Hva er Azure Active Directory?
Azure Active Directory (Azure AD) fungerer som en robust identitets- og tilgangsadministrasjonstjeneste ved å integrere administrasjonen av digitale sertifikater. Denne funksjonen lar organisasjoner sentralisere sertifikatadministrasjonen, forbedre sikkerheten og forenkle administrative oppgaver. Ved å utnytte Azure AD sikrer bedrifter at deres digitale sertifikater administreres med høy tilgjengelighet og samsvar med bransjestandarder, og sikrer dermed sensitiv informasjon og kommunikasjon.Hva er Microsoft Intune?
Microsoft Intune effektiviserer implementeringen av S/MIME sertifikater på tvers av ulike enheter, og forbedrer e-postsikkerheten gjennom kryptering og digitale signaturer. Ved å utnytte Intune kan organisasjoner levere automatisk S/MIME signerings- og krypteringssertifikater til enheter som kjører på Android, iOS/iPadOS, macOS og Windows 10/11. På iOS-enheter som bruker den opprinnelige e-postklienten, og på iOS- og Android-enheter som bruker Outlook, S/MIME sertifikater knyttes automatisk til e-postprofilene, noe som sikrer sømløs integrasjon og forbedret e-postsikkerhet. For Windows- og macOS-plattformer, samt andre e-postklienter på iOS og Android, vil Intune lette distribusjonen av S/MIME sertifikater. Brukere må imidlertid aktivere manuelt S/MIME i deres respektive e-postapplikasjoner og velg deres sertifikater. Denne egenskapen til Intune forenkler distribusjonsprosessen, og sikrer det S/MIME sertifikater er lett tilgjengelige på administrerte enheter, og forbedrer dermed den generelle e-postsikkerheten ved å aktivere kryptert og signert e-postkommunikasjon på tvers av organisasjonen.Styrk e-postsikkerheten din og beskytt sensitive data med SSL.com S/MIME sertifikater.
Hvordan konfigurere Microsoft Intune og Microsoft Active Directory for S/MIME sertifikater
Forutsetninger
Oppført nedenfor er forutsetningene for API. Disse må konfigureres på Intune leietaker som sertifikater vil bli importert til fra SSL.com.- En konto med Intune-administratorrettigheter.
Legg til brukere og gi tillatelser – Microsoft Intune | Microsoft Lær - Alle brukerne som PFX-sertifikatet er importert for, bør ha Intune lisens tildelt.
Tilordne Microsoft Intune-lisenser | Microsoft Lær - Intune-sertifikatkobling installert og konfigurert på en Windows-server.
Installer Certificate Connector for Microsoft Intune – Azure | Microsoft Lær - Offentlig nøkkel eksportert fra Intune-koblingsserver.
Bruk importerte PFX-sertifikater i Microsoft Intune | Microsoft Lær - Lag Enterprise-applikasjon i Microsoft Entra
Denne veiledningen forutsetter at Enterprise-appen allerede er opprettet hos leietakerne og SSL.com vil ha informasjonen om den registrerte bedriftsappen. Prosessen for å registrere Enterprise-appen (ved hjelp av Entra-portalen) er forklart nedenfor.- Logg inn på portal.azure.com og søk etter Microsoft Access ID
- Klikk Bedriftsprogrammer
- Klikk Ny søknad
- Klikk Lag din egen applikasjon
- Skriv inn navnet på programmet og klikk Opprett
- Søknaden er nå opprettet.
- Klikk Appregistreringer
- Klikk Alle applikasjoner
- Velg applikasjonen.
Legg merke til Søknads-ID og Katalog-ID: disse må sendes til API. - Klikk Sertifikater og hemmeligheter og velg deretter Ny klienthemmelighet
- Klikk Autentisering og legg til nettviderekoblingsadressene til SSL.com. Redirect URL-er er https://secure.ssl.com/oauth2/azure for produksjon og https://sandbox.ssl.com/oauth2/azure for Sandbox
- Oppgi et navn til nøkkelen og klikk Legg til
Legg merke til verdien av nøkkelen. Dette må sendes til API.
Tillatelseskrav for Enterprise-applikasjon for å importere sertifikatet
- Under Appregistreringer >> Programnavn, klikk på API-tillatelser.
- Klikk Legg til en tillatelse.
- Klikk Microsoft Graph.
- Klikk Delegerte tillatelser og søk på user.read. Kryss av i boksene for Bruker.Les og Bruker.Les.Alle.
- Klikk Delegerte tillatelser og søk etter "gruppe". Kryss av i boksen for Group.ReadWrite.All.
- Klikk Delegerte tillatelser og søk etter "DeviceManagementApps". Kryss av i boksen for DeviceManagementApps.ReadWrite.All.
