Introduksjon
Microsoft Intune tillater integrering av importerte PFX-sertifikater, som ofte brukes til S/MIME kryptering i e-postprofiler. Intune støtter import av PFX-sertifikater på tvers av disse plattformene:- Android-enhetsadministrator
- Android Enterprise:
- Fullt administrert
- Bedriftseid arbeidsprofil
- Personlig eid arbeidsprofil
- iOS / iPadOS
- macOS
- Windows 10 / 11
forståelse S/MIME Sertifikatdistribusjon ved hjelp av Intune
Når Intune brukes til å distribuere et importert PFX-sertifikat til en bruker, spiller to nøkkelkomponenter en rolle ved siden av enheten:- Intune-tjeneste: Denne tjenesten lagrer PFX-sertifikatene sikkert i et kryptert format og administrerer deres distribusjon til brukerens enhet. Passordene som beskytter de private nøklene til disse sertifikatene krypteres før de lastes opp, enten ved hjelp av en maskinvaresikkerhetsmodul (HSM) eller Windows Cryptography. Dette sikrer at Intune aldri har tilgang til de private nøklene.
- Sertifikatkobling for Microsoft Intune: Når en enhet ber om et importert PFX-sertifikat, videresendes det krypterte passordet, sertifikatet og enhetens offentlige nøkkel til koblingen. Koblingen dekrypterer passordet ved å bruke den lokale private nøkkelen, og krypterer deretter passordet på nytt med enhetsnøkkelen. Sertifikatet returneres deretter til Intune, som leverer det til enheten. Enheten dekrypterer den med sin egen private nøkkel og installerer sertifikatet.
Spesifikke roller til skuespillere
- Entra ID: Fungerer som hovedidentitetsleverandør, integreres med ulike Microsoft-tjenester og bedriftsapplikasjoner.
- På bølgelengde: Administrerer enheter som er registrert i systemet, bruker sikkerhetspolicyer og distribuerer sertifikater.
- S/MIME Sertifikater: Disse sertifikatene, levert av SSL.com, sikrer sikker e-postkommunikasjon gjennom kryptering og e-postsignering.
- Entra Connect: Kobler lokal Active Directory med Azure Entra ID for å gi en hybrid identitetsløsning.
- enheter: Disse er registrert i Intune og sikret med sertifikater, noe som gir brukerne trygg tilgang til bedriftens ressurser.
Sammendrag av arbeidsflyt
- Organisasjonen registrerer bedriftsappen sin i Entra ID.
- Bedriftsappdetaljene er også registrert hos SSL.com.
- Intune-administratorer kjøper sertifikater for brukere fra SSL.com.
- Under kjøpet velger administratorene formålet med sertifikatet, for eksempel generell bruk, S/MIME Kryptering, eller S/MIME Signering.
- PFX-sertifikatet importeres deretter til Intune for brukerens konto.
- Intune kobles til Intune-koblingen for å validere sertifikatet.
- Når det er validert, distribuerer Intune sertifikatet til brukerens enhet.
Styrk e-postsikkerheten din og beskytt sensitive data med SSL.com S/MIME sertifikater.
Hvordan konfigurere Microsoft Intune og Microsoft Active Directory for S/MIME sertifikater
Forutsetninger
Oppført nedenfor er forutsetningene for API. Disse må konfigureres på Intune leietaker som sertifikater vil bli importert til fra SSL.com.- En konto med Intune-administratorrettigheter
Legg til brukere og gi tillatelser – Microsoft Intune | Microsoft Lær - Alle brukerne som PFX-sertifikatet er importert for, bør ha Intune-lisens tildelt
Tilordne Microsoft Intune-lisenser | Microsoft Lær - Intune-sertifikatkobling installert og konfigurert på en Windows-server
Installer Certificate Connector for Microsoft Intune – Azure | Microsoft Lær - Offentlig nøkkel eksportert fra Intune-koblingsserver
Bruk importerte PFX-sertifikater i Microsoft Intune | Microsoft Lær - Lag Enterprise-applikasjon i Microsoft Entra
Denne veiledningen forutsetter at Enterprise-appen allerede er opprettet hos leietakerne og SSL.com vil ha informasjonen om den registrerte bedriftsappen. Prosessen for å registrere Enterprise-appen (ved hjelp av Entra-portalen) er forklart nedenfor.- Logg inn på portal.azure.com og søk etter Microsoft Access ID
- Klikk Bedriftsprogrammer
- Klikk Ny søknad
- Klikk Lag din egen applikasjon
- Skriv inn navnet på programmet og klikk Opprett
- Søknaden er nå opprettet.
- Klikk Appregistreringer
- Klikk Alle applikasjoner
- Velg applikasjonen.
Legg merke til Søknads-ID og Katalog-ID: disse må sendes til API. - Klikk Sertifikater og hemmeligheter og velg deretter Ny klienthemmelighet
- Klikk Autentisering og legg til nettviderekoblingsadressene til SSL.com. Redirect URL-er er https://secure.ssl.com/oauth2/azure for produksjon og https://sandbox.ssl.com/oauth2/azure for Sandbox
- Oppgi et navn til nøkkelen og klikk Legg til
Legg merke til verdien av nøkkelen. Dette må sendes til API.
- Sett opp en PKCS-sertifikatimportprofil
Når sertifikatene er importert til Intune, konfigurer en PKCS-sertifikatimportprofil og tilordne den til relevante Microsoft Entra-grupper. Detaljerte trinn er tilgjengelige i denne Microsoft guide.
