Wprowadzenie
Usługa Microsoft Intune umożliwia integrację importowanych certyfikatów PFX, które są często używane do S/MIME szyfrowanie profili e-mail. Usługa Intune obsługuje importowanie certyfikatów PFX na następujących platformach:- Administrator urządzenia z systemem Android
- Android Enterprise:
- W pełni zarządzany
- Profil pracy korporacyjnej
- Profil pracy osobistej
- iOS / iPadOS
- macOS
- Okna 10 / 11
Rozumienie S/MIME Wdrażanie certyfikatów za pomocą usługi Intune
Gdy usługa Intune jest używana do wdrażania zaimportowanego certyfikatu PFX dla użytkownika, oprócz urządzenia rolę odgrywają także dwa kluczowe komponenty:- Usługa Intune: Ta usługa bezpiecznie przechowuje certyfikaty PFX w zaszyfrowanym formacie i zarządza ich wdrażaniem na urządzeniu użytkownika. Hasła chroniące klucze prywatne tych certyfikatów są szyfrowane przed przesłaniem, przy użyciu modułu zabezpieczeń sprzętowych (HSM) lub kryptografii systemu Windows. Dzięki temu Intune nigdy nie będzie mieć dostępu do kluczy prywatnych.
- Łącznik certyfikatów dla Microsoft Intune: Gdy urządzenie żąda zaimportowanego certyfikatu PFX, zaszyfrowane hasło, certyfikat i klucz publiczny urządzenia są przekazywane do łącznika. Łącznik odszyfrowuje hasło przy użyciu lokalnego klucza prywatnego, a następnie ponownie szyfruje hasło przy użyciu klucza urządzenia. Następnie certyfikat jest zwracany do usługi Intune, która dostarcza go do urządzenia. Urządzenie odszyfrowuje go przy użyciu własnego klucza prywatnego i instaluje certyfikat.
Konkretne role aktorów
- Identyfikator wejścia: Pełni funkcję głównego dostawcy tożsamości, integrując się z różnymi usługami Microsoft i aplikacjami korporacyjnymi.
- Intune: Zarządza urządzeniami zarejestrowanymi w systemie, stosuje zasady bezpieczeństwa i wdraża certyfikaty.
- S/MIME Certyfikaty: Certyfikaty te dostarczane przez SSL.com gwarantują bezpieczną komunikację e-mailową dzięki szyfrowaniu i podpisywania wiadomości e-mail.
- Wejście Connect: Łączy lokalną usługę Active Directory z identyfikatorem Azure Entra ID, aby zapewnić hybrydowe rozwiązanie tożsamości.
- Pomysłowość: Są one rejestrowane w usłudze Intune i zabezpieczone certyfikatami, co zapewnia użytkownikom bezpieczny dostęp do zasobów korporacyjnych.
Podsumowanie przepływu pracy
- Organizacja rejestruje swoją aplikację korporacyjną w Entra ID.
- Szczegóły aplikacji korporacyjnej są również zarejestrowane w SSL.com.
- Administratorzy usługi Intune kupują certyfikaty dla użytkowników od SSL.com.
- Podczas zakupu administratorzy wybierają cel certyfikatu, np. do użytku ogólnego, S/MIME Szyfrowanie lub S/MIME Podpisywanie.
- Następnie certyfikat PFX jest importowany do usługi Intune dla konta użytkownika.
- Usługa Intune łączy się z łącznikiem Intune w celu weryfikacji certyfikatu.
- Po sprawdzeniu poprawności certyfikatu usługa Intune wdraża go na urządzeniu użytkownika.
Wzmocnij bezpieczeństwo swojej poczty e-mail i chroń wrażliwe dane dzięki SSL.com S/MIME certyfikaty.
