Introducción
Microsoft Intune permite la integración de certificados PFX importados, que a menudo se utilizan para S/MIME cifrado en perfiles de correo electrónico. Intune admite la importación de certificados PFX en estas plataformas:- Administrador de dispositivos Android
- Empresa Android:
- Gestión Completa
- Perfil de trabajo de propiedad corporativa
- Perfil de trabajo de propiedad personal
- iOS / iPadOS
- macOS
- Windows 10 / 11
Entender S/MIME Implementación de certificados mediante Intune
Cuando se utiliza Intune para implementar un certificado PFX importado para un usuario, dos componentes clave desempeñan un papel junto con el dispositivo:- Servicio Intune: Este servicio almacena de forma segura los certificados PFX en un formato cifrado y administra su implementación en el dispositivo del usuario. Las contraseñas que protegen las claves privadas de estos certificados se cifran antes de ser cargadas, ya sea mediante un módulo de seguridad de hardware (HSM) o criptografía de Windows. Esto garantiza que Intune nunca tenga acceso a las claves privadas.
- Conector de certificado para Microsoft Intune: Cuando un dispositivo solicita un certificado PFX importado, la contraseña cifrada, el certificado y la clave pública del dispositivo se envían al conector. El conector descifra la contraseña utilizando la clave privada local y, luego, vuelve a cifrar la contraseña con la clave del dispositivo. Luego, el certificado se devuelve a Intune, que lo envía al dispositivo. El dispositivo lo descifra con su propia clave privada e instala el certificado.
Roles específicos de los actores
- Identificación de entrada: Funciona como el principal proveedor de identidad, integrándose con varios servicios y aplicaciones empresariales de Microsoft.
- Afinado: Administra los dispositivos que están inscritos en el sistema, aplica políticas de seguridad e implementa certificados.
- S/MIME certificados: Proporcionados por SSL.com, estos certificados garantizan una comunicación por correo electrónico segura a través del cifrado y la firma del correo electrónico.
- Entrar Conectar: Vincula Active Directory local con Azure Entra ID para proporcionar una solución de identidad híbrida.
- Dispositivos: Estos están inscritos en Intune y protegidos con certificados, lo que brinda a los usuarios acceso seguro a los recursos corporativos.
Resumen del flujo de trabajo
- La organización registra su aplicación empresarial en Entra ID.
- Los detalles de la aplicación empresarial también están registrados en SSL.com.
- Los administradores de Intune compran certificados para los usuarios en SSL.com.
- Durante la compra, los administradores seleccionan el propósito del certificado, como uso general, S/MIME Cifrado, o S/MIME Firma.
- Luego, el certificado PFX se importa a Intune para la cuenta del usuario.
- Intune se conecta con el conector de Intune para validar el certificado.
- Una vez validado, Intune implementa el certificado en el dispositivo del usuario.
Fortalezca la seguridad de su correo electrónico y proteja los datos confidenciales con SSL.com S/MIME Certificados.
Cómo configurar Microsoft Intune y Microsoft Active Directory para S/MIME Certificados
Requisitos previos
A continuación se enumeran los requisitos previos para la API. Estos deben configurarse en Intune. inquilino al que se importarán los certificados desde SSL.com.- Una cuenta con derechos de administrador de Intune
Agregar usuarios y otorgar permisos – Microsoft Intune | Microsoft aprende - Todos los usuarios para los que se importa el certificado PFX deben tener una licencia de Intune asignada
Asignar licencias de Microsoft Intune | Microsoft aprende - Conector de certificado de Intune instalado y configurado en un servidor Windows
Instale el conector de certificado para Microsoft Intune – Azure | Microsoft aprende - Clave pública exportada desde el servidor del conector Intune
Utilice certificados PFX importados en Microsoft Intune | Microsoft aprende - Crear una aplicación empresarial en Microsoft Entra
Esta guía supone que la aplicación empresarial ya estará creada en los inquilinos y SSL.com tendrá la información sobre la aplicación empresarial registrada. El proceso para registrar la aplicación Enterprise (usando el portal Entra) se explica a continuación.- Inicie sesión en portal.azure.com y busque ID de entrada de Microsoft
- Haga clic en Aplicaciones empresariales
- Haga clic en Nueva aplicación
- Haga clic en Crea tu propia aplicación
- Ingrese el nombre de la aplicación y haga clic Crea
- La aplicación ahora se creó exitosamente.
- Haga clic en Registros de aplicaciones
- Haga clic en Todas las Aplicaciones
- Seleccione la aplicación.
Nota la ID de aplicación y la Id. de directorio: estos deben pasarse a la API. - Haga clic en Certificados y secretos Y luego seleccione Nuevo secreto de cliente
- Haga clic en Autenticación y agregue las URL de redireccionamiento web de SSL.com. Las URL de redireccionamiento son https://secure.ssl.com/oauth2/azure para la producción y https://sandbox.ssl.com/oauth2/azure para caja de arena
- Proporcione un nombre a la clave y haga clic Añadir el archivo
Tenga en cuenta el valor de la clave. Esto debe pasarse a la API.
- Configurar un perfil de importación de certificado PKCS
Una vez que los certificados se hayan importado a Intune, configure un perfil de importación de certificados PKCS y asígnelo a los grupos de Microsoft Entra correspondientes. Los pasos detallados están disponibles en este Guía de Microsoft.
Requisitos de permiso para que la aplicación Enterprise importe el certificado
- bajo Registros de aplicaciones >> Nombre de la aplicación, haga clic en Permisos de API.
