werden.
  • Ein Konto mit Intune-Administratorrechten.
    Benutzer hinzufügen und Berechtigungen erteilen – Microsoft Intune | Microsoft Learn
  • Alle Benutzer, für die das PFX-Zertifikat importiert wird, sollten über Intune verfügen. Lizenz zugewiesen.
    Microsoft Intune-Lizenzen zuweisen | Microsoft Learn
  • Auf einem Windows-Server installierter und konfigurierter Intune-Zertifikatconnector.
    Installieren des Certificate Connector für Microsoft Intune – Azure | Microsoft Learn
  • Öffentlicher Schlüssel vom Intune-Connector-Server exportiert.
    Importierte PFX-Zertifikate in Microsoft Intune verwenden | Microsoft Learn
  • Erstellen einer Enterprise-Anwendung in Microsoft Entra
    In diesem Handbuch wird davon ausgegangen, dass die Enterprise-App bereits bei den Mandanten erstellt wurde und SSL.com über die Informationen zur registrierten Enterprise-App verfügt. Der Vorgang zum Registrieren der Enterprise-App (über das Entra-Portal) wird unten erläutert.
    1. Melden Sie sich bei portal.azure.com an und suchen Sie nach Microsoft Entra-ID
    2. Klicken Sie Geschäftliche Anwendungen
    3. Klicken Sie Neue Bewerbung
    4. Klicken Sie Erstellen Sie Ihre eigene Anwendung
    5. Geben Sie den Namen der Anwendung ein und klicken Sie auf Erstellen
    6. Die Anwendung wurde jetzt erfolgreich erstellt.
    7. Klicken Sie App-Registrierungen
    8. Klicken Sie Alle Anwendungen
    9. Wählen Sie die Anwendung aus.
      Beachten Sie das Anwendungs-ID und der Verzeichnis-ID: Diese müssen an die API übergeben werden.
    10. Klicken Sie Zertifikate & Geheimnisse und dann auswählen Neues Kundengeheimnis
    11. Klicken Sie Authentifizierung und fügen Sie die Web-Weiterleitungs-URLs von SSL.com hinzu. Umleitungs-URLs sind https://secure.ssl.com/oauth2/azure für Produktion und https://sandbox.ssl.com/oauth2/azure für Sandbox
    12. Geben Sie dem Schlüssel einen Namen und klicken Sie auf Speichern
      Notieren Sie den Wert des Schlüssels. Dieser muss an die API übergeben werden.

Berechtigungsanforderungen für die Enterprise-Anwendung zum Importieren des Zertifikats

  1. Der App-Registrierungen >> Anwendungsnameauf „API-Berechtigungen“.
  2. Klicken Sie Berechtigung hinzufügen.
  3. Klicken Sie Microsoft Graph.
  4. Klicken Sie Delegierte Berechtigungen und suchen Sie nach user.read. Aktivieren Sie die Kontrollkästchen für Benutzer.Lesen und Benutzer.Alles.lesen.
  5. Klicken Sie Delegierte Berechtigungen und suchen Sie nach „Gruppe“. Aktivieren Sie das Kontrollkästchen für Gruppe.Lesen.Schreiben.Alle.
  6. Klicken Sie Delegierte Berechtigungen und suchen Sie nach „DeviceManagementApps“. Aktivieren Sie das Kontrollkästchen für DeviceManagementApps.ReadWrite.All.
  7. Suchen Sie nach Aktivieren Sie die Kontrollkästchen für DeviceManagementConfiguration.Read.All und DeviceManagementConfiguration.ReadWrite.All. Fahren Sie mit dem Klicken fort Berechtigungen hinzufügen .
  8. Klicken Sie Berechtigung hinzufügen.
  9. Select Microsoft Graph.
  10. Klicken Sie Anwendungsberechtigungen und suchen Sie nach „user.read“. Aktivieren Sie die Kontrollkästchen für Benutzer.Alles.lesen und Benutzer.ReadWrite.All.
  11. Klicken Sie Anwendungsberechtigungen und suchen Sie nach „Gruppe“. Aktivieren Sie das Kontrollkästchen für Gruppe.Lesen.Schreiben.Alle.
  12. Klicken Sie Anwendungsberechtigungen und suchen Sie nach „deviceManagementApps“. Aktivieren Sie das Kontrollkästchen für DeviceManagementApps.ReadWrite.All
  13. Klicken Sie Anwendungsberechtigungen und suchen Sie nach „DeviceManagementService“. Aktivieren Sie das Kontrollkästchen für DeviceManagementService.ReadWrite.All
  14. Suchen Sie nach „DeviceManagementConfiguration“ und aktivieren Sie die Kontrollkästchen für DeviceManagementConfiguration.Read.All und DeviceManagementConfiguration.ReadWrite.All. Fahren Sie mit dem Klicken fort Berechtigungen hinzufügen .
  15. Sobald alle Rechte zugewiesen sind, klicken Sie auf Erteilen Sie die Administratorzustimmung für [Name der Organisation].
  16. Klicken Sie Ja die Erlaubnis erteilen
  17. Die Berechtigung sollte jetzt erfolgreich erteilt werden.

So exportieren Sie Zertifikate mit dem SSL.com Azure Integration Tool in Azure Active Directory

Die folgenden Abschnitte enthalten Anweisungen zur Verwendung des SSL.com Azure Integration Tool zum Exportieren von Zertifikaten in Azure Active Directory. 