Jak skonfigurować Microsoft Intune i Microsoft Active Directory dla S/MIME certyfikacja
Wymagania wstępne
Poniżej wymieniono wymagania wstępne dotyczące interfejsu API. Należy je skonfigurować w usłudze Intune dzierżawca, do którego będą importowane certyfikaty z SSL.com.- Konto z uprawnieniami administratora usługi Intune
Dodawaj użytkowników i udzielaj uprawnień – Microsoft Intune | Microsoft Dowiedz się - Wszyscy użytkownicy, dla których importowany jest certyfikat PFX, powinni mieć przypisaną licencję Intune
Przypisz licencje Microsoft Intune | Microsoft Dowiedz się - Łącznik certyfikatu usługi Intune zainstalowany i skonfigurowany na serwerze Windows
Zainstaluj łącznik certyfikatów dla usługi Microsoft Intune — Azure | Microsoft Dowiedz się - Klucz publiczny wyeksportowany z serwera łącznika Intune
Użyj zaimportowanych certyfikatów PFX w Microsoft Intune | Microsoft Dowiedz się - Utwórz aplikację korporacyjną w Microsoft Entra
W tym przewodniku założono, że aplikacja korporacyjna zostanie już utworzona u dzierżawców, a witryna SSL.com będzie zawierała informacje o zarejestrowanej aplikacji korporacyjnej. Poniżej wyjaśniono proces rejestracji aplikacji Enterprise (za pomocą portalu Entra).- Zaloguj się do portalu.azure.com i wyszukaj Identyfikator Microsoft Entra
- Kliknij Aplikacje korporacyjne
- Kliknij Nowa aplikacja
- Kliknij Stwórz własną aplikację
- Wpisz nazwę aplikacji i kliknij Stwórz
- Aplikacja została utworzona pomyślnie.
- Kliknij Rejestracje aplikacji
- Kliknij Wszystkie aplikacje
- Wybierz aplikację.
Zanotuj ID aplikacji i Identyfikator katalogu: należy je przekazać do interfejsu API. - Kliknij Certyfikaty i tajemnice a następnie wybierz Nowy sekret klienta
- Kliknij Uwierzytelnianie i dodaj adresy URL przekierowań sieciowych SSL.com. Adresy URL przekierowań to https://secure.ssl.com/oauth2/azure do Produkcji i https://sandbox.ssl.com/oauth2/azure dla Sandboxa
- Podaj nazwę klucza i kliknij Dodaj
Zanotuj wartość klucza. Należy to przekazać do interfejsu API.
- Skonfiguruj profil importu certyfikatu PKCS
Po zaimportowaniu certyfikatów do usługi Intune skonfiguruj profil importu certyfikatu PKCS i przypisz go do odpowiednich grup Microsoft Entra. Szczegółowe kroki są dostępne w tym Przewodnik Microsoft.
Wymagania dotyczące uprawnień aplikacji Enterprise do importowania certyfikatu
- Pod Rejestracje aplikacji >> Nazwa aplikacjikliknij opcję Uprawnienia API.
- Kliknij Dodaj uprawnienia.
- Kliknij Microsoft Graph.
- Kliknij Delegowane uprawnienia i wyszukaj user.read. Zaznacz pola dla Użytkownik. Przeczytaj Użytkownik.Przeczytaj.Wszystko.
- Kliknij Delegowane uprawnienia i wyszukaj „grupę”. Zaznacz pole Grupa.OdczytZapis.Wszystkie.
- Kliknij Delegowane uprawnienia i wyszukaj „DeviceManagementApps”. Zaznacz pole DeviceManagementApps.ReadWrite.All.
- Szukaj „Konfiguracja zarządzania urządzeniami”. Zaznacz pola dla DeviceManagementConfiguration.Read.All DeviceManagementConfiguration.ReadWrite.All. Przejdź do kliknięcia Dodaj uprawnienia przycisk.
- Kliknij Dodaj uprawnienia.
- Wybierz Microsoft Graph.
- Kliknij Uprawnienia do aplikacji i wyszukaj „user.read”. Zaznacz pola dla Użytkownik.Przeczytaj.Wszystko Użytkownik.OdczytZapis.Wszystko.
- Kliknij Uprawnienia do aplikacji i wyszukaj „grupę”. Zaznacz pole Grupa.OdczytZapis.Wszystkie.
- Kliknij Uprawnienia do aplikacji i wyszukaj „deviceManagementApps”. Zaznacz pole DeviceManagementApps.ReadWrite.All
- Kliknij Uprawnienia do aplikacji i wyszukaj „DeviceManagementService”. Zaznacz pole DeviceManagementService.ReadWrite.All
- Szukaj „DeviceManagementConfiguration” i zaznacz pola wyboru DeviceManagementConfiguration.Read.All DeviceManagementConfiguration.ReadWrite.All. Przejdź do kliknięcia Dodaj uprawnienia przycisk.
