S/MIME Sertifikaattien hallinta Microsoft Azure Active Directorylla ja inTune SSL.com Azure Integration Tool -työkalulla

esittely

Microsoft Intune mahdollistaa tuotujen PFX-sertifikaattien integroinnin, joita usein käytetään S/MIME salaus sähköpostiprofiileissa. Intune tukee PFX-sertifikaattien tuontia seuraavilla alustoilla:

  • Android-laitteen järjestelmänvalvoja
  • Android Enterprise:
    • Täysin hoidettu
    • Yrityksen omistama työprofiili
    • Henkilökohtainen työprofiili
  • iOS / iPadOS
  • macOS
  • Windows 10 / 11

Ymmärtäminen S/MIME Sertifikaatin käyttöönotto Intunen avulla

Kun Intunea käytetään tuodun PFX-varmenteen käyttöönottamiseksi käyttäjälle, laitteen rinnalla on kaksi avainkomponenttia:
  • Intune-palvelu: Tämä palvelu tallentaa PFX-sertifikaatit turvallisesti salatussa muodossa ja hallitsee niiden käyttöönottoa käyttäjän laitteelle. Näiden sertifikaattien yksityisiä avaimia suojaavat salasanat salataan ennen lataamista joko laitteiston suojausmoduulilla (HSM) tai Windows Cryptographylla. Tämä varmistaa, että Intune ei koskaan pääse käsiksi yksityisiin avaimiin.
  • Microsoft Intunen varmenneliitin: Kun laite pyytää tuotua PFX-sertifikaattia, salattu salasana, varmenne ja laitteen julkinen avain välitetään liittimeen. Liitin purkaa salasanan salauksen käyttämällä paikallista yksityistä avainta ja salaa sitten salasanan uudelleen laiteavaimella. Varmenne palautetaan sitten Intunelle, joka toimittaa sen laitteelle. Laite purkaa sen salauksen omalla yksityisellä avaimellaan ja asentaa varmenteen.

Näyttelijöiden erityiset roolit

  • Sisääntulotunnus: Toimii pääasiallisena identiteetin tarjoajana, joka integroituu erilaisiin Microsoft-palveluihin ja yrityssovelluksiin.
  • Vireessä: Hallitsee järjestelmään rekisteröityjä laitteita, soveltaa suojauskäytäntöjä ja ottaa käyttöön varmenteita.
  • S/MIME Sertifikaatit: Nämä SSL.comin tarjoamat sertifikaatit varmistavat suojatun sähköpostiviestinnän salauksen ja sähköpostin allekirjoittamisen avulla.
  • Entra Connect: Linkittää paikallisen Active Directoryn Azure Entra ID:hen tarjotakseen hybridi-identiteettiratkaisun.
  • Laitteet: Ne on rekisteröity Intunessa ja suojattu varmenteilla, mikä antaa käyttäjille turvallisen pääsyn yrityksen resursseihin.

Työnkulun yhteenveto

  1. Organisaatio rekisteröi yrityssovelluksensa Entra ID:hen.
  2. Yrityssovelluksen tiedot on myös rekisteröity SSL.com:iin.
  3. Intune-järjestelmänvalvojat ostavat käyttäjille sertifikaatteja SSL.comista.
  4. Ylläpitäjät valitsevat oston yhteydessä varmenteen tarkoituksen, kuten yleisen käytön, S/MIME Salaus tai S/MIME Allekirjoitus.
  5. PFX-sertifikaatti tuodaan sitten Intuneen käyttäjän tiliä varten.
  6. Intune muodostaa yhteyden Intune-liittimeen varmenteen vahvistamiseksi.
  7. Vahvistuksen jälkeen Intune ottaa varmenteen käyttöön käyttäjän laitteelle.
Työnkulun ja integroinnin tarkkoja vaiheita käsitellään seuraavissa osioissa.
Vahvista sähköpostisi turvallisuutta ja suojaa arkaluontoiset tiedot SSL.com:n avulla S/MIME todistukset.

