Beskrivning
Microsoft Intune möjliggör integration av importerade PFX-certifikat, som ofta används för S/MIME kryptering i e-postprofiler. Intune stöder import av PFX-certifikat över dessa plattformar:- Android-enhetsadministratör
- Android Enterprise:
- Helt administrerad
- Företagsägd arbetsprofil
- Personligt ägd arbetsprofil
- iOS / iPadOS
- MacOS
- Windows 10 / 11
Förståelse S/MIME Certifikatdistribution med Intune
När Intune används för att distribuera ett importerat PFX-certifikat till en användare, spelar två nyckelkomponenter en roll vid sidan av enheten:- Intune Service: Denna tjänst lagrar PFX-certifikaten säkert i ett krypterat format och hanterar deras distribution till användarens enhet. Lösenorden som skyddar de privata nycklarna för dessa certifikat krypteras innan de laddas upp, antingen med hjälp av en hårdvarusäkerhetsmodul (HSM) eller Windows Cryptography. Detta säkerställer att Intune aldrig har tillgång till de privata nycklarna.
- Certifikatanslutare för Microsoft Intune: När en enhet begär ett importerat PFX-certifikat vidarebefordras det krypterade lösenordet, certifikatet och enhetens offentliga nyckel till anslutningen. Anslutningen dekrypterar lösenordet med den lokala privata nyckeln och krypterar sedan lösenordet igen med enhetsnyckeln. Certifikatet returneras sedan till Intune, som levererar det till enheten. Enheten dekrypterar den med sin egen privata nyckel och installerar certifikatet.
Specifika roller för skådespelare
- Entra ID: Fungerar som huvudidentitetsleverantör, integrerad med olika Microsoft-tjänster och företagsapplikationer.
- Intune: Hanterar enheter som är registrerade i systemet, tillämpar säkerhetspolicyer och distribuerar certifikat.
- S/MIME Certifikat: Dessa certifikat tillhandahålls av SSL.com och säkerställer säker e-postkommunikation genom kryptering och e-postsignering.
- Entra Connect: Länkar lokal Active Directory med Azure Entra ID för att tillhandahålla en hybrididentitetslösning.
- enheter: Dessa är registrerade i Intune och säkrade med certifikat, vilket ger användare säker tillgång till företagets resurser.
Arbetsflödessammanfattning
- Organisationen registrerar sin företagsapp i Entra ID.
- Företagsappens detaljer är också registrerade hos SSL.com.
- Intune-administratörer köper certifikat för användare från SSL.com.
- Under köpet väljer administratörerna syftet med certifikatet, såsom allmän användning, S/MIME Kryptering, eller S/MIME Signering.
- PFX-certifikatet importeras sedan till Intune för användarens konto.
- Intune ansluter till Intune-anslutningen för att validera certifikatet.
- När det har validerats distribuerar Intune certifikatet till användarens enhet.
Stärk din e-postsäkerhet och skydda känslig data med SSL.com S/MIME certifikat.
Hur man konfigurerar Microsoft Intune och Microsoft Active Directory för S/MIME Certifieringar
Förutsättningar
Nedan listas förutsättningarna för API. Dessa måste konfigureras på Intune hyresgäst till vilken certifikat kommer att importeras från SSL.com.- Ett konto med Intune-administratörsrättigheter
Lägg till användare och ge behörigheter – Microsoft Intune | Microsoft Lär dig - Alla användare för vilka PFX-certifikatet importeras bör ha tilldelad Intune-licens
Tilldela Microsoft Intune-licenser | Microsoft Lär dig - Intune-certifikatanslutning installerad och konfigurerad på en Windows-server
Installera Certificate Connector för Microsoft Intune – Azure | Microsoft Lär dig - Offentlig nyckel exporterad från Intune-anslutningsserver
Använd importerade PFX-certifikat i Microsoft Intune | Microsoft Lär dig - Skapa Enterprise-applikation i Microsoft Entra
Den här guiden förutsätter att Enterprise-appen redan kommer att skapas hos hyresgästerna och SSL.com kommer att ha informationen om den registrerade företagsappen. Processen för att registrera Enterprise-appen (med Entra-portalen) förklaras nedan.- Logga in på portal.azure.com och sök efter Microsoft Access ID
- Klicka Enterprise-applikationer
- Klicka Ny ansökan
- Klicka Skapa din egen applikation
- Ange namnet på programmet och klicka Skapa
- Ansökan har nu skapats framgångsrikt.
- Klicka Appregistreringar
- Klicka Alla applikationer
- Välj applikationen.
Notera ansöknings-ID och Katalog-ID: dessa måste skickas till API. - Klicka Certifikat & hemligheter och välj sedan Ny kundhemlighet
- Klicka Autentisering och lägg till webbadresserna för omdirigering av SSL.com. Omdirigeringsadresser är https://secure.ssl.com/oauth2/azure för produktion och https://sandbox.ssl.com/oauth2/azure för Sandbox
- Ge nyckeln ett namn och klicka Lägg till
Notera värdet på nyckeln. Detta måste skickas till API:et.
- Konfigurera en PKCS-certifikatimportprofil
När certifikaten har importerats till Intune, konfigurera en PKCS-certifikatimportprofil och tilldela den till relevanta Microsoft Entra-grupper. Detaljerade steg finns i detta Microsoft guide.
