esittely
Microsoft Intune mahdollistaa tuotujen PFX-sertifikaattien integroinnin, joita usein käytetään S/MIME salaus sähköpostiprofiileissa. Intune tukee PFX-sertifikaattien tuontia seuraavilla alustoilla:- Android-laitteen järjestelmänvalvoja
- Android Enterprise:
- Täysin hoidettu
- Yrityksen omistama työprofiili
- Henkilökohtainen työprofiili
- iOS / iPadOS
- macOS
- Windows 10 / 11
Ymmärtäminen S/MIME Sertifikaatin käyttöönotto Intunen avulla
Kun Intunea käytetään tuodun PFX-varmenteen käyttöönottamiseksi käyttäjälle, laitteen rinnalla on kaksi avainkomponenttia:- Intune-palvelu: Tämä palvelu tallentaa PFX-sertifikaatit turvallisesti salatussa muodossa ja hallitsee niiden käyttöönottoa käyttäjän laitteelle. Näiden sertifikaattien yksityisiä avaimia suojaavat salasanat salataan ennen lataamista joko laitteiston suojausmoduulilla (HSM) tai Windows Cryptographylla. Tämä varmistaa, että Intune ei koskaan pääse käsiksi yksityisiin avaimiin.
- Microsoft Intunen varmenneliitin: Kun laite pyytää tuotua PFX-sertifikaattia, salattu salasana, varmenne ja laitteen julkinen avain välitetään liittimeen. Liitin purkaa salasanan salauksen käyttämällä paikallista yksityistä avainta ja salaa sitten salasanan uudelleen laiteavaimella. Varmenne palautetaan sitten Intunelle, joka toimittaa sen laitteelle. Laite purkaa sen salauksen omalla yksityisellä avaimellaan ja asentaa varmenteen.
Näyttelijöiden erityiset roolit
- Sisääntulotunnus: Toimii pääasiallisena identiteetin tarjoajana, joka integroituu erilaisiin Microsoft-palveluihin ja yrityssovelluksiin.
- Vireessä: Hallitsee järjestelmään rekisteröityjä laitteita, soveltaa suojauskäytäntöjä ja ottaa käyttöön varmenteita.
- S/MIME Sertifikaatit: Nämä SSL.comin tarjoamat sertifikaatit varmistavat suojatun sähköpostiviestinnän salauksen ja sähköpostin allekirjoittamisen avulla.
- Entra Connect: Linkittää paikallisen Active Directoryn Azure Entra ID:hen tarjotakseen hybridi-identiteettiratkaisun.
- Laitteet: Ne on rekisteröity Intunessa ja suojattu varmenteilla, mikä antaa käyttäjille turvallisen pääsyn yrityksen resursseihin.
Työnkulun yhteenveto
- Organisaatio rekisteröi yrityssovelluksensa Entra ID:hen.
- Yrityssovelluksen tiedot on myös rekisteröity SSL.com:iin.
- Intune-järjestelmänvalvojat ostavat käyttäjille sertifikaatteja SSL.comista.
- Ylläpitäjät valitsevat oston yhteydessä varmenteen tarkoituksen, kuten yleisen käytön, S/MIME Salaus tai S/MIME Allekirjoitus.
- PFX-sertifikaatti tuodaan sitten Intuneen käyttäjän tiliä varten.
- Intune muodostaa yhteyden Intune-liittimeen varmenteen vahvistamiseksi.
- Vahvistuksen jälkeen Intune ottaa varmenteen käyttöön käyttäjän laitteelle.
Vahvista sähköpostisi turvallisuutta ja suojaa arkaluontoiset tiedot SSL.com:n avulla S/MIME todistukset.
