Introdução
O Microsoft Intune permite a integração de certificados PFX importados, que geralmente são usados para S/MIME criptografia em perfis de e-mail. O Intune oferece suporte à importação de certificados PFX nestas plataformas:- Administrador de dispositivos Android
- Empresa Android:
- Totalmente gerenciado
- Perfil de trabalho de propriedade corporativa
- Perfil de trabalho de propriedade pessoal
- iOS / iPadOS
- MacOS
- Windows 10 / 11
Compreensão S/MIME Implantação de certificado usando o Intune
Quando o Intune é usado para implantar um certificado PFX importado para um usuário, dois componentes principais desempenham uma função junto com o dispositivo:- Serviço Intune: Este serviço armazena com segurança os certificados PFX em um formato criptografado e gerencia sua implantação no dispositivo do usuário. As senhas que protegem as chaves privadas desses certificados são criptografadas antes de serem carregadas, usando um módulo de segurança de hardware (HSM) ou Criptografia do Windows. Isso garante que o Intune nunca tenha acesso às chaves privadas.
- Conector de certificado para Microsoft Intune: Quando um dispositivo solicita um certificado PFX importado, a senha criptografada, o certificado e a chave pública do dispositivo são encaminhados para o conector. O conector descriptografa a senha usando a chave privada local e, em seguida, criptografa novamente a senha com a chave do dispositivo. O certificado é então retornado ao Intune, que o entrega ao dispositivo. O dispositivo o descriptografa com sua própria chave privada e instala o certificado.
Papéis Específicos dos Atores
- ID de entrada: Funciona como o principal provedor de identidade, integrando-se a vários serviços e aplicativos empresariais da Microsoft.
- Em sintonia: Gerencia dispositivos registrados no sistema, aplica políticas de segurança e implanta certificados.
- S/MIME certificados: Fornecidos pela SSL.com, esses certificados garantem comunicação de e-mail segura por meio de criptografia e assinatura de e-mail.
- Entre Connect: Vincula o Active Directory local ao Azure Entra ID para fornecer uma solução de identidade híbrida.
- dispositivos: Eles são registrados no Intune e protegidos com certificados, dando aos usuários acesso seguro aos recursos corporativos.
Resumo do fluxo de trabalho
- A organização registra seu aplicativo empresarial no Entra ID.
- Os detalhes do aplicativo empresarial também são registrados no SSL.com.
- Os administradores do Intune compram certificados para usuários do SSL.com.
- Durante a compra, os administradores selecionam a finalidade do certificado, como uso geral, S/MIME Criptografia, ou S/MIME Assinando.
- O certificado PFX é então importado para o Intune para a conta do usuário.
- O Intune se conecta ao conector do Intune para validar o certificado.
- Após a validação, o Intune implanta o certificado no dispositivo do usuário.
Reforce a segurança do seu e-mail e proteja dados confidenciais com SSL.com S/MIME certificados.
Como configurar o Microsoft Intune e o Microsoft Active Directory para S/MIME Profissionais
Pré-requisitos
Listados abaixo estão os pré-requisitos para a API. Eles precisam ser configurados no Intune locatário para o qual os certificados serão importados de SSL.com.- Uma conta com direitos de administrador do Intune
Adicione usuários e conceda permissões – Microsoft Intune | Microsoft Aprenda - Todos os usuários para os quais o certificado PFX é importado devem ter a licença do Intune atribuída
Atribuir licenças do Microsoft Intune | Microsoft Aprenda - Conector de certificado Intune instalado e configurado em um servidor Windows
Instale o Conector de Certificado para Microsoft Intune – Azure | Microsoft Aprenda - Chave pública exportada do servidor do conector Intune
Use certificados PFX importados no Microsoft Intune | Microsoft Aprenda - Crie um aplicativo corporativo no Microsoft Entra
Este guia pressupõe que o aplicativo empresarial já será criado nos locatários e SSL.com terá as informações sobre o aplicativo empresarial registrado. O processo de registro do aplicativo Enterprise (usando o portal Entra) é explicado a seguir.- Faça login em portal.azure.com e pesquise ID de entrada da Microsoft
- Clique Aplicações Enterprise
- Clique Nova aplicação
- Clique Crie seu próprio aplicativo
- Digite o nome do aplicativo e clique em Crie
- O aplicativo agora foi criado com sucesso.
- Clique Registros de aplicativos
- Clique Todas as aplicações
- Selecione o aplicativo.
Note o ID do aplicativo e os votos de ID do diretório: estes precisam ser passados para a API. - Clique Certificados e segredos e depois selecione Novo segredo do cliente
- Clique Autenticação e adicione os URLs de redirecionamento da Web de SSL.com. URLs de redirecionamento são https://secure.ssl.com/oauth2/azure para Produção e https://sandbox.ssl.com/oauth2/azure para caixa de areia
- Forneça um nome para a chave e clique em Adicionar
Observe o valor da chave. Isso precisa ser passado para a API.
- Configurar um perfil de importação de certificado PKCS
Depois que os certificados forem importados para o Intune, configure um perfil de importação de certificado PKCS e atribua-o aos grupos relevantes do Microsoft Entra. Etapas detalhadas estão disponíveis neste Guia da Microsoft.