- Søk etter "DeviceManagementConfiguration". Kryss av i boksene for DeviceManagementConfiguration.Read.All og DeviceManagementConfiguration.ReadWrite.All. Fortsett til å klikke på Legg til tillatelser knapp.
- Klikk Legg til en tillatelse.
- Plukke ut Microsoft Graph.
- Klikk Søknadstillatelser og søk etter "user.read". Kryss av i boksene for Bruker.Les.Alle og User.ReadWrite.All.
- Klikk Søknadstillatelser og søk etter "gruppe". Kryss av i boksen for Group.ReadWrite.All.
- Klikk Søknadstillatelser og søk etter "deviceManagementApps". Kryss av i boksen for DeviceManagementApps.ReadWrite.All
- Klikk Søknadstillatelser og søk etter "DeviceManagementService". Kryss av i boksen for DeviceManagementService.ReadWrite.All
- Søk etter "DeviceManagementConfiguration" og merk av i boksene for DeviceManagementConfiguration.Read.All og DeviceManagementConfiguration.ReadWrite.All. Fortsett til å klikke på Legg til tillatelser knapp.
- Når alle rettighetene er tildelt, klikker du Gi administratorsamtykke for [navn på organisasjon].
- Klikk Ja å gi tillatelsen
- Tillatelsen skal nå gis.
Hvordan eksportere sertifikater til Azure Active Directory ved hjelp av SSL.com Azure Integration Tool
De følgende delene gir instruksjoner om hvordan du bruker SSL.com Azure Integration Tool til å eksportere sertifikater til Azure Active Directory.Krav fra SSL.com
- En aktiv avtale om forhåndsvalidering av identitet også kjent som en Enterprise PKI (EPKI) Avtale. Finn instruksjoner her (Enterprise PKI (EPKI) Avtaleoppsett) for å sende inn og aktivere denne avtalen. Når den er aktivert, kan trinnene i neste avsnitt utføres.
- Konfigurert Microsoft Entra- og Intune-konto, som beskrevet i denne forrige delen: Hvordan konfigurere Microsoft Intune og Microsoft Active Directory for S/MIME sertifikater.
Konfigurer Azure Sync
- Logg på SSL.com-kontoen din og klikk integrasjoner på toppmenyen. Fra de oppførte alternativene klikker du azuread.
- Fyll ut de nødvendige feltene for Azure-integrasjon. Etterpå klikker du på Spar knapp.
- kunde-ID. Søknad (klient) ID.
- Klienthemmelighet. Kopier klienthemmelighetsverdien fra klientlegitimasjonen.
- Leier-ID. Katalog (leietaker) ID.
- Intune offentlig nøkkel. Base64-versjon av den offentlige nøkkelen eksportert fra Intune-koblingsserveren. For mer informasjon, sjekk ut denne Microsoft ressurs.
Bruk SSL.com Azure Integration Tool for utstedelse av S/MIME sertifikater
- Når Azure innstillingen er opprettet. Klikk på Autorisere kobling.
- Klikk Azure-brukere slik at listen over brukere fra Azure kan importeres til SSL.coms system.
- Du vil bli bedt om å logge på Microsoft-kontoen din.
- Klikk på Importer brukere knappen på SSL.com Azure Integration Tool.
- SSL.com vil varsle om at informasjonen til Azure-brukerne som vil bli tildelt digitale sertifikater, er i ferd med å bli importert. Last inn siden på nytt for å bekrefte at disse er importert.
- SSL.com vil vise listen over Azure-brukere, angitt med fornavn, etternavn og e-postadresse. Kryss av i avmerkingsboksen for alle brukerne som vil bli tildelt et sertifikat. Antallet brukere som vises i listen kan økes ved å klikke på rullegardinpilen nederst til venstre på siden. Når du har fullført utvalgte brukere, klikker du på Registrer sertifikat knappen for å fortsette.
- Oppfyll kravene til sertifikatet.
- Sertifikat: Velg typen sertifikat du vil tilordne for de valgte brukerne.
- Varighet: Angi hvor lang tid før sertifikatet utløper.
- Tiltenkt formål: Velg mellom Generelt, SMIME-kryptering eller SMIME-signering.
- Etter at valgene er fullført, klikker du på Legg til knapp.
- Sertifikat: Velg typen sertifikat du vil tilordne for de valgte brukerne.
- Hver bruker vil bli tildelt en ny sertifikatbestilling herfra. Med tilstedeværelsen av en avtale om forhåndsvalidering av identitet, vil hver ordre automatisk valideres og utstedes. Vellykket utstedelse av sertifikatet kan bekreftes ved å klikke Mine ordre fra toppmenyen, etterfulgt av detaljer lenken til den aktuelle bestillingen. Ved å bla ned og klikke på SLUTT ENTITETSSERTIFIKAT seksjonen, vil detaljene i sertifikatet vises, inkludert dets UTSTEDT status.