Co to jest Azure Active Directory?
Azure Active Directory (Azure AD) działa jako solidna usługa zarządzania tożsamością i dostępem, integrując zarządzanie certyfikatami cyfrowymi. Ta funkcja pozwala organizacjom scentralizować zarządzanie certyfikatami, poprawiając bezpieczeństwo i upraszczając zadania administracyjne. Wykorzystując usługę Azure AD, przedsiębiorstwa mają pewność, że ich certyfikaty cyfrowe są zarządzane z zachowaniem wysokiej dostępności i zgodności ze standardami branżowymi, chroniąc w ten sposób poufne informacje i komunikację.Co to jest usługa Microsoft Intune?
Microsoft Intune usprawnia wdrażanie S/MIME certyfikaty na różnych urządzeniach, zwiększając bezpieczeństwo poczty elektronicznej poprzez szyfrowanie i podpisy cyfrowe. Wykorzystując usługę Intune, organizacje mogą automatycznie realizować dostawy S/MIME podpisywanie i szyfrowanie certyfikatów na urządzeniach z systemem Android, iOS/iPadOS, macOS i Windows 10/11. Na urządzeniach iOS korzystających z natywnego klienta poczty oraz na urządzeniach z systemem iOS i Android korzystających z programu Outlook plik S/MIME certyfikaty są automatycznie kojarzone z profilami pocztowymi, zapewniając bezproblemową integrację i zwiększone bezpieczeństwo poczty e-mail. W przypadku platform Windows i macOS, a także innych klientów poczty w systemach iOS i Android, usługa Intune ułatwi dystrybucję S/MIME certyfikaty. Użytkownicy muszą jednak włączyć tę funkcję ręcznie S/MIME w odpowiednich aplikacjach pocztowych i wybierz swoje certyfikaty. Ta funkcja usługi Intune upraszcza proces wdrażania, zapewniając, że S/MIME certyfikaty są łatwo dostępne na zarządzanych urządzeniach, co zwiększa ogólne bezpieczeństwo poczty e-mail, umożliwiając szyfrowaną i podpisaną komunikację e-mail w całej organizacji.Wzmocnij bezpieczeństwo swojej poczty e-mail i chroń wrażliwe dane dzięki SSL.com S/MIME certyfikaty.
Jak skonfigurować Microsoft Intune i Microsoft Active Directory dla S/MIME certyfikacja
Wymagania wstępne
Poniżej wymieniono wymagania wstępne dotyczące interfejsu API. Należy je skonfigurować w usłudze Intune dzierżawca, do którego będą importowane certyfikaty z SSL.com.- Konto z uprawnieniami administratora usługi Intune.
Dodawaj użytkowników i udzielaj uprawnień – Microsoft Intune | Microsoft Dowiedz się - Wszyscy użytkownicy, dla których importowany jest certyfikat PFX, powinni mieć usługę Intune przydzielona licencja.
Przypisz licencje Microsoft Intune | Microsoft Dowiedz się - Łącznik certyfikatów usługi Intune zainstalowany i skonfigurowany na serwerze z systemem Windows.
Zainstaluj łącznik certyfikatów dla usługi Microsoft Intune — Azure | Microsoft Dowiedz się - Klucz publiczny wyeksportowany z serwera łącznika usługi Intune.
Użyj zaimportowanych certyfikatów PFX w Microsoft Intune | Microsoft Dowiedz się - Utwórz aplikację korporacyjną w Microsoft Entra
W tym przewodniku założono, że aplikacja korporacyjna zostanie już utworzona u dzierżawców, a witryna SSL.com będzie zawierała informacje o zarejestrowanej aplikacji korporacyjnej. Poniżej wyjaśniono proces rejestracji aplikacji Enterprise (za pomocą portalu Entra).- Zaloguj się do portalu.azure.com i wyszukaj Identyfikator Microsoft Entra
- Kliknij Aplikacje korporacyjne
- Kliknij Nowa aplikacja
- Kliknij Stwórz własną aplikację
- Wpisz nazwę aplikacji i kliknij Stwórz
- Aplikacja została utworzona pomyślnie.
- Kliknij Rejestracje aplikacji
- Kliknij Wszystkie aplikacje
- Wybierz aplikację.
Zanotuj ID aplikacji oraz Identyfikator katalogu: należy je przekazać do interfejsu API. - Kliknij Certyfikaty i tajemnice a następnie wybierz Nowy sekret klienta
- Kliknij Uwierzytelnianie i dodaj adresy URL przekierowań sieciowych SSL.com. Adresy URL przekierowań to https://secure.ssl.com/oauth2/azure do Produkcji i https://sandbox.ssl.com/oauth2/azure dla Sandboxa
- Podaj nazwę klucza i kliknij Dodaj
Zanotuj wartość klucza. Należy to przekazać do interfejsu API.
Wymagania dotyczące uprawnień aplikacji Enterprise do importowania certyfikatu
- Pod Rejestracje aplikacji >> Nazwa aplikacjikliknij opcję Uprawnienia API.
- Kliknij Dodaj uprawnienia.
- Kliknij Microsoft Graph.
- Kliknij Delegowane uprawnienia i wyszukaj user.read. Zaznacz pola dla Użytkownik. Przeczytaj i Użytkownik.Przeczytaj.Wszystko.
- Kliknij Delegowane uprawnienia i wyszukaj „grupę”. Zaznacz pole Grupa.OdczytZapis.Wszystkie.
- Kliknij Delegowane uprawnienia i wyszukaj „DeviceManagementApps”. Zaznacz pole DeviceManagementApps.ReadWrite.All.