Kuinka määrittää Microsoft Intune ja Microsoft Active Directory S/MIME Sertifioinnit
Edellytykset
Alla on lueteltu API:n edellytykset. Nämä on määritettävä Intunessa vuokralainen, jolle varmenteet tuodaan SSL.comista.- Tili, jolla on Intune-järjestelmänvalvojan oikeudet
Lisää käyttäjiä ja myönnä käyttöoikeuksia – Microsoft Intune | Microsoft Learn - Kaikille käyttäjille, joille PFX-sertifikaatti tuodaan, tulee olla määritetty Intune-lisenssi
Määritä Microsoft Intune -käyttöoikeudet | Microsoft Learn - Intune-varmenneliitin asennettu ja määritetty Windows-palvelimelle
Asenna Certificate Connector for Microsoft Intune – Azure | Microsoft Learn - Julkinen avain viety Intune-liitinpalvelimelta
Käytä tuotuja PFX-varmenteita Microsoft Intunessa | Microsoft Learn - Luo Enterprise-sovellus Microsoft Entrassa
Tässä oppaassa oletetaan, että Enterprise-sovellus on jo luotu vuokralaisilla ja SSL.com-sivustolla on tiedot rekisteröidystä yrityssovelluksesta. Enterprise-sovelluksen rekisteröintiprosessi (Entra-portaalin avulla) selitetään alla.- Kirjaudu osoitteeseen portal.azure.com ja etsi Microsoft Access ID
- Napauta Enterprise-sovellukset
- Napauta Uusi sovellus
- Napauta Luo oma sovellus
- Kirjoita sovelluksen nimi ja napsauta luoda
- Sovellus on nyt luotu onnistuneesti.
- Napauta Sovellusten rekisteröinnit
- Napauta Kaikki sovellukset
- Valitse Sovellus.
Huomaa Sovelluksen tunnus ja Hakemiston tunnus: nämä on välitettävä API:lle. - Napauta Sertifikaatit ja salaisuudet ja valitse sitten Uusi asiakassalaisuus
- Napauta Authentication ja lisää SSL.comin Web Redirect -URL-osoitteet. Uudelleenohjauksen URL-osoitteet ovat https://secure.ssl.com/oauth2/azure tuotantoon ja https://sandbox.ssl.com/oauth2/azure Sandboxille
- Anna avaimelle nimi ja napsauta Lisää
Huomaa avaimen arvo. Tämä on välitettävä API:lle.
- Määritä PKCS-varmenteen tuontiprofiili
Kun varmenteet on tuotu Intuneen, määritä PKCS-varmenteiden tuontiprofiili ja määritä se asiaankuuluviin Microsoft Entra -ryhmiin. Yksityiskohtaiset vaiheet ovat saatavilla tästä Microsoftin opas.
Yrityssovelluksen lupavaatimukset tuoda varmenne
- Alle Sovellusten rekisteröinnit >> sovelluksen nimi, napsauta API-oikeudet.
- Napauta Lisää lupa.
- Napauta Microsoft Graph.
- Napauta Delegoidut käyttöoikeudet ja etsi käyttäjä.read. Valitse valintaruudut Käyttäjä.Lue ja Käyttäjä.Lue.Kaikki.
- Napauta Delegoidut käyttöoikeudet ja etsi "ryhmä". Valitse valintaruutu Group.ReadWrite.All.
- Napauta Delegoidut käyttöoikeudet ja etsi "DeviceManagementApps". Valitse valintaruutu DeviceManagementApps.ReadWrite.All.
- Etsi "DeviceManagementConfiguration". Valitse valintaruudut DeviceManagementConfiguration.Read.All ja DeviceManagementConfiguration.ReadWrite.All. Jatka napsauttamalla Lisää käyttöoikeudet painiketta.
- Napauta Lisää lupa.
- valita Microsoft Graph.
- Napauta Sovellusluvat ja etsi "user.read". Valitse valintaruudut Käyttäjä.Lue.Kaikki ja User.ReadWrite.All.
- Napauta Sovellusluvat ja etsi "ryhmä". Valitse valintaruutu Group.ReadWrite.All.
- Napauta Sovellusluvat ja etsi "deviceManagementApps". Valitse valintaruutu DeviceManagementApps.ReadWrite.All
- Napauta Sovellusluvat ja etsi "DeviceManagementService". Valitse valintaruutu DeviceManagementService.ReadWrite.All
- Etsi "DeviceManagementConfiguration" ja valitse valintaruudut DeviceManagementConfiguration.Read.All ja DeviceManagementConfiguration.ReadWrite.All. Jatka napsauttamalla Lisää käyttöoikeudet painiketta.
- Kun kaikki oikeudet on annettu, napsauta Myönnä järjestelmänvalvojan suostumus organisaatiolle [organisaation nimi].
