S/MIME Zarządzanie certyfikatami za pomocą Microsoft Azure Active Directory i inTune przy użyciu narzędzia integracji Azure SSL.com

Related Content

Chcesz dalej się uczyć?

Zapisz się do newslettera SSL.com, bądź na bieżąco i bezpiecznie.

Wprowadzenie

Usługa Microsoft Intune umożliwia integrację importowanych certyfikatów PFX, które są często używane do S/MIME szyfrowanie profili e-mail. Usługa Intune obsługuje importowanie certyfikatów PFX na następujących platformach:

  • Administrator urządzenia z systemem Android
  • Android Enterprise:
    • W pełni zarządzany
    • Profil pracy korporacyjnej
    • Profil pracy osobistej
  • iOS / iPadOS
  • macOS
  • Okna 10 / 11

Rozumienie S/MIME Wdrażanie certyfikatów za pomocą usługi Intune

Gdy usługa Intune jest używana do wdrażania zaimportowanego certyfikatu PFX dla użytkownika, oprócz urządzenia rolę odgrywają także dwa kluczowe komponenty:
  • Usługa Intune: Ta usługa bezpiecznie przechowuje certyfikaty PFX w zaszyfrowanym formacie i zarządza ich wdrażaniem na urządzeniu użytkownika. Hasła chroniące klucze prywatne tych certyfikatów są szyfrowane przed przesłaniem, przy użyciu modułu zabezpieczeń sprzętowych (HSM) lub kryptografii systemu Windows. Dzięki temu Intune nigdy nie będzie mieć dostępu do kluczy prywatnych.
  • Łącznik certyfikatów dla Microsoft Intune: Gdy urządzenie żąda zaimportowanego certyfikatu PFX, zaszyfrowane hasło, certyfikat i klucz publiczny urządzenia są przekazywane do łącznika. Łącznik odszyfrowuje hasło przy użyciu lokalnego klucza prywatnego, a następnie ponownie szyfruje hasło przy użyciu klucza urządzenia. Następnie certyfikat jest zwracany do usługi Intune, która dostarcza go do urządzenia. Urządzenie odszyfrowuje go przy użyciu własnego klucza prywatnego i instaluje certyfikat.

Konkretne role aktorów

  • Identyfikator wejścia: Pełni funkcję głównego dostawcy tożsamości, integrując się z różnymi usługami Microsoft i aplikacjami korporacyjnymi.
  • Intune: Zarządza urządzeniami zarejestrowanymi w systemie, stosuje zasady bezpieczeństwa i wdraża certyfikaty.
  • S/MIME Certyfikaty: Certyfikaty te dostarczane przez SSL.com gwarantują bezpieczną komunikację e-mailową dzięki szyfrowaniu i podpisywania wiadomości e-mail.
  • Wejście Connect: Łączy lokalną usługę Active Directory z identyfikatorem Azure Entra ID, aby zapewnić hybrydowe rozwiązanie tożsamości.
  • Pomysłowość: Są one rejestrowane w usłudze Intune i zabezpieczone certyfikatami, co zapewnia użytkownikom bezpieczny dostęp do zasobów korporacyjnych.

Podsumowanie przepływu pracy

  1. Organizacja rejestruje swoją aplikację korporacyjną w Entra ID.
  2. Szczegóły aplikacji korporacyjnej są również zarejestrowane w SSL.com.
  3. Administratorzy usługi Intune kupują certyfikaty dla użytkowników od SSL.com.
  4. Podczas zakupu administratorzy wybierają cel certyfikatu, np. do użytku ogólnego, S/MIME Szyfrowanie lub S/MIME Podpisywanie.
  5. Następnie certyfikat PFX jest importowany do usługi Intune dla konta użytkownika.
  6. Usługa Intune łączy się z łącznikiem Intune w celu weryfikacji certyfikatu.
  7. Po sprawdzeniu poprawności certyfikatu usługa Intune wdraża go na urządzeniu użytkownika.
Szczegółowe kroki dotyczące przepływu pracy i integracji omówiono w poniższych sekcjach.
Wzmocnij bezpieczeństwo swojej poczty e-mail i chroń wrażliwe dane dzięki SSL.com S/MIME certyfikaty.