Tillatelseskrav for Enterprise-applikasjon for å importere sertifikatet
- Under Appregistreringer >> Programnavn, klikk på API-tillatelser.
- Klikk Legg til en tillatelse.
- Klikk Microsoft Graph.
- Klikk Delegerte tillatelser og søk på user.read. Kryss av i boksene for Bruker.Les og Bruker.Les.Alle.
- Klikk Delegerte tillatelser og søk etter "gruppe". Kryss av i boksen for Group.ReadWrite.All.
- Klikk Delegerte tillatelser og søk etter "DeviceManagementApps". Kryss av i boksen for DeviceManagementApps.ReadWrite.All.
- Søk etter "DeviceManagementConfiguration". Kryss av i boksene for DeviceManagementConfiguration.Read.All og DeviceManagementConfiguration.ReadWrite.All. Fortsett til å klikke på Legg til tillatelser knapp.
- Klikk Legg til en tillatelse.
- Plukke ut Microsoft Graph.
- Klikk Søknadstillatelser og søk etter "user.read". Kryss av i boksene for Bruker.Les.Alle og User.ReadWrite.All.
- Klikk Søknadstillatelser og søk etter "gruppe". Kryss av i boksen for Group.ReadWrite.All.
- Klikk Søknadstillatelser og søk etter "deviceManagementApps". Kryss av i boksen for DeviceManagementApps.ReadWrite.All
- Klikk Søknadstillatelser og søk etter "DeviceManagementService". Kryss av i boksen for DeviceManagementService.ReadWrite.All
- Søk etter "DeviceManagementConfiguration" og merk av i boksene for DeviceManagementConfiguration.Read.All og DeviceManagementConfiguration.ReadWrite.All. Fortsett til å klikke på Legg til tillatelser knapp.
- Når alle rettighetene er tildelt, klikker du Gi administratorsamtykke for [navn på organisasjon].
- Klikk Ja å gi tillatelsen
- Tillatelsen skal nå gis.
Hvordan eksportere sertifikater til Azure Active Directory ved hjelp av SSL.com Azure Integration Tool
De følgende delene gir instruksjoner om hvordan du bruker SSL.com Azure Integration Tool til å eksportere sertifikater til Azure Active Directory.Krav fra SSL.com
- En aktiv avtale om forhåndsvalidering av identitet også kjent som en Enterprise PKI (EPKI) Avtale. Finn instruksjoner her (Enterprise PKI (EPKI) Avtaleoppsett) for å sende inn og aktivere denne avtalen. Når den er aktivert, kan trinnene i neste avsnitt utføres.
- Konfigurert Microsoft Entra- og Intune-konto, som beskrevet i denne forrige delen: Hvordan konfigurere Microsoft Intune og Microsoft Active Directory for S/MIME sertifikater.
Konfigurer Azure Sync
- Logg på SSL.com-kontoen din og klikk integrasjoner på toppmenyen. Fra de oppførte alternativene klikker du azuread.
- Fyll ut de nødvendige feltene for Azure-integrasjon. Etterpå klikker du på Spar knapp.
- kunde-ID. Søknad (klient) ID.
- Klienthemmelighet. Kopier klienthemmelighetsverdien fra klientlegitimasjonen.
- Leier-ID. Katalog (leietaker) ID.
- Intune offentlig nøkkel. Base64-versjon av den offentlige nøkkelen eksportert fra Intune-koblingsserveren. For mer informasjon, sjekk ut denne Microsoft ressurs.
Bruk SSL.com Azure Integration Tool for utstedelse av S/MIME sertifikater
- Når Azure innstillingen er opprettet. Klikk på Autorisere kobling.
- Klikk Azure-brukere slik at listen over brukere fra Azure kan importeres til SSL.coms system.
- Du vil bli bedt om å logge på Microsoft-kontoen din.
- Klikk på Importer brukere knappen på SSL.com Azure Integration Tool.
- SSL.com vil varsle om at informasjonen til Azure-brukerne som vil bli tildelt digitale sertifikater, er i ferd med å bli importert. Last inn siden på nytt for å bekrefte at disse er importert.
- SSL.com vil vise listen over Azure-brukere, angitt med fornavn, etternavn og e-postadresse. Kryss av i avmerkingsboksen for alle brukerne som vil bli tildelt et sertifikat. Antallet brukere som vises i listen kan økes ved å klikke på rullegardinpilen nederst til venstre på siden. Når du har fullført utvalgte brukere, klikker du på Registrer sertifikat knappen for å fortsette.
- Oppfyll kravene til sertifikatet.
- Sertifikat: Velg typen sertifikat du vil tilordne for de valgte brukerne.
- Varighet: Angi hvor lang tid før sertifikatet utløper.
- Tiltenkt formål: Velg mellom Generelt, SMIME-kryptering eller SMIME-signering.
- Etter at valgene er fullført, klikker du på Legg til knapp.
- Sertifikat: Velg typen sertifikat du vil tilordne for de valgte brukerne.
- Hver bruker vil bli tildelt en ny sertifikatbestilling herfra. Med tilstedeværelsen av en avtale om forhåndsvalidering av identitet, vil hver ordre automatisk valideres og utstedes. Vellykket utstedelse av sertifikatet kan bekreftes ved å klikke Mine ordre fra toppmenyen, etterfulgt av detaljer lenken til den aktuelle bestillingen. Ved å bla ned og klikke på SLUTT ENTITETSSERTIFIKAT seksjonen, vil detaljene i sertifikatet vises, inkludert dets UTSTEDT status.