Requisitos de permissão para o aplicativo Enterprise importar o certificado
- Debaixo Registros de aplicativos >> Nome da Aplicação, clique em Permissões da API.
- Clique Adicione uma permissão.
- Clique Microsoft Graph.
- Clique Permissões delegadas e pesquise user.read. Marque as caixas para Usuário. Ler e Usuário.Ler.Tudo.
- Clique Permissões delegadas e procure por “grupo”. Marque a caixa para Grupo.ReadWrite.All.
- Clique Permissões delegadas e pesquise “DeviceManagementApps”. Marque a caixa para DeviceManagementApps.ReadWrite.All.
- Procurar por “Configuração de gerenciamento de dispositivos”. Marque as caixas para DeviceManagementConfiguration.Read.All e DeviceManagementConfiguration.ReadWrite.All. Prossiga para clicar no Adicionar permissões botão.
- Clique Adicione uma permissão.
- Selecionar Microsoft Graph.
- Clique Permissões de aplicativo e pesquise “user.read”. Marque as caixas para Usuário.Ler.Tudo e Usuário.ReadWrite.All.
- Clique Permissões de aplicativo e procure por “grupo”. Marque a caixa para Grupo.ReadWrite.All.
- Clique Permissões de aplicativo e pesquise “deviceManagementApps”. Marque a caixa para DeviceManagementApps.ReadWrite.All
- Clique Permissões de aplicativo e pesquise “DeviceManagementService”. Marque a caixa para DeviceManagementService.ReadWrite.All
- Procurar por “DeviceManagementConfiguration” e marque as caixas para DeviceManagementConfiguration.Read.All e DeviceManagementConfiguration.ReadWrite.All. Prossiga para clicar no Adicionar permissões botão.
- Depois que todos os direitos forem atribuídos, clique em Conceda consentimento administrativo para [nome da organização].
- Clique Sim para conceder a permissão
- A permissão agora deve ser concedida com sucesso.
Como exportar certificados para o Azure Active Directory usando a ferramenta de integração SSL.com Azure
As seções a seguir fornecem instruções sobre como usar a Ferramenta de Integração do Azure SSL.com para exportar certificados para o Azure Active Directory.Requisitos de SSL.com
- Um contrato de pré-validação de identidade ativa, também conhecido como Enterprise PKI (EPKI) Acordo. Encontre instruções aqui (Empreendimento PKI (EPKI) Configuração do contrato) para enviar e ativar este contrato. Uma vez ativado, as etapas da próxima seção podem ser executadas.
- Conta Microsoft Entra e Intune configurada, conforme descrito nesta seção anterior: Como configurar o Microsoft Intune e o Microsoft Active Directory para S/MIME Profissionais.
Configurar a sincronização do Azure
- Faça login em sua conta SSL.com e clique em Integrações no menu superior. Nas opções listadas, clique em azuread.
- Preencha os campos obrigatórios para integração do Azure. Depois, clique no Economize botão.
- ID do cliente. ID do aplicativo (cliente).
- Segredo do cliente. Copie o(s) valor(es) do(s) segredo(s) do cliente das credenciais do cliente.
- ID do inquilino. ID do diretório (locatário).
- Chave Pública do Intune. Versão Base64 da chave pública exportada do servidor do conector do Intune. Para mais detalhes, confira isto Recurso da Microsoft.
Use a ferramenta de integração SSL.com Azure para emissão de S/MIME certificados
- Uma vez que o Azul configuração foi criada. Clique no Autorizar link.
- Clique Usuários do Azure para que a lista de usuários do Azure possa ser importada para o sistema SSL.com.
- Você será solicitado a fazer login em sua conta da Microsoft.
- Clique na Importar usuários botão na ferramenta de integração SSL.com Azure.
- SSL.com notificará que as informações dos usuários do Azure aos quais serão atribuídos certificados digitais estão em processo de importação. Recarregue a página para confirmar que foram importados.
- SSL.com mostrará a lista de usuários do Azure, indicados por nome, sobrenome e endereço de email. Marque a caixa de seleção de todos os usuários aos quais será atribuído um certificado. A quantidade de usuários exibidos na lista pode ser aumentada clicando na seta suspensa no canto inferior esquerdo da página. Ao finalizar os usuários selecionados, clique no botão Certificado de inscrição botão para prosseguir.
- Cumprir os requisitos para o certificado.
- Certificado: escolha o tipo de certificado que deseja atribuir aos usuários selecionados.
- Duração: especifique o período de tempo antes que o certificado expire.
- Finalidade: escolha entre Propósito Geral, Criptografia SMIME ou Assinatura SMIME.
- Depois que as escolhas forem finalizadas, clique no botão Adicionar botão.
- Certificado: escolha o tipo de certificado que deseja atribuir aos usuários selecionados.
- Cada usuário receberá um novo pedido de certificado a partir daqui. Com a presença de um acordo de pré-validação de Identidade, cada pedido será autovalidado e emitido. A emissão bem-sucedida do certificado pode ser confirmada clicando em Encomendas no menu superior, seguido pelo detalhes link do pedido específico. Rolando para baixo e clicando no CERTIFICADOS DA ENTIDADE FINAL seção, os detalhes do certificado aparecerão incluindo seu PUBLICADO estado.