Introduzione

• Amministratore del dispositivo Android
• Android Aziendale:
  • completamente gestito
  • Profilo di lavoro di proprietà aziendale
  • Profilo di lavoro di proprietà personale
• iOS / iPadOS
• macOS
• Finestre 10 / 11

Comprensione S/MIME Distribuzione dei certificati tramite Intune

• Servizio Intune: Questo servizio archivia in modo sicuro i certificati PFX in un formato crittografato e gestisce la loro distribuzione sul dispositivo dell'utente. Le password che proteggono le chiavi private di questi certificati vengono crittografate prima di essere caricate, utilizzando un modulo di sicurezza hardware (HSM) o Windows Cryptography. Ciò garantisce che Intune non abbia mai accesso alle chiavi private.
• Connettore di certificati per Microsoft Intune: Quando un dispositivo richiede un certificato PFX importato, la password crittografata, il certificato e la chiave pubblica del dispositivo vengono inoltrati al connettore. Il connettore decrittografa la password utilizzando la chiave privata locale, quindi crittografa nuovamente la password con la chiave del dispositivo. Il certificato viene quindi restituito a Intune, che lo consegna al dispositivo. Il dispositivo lo decrittografa con la propria chiave privata e installa il certificato.

Ruoli specifici degli attori

• ID di accesso: Funziona come principale fornitore di identità, integrandosi con vari servizi Microsoft e applicazioni aziendali.
• In sintonia: Gestisce i dispositivi registrati nel sistema, applica criteri di sicurezza e distribuisce certificati.
• S/MIME Certificazioni: Forniti da SSL.com, questi certificati garantiscono comunicazioni e-mail sicure tramite crittografia e firma delle e-mail.
• Entra Connetti: Collega Active Directory locale con Azure Entra ID per fornire una soluzione di identità ibrida.
• Dispositivi: Vengono registrati in Intune e protetti tramite certificati, garantendo agli utenti un accesso sicuro alle risorse aziendali.

Riepilogo del flusso di lavoro

1. L'organizzazione registra la propria app aziendale in Entra ID.
2. Anche i dettagli dell'app aziendale vengono registrati su SSL.com.
3. Gli amministratori di Intune acquistano i certificati per gli utenti da SSL.com.
4. Durante l'acquisto, gli amministratori selezionano lo scopo del certificato, come l'uso generale, S/MIME Crittografia, o S/MIME Firma.
5. Il certificato PFX viene quindi importato in Intune per l'account dell'utente.
6. Intune si connette al connettore Intune per convalidare il certificato.
7. Una volta convalidato, Intune distribuisce il certificato sul dispositivo dell'utente.

Come configurare Microsoft Intune e Microsoft Active Directory per S/MIME Certificati

Prerequisiti

• Un account con diritti di amministratore Intune
  Aggiungi utenti e concedi autorizzazioni – Microsoft Intune | Microsoft Impara
• A tutti gli utenti per i quali viene importato il certificato PFX deve essere assegnata la licenza Intune
  Assegnare licenze Microsoft Intune | Microsoft Impara
• Connettore certificato Intune installato e configurato su un server Windows
  Installa il connettore di certificato per Microsoft Intune – Azure | Microsoft Impara
• Chiave pubblica esportata dal server del connettore Intune
  Utilizzare certificati PFX importati in Microsoft Intune | Microsoft Impara
• Crea un'applicazione aziendale in Microsoft Entra
  Questa guida presuppone che l'app aziendale sarà già creata presso i tenant e SSL.com disporrà delle informazioni sull'app aziendale registrata. Di seguito viene spiegato il processo per registrare l'app Enterprise (utilizzando il portale Entra).
  1. Accedere a portale.azure.com e cercare ID Microsoft Entra
  2. Clicchi Applicazioni aziendali
  3. Clicchi Nuova applicazione
  4. Clicchi Crea la tua applicazione
  5. Immettere il nome dell'applicazione e fare clic Creare
  6. L'applicazione è ora stata creata correttamente.
  7. Clicchi Registrazioni di app
  8. Clicchi Tutte le applicazioni
  9. Seleziona l'applicazione.
     Notare la ID dell'applicazione e le ID directory: questi devono essere passati all'API.
  10. Clicchi Certificati e segreti e quindi selezionare Nuovo segreto del cliente
  11. Clicchi Autenticazione e aggiungi gli URL di reindirizzamento Web di SSL.com. Gli URL di reindirizzamento lo sono https://secure.ssl.com/oauth2/azure per la produzione e https://sandbox.ssl.com/oauth2/azure per Sandbox
  12. Fornire un nome alla chiave e fare clic Aggiungi
      Prendere nota del valore della chiave. Questo deve essere passato all'API.
      
      
• Imposta un profilo di importazione del certificato PKCS
  Una volta importati i certificati in Intune, configura un profilo di importazione certificati PKCS e assegnalo ai gruppi Microsoft Entra pertinenti. I passaggi dettagliati sono disponibili in questo Guida Microsoft.

