S/MIME Certificaatbeheer met Microsoft Azure Active Directory en inTune met behulp van SSL.com Azure Integration Tool

Introductie

Microsoft Intune maakt de integratie van geïmporteerde PFX-certificaten mogelijk, die vaak worden gebruikt voor S/MIME encryptie in e-mailprofielen. Intune ondersteunt de import van PFX-certificaten op deze platforms:

  • Android-apparaatbeheerder
  • Android-onderneming:
    • Volledig beheerd
    • Bedrijfseigen werkprofiel
    • Persoonlijk Werkprofiel
  • iOS / iPadOS
  • macOS
  • Windows 10 / 11

Begrip S/MIME Certificaatimplementatie met behulp van Intune

Wanneer Intune wordt gebruikt om een ​​geïmporteerd PFX-certificaat voor een gebruiker te implementeren, spelen naast het apparaat twee belangrijke componenten een rol:
  • Intune-service: Deze service slaat de PFX-certificaten veilig op in een gecodeerd formaat en beheert hun implementatie op het apparaat van de gebruiker. De wachtwoorden die de privésleutels van deze certificaten beschermen, worden gecodeerd voordat ze worden geüpload, met behulp van een hardwarebeveiligingsmodule (HSM) of Windows Cryptography. Dit zorgt ervoor dat Intune nooit toegang heeft tot de privésleutels.
  • Certificaatconnector voor Microsoft Intune: Wanneer een apparaat een geïmporteerd PFX-certificaat aanvraagt, worden het versleutelde wachtwoord, het certificaat en de openbare sleutel van het apparaat doorgestuurd naar de connector. De connector ontsleutelt het wachtwoord met de on-premises privésleutel en versleutelt het wachtwoord vervolgens opnieuw met de apparaatsleutel. Het certificaat wordt vervolgens teruggestuurd naar Intune, dat het naar het apparaat levert. Het apparaat ontsleutelt het met zijn eigen privésleutel en installeert het certificaat.

Specifieke rollen van acteurs

  • Entra-ID: Fungeert als belangrijkste identiteitsprovider en integreert met verschillende Microsoft-services en bedrijfsapplicaties.
  • Instemmen: Beheert apparaten die in het systeem zijn ingeschreven, past beveiligingsbeleid toe en implementeert certificaten.
  • S/MIME Certificaten: Deze certificaten van SSL.com garanderen veilige e-mailcommunicatie door middel van encryptie en e-mailondertekening.
  • Entra Connect: Koppelt on-premises Active Directory aan Azure Entra ID om een ​​hybride identiteitsoplossing te bieden.
  • Apparaten: Deze zijn geregistreerd in Intune en beveiligd met certificaten, waardoor gebruikers veilig toegang hebben tot bedrijfsbronnen.

Samenvatting van de workflow

  1. De organisatie registreert haar bedrijfsapp in Entra ID.
  2. De gegevens van de bedrijfsapp worden ook geregistreerd bij SSL.com.
  3. Intune-beheerders kopen certificaten voor gebruikers via SSL.com.
  4. Tijdens de aankoop selecteren de beheerders het doel van het certificaat, zoals algemeen gebruik, S/MIME Encryptie, of S/MIME Ondertekenen.
  5. Het PFX-certificaat wordt vervolgens in Intune geïmporteerd voor het account van de gebruiker.
  6. Intune maakt verbinding met de Intune-connector om het certificaat te valideren.
  7. Nadat het certificaat is gevalideerd, implementeert Intune het certificaat op het apparaat van de gebruiker.
De specifieke stappen voor de workflow en integratie worden in de volgende secties besproken.
Versterk uw e-mailbeveiliging en bescherm gevoelige gegevens met SSL.com S/MIME certificaten.

Beveilig uw e-mail

Hoe u Microsoft Intune en Microsoft Active Directory configureert voor S/MIME Certificeringen

Voorwaarden

Hieronder vindt u de vereisten voor de API. Deze moeten worden geconfigureerd op Intune tenant waarnaar certificaten worden geïmporteerd vanuit SSL.com.
  • Een account met Intune-beheerdersrechten
    Gebruikers toevoegen en machtigingen verlenen – Microsoft Intune | Microsoft Leer
  • Alle gebruikers voor wie het PFX-certificaat wordt geïmporteerd, moeten een Intune-licentie toegewezen krijgen
    Microsoft Intune-licenties toewijzen | Microsoft Leer
  • Intune-certificaatconnector geïnstalleerd en geconfigureerd op een Windows-server
    Installeer de Certificaatconnector voor Microsoft Intune – Azure | Microsoft Leer
  • Openbare sleutel geëxporteerd van Intune connector-server
    Gebruik geïmporteerde PFX-certificaten in Microsoft Intune | Microsoft Leer
  • Creëer een Enterprise-applicatie in Microsoft Entra
    In deze handleiding wordt ervan uitgegaan dat de Enterprise-app al bij de tenants is gemaakt en dat SSL.com over de informatie over de geregistreerde enterprise-app beschikt. Hieronder wordt het proces voor het registreren van de Enterprise-app (via de Entra-portal) uitgelegd.
    1. Meld u aan bij portal.azure.com en zoek naar Microsoft Entra-ID
    2. Klik Enterprise applicaties
    3. Klik Nieuwe applicatie
    4. Klik Creëer uw eigen applicatie
    5. Voer de naam van de toepassing in en klik creëren
    6. De applicatie is nu succesvol aangemaakt.
    7. Klik App-registraties
    8. Klik Alle toepassingen
    9. Selecteer de toepassing.
      Merk op Applicatie ID en Directory-ID: deze moeten worden doorgegeven aan de API.
    10. Klik Certificaten en geheimen en selecteer vervolgens Nieuw klantgeheim
    11. Klik authenticatie en voeg de webomleidings-URL's van SSL.com toe. Omleidings-URL's zijn https://secure.ssl.com/oauth2/azure voor productie en https://sandbox.ssl.com/oauth2/azure voor Zandbak
    12. Geef een naam aan de sleutel en klik Toevoegen
      Noteer de waarde van de sleutel. Dit moet worden doorgegeven aan de API.

  • Een PKCS-certificaatimportprofiel instellen
    Zodra de certificaten in Intune zijn geïmporteerd, configureert u een PKCS-certificaatimportprofiel en wijst u dit toe aan relevante Microsoft Entra-groepen. Gedetailleerde stappen zijn beschikbaar in deze Microsoft-gids.

Toestemmingsvereisten voor Enterprise-applicatie om het certificaat te importeren

  1. Onder App-registraties >> Naam van de toepassing, klik op API-machtigingen.
  2. Klik Een toestemming toevoegen.
  3. Klik Microsoft Graph.
  4. Klik Gedelegeerde machtigingen en zoek naar user.read. Vink de vakjes aan voor Gebruiker.Lees en Gebruiker.Alles.lezen.
  5. Klik Gedelegeerde machtigingen en zoek naar “groep”. Vink het vakje aan voor Groep.ReadWrite.All.
  6. Klik Gedelegeerde machtigingen en zoek naar “DeviceManagementApps”. Vink het vakje aan voor DeviceManagementApps.ReadWrite.All.
  7. Zoek naar “Apparaatbeheerconfiguratie”. Vink de vakjes aan voor DeviceManagementConfiguration.Read.All en DeviceManagementConfiguration.ReadWrite.All. Ga verder om op de . te klikken Machtigingen toevoegen knop.
  8. Klik Een toestemming toevoegen.
  9. kies Microsoft Graph.
  10. Klik Toepassingsrechten en zoek naar “user.read”. Vink de vakjes aan voor Gebruiker.Alles.lezen en Gebruiker.ReadWrite.All.
  11. Klik Toepassingsrechten en zoek naar “groep”. Vink het vakje aan voor Groep.ReadWrite.All.
  12. Klik Toepassingsrechten en zoek naar “deviceManagementApps”. Vink het vakje aan voor DeviceManagementApps.ReadWrite.All
  13. Klik Toepassingsrechten en zoek naar “DeviceManagementService”. Vink het vakje aan voor DeviceManagementService.ReadWrite.All
  14. Zoek naar “DeviceManagementConfiguration” en vink de vakjes aan voor DeviceManagementConfiguration.Read.All en DeviceManagementConfiguration.ReadWrite.All. Ga verder om op de . te klikken Machtigingen toevoegen knop.
  15. Zodra alle rechten zijn toegewezen, klikt u op Verleen beheerderstoestemming voor [naam organisatie].
  16. Klik Ja om de toestemming te verlenen
  17. De toestemming zou nu met succes moeten worden verleend.

Certificaten exporteren naar Azure Active Directory met behulp van SSL.com Azure Integration Tool

De volgende secties bevatten instructies over het gebruik van SSL.com Azure Integration Tool om certificaten naar Azure Active Directory te exporteren. 

Vereisten van SSL.com

  1. Een actieve pre-validatieovereenkomst voor identiteit, ook wel Enterprise genoemd PKI (EPKI) Overeenkomst. Vind hier instructies (Enterprise PKI (EPKI) Overeenkomst instellen) om deze overeenkomst in te dienen en te activeren. Eenmaal geactiveerd, kunnen de stappen in de volgende sectie worden uitgevoerd.
  2. Microsoft Entra- en Intune-account geconfigureerd, zoals beschreven in deze vorige sectie: Hoe u Microsoft Intune en Microsoft Active Directory configureert voor S/MIME Certificeringen.

Configureer Azure Sync

  1. Log in op uw SSL.com-account en klik Integraties in het bovenste menu. Klik op uit de vermelde opties Azure AD.
  2. Vul de vereiste velden in voor Azure-integratie. Klik daarna op de Bespaar knop.
    1. klant-ID. Applicatie-(client)-ID.
    2. Cliëntgeheim. Kopieer de waarde van het clientgeheim(en) uit de clientreferenties.
    3. ID huurder. Directory-ID (tenant).
    4. Openbare sleutel van Intune. Base64-versie van de openbare sleutel geëxporteerd vanaf de Intune-connectorserver. Bekijk dit voor meer informatie Microsoft-bron.

Gebruik de SSL.com Azure Integration Tool voor de uitgifte van S/MIME certificaten

  1. Wanneer de Azuur instelling is gemaakt. Klik op de machtigen link. 

  2. Klik Azure-gebruikers zodat de lijst met gebruikers uit Azure kan worden geïmporteerd in het systeem van SSL.com.

  3. U wordt gevraagd om in te loggen op uw Microsoft-account.
  4. Klik op de Gebruikers importeren knop op het SSL.com Azure Integration Tool.
  5. SSL.com meldt dat de gegevens van de Azure-gebruikers aan wie digitale certificaten worden toegewezen, momenteel worden geïmporteerd. Laad de pagina opnieuw om te bevestigen dat deze zijn geïmporteerd. 
  6. SSL.com toont de lijst met Azure-gebruikers, aangegeven met hun voornaam, achternaam en e-mailadres. Schakel het selectievakje in voor alle gebruikers aan wie een certificaat wordt toegewezen.  Het aantal gebruikers dat in de lijst wordt weergegeven, kan worden vergroot door op de vervolgkeuzepijl linksonder op de pagina te klikken. Klik na voltooiing van de geselecteerde gebruikers op de Certificaat inschrijven om verder te gaan.
  7. Voldoe aan de vereisten voor het certificaat.
    1. Certificaat: Kies het type certificaat dat u wilt toewijzen aan de geselecteerde gebruikers.
    2. Duur: Geef de tijdsduur op voordat het certificaat verloopt. 
    3. Beoogde doel: Kies uit Algemeen gebruik, SMIME-codering of SMIME-ondertekening.
    4. Nadat de keuzes definitief zijn gemaakt, klikt u op de Toevoegen knop.

  8. Elke gebruiker krijgt vanaf hier een nieuwe certificaatbestelling toegewezen. Als er een pre-validatieovereenkomst voor de identiteit is, wordt elke bestelling automatisch gevalideerd en uitgegeven. De succesvolle uitgifte van het certificaat kan worden bevestigd door op te klikken Bestellingen in het hoofdmenu, gevolgd door de gegevens link van de specifieke bestelling. Door naar beneden te scrollen en op de EINDENTITEITSCERTIFICATEN sectie verschijnen de details van het certificaat, inclusief het certificaat UITGEGEVEN statuut. 


Gerelateerde gidsen: 

LDAP, of Lightweight Directory Access Protocol, is een algemeen erkende standaard voor het beheren van directory-informatiediensten, inclusief gebruikers- en groepsgegevens binnen een netwerk. Net als Azure Active Directory biedt LDAP robuust beheer van digitale certificaten, hoewel de twee systemen verschillende beveiligingsprotocollen gebruiken.  Als u uw S/MIME certificaten met een service die LDAP gebruikt, raadpleeg dit SSL.com-artikel: LDAP-integratie met S/MIME Certificeringen.

Blijf geïnformeerd en veilig

SSL.com is een wereldleider op het gebied van cyberbeveiliging, PKI en digitale certificaten. Meld u aan om het laatste branchenieuws, tips en productaankondigingen te ontvangen van SSL.com.

We willen graag uw feedback

Vul onze enquête in en laat ons uw mening over uw recente aankoop weten.