¿Qué es Azure Active Directory?
Azure Active Directory (Azure AD) funciona como un sólido servicio de administración de identidades y acceso al integrar la administración de certificados digitales. Esta capacidad permite a las organizaciones centralizar su gestión de certificados, mejorando la seguridad y simplificando las tareas administrativas. Al aprovechar Azure AD, las empresas se aseguran de que sus certificados digitales se administren con alta disponibilidad y cumplan con los estándares de la industria, salvaguardando así la información y las comunicaciones confidenciales.¿Qué es Microsoft Intune?
Microsoft Intune agiliza la implementación de S/MIME certificados en varios dispositivos, mejorando la seguridad del correo electrónico mediante cifrado y firmas digitales. Al aprovechar Intune, las organizaciones pueden entregar automáticamente S/MIME certificados de firma y cifrado para dispositivos que se ejecutan en Android, iOS/iPadOS, macOS y Windows 10/11. En dispositivos iOS que utilizan el cliente de correo nativo y en dispositivos iOS y Android que utilizan Outlook, el S/MIME Los certificados se asocian automáticamente con los perfiles de correo, lo que garantiza una integración perfecta y una seguridad mejorada del correo electrónico. Para plataformas Windows y macOS, así como otros clientes de correo en iOS y Android, Intune facilitará la distribución de S/MIME certificados. Sin embargo, los usuarios deben habilitar manualmente S/MIME en sus respectivas solicitudes de correo y seleccionar sus certificados. Esta capacidad de Intune simplifica el proceso de implementación, asegurando que S/MIME Los certificados están disponibles en los dispositivos administrados, lo que mejora la seguridad general del correo electrónico al permitir comunicaciones por correo electrónico cifradas y firmadas en toda la organización.Fortalezca la seguridad de su correo electrónico y proteja los datos confidenciales con SSL.com S/MIME Certificados.
Cómo configurar Microsoft Intune y Microsoft Active Directory para S/MIME Certificados
Requisitos previos
A continuación se enumeran los requisitos previos para la API. Estos deben configurarse en Intune. inquilino al que se importarán los certificados desde SSL.com.- Una cuenta con derechos de administrador de Intune.
Agregar usuarios y otorgar permisos – Microsoft Intune | Microsoft aprende - Todos los usuarios para quienes se importa el certificado PFX deben tener Intune licencia asignada.
Asignar licencias de Microsoft Intune | Microsoft aprende - Conector de certificado de Intune instalado y configurado en un servidor Windows.
Instale el conector de certificado para Microsoft Intune – Azure | Microsoft aprende - Clave pública exportada desde el servidor del conector de Intune.
Utilice certificados PFX importados en Microsoft Intune | Microsoft aprende - Crear una aplicación empresarial en Microsoft Entra
Esta guía supone que la aplicación empresarial ya estará creada en los inquilinos y SSL.com tendrá la información sobre la aplicación empresarial registrada. El proceso para registrar la aplicación Enterprise (usando el portal Entra) se explica a continuación.- Inicie sesión en portal.azure.com y busque ID de entrada de Microsoft
- Haz Clic Aplicaciones empresariales
- Haz Clic Nueva aplicación
- Haz Clic Crea tu propia aplicación
- Ingrese el nombre de la aplicación y haga clic Crear
- La aplicación ahora se creó exitosamente.
- Haz Clic Registros de aplicaciones
- Haz Clic Todas las Aplicaciones
- Seleccione la aplicación.
Nota la ID de aplicación hasta Id. de directorio: estos deben pasarse a la API. - Haz Clic Certificados y secretos Y luego seleccione Nuevo secreto de cliente
- Haz Clic Autenticación y agregue las URL de redireccionamiento web de SSL.com. Las URL de redireccionamiento son https://secure.ssl.com/oauth2/azure para la producción y https://sandbox.ssl.com/oauth2/azure para caja de arena
- Proporcione un nombre a la clave y haga clic Añadir el archivo
Tenga en cuenta el valor de la clave. Esto debe pasarse a la API.
Requisitos de permiso para que la aplicación Enterprise importe el certificado
- bajo Registros de aplicaciones >> Nombre de la aplicación, haga clic en Permisos de API.
- Haz Clic Agregar un permiso.
- Haz Clic Microsoft Graph.
- Haz Clic Permisos delegados y busque usuario.read. Marque las casillas para Usuario. Leer y Usuario.Leer.todo.
- Haz Clic Permisos delegados y busque “grupo”. Marque la casilla para Grupo.LeerEscribir.Todos.
- Haz Clic Permisos delegados y busque "DeviceManagementApps". Marque la casilla para DeviceManagementApps.ReadWrite.All.