Requisiti di autorizzazione per l'applicazione Enterprise per importare il certificato

1. Sotto Registrazioni di app >> Nome dell'applicazione, fai clic su Autorizzazioni API.
2. Clicchi Aggiungi un permesso.
3. Clicchi Microsoft Graph.
4. Clicchi Autorizzazioni delegate e cerca user.read. Seleziona le caselle per Utente.Leggi e Utente.Leggi.Tutto.
5. Clicchi Autorizzazioni delegate e cerca "gruppo". Seleziona la casella per Group.ReadWrite.All.
6. Clicchi Autorizzazioni delegate e cerca "DeviceManagementApps". Seleziona la casella per DeviceManagementApps.ReadWrite.All.
7. Cercare "Configurazione gestione dispositivi". Seleziona le caselle per DeviceManagementConfiguration.Read.All e DeviceManagementConfiguration.ReadWrite.All. Procedi a fare clic su Aggiungi autorizzazioni pulsante.
8. Clicchi Aggiungi un permesso.
9. Seleziona Microsoft Graph.
10. Clicchi Autorizzazioni per l'applicazione e cercare "user.read". Seleziona le caselle per Utente.Leggi.Tutto e Utente.ReadWrite.All.
11. Clicchi Autorizzazioni per l'applicazione e cerca "gruppo". Seleziona la casella per Group.ReadWrite.All.
12. Clicchi Autorizzazioni per l'applicazione e cerca "deviceManagementApps". Seleziona la casella per DeviceManagementApps.ReadWrite.All
13. Clicchi Autorizzazioni per l'applicazione e cercare "DeviceManagementService". Seleziona la casella per DeviceManagementService.ReadWrite.All
14. Cercare "DeviceManagementConfiguration" e seleziona le caselle per DeviceManagementConfiguration.Read.All e DeviceManagementConfiguration.ReadWrite.All. Procedi a fare clic su Aggiungi autorizzazioni pulsante.
15. Una volta assegnati tutti i diritti, fare clic su Concedi il consenso dell'amministratore per [nome dell'organizzazione].
16. Clicchi Si concedere il permesso
17. L'autorizzazione ora dovrebbe essere concessa correttamente.

Come esportare certificati in Azure Active Directory utilizzando lo strumento di integrazione di Azure SSL.com

Requisiti da SSL.com

1. Un contratto di pre-convalida dell'identità attivo noto anche come Enterprise PKI (EPKI) Accordo. Trovi le istruzioni qui (Impresa PKI (EPKI) Impostazione dell'accordo) per inviare e attivare il presente accordo. Una volta attivato, è possibile eseguire i passaggi nella sezione successiva.
2. Account Microsoft Entra e Intune configurati, come descritto nella sezione precedente: Come configurare Microsoft Intune e Microsoft Active Directory per S/MIME Certificati.

Configurare la sincronizzazione di Azure

1. Accedi al tuo account SSL.com e fai clic Integrazioni nel menu in alto. Dalle opzioni elencate, fare clic su Azure AD.
   
2. Compila i campi obbligatori per l'integrazione con Azure. Successivamente, fare clic su Risparmi pulsante.
   
   1. ID cliente. ID dell'applicazione (cliente).
   2. Client Secret. Copia il valore dei segreti client dalle credenziali del client.
   3. ID tenant. ID della directory (tenant).
   4. Chiave pubblica di Intune. Versione Base64 della chiave pubblica esportata dal server del connettore Intune. Per maggiori dettagli, dai un'occhiata a questo Risorsa Microsoft.

Utilizzare lo strumento di integrazione di Azure SSL.com per l'emissione di S/MIME certificato

1. Una volta che il azzurro l'impostazione è stata creata. Clicca il Autorizzare collegamento. 
   
   
2. Clicchi Utenti di Azure in modo che l'elenco degli utenti di Azure possa essere importato nel sistema di SSL.com.
   
   
3. Ti verrà richiesto di accedere al tuo account Microsoft.
   
4. Clicca su Importa utenti pulsante nello strumento di integrazione di Azure SSL.com.
   
5. SSL.com avviserà che è in corso l'importazione delle informazioni degli utenti Azure a cui verranno assegnati i certificati digitali. Ricarica la pagina per confermare che questi sono stati importati. 
   
6. SSL.com mostrerà l'elenco degli utenti di Azure, indicati con nome, cognome e indirizzo di posta elettronica. Selezionare la casella di controllo per tutti gli utenti a cui verrà assegnato un certificato.  Il numero di utenti visualizzati nell'elenco può essere aumentato facendo clic sulla freccia a discesa nella parte inferiore sinistra della pagina. Una volta finalizzati gli utenti selezionati, fare clic su Certificato di iscrizione pulsante per procedere.
   
7. Soddisfare i requisiti per il certificato.
   1. Certificato: Scegli il tipo di certificato che vuoi assegnare agli utenti selezionati.
      
   2. Durata: specificare il periodo di tempo prima della scadenza del certificato. 
      
   3. Scopo previsto: scegliere tra Scopo generale, Crittografia SMIME o Firma SMIME.
      
   4. Una volta finalizzate le scelte, fare clic su Aggiungi pulsante.
      
      
8. A ogni utente verrà assegnato un nuovo ordine di certificato da qui. Con la presenza di un accordo di pre-convalida dell'identità, ogni ordine verrà automaticamente convalidato ed emesso. L'avvenuta emissione del certificato può essere confermata cliccando Ordini dal menu in alto, seguito da dettagli collegamento dell'ordine particolare. Scorrendo verso il basso e facendo clic su CERTIFICATI DI ENTITÀ FINE sezione, appariranno i dettagli del certificato compreso il suo RILASCIATO stato. 
   
   
   

Guide correlate: