Wat is Azure Active Directory?
Azure Active Directory (Azure AD) functioneert als een robuuste identiteits- en toegangsbeheerservice door het beheer van digitale certificaten te integreren. Met deze mogelijkheid kunnen organisaties hun certificaatbeheer centraliseren, waardoor de beveiliging wordt verbeterd en administratieve taken worden vereenvoudigd. Door gebruik te maken van Azure AD zorgen ondernemingen ervoor dat hun digitale certificaten worden beheerd met hoge beschikbaarheid en naleving van industriestandaarden, waardoor gevoelige informatie en communicatie worden beschermd.Wat is Microsoft Intune?
Microsoft Intune stroomlijnt de implementatie van S/MIME certificaten op verschillende apparaten, waardoor de e-mailbeveiliging wordt verbeterd door middel van encryptie en digitale handtekeningen. Door gebruik te maken van Intune kunnen organisaties automatisch resultaten opleveren S/MIME ondertekenings- en versleutelingscertificaten voor apparaten die draaien op Android, iOS/iPadOS, macOS en Windows 10/11. Op iOS-apparaten die de eigen e-mailclient gebruiken, en op iOS- en Android-apparaten die Outlook gebruiken, wordt de S/MIME certificaten worden automatisch aan de e-mailprofielen gekoppeld, waardoor een naadloze integratie en verbeterde e-mailbeveiliging worden gegarandeerd. Voor Windows- en macOS-platforms, maar ook voor andere e-mailclients op iOS en Android, vergemakkelijkt Intune de distributie van S/MIME certificaten. Gebruikers moeten dit echter handmatig inschakelen S/MIME in hun respectievelijke e-mailtoepassingen en selecteer hun certificaten. Deze mogelijkheid van Intune vereenvoudigt het implementatieproces en zorgt daarvoor S/MIME certificaten zijn direct beschikbaar op beheerde apparaten, waardoor de algehele e-mailbeveiliging wordt verbeterd door gecodeerde en ondertekende e-mailcommunicatie in de hele organisatie mogelijk te maken.Versterk uw e-mailbeveiliging en bescherm gevoelige gegevens met SSL.com S/MIME certificaten.
Hoe u Microsoft Intune en Microsoft Active Directory configureert voor S/MIME Certificeringen
Voorwaarden
Hieronder vindt u de vereisten voor de API. Deze moeten worden geconfigureerd op Intune tenant waarnaar certificaten worden geïmporteerd vanuit SSL.com.- Een account met Intune-beheerdersrechten.
Gebruikers toevoegen en machtigingen verlenen – Microsoft Intune | Microsoft Leer - Alle gebruikers voor wie het PFX-certificaat wordt geïmporteerd, moeten over Intune beschikken licentie toegewezen.
Microsoft Intune-licenties toewijzen | Microsoft Leer - Intune-certificaatconnector geïnstalleerd en geconfigureerd op een Windows-server.
Installeer de Certificaatconnector voor Microsoft Intune – Azure | Microsoft Leer - Openbare sleutel geëxporteerd vanaf de Intune-connectorserver.
Gebruik geïmporteerde PFX-certificaten in Microsoft Intune | Microsoft Leer - Creëer een Enterprise-applicatie in Microsoft Entra
In deze handleiding wordt ervan uitgegaan dat de Enterprise-app al bij de tenants is gemaakt en dat SSL.com over de informatie over de geregistreerde enterprise-app beschikt. Hieronder wordt het proces voor het registreren van de Enterprise-app (via de Entra-portal) uitgelegd.- Meld u aan bij portal.azure.com en zoek naar Microsoft Entra-ID
- Klik Enterprise applicaties
- Klik Nieuwe applicatie
- Klik Creëer uw eigen applicatie
- Voer de naam van de toepassing in en klik creëren
- De applicatie is nu succesvol aangemaakt.
- Klik App-registraties
- Klik Alle toepassingen
- Selecteer de toepassing.
Merk op Applicatie ID en Directory-ID: deze moeten worden doorgegeven aan de API. - Klik Certificaten en geheimen en selecteer vervolgens Nieuw klantgeheim
- Klik authenticatie en voeg de webomleidings-URL's van SSL.com toe. Omleidings-URL's zijn https://secure.ssl.com/oauth2/azure voor productie en https://sandbox.ssl.com/oauth2/azure voor Zandbak
- Geef een naam aan de sleutel en klik Toevoegen
Noteer de waarde van de sleutel. Dit moet worden doorgegeven aan de API.
Toestemmingsvereisten voor Enterprise-applicatie om het certificaat te importeren
- Onder App-registraties >> Naam van de toepassing, klik op API-machtigingen.
- Klik Een toestemming toevoegen.
- Klik Microsoft Graph.
- Klik Gedelegeerde machtigingen en zoek naar user.read. Vink de vakjes aan voor Gebruiker.Lees en Gebruiker.Alles.lezen.
- Klik Gedelegeerde machtigingen en zoek naar “groep”. Vink het vakje aan voor Groep.ReadWrite.All.
- Klik Gedelegeerde machtigingen en zoek naar “DeviceManagementApps”. Vink het vakje aan voor DeviceManagementApps.ReadWrite.All.
- Zoek naar “Apparaatbeheerconfiguratie”. Vink de vakjes aan voor DeviceManagementConfiguration.Read.All en DeviceManagementConfiguration.ReadWrite.All. Ga verder om op de . te klikken Machtigingen toevoegen knop.
- Klik Een toestemming toevoegen.
- kies Microsoft Graph.
- Klik Toepassingsrechten en zoek naar “user.read”. Vink de vakjes aan voor Gebruiker.Alles.lezen en Gebruiker.ReadWrite.All.
- Klik Toepassingsrechten en zoek naar “groep”. Vink het vakje aan voor Groep.ReadWrite.All.
- Klik Toepassingsrechten en zoek naar “deviceManagementApps”. Vink het vakje aan voor DeviceManagementApps.ReadWrite.All
- Klik Toepassingsrechten en zoek naar “DeviceManagementService”. Vink het vakje aan voor DeviceManagementService.ReadWrite.All
- Zoek naar “DeviceManagementConfiguration” en vink de vakjes aan voor DeviceManagementConfiguration.Read.All en DeviceManagementConfiguration.ReadWrite.All. Ga verder om op de . te klikken Machtigingen toevoegen knop.
- Zodra alle rechten zijn toegewezen, klikt u op Verleen beheerderstoestemming voor [naam organisatie].
- Klik Ja om de toestemming te verlenen
- De toestemming zou nu met succes moeten worden verleend.
Certificaten exporteren naar Azure Active Directory met behulp van SSL.com Azure Integration Tool
De volgende secties bevatten instructies over het gebruik van SSL.com Azure Integration Tool om certificaten naar Azure Active Directory te exporteren.Vereisten van SSL.com
- Een actieve pre-validatieovereenkomst voor identiteit, ook wel Enterprise genoemd PKI (EPKI) Overeenkomst. Vind hier instructies (Enterprise PKI (EPKI) Overeenkomst instellen) om deze overeenkomst in te dienen en te activeren. Eenmaal geactiveerd, kunnen de stappen in de volgende sectie worden uitgevoerd.
- Microsoft Entra- en Intune-account geconfigureerd, zoals beschreven in deze vorige sectie: Hoe u Microsoft Intune en Microsoft Active Directory configureert voor S/MIME Certificeringen.
Configureer Azure Sync
- Log in op uw SSL.com-account en klik Integraties in het bovenste menu. Klik op uit de vermelde opties Azure AD.
- Vul de vereiste velden in voor Azure-integratie. Klik daarna op de Bespaar knop.
- klant-ID. Applicatie-(client)-ID.
- Cliëntgeheim. Kopieer de waarde van het clientgeheim(en) uit de clientreferenties.
- ID huurder. Directory-ID (tenant).
- Openbare sleutel van Intune. Base64-versie van de openbare sleutel geëxporteerd vanaf de Intune-connectorserver. Bekijk dit voor meer informatie Microsoft-bron.
Gebruik de SSL.com Azure Integration Tool voor de uitgifte van S/MIME certificaten
- Wanneer de Azuur instelling is gemaakt. Klik op de machtigen link.
- Klik Azure-gebruikers zodat de lijst met gebruikers uit Azure kan worden geïmporteerd in het systeem van SSL.com.
- U wordt gevraagd om in te loggen op uw Microsoft-account.
- Klik op de Gebruikers importeren knop op het SSL.com Azure Integration Tool.
- SSL.com meldt dat de gegevens van de Azure-gebruikers aan wie digitale certificaten worden toegewezen, momenteel worden geïmporteerd. Laad de pagina opnieuw om te bevestigen dat deze zijn geïmporteerd.
- SSL.com toont de lijst met Azure-gebruikers, aangegeven met hun voornaam, achternaam en e-mailadres. Schakel het selectievakje in voor alle gebruikers aan wie een certificaat wordt toegewezen. Het aantal gebruikers dat in de lijst wordt weergegeven, kan worden vergroot door op de vervolgkeuzepijl linksonder op de pagina te klikken. Klik na voltooiing van de geselecteerde gebruikers op de Certificaat inschrijven om verder te gaan.
- Voldoe aan de vereisten voor het certificaat.
- Certificaat: Kies het type certificaat dat u wilt toewijzen aan de geselecteerde gebruikers.
- Duur: Geef de tijdsduur op voordat het certificaat verloopt.
- Beoogde doel: Kies uit Algemeen gebruik, SMIME-codering of SMIME-ondertekening.
- Nadat de keuzes definitief zijn gemaakt, klikt u op de Toevoegen knop.
- Certificaat: Kies het type certificaat dat u wilt toewijzen aan de geselecteerde gebruikers.
- Elke gebruiker krijgt vanaf hier een nieuwe certificaatbestelling toegewezen. Als er een pre-validatieovereenkomst voor de identiteit is, wordt elke bestelling automatisch gevalideerd en uitgegeven. De succesvolle uitgifte van het certificaat kan worden bevestigd door op te klikken Bestellingen in het hoofdmenu, gevolgd door de gegevens link van de specifieke bestelling. Door naar beneden te scrollen en op de EINDENTITEITSCERTIFICATEN sectie verschijnen de details van het certificaat, inclusief het certificaat UITGEGEVEN statuut.