什么是 Azure 活动目录?
Azure Active Directory (Azure AD) 通过集成数字证书管理,可充当强大的身份和访问管理服务。此功能允许组织集中管理其证书,从而提高安全性并简化管理任务。通过利用 Azure AD,企业可以确保其数字证书具有高可用性并符合行业标准,从而保护敏感信息和通信。什么是 Microsoft Intune?
Microsoft Intune 简化了 S/MIME 跨各种设备提供证书,通过加密和数字签名增强电子邮件安全性。通过利用 Intune,组织可以自动交付 S/MIME 签名和加密证书可运行在 Android、iOS/iPadOS、macOS 和 Windows 10/11 上的设备。在使用本机邮件客户端的 iOS 设备上,以及在使用 Outlook 的 iOS 和 Android 设备上, S/MIME 证书自动与邮件配置文件关联,确保无缝集成并增强电子邮件安全性。 对于 Windows 和 macOS 平台以及 iOS 和 Android 上的其他邮件客户端,Intune 将促进分发 S/MIME 证书。但是,用户必须手动启用 S/MIME 在各自的邮件应用程序中选择证书。Intune 的这一功能简化了部署过程,确保 S/MIME 证书在托管设备上随时可用,从而通过在整个组织内启用加密和签名的电子邮件通信来增强整体电子邮件安全性。使用 SSL.com 加强您的电子邮件安全并保护敏感数据 S/MIME 证书。
如何配置 Microsoft Intune 和 Microsoft Active Directory S/MIME 证书
先决条件
下面列出了 API 的先决条件。这些需要在 Intune 上配置 将从 SSL.com 导入证书的租户。- 具有 Intune 管理员权限的帐户。
添加用户并授予权限 – Microsoft Intune | Microsoft Learn - 所有导入 PFX 证书的用户都应拥有 Intune 已分配许可证。
分配 Microsoft Intune 许可证 | Microsoft Learn - 在 Windows 服务器上安装并配置了 Intune 证书连接器。
安装 Microsoft Intune 的证书连接器 - Azure | Microsoft Learn - 从 Intune 连接器服务器导出的公钥。
在 Microsoft Intune 中使用导入的 PFX 证书 | Microsoft Learn - 在 Microsoft Entra 中创建企业应用程序
本指南假设企业应用程序已在租户处创建,并且 SSL.com 将拥有有关已注册企业应用程序的信息。注册企业应用程序(使用 Entra 门户)的过程如下所述。- 登录 portal.azure.com 并搜索 微软Entra ID
- 点击 企业应用程序
- 点击 新应用程序
- 点击 创建您自己的应用程序
- 输入应用程序的名称并单击 创建
- 应用程序现已成功创建。
- 点击 应用注册
- 点击 所有的应用程序
- 选择应用程序。
注意 应用程序ID 和 目录 ID:这些需要传递给API。 - 点击 证书和秘密 然后选择 新客户机密
- 点击 认证 并添加 SSL.com 的 Web 重定向 URL。 重定向 URL 是 https://secure.ssl.com/oauth2/azure 用于生产和 https://sandbox.ssl.com/oauth2/azure 沙盒
- 为密钥命名并单击 添加
记下 Key 的值。这需要传递给 API。
企业应用导入证书的权限要求
- 下 应用注册 >> 应用名称,点击 API 权限。
- 点击 添加权限.
- 点击 微软图.
- 点击 委派权限 并搜索 user.read。选中 用户.读取 和 用户.读取.全部.
- 点击 委派权限 并搜索“群组”。选中 组.读写.全部.
- 点击 委派权限 并搜索“DeviceManagementApps”。选中 设备管理应用程序.ReadWrite.All.
- 寻找 “设备管理配置”。选中 DeviceManagementConfiguration.Read.All 和 DeviceManagementConfiguration.ReadWrite.All. 继续点击 添加权限 按钮。
- 点击 添加权限.
- 选择 微软图.
- 点击 应用权限 并搜索“user.read”。选中 用户.读取.全部 和 用户.读写.全部.
- 点击 应用权限 并搜索“群组”。选中 组.读写.全部.
- 点击 应用权限 并搜索“deviceManagementApps”。选中 设备管理应用程序.ReadWrite.All
- 点击 应用权限 并搜索“DeviceManagementService”。选中 设备管理服务.读写.全部
- 寻找 “DeviceManagementConfiguration” 并选中 DeviceManagementConfiguration.Read.All 和 设备管理配置.读写.全部。 继续点击 添加权限 按钮。
- 分配完所有权限后,点击 授予 [组织名称] 管理员同意.
- 点击 接受 授予权限
- 现在应该已经成功授予权限了。
如何使用 SSL.com Azure 集成工具将证书导出到 Azure Active Directory
以下部分提供有关如何使用 SSL.com Azure 集成工具将证书导出到 Azure Active Directory 的说明。SSL.com 的要求
- 有效的身份预验证协议,也称为企业 PKI (EPKI) 协议。在此处查找说明 (Enterprise PKI (EPKI)协议设置)提交并激活本协议。激活后,即可执行下一节中的步骤。
- 配置 Microsoft Entra 和 Intune 帐户,如上一节所述: 如何配置 Microsoft Intune 和 Microsoft Active Directory S/MIME 证书.
配置 Azure 同步
- 登录您的 SSL.com 帐户并点击 集成 在顶部菜单中。从列出的选项中,单击 天蓝色广告.
- 填写 Azure 集成的必填字段。之后,点击 优惠 按钮。
- 客户ID. 应用程序(客户端)ID。
- 客户机密. 从客户端凭证中复制客户端机密值。
- 租户ID. 目录(租户)ID。
- Intune 公钥. 从 Intune 连接器服务器导出的 Base64 版本的公钥。有关更多详细信息,请查看此 Microsoft 资源.
使用 SSL.com Azure 集成工具签发 S/MIME 证书
- 一旦 Azure 设置已创建。单击 授权 链接。
- 点击 Azure 用户 这样 Azure 中的用户列表就可以导入到 SSL.com 的系统。
- 系统将提示您登录 Microsoft 帐户。
- 点击 导入用户 SSL.com Azure 集成工具上的按钮。
- SSL.com 将通知正在导入将被分配数字证书的 Azure 用户的信息。重新加载页面以确认这些信息已导入。
- SSL.com 将显示 Azure 用户列表,包括他们的名字、姓氏和电子邮件地址。勾选将分配证书的所有用户的复选框。 可以通过单击页面左下角的下拉箭头来增加列表中显示的用户数量。确定选定的用户后,单击 注册证书 按钮继续。
- 满足证书的要求。
- 认证证书:选择您想要为选定用户分配的证书类型。
- 时间长度:指定证书过期的时间长度。
- 预期目的:在通用、SMIME 加密或 SMIME 签名之间进行选择。
- 完成选择后,点击 添加 按钮。
- 认证证书:选择您想要为选定用户分配的证书类型。
- 每位用户将从此处分配一份新的证书订单。在存在身份预验证协议的情况下,每份订单都将自动验证并签发。单击即可确认证书已成功签发 订单管理 从顶部菜单,然后 详情 特定订单的链接。向下滚动并单击 终端实体证书 部分,将显示证书的详细信息,包括其 发布 状态。