S/MIME Διαχείριση πιστοποιητικών με Microsoft Azure Active Directory και inTune χρησιμοποιώντας το SSL.com Azure Integration Tool

Τι είναι το Azure Active Directory;

Το Azure Active Directory (Azure AD) λειτουργεί ως μια ισχυρή υπηρεσία διαχείρισης ταυτότητας και πρόσβασης ενσωματώνοντας τη διαχείριση ψηφιακών πιστοποιητικών. Αυτή η δυνατότητα επιτρέπει στους οργανισμούς να συγκεντρώνουν τη διαχείριση των πιστοποιητικών τους, βελτιώνοντας την ασφάλεια και απλοποιώντας τις διοικητικές εργασίες. Αξιοποιώντας το Azure AD, οι επιχειρήσεις διασφαλίζουν ότι η διαχείριση των ψηφιακών πιστοποιητικών τους γίνεται με υψηλή διαθεσιμότητα και συμμόρφωση με τα πρότυπα του κλάδου, προστατεύοντας έτσι ευαίσθητες πληροφορίες και επικοινωνίες.

Τι είναι το Microsoft Intune; 

Το Microsoft Intune απλοποιεί την εφαρμογή του S/MIME πιστοποιητικά σε διάφορες συσκευές, ενισχύοντας την ασφάλεια email μέσω κρυπτογράφησης και ψηφιακών υπογραφών. Αξιοποιώντας το Intune, οι οργανισμοί μπορούν να προσφέρουν αυτόματα S/MIME πιστοποιητικά υπογραφής και κρυπτογράφησης σε συσκευές που εκτελούνται σε Android, iOS/iPadOS, macOS και Windows 10/11. Σε συσκευές iOS που χρησιμοποιούν το εγγενές πρόγραμμα-πελάτη αλληλογραφίας και σε συσκευές iOS και Android που χρησιμοποιούν το Outlook, το S/MIME Τα πιστοποιητικά συσχετίζονται αυτόματα με τα προφίλ αλληλογραφίας, διασφαλίζοντας απρόσκοπτη ενσωμάτωση και βελτιωμένη ασφάλεια email. Για πλατφόρμες Windows και macOS, καθώς και για άλλους πελάτες αλληλογραφίας σε iOS και Android, το Intune θα διευκολύνει τη διανομή S/MIME πιστοποιητικά. Ωστόσο, οι χρήστες πρέπει να ενεργοποιήσουν χειροκίνητα S/MIME στις αντίστοιχες εφαρμογές αλληλογραφίας τους και επιλέξτε τα πιστοποιητικά τους. Αυτή η δυνατότητα του Intune απλοποιεί τη διαδικασία ανάπτυξης, διασφαλίζοντας ότι S/MIME Τα πιστοποιητικά είναι άμεσα διαθέσιμα σε διαχειριζόμενες συσκευές, ενισχύοντας έτσι τη συνολική ασφάλεια email επιτρέποντας κρυπτογραφημένες και υπογεγραμμένες επικοινωνίες email σε ολόκληρο τον οργανισμό.
Ενισχύστε την ασφάλεια των email σας και προστατέψτε ευαίσθητα δεδομένα με το SSL.com S/MIME πιστοποιητικά.

Ασφαλίστε το Email σας

Τρόπος ρύθμισης παραμέτρων του Microsoft Intune και του Microsoft Active Directory για S/MIME Πιστοποιητικά