- Szukaj „Konfiguracja zarządzania urządzeniami”. Zaznacz pola dla DeviceManagementConfiguration.Read.All i DeviceManagementConfiguration.ReadWrite.All. Przejdź do kliknięcia Dodaj uprawnienia przycisk.
- Kliknij Dodaj uprawnienia.
- Wybierz Microsoft Graph.
- Kliknij Uprawnienia do aplikacji i wyszukaj „user.read”. Zaznacz pola dla Użytkownik.Przeczytaj.Wszystko i Użytkownik.OdczytZapis.Wszystko.
- Kliknij Uprawnienia do aplikacji i wyszukaj „grupę”. Zaznacz pole Grupa.OdczytZapis.Wszystkie.
- Kliknij Uprawnienia do aplikacji i wyszukaj „deviceManagementApps”. Zaznacz pole DeviceManagementApps.ReadWrite.All
- Kliknij Uprawnienia do aplikacji i wyszukaj „DeviceManagementService”. Zaznacz pole DeviceManagementService.ReadWrite.All
- Szukaj „DeviceManagementConfiguration” i zaznacz pola wyboru DeviceManagementConfiguration.Read.All i DeviceManagementConfiguration.ReadWrite.All. Przejdź do kliknięcia Dodaj uprawnienia przycisk.
- Po przypisaniu wszystkich praw kliknij Udziel zgody administratora dla [nazwa organizacji].
- Kliknij Tak aby udzielić pozwolenia
- Pozwolenie powinno teraz zostać pomyślnie przyznane.
Jak eksportować certyfikaty do Azure Active Directory za pomocą narzędzia integracji platformy SSL.com z platformą Azure
W poniższych sekcjach znajdują się instrukcje dotyczące używania narzędzia integracji platformy Azure SSL.com do eksportowania certyfikatów do Azure Active Directory.Wymagania z SSL.com
- Aktywna umowa wstępnej weryfikacji tożsamości, znana również jako przedsiębiorstwo PKI (EPKI) Porozumienie. Znajdź instrukcje tutaj (Enterprise PKI (EPKI) Konfiguracja umowy), aby przesłać i aktywować tę umowę. Po aktywacji można wykonać kroki opisane w następnej sekcji.
- Skonfigurowane konta Microsoft Entra i Intune zgodnie z opisem w poprzedniej sekcji: Jak skonfigurować Microsoft Intune i Microsoft Active Directory dla S/MIME certyfikacja.
Skonfiguruj synchronizację platformy Azure
- Zaloguj się na swoje konto SSL.com i kliknij Integracje w górnym menu. Na liście opcji kliknij Azure AD.
- Wypełnij wymagane pola w celu integracji z platformą Azure. Następnie kliknij Zapisz przycisk.
- identyfikator klienta. Identyfikator aplikacji (klienta).
- Sekret klienta. Skopiuj wartość klucza tajnego klienta z poświadczeń klienta.
- Identyfikator najemcy. Identyfikator katalogu (dzierżawcy).
- Klucz publiczny usługi Intune. Wersja klucza publicznego Base64 wyeksportowana z serwera łącznika usługi Intune. Aby uzyskać więcej informacji, sprawdź to Zasób Microsoftu.
Użyj narzędzia integracji platformy SSL.com z platformą Azure w celu wystawienia S/MIME certyfikaty
- Po Lazur ustawienie zostało utworzone. Kliknij Autoryzować łącze.
- Kliknij Użytkownicy Azure dzięki czemu lista użytkowników z Azure będzie mogła zostać zaimportowana do systemu SSL.com.
- Zostaniesz poproszony o zalogowanie się na swoje konto Microsoft.
- Kliknij Importuj użytkowników w narzędziu integracji Azure SSL.com.
- SSL.com powiadomi, że informacje o użytkownikach platformy Azure, którym zostaną przypisane certyfikaty cyfrowe, są w trakcie importowania. Załaduj ponownie stronę, aby potwierdzić, że zostały one zaimportowane.
- SSL.com wyświetli listę użytkowników Azure, oznaczoną ich imieniem, nazwiskiem i adresem e-mail. Zaznacz pole wyboru obok wszystkich użytkowników, którym zostanie przypisany certyfikat. Liczbę użytkowników wyświetlaną na liście można zwiększyć klikając strzałkę rozwijaną w lewym dolnym rogu strony. Po sfinalizowaniu wybranych użytkowników kliknij przycisk Zarejestruj certyfikat aby kontynuować.
- Spełnij wymagania dotyczące certyfikatu.
- Certyfikat: Wybierz typ certyfikatu, który chcesz przypisać wybranym użytkownikom.
- Czas: Określ czas przed wygaśnięciem certyfikatu.
- Zamierzony cel: Wybierz opcję Ogólnego przeznaczenia, Szyfrowanie SMIME lub Podpisywanie SMIME.
- Po dokonaniu wyboru kliknij przycisk Dodaj przycisk.
- Certyfikat: Wybierz typ certyfikatu, który chcesz przypisać wybranym użytkownikom.
- Stąd każdemu użytkownikowi zostanie przypisane nowe zamówienie na certyfikat. W przypadku zawarcia umowy dotyczącej wstępnej weryfikacji tożsamości każde zamówienie zostanie automatycznie sprawdzone i wydane. Pomyślne wydanie certyfikatu można potwierdzić klikając Zamówienia z górnego menu, a następnie detale link do konkretnego zamówienia. Przewijając w dół i klikając CERTYFIKATY JEDNOSTEK KOŃCOWYCH pojawią się szczegóły certyfikatu, w tym jego certyfikat WYDANY stan.