Zabezpiecz swój e-mail

Jak skonfigurować Microsoft Intune i Microsoft Active Directory dla S/MIME certyfikacja

Wymagania wstępne

Poniżej wymieniono wymagania wstępne dotyczące interfejsu API. Należy je skonfigurować w usłudze Intune dzierżawca, do którego będą importowane certyfikaty z SSL.com.

Wymagania dotyczące uprawnień aplikacji Enterprise do importowania certyfikatu

  1. Pod Rejestracje aplikacji >> Nazwa aplikacjikliknij opcję Uprawnienia API.
  2. Kliknij Dodaj uprawnienia.
  3. Kliknij Microsoft Graph.
  4. Kliknij Delegowane uprawnienia i wyszukaj user.read. Zaznacz pola dla Użytkownik. Przeczytaj Użytkownik.Przeczytaj.Wszystko.
  5. Kliknij Delegowane uprawnienia i wyszukaj „grupę”. Zaznacz pole Grupa.OdczytZapis.Wszystkie.
  6. Kliknij Delegowane uprawnienia i wyszukaj „DeviceManagementApps”. Zaznacz pole DeviceManagementApps.ReadWrite.All.
  7. Szukaj „Konfiguracja zarządzania urządzeniami”. Zaznacz pola dla DeviceManagementConfiguration.Read.All DeviceManagementConfiguration.ReadWrite.All. Przejdź do kliknięcia Dodaj uprawnienia przycisk.
  8. Kliknij Dodaj uprawnienia.
  9. Wybierz Microsoft Graph.
  10. Kliknij Uprawnienia do aplikacji i wyszukaj „user.read”. Zaznacz pola dla Użytkownik.Przeczytaj.Wszystko Użytkownik.OdczytZapis.Wszystko.
  11. Kliknij Uprawnienia do aplikacji i wyszukaj „grupę”. Zaznacz pole Grupa.OdczytZapis.Wszystkie.
  12. Kliknij Uprawnienia do aplikacji i wyszukaj „deviceManagementApps”. Zaznacz pole DeviceManagementApps.ReadWrite.All
  13. Kliknij Uprawnienia do aplikacji i wyszukaj „DeviceManagementService”. Zaznacz pole DeviceManagementService.ReadWrite.All
  14. Szukaj „DeviceManagementConfiguration” i zaznacz pola wyboru DeviceManagementConfiguration.Read.All DeviceManagementConfiguration.ReadWrite.All. Przejdź do kliknięcia Dodaj uprawnienia przycisk.
  15. Po przypisaniu wszystkich praw kliknij Udziel zgody administratora dla [nazwa organizacji].
  16. Kliknij Tak aby udzielić pozwolenia
  17. Pozwolenie powinno teraz zostać pomyślnie przyznane.

Jak eksportować certyfikaty do Azure Active Directory za pomocą narzędzia integracji platformy SSL.com z platformą Azure

W poniższych sekcjach znajdują się instrukcje dotyczące używania narzędzia integracji platformy Azure SSL.com do eksportowania certyfikatów do Azure Active Directory. 

Wymagania z SSL.com

  1. Aktywna umowa wstępnej weryfikacji tożsamości, znana również jako przedsiębiorstwo PKI (EPKI) Porozumienie. Znajdź instrukcje tutaj (Enterprise PKI (EPKI) Konfiguracja umowy), aby przesłać i aktywować tę umowę. Po aktywacji można wykonać kroki opisane w następnej sekcji.
  2. Skonfigurowane konta Microsoft Entra i Intune zgodnie z opisem w poprzedniej sekcji: Jak skonfigurować Microsoft Intune i Microsoft Active Directory dla S/MIME certyfikacja.