- Po przypisaniu wszystkich praw kliknij Udziel zgody administratora dla [nazwa organizacji].
- Kliknij Tak aby udzielić pozwolenia
- Pozwolenie powinno teraz zostać pomyślnie przyznane.
Jak eksportować certyfikaty do Azure Active Directory za pomocą narzędzia integracji platformy SSL.com z platformą Azure
W poniższych sekcjach znajdują się instrukcje dotyczące używania narzędzia integracji platformy Azure SSL.com do eksportowania certyfikatów do Azure Active Directory.Wymagania z SSL.com
- Aktywna umowa wstępnej weryfikacji tożsamości, znana również jako przedsiębiorstwo PKI (EPKI) Porozumienie. Znajdź instrukcje tutaj (Enterprise PKI (EPKI) Konfiguracja umowy), aby przesłać i aktywować tę umowę. Po aktywacji można wykonać kroki opisane w następnej sekcji.
- Skonfigurowane konta Microsoft Entra i Intune zgodnie z opisem w poprzedniej sekcji: Jak skonfigurować Microsoft Intune i Microsoft Active Directory dla S/MIME certyfikacja.
Skonfiguruj synchronizację platformy Azure
- Zaloguj się na swoje konto SSL.com i kliknij Integracje w górnym menu. Na liście opcji kliknij Azure AD.
- Wypełnij wymagane pola w celu integracji z platformą Azure. Następnie kliknij Zapisz przycisk.
- identyfikator klienta. Identyfikator aplikacji (klienta).
- Sekret klienta. Skopiuj wartość klucza tajnego klienta z poświadczeń klienta.
- Identyfikator najemcy. Identyfikator katalogu (dzierżawcy).
- Klucz publiczny usługi Intune. Wersja klucza publicznego Base64 wyeksportowana z serwera łącznika usługi Intune. Aby uzyskać więcej informacji, sprawdź to Zasób Microsoftu.
Użyj narzędzia integracji platformy SSL.com z platformą Azure w celu wystawienia S/MIME certyfikaty
- Po Lazur ustawienie zostało utworzone. Kliknij Autoryzować łącze.
- Kliknij Użytkownicy Azure dzięki czemu lista użytkowników z Azure będzie mogła zostać zaimportowana do systemu SSL.com.
- Zostaniesz poproszony o zalogowanie się na swoje konto Microsoft.
- Kliknij Importuj użytkowników w narzędziu integracji Azure SSL.com.
- SSL.com powiadomi, że informacje o użytkownikach platformy Azure, którym zostaną przypisane certyfikaty cyfrowe, są w trakcie importowania. Załaduj ponownie stronę, aby potwierdzić, że zostały one zaimportowane.
- SSL.com wyświetli listę użytkowników Azure, oznaczoną ich imieniem, nazwiskiem i adresem e-mail. Zaznacz pole wyboru obok wszystkich użytkowników, którym zostanie przypisany certyfikat. Liczbę użytkowników wyświetlaną na liście można zwiększyć klikając strzałkę rozwijaną w lewym dolnym rogu strony. Po sfinalizowaniu wybranych użytkowników kliknij przycisk Zarejestruj certyfikat aby kontynuować.
- Spełnij wymagania dotyczące certyfikatu.
- Certyfikat: Wybierz typ certyfikatu, który chcesz przypisać wybranym użytkownikom.
- Czas: Określ czas przed wygaśnięciem certyfikatu.
- Zamierzony cel: Wybierz opcję Ogólnego przeznaczenia, Szyfrowanie SMIME lub Podpisywanie SMIME.
- Po dokonaniu wyboru kliknij przycisk Dodaj przycisk.
- Certyfikat: Wybierz typ certyfikatu, który chcesz przypisać wybranym użytkownikom.
- Stąd każdemu użytkownikowi zostanie przypisane nowe zamówienie na certyfikat. W przypadku zawarcia umowy dotyczącej wstępnej weryfikacji tożsamości każde zamówienie zostanie automatycznie sprawdzone i wydane. Pomyślne wydanie certyfikatu można potwierdzić klikając Zamówienia z górnego menu, a następnie detale link do konkretnego zamówienia. Przewijając w dół i klikając CERTYFIKATY JEDNOSTEK KOŃCOWYCH pojawią się szczegóły certyfikatu, w tym jego certyfikat WYDANY stan.