Anforderungen von SSL.com

  1. Eine aktive Identitätsvorvalidierungsvereinbarung, auch bekannt als Enterprise PKI (EPKI) Vereinbarung. Anweisungen finden Sie hier (Unternehmen PKI (EPKI) Vereinbarung einrichten), um diese Vereinbarung einzureichen und zu aktivieren. Nach der Aktivierung können die Schritte im nächsten Abschnitt ausgeführt werden.
  2. Konfiguriertes Microsoft Entra- und Intune-Konto, wie im vorherigen Abschnitt beschrieben: So konfigurieren Sie Microsoft Intune und Microsoft Active Directory für S/MIME Zertifikate.

Konfigurieren von Azure Sync

  1. Melden Sie sich bei Ihrem SSL.com-Konto an und klicken Sie auf Integration im oberen Menü. Klicken Sie in den aufgelisteten Optionen auf Azure AD.
  2. Füllen Sie die erforderlichen Felder für die Azure-Integration aus. Klicken Sie anschließend auf das Speichern .
    1. Kunden-ID. Anwendungs-(Client-)ID.
    2. Kundengeheimnis. Kopieren Sie den/die Wert(e) des/der Clientgeheimnisse(s) aus den Clientanmeldeinformationen.
    3. Mieter ID. Verzeichnis-(Mandanten-)ID.
    4. Öffentlicher Intune-Schlüssel. Base64-Version des öffentlichen Schlüssels, der vom Intune-Connector-Server exportiert wurde. Weitere Einzelheiten finden Sie hier Microsoft-Ressource.

Verwenden Sie das SSL.com Azure Integration Tool für die Ausstellung von S/MIME Zertifikate

  1. Sobald die Azure Einstellung wurde erstellt. Klicken Sie auf die Autorisieren Link. 

  2. Klicken Sie Azure-Benutzer damit die Benutzerliste aus Azure in das System von SSL.com importiert werden kann.

  3. Sie werden aufgefordert, sich bei Ihrem Microsoft-Konto anzumelden.
  4. Klicken Sie auf die Benutzer importieren Schaltfläche im SSL.com Azure Integration Tool.
  5. SSL.com benachrichtigt Sie, dass die Informationen der Azure-Benutzer, denen digitale Zertifikate zugewiesen werden, gerade importiert werden. Laden Sie die Seite neu, um zu bestätigen, dass diese importiert wurden. 
  6. SSL.com zeigt die Liste der Azure-Benutzer an, gekennzeichnet durch Vorname, Nachname und E-Mail-Adresse. Aktivieren Sie das Kontrollkästchen für alle Benutzer, denen ein Zertifikat zugewiesen wird.  Die Anzahl der in der Liste angezeigten Benutzer kann durch Klicken auf den Dropdown-Pfeil unten links auf der Seite erhöht werden. Klicken Sie nach Abschluss der Auswahl der Benutzer auf das Zertifikat einschreiben um fortzufahren.
  7. Erfüllen Sie die Voraussetzungen für das Zertifikat.
    1. Zertifikat: Wählen Sie den Zertifikatstyp aus, den Sie den ausgewählten Benutzern zuweisen möchten.
    2. Dauer: Geben Sie den Zeitraum bis zum Ablauf des Zertifikats an. 
    3. Sinn und Zweck der Sache: Wählen Sie zwischen „Allgemeiner Zweck“, „SMIME-Verschlüsselung“ oder „SMIME-Signierung“.
    4. Nachdem Sie die Auswahl abgeschlossen haben, klicken Sie auf das Speichern .

  8. Jedem Benutzer wird hier ein neuer Zertifikatsauftrag zugewiesen. Bei Vorhandensein einer Identitätsvorvalidierungsvereinbarung wird jeder Auftrag automatisch validiert und ausgestellt. Die erfolgreiche Ausstellung des Zertifikats kann durch Klicken auf Bestellungen aus dem oberen Menü, gefolgt von der Details Link der jeweiligen Bestellung. Scrollen Sie nach unten und klicken Sie auf ENDEINHEITSZERTIFIKATE werden die Details des Zertifikats angezeigt, einschließlich seiner AUSGEGEBEN Status. 


Verwandte Anleitungen: 

LDAP (Lightweight Directory Access Protocol) ist ein weithin anerkannter Standard für die Verwaltung von Verzeichnisinformationsdiensten, einschließlich Benutzer- und Gruppendaten innerhalb eines Netzwerks. Genau wie Azure Active Directory bietet LDAP eine robuste Verwaltung digitaler Zertifikate, obwohl die beiden Systeme unterschiedliche Sicherheitsprotokolle verwenden.  Wenn Sie Ihre S/MIME Zertifikate mit einem Dienst, der LDAP verwendet, finden Sie in diesem SSL.com-Artikel: LDAP-Integration mit S/MIME Zertifikate.

Bleiben Sie informiert und sicher

SSL.com ist ein weltweit führendes Unternehmen im Bereich Cybersicherheit, PKI und digitale Zertifikate. Melden Sie sich an, um die neuesten Branchennachrichten, Tipps und Produktankündigungen von zu erhalten SSL.com.

Wir würden uns über Ihr Feedback freuen

Nehmen Sie an unserer Umfrage teil und teilen Sie uns Ihre Meinung zu Ihrem letzten Kauf mit.