Suojaa sähköpostisi

Kuinka määrittää Microsoft Intune ja Microsoft Active Directory S/MIME Sertifioinnit

Edellytykset

Alla on lueteltu API:n edellytykset. Nämä on määritettävä Intunessa vuokralainen, jolle varmenteet tuodaan SSL.comista.

Yrityssovelluksen lupavaatimukset tuoda varmenne

  1. Alle Sovellusten rekisteröinnit >> sovelluksen nimi, napsauta API-oikeudet.
  2. Napauta Lisää lupa.
  3. Napauta Microsoft Graph.
  4. Napauta Delegoidut käyttöoikeudet ja etsi käyttäjä.read. Valitse valintaruudut Käyttäjä.Lue ja Käyttäjä.Lue.Kaikki.
  5. Napauta Delegoidut käyttöoikeudet ja etsi "ryhmä". Valitse valintaruutu Group.ReadWrite.All.
  6. Napauta Delegoidut käyttöoikeudet ja etsi "DeviceManagementApps". Valitse valintaruutu DeviceManagementApps.ReadWrite.All.
  7. Etsi "DeviceManagementConfiguration". Valitse valintaruudut DeviceManagementConfiguration.Read.All ja DeviceManagementConfiguration.ReadWrite.All. Jatka napsauttamalla Lisää käyttöoikeudet painiketta.
  8. Napauta Lisää lupa.
  9. valita Microsoft Graph.
  10. Napauta Sovellusluvat ja etsi "user.read". Valitse valintaruudut Käyttäjä.Lue.Kaikki ja User.ReadWrite.All.
  11. Napauta Sovellusluvat ja etsi "ryhmä". Valitse valintaruutu Group.ReadWrite.All.
  12. Napauta Sovellusluvat ja etsi "deviceManagementApps". Valitse valintaruutu DeviceManagementApps.ReadWrite.All
  13. Napauta Sovellusluvat ja etsi "DeviceManagementService". Valitse valintaruutu DeviceManagementService.ReadWrite.All
  14. Etsi "DeviceManagementConfiguration" ja valitse valintaruudut DeviceManagementConfiguration.Read.All ja DeviceManagementConfiguration.ReadWrite.All. Jatka napsauttamalla Lisää käyttöoikeudet painiketta.
  15. Kun kaikki oikeudet on annettu, napsauta Myönnä järjestelmänvalvojan suostumus organisaatiolle [organisaation nimi].
  16. Napauta Kyllä myöntämään luvan
  17. Lupa pitäisi nyt myöntää onnistuneesti.

Varmenteiden vieminen Azure Active Directoryyn SSL.com Azure Integration Tool -työkalun avulla

Seuraavissa osissa on ohjeita SSL.com Azure Integration Toolin käyttämiseen sertifikaattien viemiseen Azure Active Directoryyn. 

SSL.comin vaatimukset

  1. Aktiivinen henkilöllisyyden esivahvistussopimus, joka tunnetaan myös nimellä Enterprise PKI (EPKI) sopimus. Ohjeet löydät täältä (yritys PKI (EPKI) Sopimuksen asetus) lähettääksesi ja aktivoidaksesi tämän sopimuksen. Kun se on aktivoitu, seuraavan osan vaiheet voidaan suorittaa.
  2. Määritetty Microsoft Entra- ja Intune-tili, kuten tässä edellisessä osiossa on kuvattu: Kuinka määrittää Microsoft Intune ja Microsoft Active Directory S/MIME Sertifioinnit.