Behörighetskrav för Enterprise-applikation att importera certifikatet
- Enligt Appregistreringar >> applikationsnamnklickar du på API-behörigheter.
- Klicka Lägg till en behörighet.
- Klicka Microsoft Graph.
- Klicka Delegerade behörigheter och sök efter user.read. Markera rutorna för Användare.Läs och Användare.Läs.Alla.
- Klicka Delegerade behörigheter och sök efter "grupp". Markera rutan för Group.ReadWrite.All.
- Klicka Delegerade behörigheter och sök efter "DeviceManagementApps". Markera rutan för DeviceManagementApps.ReadWrite.All.
- Sök efter "DeviceManagementConfiguration". Markera rutorna för DeviceManagementConfiguration.Read.All och DeviceManagementConfiguration.ReadWrite.All. Fortsätt att klicka på Lägg till behörigheter knapp.
- Klicka Lägg till en behörighet.
- Välja Microsoft Graph.
- Klicka Ansökan behörigheter och sök efter "user.read". Markera rutorna för Användare.Läs.Alla och User.ReadWrite.All.
- Klicka Ansökan behörigheter och sök efter "grupp". Markera rutan för Group.ReadWrite.All.
- Klicka Ansökan behörigheter och sök efter "deviceManagementApps". Markera rutan för DeviceManagementApps.ReadWrite.All
- Klicka Ansökan behörigheter och sök efter "DeviceManagementService". Markera rutan för DeviceManagementService.ReadWrite.All
- Sök efter "DeviceManagementConfiguration" och markera rutorna för DeviceManagementConfiguration.Read.All och DeviceManagementConfiguration.ReadWrite.All. Fortsätt att klicka på Lägg till behörigheter knapp.
- När alla rättigheter är tilldelade klickar du Ge administratörssamtycke för [namn på organisation].
- Klicka Ja att ge tillståndet
- Tillståndet bör nu beviljas framgångsrikt.
Så här exporterar du certifikat till Azure Active Directory med SSL.com Azure Integration Tool
Följande avsnitt innehåller instruktioner om hur du använder SSL.com Azure Integration Tool för att exportera certifikat till Azure Active Directory.Krav från SSL.com
- Ett aktivt avtal för förhandsvalidering av identitet, även känt som ett företag PKI (EPKI) Avtal. Hitta instruktioner här (Företag PKI (EPKI) Inställning av avtal) för att skicka och aktivera detta avtal. När den väl har aktiverats kan stegen i nästa avsnitt utföras.
- Konfigurerat Microsoft Entra- och Intune-konto, som beskrivs i det här föregående avsnittet: Hur man konfigurerar Microsoft Intune och Microsoft Active Directory för S/MIME Certifieringar.
Konfigurera Azure Sync
- Logga in på ditt SSL.com-konto och klicka integrationer på toppmenyn. Från de listade alternativen, klicka Azure AD.
- Fyll i de obligatoriska fälten för Azure-integration. Klicka sedan på Save knapp.
- kund-ID. Applikations (klient) ID.
- Klienthemlighet. Kopiera klientens hemlighetsvärde från klientens autentiseringsuppgifter.
- Hyresgäst ID. Katalog (hyresgäst) ID.
- Intune Public Key. Base64-versionen av den offentliga nyckeln exporterad från Intune-anslutningsservern. För mer information, kolla in detta Microsoft resurs.
Använd SSL.com Azure Integration Tool för utfärdande av S/MIME certifikat
- När Azure inställning har skapats. Klicka på Godkänna länken.
- Klicka Azure-användare så att listan över användare från Azure kan importeras till SSL.coms system.
- Du kommer att uppmanas att logga in på ditt Microsoft-konto.
- Klicka på Importera användare knappen på SSL.com Azure Integration Tool.
- SSL.com kommer att meddela att informationen om Azure-användarna som kommer att tilldelas digitala certifikat håller på att importeras. Ladda om sidan för att bekräfta att dessa har importerats.
- SSL.com visar listan över Azure-användare, indikerad med deras förnamn, efternamn och e-postadress. Markera kryssrutan för alla användare som kommer att tilldelas ett certifikat. Antalet användare som visas i listan kan ökas genom att klicka på rullgardinsmenyn längst ned till vänster på sidan. När du har slutfört valda användare klickar du på Registrera certifikat knappen för att fortsätta.
- Uppfyll kraven för certifikatet.
- Certifikat: Välj vilken typ av certifikat du vill tilldela de valda användarna.
- Duration: Ange hur lång tid det tar innan certifikatet löper ut.
- Avsedda ändamål: Välj mellan Allmänt, SMIME-kryptering eller SMIME-signering.
- När valen är klara klickar du på Lägg till knapp.
- Certifikat: Välj vilken typ av certifikat du vill tilldela de valda användarna.
- Varje användare kommer att tilldelas en ny certifikatorder härifrån. Med närvaro av ett avtal om förhandsvalidering av identitet, kommer varje beställning att automatiskt valideras och utfärdas. Den framgångsrika utfärdandet av certifikatet kan bekräftas genom att klicka Beställningar från toppmenyn, följt av detaljer länken för den specifika beställningen. Genom att scrolla ner och klicka på SLUTA ENTITETSCERTIFIKAT avsnitt, kommer detaljerna i certifikatet att visas inklusive dess UTFÄRDAD status.