- Napauta Kyllä myöntämään luvan
- Lupa pitäisi nyt myöntää onnistuneesti.
Varmenteiden vieminen Azure Active Directoryyn SSL.com Azure Integration Tool -työkalun avulla
Seuraavissa osissa on ohjeita SSL.com Azure Integration Toolin käyttämiseen sertifikaattien viemiseen Azure Active Directoryyn.SSL.comin vaatimukset
- Aktiivinen henkilöllisyyden esivahvistussopimus, joka tunnetaan myös nimellä Enterprise PKI (EPKI) sopimus. Ohjeet löydät täältä (yritys PKI (EPKI) Sopimuksen asetus) lähettääksesi ja aktivoidaksesi tämän sopimuksen. Kun se on aktivoitu, seuraavan osan vaiheet voidaan suorittaa.
- Määritetty Microsoft Entra- ja Intune-tili, kuten tässä edellisessä osiossa on kuvattu: Kuinka määrittää Microsoft Intune ja Microsoft Active Directory S/MIME Sertifioinnit.
Määritä Azure Sync
- Kirjaudu sisään SSL.com-tilillesi ja napsauta Integraatiot ylävalikosta. Napsauta luettelossa olevista vaihtoehdoista Azure AD.
- Täytä pakolliset kentät Azure-integraatiota varten. Napsauta sen jälkeen Säästä painiketta.
- Asiakastunnus. Sovellus (asiakas) ID.
- Asiakassalaisuus. Kopioi asiakkaan salaisuuden arvot asiakkaan tunnistetiedoista.
- Vuokralainen tunnus. Hakemiston (vuokralaisen) tunnus.
- Intune julkinen avain. Intune-liitinpalvelimelta viety julkisen avaimen Base64-versio. Katso lisätietoja tästä Microsoftin resurssi.
Käytä SSL.com Azure Integration Tool -työkalua myöntämiseen S/MIME todistukset
- Kun Taivaansininen asetus on luotu. Klikkaa valtuuttaa linkki.
- Napauta Azure-käyttäjät jotta Azuren käyttäjäluettelo voidaan tuoda SSL.comin järjestelmään.
- Sinua pyydetään kirjautumaan Microsoft-tilillesi.
- Valitse Tuo käyttäjät -painiketta SSL.com Azure Integration Tool -työkalussa.
- SSL.com ilmoittaa, että niiden Azure-käyttäjien tietoja, joille myönnetään digitaaliset varmenteet, tuodaan parhaillaan. Päivitä sivu varmistaaksesi, että ne on tuotu.
- SSL.com näyttää luettelon Azure-käyttäjistä, jotka on merkitty heidän etunimensä, sukunimensä ja sähköpostiosoitteensa. Valitse kaikkien niiden käyttäjien valintaruudut, joille annetaan varmenne. Listassa näytettävien käyttäjien määrää voidaan lisätä napsauttamalla sivun vasemmassa alakulmassa olevaa alasvetovalikkoa. Kun valitut käyttäjät on viimeistelty, napsauta Ilmoittautumistodistus painiketta jatkaaksesi.
- Täytä sertifikaatin vaatimukset.
- Todistus: Valitse varmenteen tyyppi, jonka haluat määrittää valituille käyttäjille.
- Kesto: Määritä aika, jonka kuluttua varmenne vanhenee.
- Tarkoitus: Valitse yleiskäyttöinen, SMIME-salaus tai SMIME-allekirjoitus.
- Kun valinnat on viimeistelty, napsauta Lisää painiketta.
- Todistus: Valitse varmenteen tyyppi, jonka haluat määrittää valituille käyttäjille.
- Jokaiselle käyttäjälle määrätään uusi varmennetilaus täältä. Kun henkilöllisyyden esivahvistussopimus on olemassa, jokainen tilaus vahvistetaan ja myönnetään automaattisesti. Sertifikaatin onnistuneen myöntämisen voi vahvistaa napsauttamalla määräys ylävalikosta ja sen jälkeen yksityiskohdat tietyn tilauksen linkki. Vieritä alas ja napsauta LOPETA YKSIKÖN SERTIFIKAATIT -osiossa varmenteen tiedot, mukaan lukien sen ANNETTU tila.