Προϋποθέσεις

Παρακάτω παρατίθενται οι προϋποθέσεις για το API. Αυτά πρέπει να ρυθμιστούν στο Intune μισθωτή στον οποίο θα εισαχθούν πιστοποιητικά από το SSL.com.
  • Ένας λογαριασμός με δικαιώματα διαχειριστή Intune
    Προσθήκη χρηστών και παραχώρηση αδειών – Microsoft Intune | Microsoft Learn
  • Όλοι οι χρήστες για τους οποίους εισάγεται το πιστοποιητικό PFX θα πρέπει να έχουν εκχωρηθεί άδεια Intune
    Εκχώρηση αδειών χρήσης Microsoft Intune | Microsoft Learn
  • Η σύνδεση πιστοποιητικού Intune έχει εγκατασταθεί και ρυθμιστεί σε διακομιστή Windows
    Εγκαταστήστε το Certificate Connector για το Microsoft Intune – Azure | Microsoft Learn
  • Εξαγωγή δημόσιου κλειδιού από τον διακομιστή σύνδεσης Intune
    Χρησιμοποιήστε εισαγόμενα πιστοποιητικά PFX στο Microsoft Intune | Microsoft Learn
  • Δημιουργία εφαρμογής Enterprise στο Microsoft Entra
    Αυτός ο οδηγός προϋποθέτει ότι η εφαρμογή Enterprise θα δημιουργηθεί ήδη στους ενοικιαστές και το SSL.com θα έχει τις πληροφορίες σχετικά με την εγγεγραμμένη εταιρική εφαρμογή. Η διαδικασία εγγραφής της εφαρμογής Enterprise (χρησιμοποιώντας την πύλη Entra) εξηγείται παρακάτω.
    1. Συνδεθείτε στο portal.azure.com και αναζητήστε Αναγνωριστικό Microsoft Entra
    2. Πατήστε Επιχειρηματικές εφαρμογές
    3. Πατήστε Νέα εφαρμογή
    4. Πατήστε Δημιουργήστε τη δική σας εφαρμογή
    5. Εισαγάγετε το όνομα της εφαρμογής και κάντε κλικ Δημιουργία
    6. Η εφαρμογή δημιουργήθηκε πλέον με επιτυχία.
    7. Πατήστε Εγγραφές εφαρμογών
    8. Πατήστε Όλες οι εφαρμογές
    9. Επιλέξτε την Εφαρμογή.
      Σημειώστε το Αναγνωριστικό εφαρμογής και την Αναγνωριστικό καταλόγου: αυτά πρέπει να περάσουν στο API.
    10. Πατήστε Πιστοποιητικά και μυστικά και στη συνέχεια επιλέξτε Νέο μυστικό πελάτη
    11. Πατήστε Πιστοποίηση και προσθέστε τις διευθύνσεις URL ανακατεύθυνσης Ιστού του SSL.com. Οι διευθύνσεις URL ανακατεύθυνσης είναι https://secure.ssl.com/oauth2/azure για Παραγωγή και https://sandbox.ssl.com/oauth2/azure για το Sandbox
    12. Δώστε ένα όνομα στο κλειδί και κάντε κλικ Πρόσθεση
      Σημειώστε την τιμή του κλειδιού. Αυτό πρέπει να περάσει στο API.

  • Ρυθμίστε ένα προφίλ εισαγωγής πιστοποιητικού PKCS
    Μόλις εισαχθούν τα πιστοποιητικά στο Intune, διαμορφώστε ένα προφίλ εισαγωγής πιστοποιητικού PKCS και αντιστοιχίστε το σε σχετικές ομάδες Microsoft Entra. Λεπτομερή βήματα είναι διαθέσιμα σε αυτό Οδηγός της Microsoft.

Απαιτήσεις άδειας για την εφαρμογή Enterprise για εισαγωγή του πιστοποιητικού

  1. Κάτω από Εγγραφές εφαρμογών >> Όνομα εφαρμογής, κάντε κλικ στην επιλογή Δικαιώματα API.
  2. Πατήστε Προσθέστε μια άδεια.
  3. Πατήστε Microsoft Graph.
  4. Πατήστε Εξουσιοδοτημένα δικαιώματα και αναζητήστε user.read. Επιλέξτε τα πλαίσια για Χρήστης.Διαβάστε και Χρήστης.Διαβάστε.Όλα.
  5. Πατήστε Ανατεθειμένες άδειες και αναζητήστε "ομάδα". Επιλέξτε το πλαίσιο για Group.ReadWrite.All.
  6. Πατήστε Εξουσιοδοτημένα δικαιώματα και αναζητήστε "DeviceManagementApps". Επιλέξτε το πλαίσιο για DeviceManagementApps.ReadWrite.All.
  7. Αναζήτηση "DeviceManagementConfiguration". Επιλέξτε τα πλαίσια για DeviceManagementConfiguration.Read.All και DeviceManagementConfiguration.ReadWrite.All. Προχωρήστε για να κάνετε κλικ στο Προσθέστε δικαιώματα κουμπί.
  8. Πατήστε Προσθέστε μια άδεια.
  9. Αγορά Microsoft Graph.
  10. Πατήστε Άδεια εφαρμογής και αναζητήστε "user.read". Επιλέξτε τα πλαίσια για Χρήστης.Διαβάστε.Όλα και Χρήστης.ReadWrite.All.
  11. Πατήστε Άδεια εφαρμογής και αναζητήστε "ομάδα". Επιλέξτε το πλαίσιο για Group.ReadWrite.All.
  12. Πατήστε Άδεια εφαρμογής και αναζητήστε "DeviceManagementApps". Επιλέξτε το πλαίσιο για DeviceManagementApps.ReadWrite.All
  13. Πατήστε Άδεια εφαρμογής και αναζητήστε "DeviceManagementService". Επιλέξτε το πλαίσιο για DeviceManagementService.ReadWrite.All
  14. Αναζήτηση "DeviceManagementConfiguration" και επιλέξτε τα πλαίσια για DeviceManagementConfiguration.Read.All και DeviceManagementConfiguration.ReadWrite.All. Προχωρήστε για να κάνετε κλικ στο Προσθήκη Δικαιωμάτων κουμπί.
  15. Μόλις εκχωρηθούν όλα τα δικαιώματα, κάντε κλικ Εκχώρηση συγκατάθεσης διαχειριστή για [όνομα οργανισμού].
  16. Πατήστε Ναι να δώσει την άδεια
  17. Η άδεια θα πρέπει τώρα να χορηγηθεί με επιτυχία.