Skonfiguruj synchronizację platformy Azure

  1. Zaloguj się na swoje konto SSL.com i kliknij Integracje w górnym menu. Na liście opcji kliknij Azure AD.
  2. Wypełnij wymagane pola w celu integracji z platformą Azure. Następnie kliknij Zapisz przycisk.
    1. identyfikator klienta. Identyfikator aplikacji (klienta).
    2. Sekret klienta. Skopiuj wartość klucza tajnego klienta z poświadczeń klienta.
    3. Identyfikator najemcy. Identyfikator katalogu (dzierżawcy).
    4. Klucz publiczny usługi Intune. Wersja klucza publicznego Base64 wyeksportowana z serwera łącznika usługi Intune. Aby uzyskać więcej informacji, sprawdź to Zasób Microsoftu.

Użyj narzędzia integracji platformy SSL.com z platformą Azure w celu wystawienia S/MIME certyfikaty

  1. Po Lazur ustawienie zostało utworzone. Kliknij Autoryzować łącze. 

  2. Kliknij Użytkownicy Azure dzięki czemu lista użytkowników z Azure będzie mogła zostać zaimportowana do systemu SSL.com.

  3. Zostaniesz poproszony o zalogowanie się na swoje konto Microsoft.
  4. Kliknij Importuj użytkowników w narzędziu integracji Azure SSL.com.
  5. SSL.com powiadomi, że informacje o użytkownikach platformy Azure, którym zostaną przypisane certyfikaty cyfrowe, są w trakcie importowania. Załaduj ponownie stronę, aby potwierdzić, że zostały one zaimportowane. 
  6. SSL.com wyświetli listę użytkowników Azure, oznaczoną ich imieniem, nazwiskiem i adresem e-mail. Zaznacz pole wyboru obok wszystkich użytkowników, którym zostanie przypisany certyfikat.  Liczbę użytkowników wyświetlaną na liście można zwiększyć klikając strzałkę rozwijaną w lewym dolnym rogu strony. Po sfinalizowaniu wybranych użytkowników kliknij przycisk Zarejestruj certyfikat aby kontynuować.
  7. Spełnij wymagania dotyczące certyfikatu.
    1. Certyfikat: Wybierz typ certyfikatu, który chcesz przypisać wybranym użytkownikom.
    2. Czas: Określ czas przed wygaśnięciem certyfikatu. 
    3. Zamierzony cel: Wybierz opcję Ogólnego przeznaczenia, Szyfrowanie SMIME lub Podpisywanie SMIME.
    4. Po dokonaniu wyboru kliknij przycisk Dodaj przycisk.

  8. Stąd każdemu użytkownikowi zostanie przypisane nowe zamówienie na certyfikat. W przypadku zawarcia umowy dotyczącej wstępnej weryfikacji tożsamości każde zamówienie zostanie automatycznie sprawdzone i wydane. Pomyślne wydanie certyfikatu można potwierdzić klikając Zamówienia z górnego menu, a następnie detale link do konkretnego zamówienia. Przewijając w dół i klikając CERTYFIKATY JEDNOSTEK KOŃCOWYCH pojawią się szczegóły certyfikatu, w tym jego certyfikat WYDANY stan. 


Powiązane przewodniki: 

LDAP, czyli Lightweight Directory Access Protocol, to powszechnie uznany standard zarządzania usługami informacji katalogowych, w tym danymi użytkowników i grup w sieci. Podobnie jak Azure Active Directory, LDAP zapewnia niezawodne zarządzanie certyfikatami cyfrowymi, chociaż oba systemy wykorzystują różne protokoły bezpieczeństwa.  Jeśli chcesz zarządzać swoim S/MIME certyfikatów z usługą korzystającą z LDAP, zapoznaj się z tym artykułem SSL.com: Integracja z LDAP S/MIME certyfikacja.

Bądź na bieżąco i bezpiecznie

SSL.com jest światowym liderem w dziedzinie cyberbezpieczeństwa, PKI i certyfikaty cyfrowe. Zarejestruj się, aby otrzymywać najnowsze wiadomości branżowe, wskazówki i ogłoszenia o produktach od SSL.com.

Będziemy wdzięczni za Twoją opinię

Weź udział w naszej ankiecie i daj nam znać, co myślisz o swoim ostatnim zakupie.