Määritä Azure Sync

  1. Kirjaudu sisään SSL.com-tilillesi ja napsauta Integraatiot ylävalikosta. Napsauta luettelossa olevista vaihtoehdoista Azure AD.
  2. Täytä pakolliset kentät Azure-integraatiota varten. Napsauta sen jälkeen Säästä painiketta.
    1. Asiakastunnus. Sovellus (asiakas) ID.
    2. Asiakassalaisuus. Kopioi asiakkaan salaisuuden arvot asiakkaan tunnistetiedoista.
    3. Vuokralainen tunnus. Hakemiston (vuokralaisen) tunnus.
    4. Intune julkinen avain. Intune-liitinpalvelimelta viety julkisen avaimen Base64-versio. Katso lisätietoja tästä Microsoftin resurssi.

Käytä SSL.com Azure Integration Tool -työkalua myöntämiseen S/MIME todistukset

  1. Kun Taivaansininen asetus on luotu. Klikkaa valtuuttaa linkki. 

  2. Napauta Azure-käyttäjät jotta Azuren käyttäjäluettelo voidaan tuoda SSL.comin järjestelmään.

  3. Sinua pyydetään kirjautumaan Microsoft-tilillesi.
  4. Valitse Tuo käyttäjät -painiketta SSL.com Azure Integration Tool -työkalussa.
  5. SSL.com ilmoittaa, että niiden Azure-käyttäjien tietoja, joille myönnetään digitaaliset varmenteet, tuodaan parhaillaan. Päivitä sivu varmistaaksesi, että ne on tuotu. 
  6. SSL.com näyttää luettelon Azure-käyttäjistä, jotka on merkitty heidän etunimensä, sukunimensä ja sähköpostiosoitteensa. Valitse kaikkien niiden käyttäjien valintaruudut, joille annetaan varmenne.  Listassa näytettävien käyttäjien määrää voidaan lisätä napsauttamalla sivun vasemmassa alakulmassa olevaa alasvetovalikkoa. Kun valitut käyttäjät on viimeistelty, napsauta Ilmoittautumistodistus painiketta jatkaaksesi.
  7. Täytä sertifikaatin vaatimukset.
    1. Todistus: Valitse varmenteen tyyppi, jonka haluat määrittää valituille käyttäjille.
    2. Kesto: Määritä aika, jonka kuluttua varmenne vanhenee. 
    3. Tarkoitus: Valitse yleiskäyttöinen, SMIME-salaus tai SMIME-allekirjoitus.
    4. Kun valinnat on viimeistelty, napsauta Lisää painiketta.

  8. Jokaiselle käyttäjälle määrätään uusi varmennetilaus täältä. Kun henkilöllisyyden esivahvistussopimus on olemassa, jokainen tilaus vahvistetaan ja myönnetään automaattisesti. Sertifikaatin onnistuneen myöntämisen voi vahvistaa napsauttamalla määräys ylävalikosta ja sen jälkeen yksityiskohdat tietyn tilauksen linkki. Vieritä alas ja napsauta LOPETA YKSIKÖN SERTIFIKAATIT -osiossa varmenteen tiedot, mukaan lukien sen ANNETTU tila. 


Aiheeseen liittyviä oppaita: 

LDAP eli Lightweight Directory Access Protocol on laajalti tunnustettu standardi hakemistotietopalvelujen hallintaan, mukaan lukien verkon käyttäjä- ja ryhmätiedot. Aivan kuten Azure Active Directory, LDAP tarjoaa vankan digitaalisten sertifikaattien hallinnan, vaikka molemmat järjestelmät käyttävät erillisiä suojausprotokollia.  Jos aiot hallita omaa S/MIME LDAP:ta käyttävän palvelun varmenteita, katso tämä SSL.com-artikkeli: LDAP-integrointi S/MIME Sertifioinnit.

Pysy ajan tasalla ja turvassa

SSL.com on maailman johtava kyberturvallisuuden johtaja, PKI ja digitaaliset sertifikaatit. Rekisteröidy saadaksesi viimeisimmät alan uutiset, vinkit ja tuoteilmoitukset SSL.com.

Otamme mielellämme palautetta vastaan

Vastaa kyselyymme ja kerro meille mielipiteesi viimeaikaisesta ostoksestasi.