- Haga clic en Agregar un permiso.
- Haga clic en Microsoft Graph.
- Haga clic en Permisos delegados y busque usuario.read. Marque las casillas para Usuario. Leer y Usuario.Leer.todo.
- Haga clic en Permisos delegados y busque “grupo”. Marque la casilla para Grupo.LeerEscribir.Todos.
- Haga clic en Permisos delegados y busque "DeviceManagementApps". Marque la casilla para DeviceManagementApps.ReadWrite.All.
- Busque “Configuración de gestión de dispositivos”. Marque las casillas para Configuración de gestión de dispositivos.Leer.Todo y Configuración de gestión de dispositivos.ReadWrite.All. Proceda a hacer clic en el Agregar permisos del botón.
- Haga clic en Agregar un permiso.
- Seleccionar Microsoft Graph.
- Haga clic en Permisos de aplicación y busque "usuario.read". Marque las casillas para Usuario.Leer.todo y Usuario.LeerEscribir.Todo.
- Haga clic en Permisos de aplicación y busque “grupo”. Marque la casilla para Grupo.LeerEscribir.Todos.
- Haga clic en Permisos de aplicación y busque "deviceManagementApps". Marque la casilla para DeviceManagementApps.ReadWrite.All
- Haga clic en Permisos de aplicación y busque "DeviceManagementService". Marque la casilla para DeviceManagementService.ReadWrite.All
- Busque “DeviceManagementConfiguration” y marque las casillas para Configuración de gestión de dispositivos.Leer.Todo y DeviceManagementConfiguration.ReadWrite.All. Proceda a hacer clic en el Agregar permisos del botón.
- Una vez asignados todos los derechos, haga clic en Otorgar consentimiento de administrador para [nombre de la organización].
- Haga clic en Sí para conceder el permiso
- El permiso ahora debería otorgarse exitosamente.
Cómo exportar certificados a Azure Active Directory utilizando la herramienta de integración de Azure SSL.com
Las siguientes secciones proporcionan instrucciones sobre cómo utilizar la herramienta de integración de Azure SSL.com para exportar certificados a Azure Active Directory.Requisitos de SSL.com
- Un acuerdo activo de validación previa de identidad, también conocido como Enterprise PKI (EPKI) Acuerdo. Encuentre instrucciones aquí (Empresa PKI (EPKI) Configuración del acuerdo) para enviar y activar este acuerdo. Una vez activado, se pueden realizar los pasos de la siguiente sección.
- Cuenta Microsoft Entra e Intune configurada, como se describe en esta sección anterior: Cómo configurar Microsoft Intune y Microsoft Active Directory para S/MIME Certificados.
Configurar la sincronización de Azure
- Inicie sesión en su cuenta SSL.com y haga clic Integraciones en el menú superior. De las opciones enumeradas, haga clic en Azure AD.
- Complete los campos obligatorios para la integración de Azure. Luego haga clic en el Guardar del botón.
- ID de cliente. ID de la aplicación (cliente).
- Secreto del cliente. Copie el valor de los secretos del cliente de las credenciales del cliente.
- Identificación del inquilino. ID del directorio (inquilino).
- Clave pública de Intune. Versión Base64 de la clave pública exportada desde el servidor del conector de Intune. Para más detalles, mira esto recurso de microsoft.
Utilice la herramienta de integración de Azure SSL.com para la emisión de S/MIME certificados
- Una vez que la Azure Se ha creado la configuración. Haga clic en el Autorizar .
- Haga clic en Usuarios de Azure para que la lista de usuarios de Azure pueda importarse al sistema de SSL.com.
- Se le pedirá que inicie sesión en su cuenta de Microsoft.
- Haz clic en el botón Importar usuarios en la herramienta de integración de Azure de SSL.com.
- SSL.com notificará que la información de los usuarios de Azure a los que se les asignarán certificados digitales se encuentra en proceso de importación. Vuelva a cargar la página para confirmar que se han importado.
- SSL.com mostrará la lista de usuarios de Azure, indicados por su nombre, apellido y dirección de correo electrónico. Marque la casilla de verificación para todos los usuarios a los que se les asignará un certificado. La cantidad de usuarios que se muestran en la lista se puede aumentar haciendo clic en la flecha desplegable en la parte inferior izquierda de la página. Una vez finalizados los usuarios seleccionados, haga clic en el Certificado de inscripción Para continuar.
- Cumplir con los requisitos para el certificado.
- Certificado: Elija el tipo de certificado que desea asignar para los usuarios seleccionados.
- Duración: especifique el período de tiempo antes de que caduque el certificado.
- Finalidad prevista: Elija entre Propósito general, Cifrado SMIME o Firma SMIME.
- Una vez finalizadas las opciones, haga clic en el Añadir el archivo del botón.
- Certificado: Elija el tipo de certificado que desea asignar para los usuarios seleccionados.
- A cada usuario se le asignará un nuevo pedido de certificado desde aquí. Con la presencia de un acuerdo de prevalidación de Identidad, cada pedido será autovalidado y emitido. La emisión exitosa del certificado se puede confirmar haciendo clic Mis Pedidos en el menú superior, seguido del detalles enlace del pedido particular. Al desplazarse hacia abajo y hacer clic en CERTIFICADOS DE ENTIDAD FINAL apartado aparecerá el detalle del certificado incluyendo su EMITIDO de estado.