- Busque “Configuración de gestión de dispositivos”. Marque las casillas para Configuración de gestión de dispositivos.Leer.Todo y Configuración de gestión de dispositivos.ReadWrite.All. Proceda a hacer clic en el Agregar permisos del botón.
- Haz Clic Agregar un permiso.
- Seleccione Microsoft Graph.
- Haz Clic Permisos de aplicación y busque "usuario.read". Marque las casillas para Usuario.Leer.todo y Usuario.LeerEscribir.Todo.
- Haz Clic Permisos de aplicación y busque “grupo”. Marque la casilla para Grupo.LeerEscribir.Todos.
- Haz Clic Permisos de aplicación y busque "deviceManagementApps". Marque la casilla para DeviceManagementApps.ReadWrite.All
- Haz Clic Permisos de aplicación y busque "DeviceManagementService". Marque la casilla para DeviceManagementService.ReadWrite.All
- Busque “DeviceManagementConfiguration” y marque las casillas para Configuración de gestión de dispositivos.Leer.Todo y DeviceManagementConfiguration.ReadWrite.All. Proceda a hacer clic en el Agregar permisos del botón.
- Una vez asignados todos los derechos, haga clic en Otorgar consentimiento de administrador para [nombre de la organización].
- Haz Clic Si para conceder el permiso
- El permiso ahora debería otorgarse exitosamente.
Cómo exportar certificados a Azure Active Directory utilizando la herramienta de integración de Azure SSL.com
Las siguientes secciones proporcionan instrucciones sobre cómo utilizar la herramienta de integración de Azure SSL.com para exportar certificados a Azure Active Directory.Requisitos de SSL.com
- Un acuerdo activo de validación previa de identidad, también conocido como Enterprise PKI (EPKI) Acuerdo. Encuentre instrucciones aquí (Empresa PKI (EPKI) Configuración del acuerdo) para enviar y activar este acuerdo. Una vez activado, se pueden realizar los pasos de la siguiente sección.
- Cuenta Microsoft Entra e Intune configurada, como se describe en esta sección anterior: Cómo configurar Microsoft Intune y Microsoft Active Directory para S/MIME Certificados.
Configurar la sincronización de Azure
- Inicie sesión en su cuenta SSL.com y haga clic Integraciones en el menú superior. De las opciones enumeradas, haga clic en Azure AD.
- Complete los campos obligatorios para la integración de Azure. Luego haga clic en el Guardar del botón.
- ID de cliente. ID de la aplicación (cliente).
- Secreto del cliente. Copie el valor de los secretos del cliente de las credenciales del cliente.
- Identificación del inquilino. ID del directorio (inquilino).
- Clave pública de Intune. Versión Base64 de la clave pública exportada desde el servidor del conector de Intune. Para más detalles, mira esto recurso de microsoft.
Utilice la herramienta de integración de Azure SSL.com para la emisión de S/MIME certificados
- Una vez que la Azure Se ha creado la configuración. Haga clic en el Autorizar .
- Haz Clic Usuarios de Azure para que la lista de usuarios de Azure pueda importarse al sistema de SSL.com.
- Se le pedirá que inicie sesión en su cuenta de Microsoft.
- Haga clic en el Importar usuarios en la herramienta de integración de Azure de SSL.com.
- SSL.com notificará que la información de los usuarios de Azure a los que se les asignarán certificados digitales se encuentra en proceso de importación. Vuelva a cargar la página para confirmar que se han importado.
- SSL.com mostrará la lista de usuarios de Azure, indicados por su nombre, apellido y dirección de correo electrónico. Marque la casilla de verificación para todos los usuarios a los que se les asignará un certificado. La cantidad de usuarios que se muestran en la lista se puede aumentar haciendo clic en la flecha desplegable en la parte inferior izquierda de la página. Una vez finalizados los usuarios seleccionados, haga clic en el Certificado de inscripción Para continuar.
- Cumplir con los requisitos para el certificado.
- Certificado: Elija el tipo de certificado que desea asignar para los usuarios seleccionados.
- Duración: especifique el período de tiempo antes de que caduque el certificado.
- Finalidad prevista: Elija entre Propósito general, Cifrado SMIME o Firma SMIME.
- Una vez finalizadas las opciones, haga clic en el Añadir el archivo del botón.
- Certificado: Elija el tipo de certificado que desea asignar para los usuarios seleccionados.
- A cada usuario se le asignará un nuevo pedido de certificado desde aquí. Con la presencia de un acuerdo de prevalidación de Identidad, cada pedido será autovalidado y emitido. La emisión exitosa del certificado se puede confirmar haciendo clic Mis Pedidos en el menú superior, seguido del detalles enlace del pedido particular. Al desplazarse hacia abajo y hacer clic en CERTIFICADOS DE ENTIDAD FINAL apartado aparecerá el detalle del certificado incluyendo su EMITIDO de estado.