개요
Microsoft Intune에서는 종종 사용되는 가져온 PFX 인증서의 통합을 허용합니다. S/MIME 이메일 프로필의 암호화. Intune은 다음 플랫폼에서 PFX 인증서 가져오기를 지원합니다.- Android 기기 관리자
- 안드로이드 엔터프라이즈:
- 완전 관리
- 기업 소유 작업 프로필
- 개인 소유 작업 프로필
- iOS / iPadOS
- macOS
- Windows 10/11
이해 S/MIME Intune을 사용한 인증서 배포
Intune을 사용하여 가져온 PFX 인증서를 사용자에게 배포하는 경우 두 가지 주요 구성 요소가 장치와 함께 역할을 합니다.- 인튠 서비스: 이 서비스는 PFX 인증서를 암호화된 형식으로 안전하게 저장하고 사용자 기기에 배포하는 것을 관리합니다. 이러한 인증서의 개인 키를 보호하는 비밀번호는 하드웨어 보안 모듈(HSM) 또는 Windows Cryptography를 사용하여 업로드되기 전에 암호화됩니다. 이렇게 하면 Intune이 개인 키에 액세스할 수 없게 됩니다.
- Microsoft Intune용 인증서 커넥터: 장치가 가져온 PFX 인증서를 요청하면 암호화된 암호, 인증서 및 장치 공개 키가 커넥터로 전달됩니다. 커넥터는 온프레미스 개인 키를 사용하여 암호를 해독한 다음 장치 키로 암호를 다시 암호화합니다. 그런 다음 인증서가 Intune으로 반환되고, Intune에서 장치에 전달합니다. 장치는 자체 개인 키로 암호를 해독하고 인증서를 설치합니다.
배우들의 구체적인 역할
- 엔트리 ID: 다양한 Microsoft 서비스와 엔터프라이즈 애플리케이션과 통합되어 주요 ID 공급자 역할을 합니다.
- 인튠: 시스템에 등록된 장치를 관리하고, 보안 정책을 적용하고, 인증서를 배포합니다.
- S/MIME 인증서 : SSL.com에서 제공하는 이러한 인증서는 암호화 및 이메일 서명을 통해 안전한 이메일 통신을 보장합니다.
- 엔트라 커넥트: 온-프레미스 Active Directory를 Azure Entra ID와 연결하여 하이브리드 ID 솔루션을 제공합니다.
- 장치 : 이러한 계정은 Intune에 등록되고 인증서로 보호되므로 사용자는 회사 리소스에 안전하게 액세스할 수 있습니다.
워크플로 요약
- 조직은 Entra ID에 자사의 기업용 앱을 등록합니다.
- 엔터프라이즈 앱 세부 정보도 SSL.com에 등록됩니다.
- Intune 관리자는 SSL.com에서 사용자의 인증서를 구매합니다.
- 구매 시 관리자는 인증서의 용도(예: 일반 용도)를 선택합니다. S/MIME 암호화 또는 S/MIME 서명.
- 그런 다음 PFX 인증서가 사용자 계정의 Intune으로 가져옵니다.
- Intune은 Intune 커넥터에 연결하여 인증서를 검증합니다.
- 인증서가 검증되면 Intune은 인증서를 사용자 장치에 배포합니다.
SSL.com으로 이메일 보안을 강화하고 민감한 데이터를 보호하세요 S/MIME 인증서.
Microsoft Intune 및 Microsoft Active Directory를 구성하는 방법 S/MIME 인증서
사전 조건
아래에는 API의 전제조건이 나열되어 있습니다. Intune에서 구성해야 합니다. SSL.com에서 인증서를 가져올 테넌트입니다.- Intune 관리자 권한이 있는 계정
사용자 추가 및 권한 부여 – Microsoft Intune | 마이크로소프트 런 - PFX 인증서가 가져온 모든 사용자에게 Intune 라이선스가 할당되어야 합니다.