Τρόπος εξαγωγής πιστοποιητικών στην υπηρεσία καταλόγου Active Directory Azure χρησιμοποιώντας το εργαλείο ενσωμάτωσης SSL.com Azure

Οι ακόλουθες ενότητες παρέχουν οδηγίες σχετικά με τον τρόπο χρήσης του SSL.com Azure Integration Tool για την εξαγωγή πιστοποιητικών στο Azure Active Directory. 

Απαιτήσεις από το SSL.com

  1. Μια ενεργή συμφωνία προεπικύρωσης ταυτότητας γνωστή και ως Enterprise PKI (EPKI) Συμφωνία. Βρείτε οδηγίες εδώ (Εταιρεία PKI (EPKIΡύθμιση συμφωνίας) για να υποβάλετε και να ενεργοποιήσετε αυτή τη συμφωνία. Μόλις ενεργοποιηθεί, μπορούν να εκτελεστούν τα βήματα στην επόμενη ενότητα.
  2. Διαμορφώθηκε ο λογαριασμός Microsoft Entra και Intune, όπως περιγράφεται σε αυτήν την προηγούμενη ενότητα: Τρόπος ρύθμισης παραμέτρων του Microsoft Intune και του Microsoft Active Directory για S/MIME Πιστοποιητικά.

Διαμόρφωση συγχρονισμού Azure

  1. Συνδεθείτε στον λογαριασμό σας SSL.com και κάντε κλικ Ενσωματώσεις στο επάνω μενού. Από τις επιλογές που αναφέρονται, κάντε κλικ Azure AD.
  2. Συμπληρώστε τα απαιτούμενα πεδία για την ενσωμάτωση του Azure. Στη συνέχεια, κάντε κλικ στο Αποθήκευση κουμπί.
    1. Αναγνωριστικό πελάτη. Αναγνωριστικό εφαρμογής (πελάτη).
    2. Μυστικό πελάτη. Αντιγράψτε την αξία μυστικού(ων) πελάτη από τα διαπιστευτήρια πελάτη.
    3. Αναγνωριστικό μισθωτή. Ταυτότητα καταλόγου (ενοικιαστή).
    4. Δημόσιο κλειδί Intune. Η έκδοση Base64 του Δημόσιου κλειδιού εξήχθη από τον διακομιστή σύνδεσης Intune. Για περισσότερες λεπτομέρειες, ελέγξτε αυτό Πηγή της Microsoft.

Χρησιμοποιήστε το SSL.com Azure Integration Tool για έκδοση S/MIME πιστοποιητικά

  1. Μόλις η Γαλανός η ρύθμιση έχει δημιουργηθεί. Κάντε κλικ στο Εξουσιοδοτώ σύνδεσμο. 

  2. Πατήστε Χρήστες Azure έτσι ώστε η λίστα των χρηστών από το Azure να μπορεί να εισαχθεί στο σύστημα του SSL.com.

  3. Θα σας ζητηθεί να συνδεθείτε στον λογαριασμό σας Microsoft.
  4. Κάντε κλικ στο Εισαγωγή χρηστών κουμπί στο SSL.com Azure Integration Tool.
  5. Το SSL.com θα ειδοποιήσει ότι οι πληροφορίες των χρηστών του Azure στους οποίους θα εκχωρηθούν ψηφιακά πιστοποιητικά βρίσκονται σε διαδικασία εισαγωγής. Επαναλάβετε τη φόρτωση της σελίδας για να επιβεβαιώσετε ότι έχουν εισαχθεί. 
  6. Το SSL.com θα εμφανίσει τη λίστα των χρηστών του Azure, που υποδεικνύεται από το όνομα, το επίθετο και τη διεύθυνση email τους. Επιλέξτε το πλαίσιο ελέγχου για όλους τους χρήστες στους οποίους θα εκχωρηθεί πιστοποιητικό.  Ο αριθμός των χρηστών που εμφανίζονται στη λίστα μπορεί να αυξηθεί κάνοντας κλικ στο αναπτυσσόμενο βέλος στο κάτω αριστερό μέρος της σελίδας. Μετά την οριστικοποίηση των επιλεγμένων χρηστών, κάντε κλικ στο Εγγραφή πιστοποιητικού για να προχωρήσετε.
  7. Εκπληρώστε τις απαιτήσεις για το πιστοποιητικό.
    1. Πιστοποιητικό: Επιλέξτε τον τύπο πιστοποιητικού που θέλετε να εκχωρήσετε στους επιλεγμένους χρήστες.
    2. Διάρκεια: Καθορίστε το χρονικό διάστημα πριν από τη λήξη του πιστοποιητικού. 
    3. Προβλεπόμενος σκοπός: Επιλέξτε μεταξύ Γενικού Σκοπού, Κρυπτογράφηση SMIME ή Υπογραφή SMIME.
    4. Αφού οριστικοποιηθούν οι επιλογές, κάντε κλικ στο Πρόσθεση κουμπί.

  8. Σε κάθε χρήστη θα εκχωρηθεί μια νέα παραγγελία πιστοποιητικού από εδώ. Με την παρουσία ενός συμφωνητικού προεπικύρωσης ταυτότητας, κάθε παραγγελία θα επικυρώνεται αυτόματα και θα εκδίδεται. Η επιτυχής έκδοση του πιστοποιητικού μπορεί να επιβεβαιωθεί κάνοντας κλικ Παραγγελιες από το επάνω μενού, ακολουθούμενο από το καθέκαστα σύνδεσμος της συγκεκριμένης παραγγελίας. Κάνοντας κύλιση προς τα κάτω και κάνοντας κλικ στο ΤΕΛΙΚΑ ΠΙΣΤΟΠΟΙΗΤΙΚΑ ΟΝΤΟΤΗΤΩΝ ενότητα, θα εμφανιστούν τα στοιχεία του πιστοποιητικού συμπεριλαμβανομένου του ΕΚΔΟΘΗΚΕ κατάστασης. 


Σχετικοί οδηγοί: 

Το LDAP, ή το Lightweight Directory Access Protocol, είναι ένα ευρέως αναγνωρισμένο πρότυπο για τη διαχείριση υπηρεσιών πληροφοριών καταλόγου, συμπεριλαμβανομένων των δεδομένων χρηστών και ομάδων εντός ενός δικτύου. Ακριβώς όπως το Azure Active Directory, το LDAP παρέχει ισχυρή διαχείριση ψηφιακών πιστοποιητικών, αν και τα δύο συστήματα χρησιμοποιούν διαφορετικά πρωτόκολλα ασφαλείας.  Αν ψάχνετε να διαχειριστείτε το δικό σας S/MIME πιστοποιητικά με υπηρεσία που χρησιμοποιεί LDAP, ανατρέξτε σε αυτό το άρθρο του SSL.com: Ενσωμάτωση LDAP με S/MIME Πιστοποιητικά.

Μείνετε ενημερωμένοι και ασφαλείς

SSL.com είναι παγκόσμιος ηγέτης στον τομέα της κυβερνοασφάλειας, PKI και ψηφιακά πιστοποιητικά. Εγγραφείτε για να λαμβάνετε τα πιο πρόσφατα νέα του κλάδου, συμβουλές και ανακοινώσεις προϊόντων από SSL.com.

Θα θέλαμε τα σχόλιά σας

Συμμετάσχετε στην έρευνά μας και πείτε μας τις σκέψεις σας για την πρόσφατη αγορά σας.