Microsoft Intune 라이선스 할당 | 마이크로소프트 런 - Windows 서버에 설치 및 구성된 Intune 인증서 커넥터
Microsoft Intune용 인증서 커넥터 설치 – Azure | 마이크로소프트 런 - Intune 커넥터 서버에서 내보낸 공개 키
Microsoft Intune에서 가져온 PFX 인증서 사용 | 마이크로소프트 런 - Microsoft Entra에서 엔터프라이즈 애플리케이션 만들기
이 가이드에서는 엔터프라이즈 앱이 테넌트에 이미 생성되어 있고 SSL.com에 등록된 엔터프라이즈 앱에 대한 정보가 있다고 가정합니다. 엔트라포털을 이용하여 기업용 앱을 등록하는 과정은 아래와 같습니다.- Portal.azure.com에 로그인하여 다음을 검색하세요. 마이크로소프트 엔트라 ID
- 엔터프라이즈 애플리케이션
- 새로운 응용 프로그램
- 나만의 애플리케이션 만들기
- 애플리케이션 이름을 입력하고 클릭하세요. 만들기
- 이제 애플리케이션이 성공적으로 생성되었습니다.
- 앱 등록
- 모든 애플리케이션
- 애플리케이션을 선택합니다.
참고 사항 응용 프로그램 ID 그리고 디렉토리 ID: API로 전달되어야 합니다. - 인증서 및 비밀 다음을 선택하십시오. 새 클라이언트 비밀번호
- 인증 SSL.com의 웹 리디렉션 URL을 추가하세요. 리디렉션 URL은 다음과 같습니다. https://secure.ssl.com/oauth2/azure 생산 및 https://sandbox.ssl.com/oauth2/azure 샌드박스용
- 키에 이름을 입력하고 다음을 클릭합니다. 추가
키 값을 기록해 둡니다. 이를 API로 전달해야 합니다.
- PKCS 인증서 가져오기 프로필 설정
인증서가 Intune으로 가져온 후 PKCS 인증서 가져오기 프로필을 구성하고 관련 Microsoft Entra 그룹에 할당합니다. 자세한 단계는 여기에서 확인할 수 있습니다. Microsoft 가이드.
인증서를 가져오기 위한 Enterprise 애플리케이션의 권한 요구 사항
- $XNUMX Million 미만 앱 등록 >> 애플리케이션 이름에서 API 권한을 클릭하세요.
- 권한 추가.
- Microsoft Graph.
- 위임된 권한 user.read를 검색하세요. 확인란을 선택하세요. 사용자.읽기 and 사용자.읽기.모두.
- 위임된 권한 그리고 "그룹"을 검색해 보세요. 확인란을 선택하세요. 그룹.읽기쓰기.모두.
- 위임된 권한 "DeviceManagementApps"를 검색하세요. 확인란을 선택하세요. DeviceManagementApps.ReadWrite.All.
- 에 대한 검색 "장치 관리 구성". 확인란을 선택하세요. DeviceManagementConfiguration.Read.All and DeviceManagementConfiguration.ReadWrite.All. 클릭하여 진행 권한 추가 버튼을 클릭합니다.
- 권한 추가.
- 선택 Microsoft Graph.
- 응용 프로그램 권한 "user.read"를 검색하세요. 확인란을 선택하세요. 사용자.읽기.모두 and 사용자.읽기쓰기.모두.
- 응용 프로그램 권한 그리고 "그룹"을 검색해 보세요. 확인란을 선택하세요. 그룹.읽기쓰기.모두.
- 응용 프로그램 권한 "deviceManagementApps"를 검색하세요. 확인란을 선택하세요. DeviceManagementApps.ReadWrite.All
- 응용 프로그램 권한 "DeviceManagementService"를 검색하세요. 확인란을 선택하세요. DeviceManagementService.ReadWrite.All
- 에 대한 검색 "DeviceManagementConfiguration" 확인란을 선택하고 DeviceManagementConfiguration.Read.All and DeviceManagementConfiguration.ReadWrite.All. 다음을 클릭하세요. 권한 추가 버튼을 클릭합니다.
- 모든 권한이 할당되면 [조직 이름]에 대한 관리자 동의 부여.
- 가능 허가를 부여하다
- 이제 권한이 성공적으로 부여되었습니다.
SSL.com Azure 통합 도구를 사용하여 인증서를 Azure Active Directory로 내보내는 방법
다음 섹션에서는 SSL.com Azure 통합 도구를 사용하여 인증서를 Azure Active Directory로 내보내는 방법에 대한 지침을 제공합니다.SSL.com의 요구 사항
- 기업이라고도 알려진 활성 신원 사전 검증 계약 PKI (EPKI) 합의. 여기에서 지침을 찾으세요(Enterprise PKI (EPKI) 계약 설정) 이 계약을 제출하고 활성화하려면 활성화되면 다음 섹션의 단계를 수행할 수 있습니다.
- 이전 섹션에 설명된 대로 Microsoft Entra 및 Intune 계정을 구성했습니다. Microsoft Intune 및 Microsoft Active Directory를 구성하는 방법 S/MIME 인증서.
Azure 동기화 구성
- SSL.com 계정에 로그인하고 다음을 클릭하세요. 통합 상단 메뉴에 있습니다. 나열된 옵션에서 다음을 클릭합니다. 하늘빛 광고.
- Azure 통합을 위한 필수 필드를 입력합니다. 그런 다음 찜하기 버튼을 클릭합니다.
- 고객 ID. 애플리케이션(클라이언트) ID.
- 고객 비밀. 클라이언트 자격 증명에서 클라이언트 비밀 값을 복사합니다.
- 임차인 ID. 디렉터리(테넌트) ID입니다.
- Intune 공개 키. Intune 커넥터 서버에서 내보낸 공개 키의 Base64 버전입니다. 자세한 내용은 여기를 확인하세요. 마이크로소프트 리소스.
SSL.com Azure 통합 도구를 사용하여 발급 S/MIME 인증
- 한 번 하늘빛 설정이 생성되었습니다. 다음을 클릭하세요. 권한 부여 링크를 클릭하십시오.
- Azure 사용자 Azure의 사용자 목록을 SSL.com 시스템으로 가져올 수 있습니다.
- Microsoft 계정에 로그인하라는 메시지가 표시됩니다.
- 클릭 사용자 가져오기 SSL.com Azure 통합 도구의 버튼을 클릭하세요.
- SSL.com은 디지털 인증서를 할당받을 Azure 사용자의 정보를 가져오는 중임을 알립니다. 페이지를 새로고침하여 가져왔는지 확인하세요.
- SSL.com에는 이름, 성, 이메일 주소로 표시된 Azure 사용자 목록이 표시됩니다. 인증서를 할당할 모든 사용자에 대한 확인란을 선택합니다. 페이지 왼쪽 하단에 있는 드롭다운 화살표를 클릭하면 목록에 표시되는 사용자 수를 늘릴 수 있습니다. 선택한 사용자가 완료되면 인증서 등록 버튼을 클릭하십시오.
- 인증서 요구 사항을 충족합니다.
- 자질: 선택한 사용자에게 할당하려는 인증서 유형을 선택합니다.
- 런닝타임: 인증서가 만료되기 전까지의 시간을 지정합니다.
- 의도된 목적: 범용, SMIME 암호화 또는 SMIME 서명 중에서 선택합니다.
- 선택이 완료되면 다음을 클릭하세요. 추가 버튼을 클릭합니다.
- 자질: 선택한 사용자에게 할당하려는 인증서 유형을 선택합니다.
- 각 사용자에게는 여기에서 새 인증서 주문이 할당됩니다. 신원 사전 검증 계약이 있으면 각 주문이 자동으로 검증되고 발행됩니다. 인증서 발급 성공 여부는 클릭 시 확인하실 수 있습니다. 주문 상단 메뉴에서 세부설명 특정 주문의 링크. 아래로 스크롤한 후 최종 법인 인증서 섹션에는 인증서를 포함한 인증서 세부 정보가 표시됩니다. 발행 된 상태.
