Přidání certifikační autority partnera v Intune pomocí SCEP

Důležité

Abychom podpořili požadavky Windows na silné mapování certifikátů SCEP, které byly zavedeny a oznámeny v KB5014754 od 10. května 2022, provedli jsme změny v Intune vystavování certifikátů SCEP pro nové a obnovené certifikáty SCEP. Nové nebo obnovené Intune certifikáty SCEP pro iOS/iPadOS, macOS a Windows teď obsahují následující značku do pole Alternativní název subjektu (SAN) certifikátu:URL=tag:microsoft.com,2022-09-14:sid:<value> 

Tato značka se používá při silném mapování ke svázání certifikátu s konkrétním zařízením nebo identifikátorem SID uživatele z ID Entra. S touto změnou a požadavkem na mapování identifikátoru SID z ID Entra:

• Certifikáty zařízení jsou podporovány pro zařízení připojená k hybridnímu systému Windows, pokud má toto zařízení identifikátor SID v Id Entra, které bylo synchronizováno z místní Active Directory.
• Certifikáty uživatelů používají identifikátor SID uživatele z ID Entra, který se synchronizuje z místní Active Directory.

Certifikační autority (CA), které nepodporují značku ADRESY URL v síti SAN, můžou selhat při vydávání certifikátů. Servery služby Microsoft Active Directory Certificate Services, které nainstalovaly aktualizaci z KB5014754 podporují použití této značky. Pokud používáte certifikační autoritu třetí strany, obraťte se na poskytovatele certifikační autority a ujistěte se, že podporuje tento formát nebo jak a kdy se tato podpora přidá.

Další informace najdete v tématu Tip podpory: Implementace silného mapování v certifikátech Microsoft Intune – Centrum komunity Microsoftu.

Používejte s Intune certifikační autority třetích stran. Certifikační autority třetích stran můžou zřizovat mobilní zařízení s novými nebo obnovenými certifikáty pomocí protokolu SCEP (Simple Certificate Enrollment Protocol) a můžou podporovat zařízení s Windows, iOS/iPadOS, Androidem a macOS.

Použití této funkce má dvě části: opensourcové rozhraní API a úlohy správce Intune.

Část 1 – Použití opensourcového rozhraní API
Microsoft vytvořil rozhraní API pro integraci s Intune. Prostřednictvím rozhraní API můžete ověřovat certifikáty, posílat oznámení o úspěchu nebo selhání a ke komunikaci s Intune používat ssl, konkrétně ssl socket factory.

Rozhraní API je k dispozici ve veřejném úložišti Intune rozhraní SCEP API na GitHubu, kde si ho můžete stáhnout a použít ve svých řešeních. Toto rozhraní API se servery SCEP třetích stran použijte ke spuštění vlastního ověření výzvy pro Intune před tím, než SCEP zřídí certifikát pro zařízení.

Integrace s Intune řešení pro správu SCEP poskytuje další podrobnosti o používání rozhraní API, jeho metodách a testování řešení, které sestavíte.

Část 2 – Create aplikace a profilu
Pomocí Microsoft Entra aplikace můžete delegovat práva na Intune pro zpracování požadavků SCEP přicházejících ze zařízení. Aplikace Microsoft Entra zahrnuje ID aplikace a hodnoty ověřovacího klíče, které se používají v rámci řešení rozhraní API, které vývojář vytvoří. Správci pak pomocí Intune vytvoří a nasadí profily certifikátů SCEP a můžou zobrazit sestavy o stavu nasazení na zařízeních.

Tento článek obsahuje přehled této funkce z pohledu správce, včetně vytvoření aplikace Microsoft Entra.

Přehled

Následující kroky poskytují přehled použití protokolu SCEP pro certifikáty v Intune:

1. V Intune správce vytvoří profil certifikátu SCEP a pak tento profil cílí na uživatele nebo zařízení.
2. Zařízení se přihlásí k Intune.
3. Intune vytvoří jedinečný úkol SCEP. Přidává také další informace o kontrole integrity, například jaký by měl být očekávaný předmět a síť SAN.
4. Intune šifruje a podepisuje informace o výzvě i kontrole integrity a pak tyto informace odešle do zařízení s požadavkem SCEP.
5. Zařízení vygeneruje žádost o podepsání certifikátu (CSR) a pár veřejného a privátního klíče na zařízení na základě profilu certifikátu SCEP, který je nasdílený z Intune.
6. Csr a šifrovaný/podepsaný úkol se odesílají do koncového bodu serveru SCEP třetí strany.
7. Server SCEP odešle žádost o podepsání certifikátu a výzvu Intune. Intune pak ověří podpis, dešifruje datovou část a porovná csr s informacemi o kontrole integrity.
8. Intune odešle zpět odpověď na server SCEP a uvede, jestli je ověření výzvy úspěšné nebo ne.
9. Pokud se výzva úspěšně ověří, server SCEP vydá certifikát zařízení.

Následující diagram znázorňuje podrobný postup integrace SCEP třetích stran s Intune:

Nastavení integrace certifikační autority třetí strany

Ověření certifikační autority třetí strany

Před integrací certifikačních autorit třetích stran s Intune ověřte, že certifikační autorita, kterou používáte, podporuje Intune. Seznam obsahuje externí partneři certifikační autority (v tomto článku). Další informace najdete také v pokynech certifikační autority. Certifikační autorita může obsahovat pokyny k nastavení specifické pro jejich implementaci.

Poznámka

Pokud chcete podporovat následující zařízení, musí certifikační autorita podporovat použití adresy URL https, když nakonfigurujete adresu URL HTTPS, musíte při konfiguraci adres URL serveru SCEP pro profil certifikátu SCEP nakonfigurovat adresu URL https:

• Správce zařízení s Androidem
• Vlastník zařízení s Androidem Enterprise
• Pracovní profil Androidu Enterprise vlastněný společností
• Pracovní profil Androidu Enterprise v osobním vlastnictví

Autorizace komunikace mezi certifikační autoritou a Intune

Pokud chcete serveru SCEP třetí strany povolit spuštění vlastního ověření výzvy pomocí Intune, vytvořte aplikaci v Microsoft Entra ID. Tato aplikace uděluje Intune delegovaná práva k ověřování požadavků SCEP.

Ujistěte se, že máte požadovaná oprávnění k registraci aplikace Microsoft Entra. Viz Požadovaná oprávnění v dokumentaci k Microsoft Entra.

Create aplikace v Microsoft Entra ID

1. V Azure Portal přejděte na Microsoft Entra ID>Registrace aplikací a pak vyberte Nová registrace.

2. Na stránce Zaregistrovat aplikaci zadejte následující podrobnosti:

   • V části Název zadejte smysluplný název aplikace.
   • V části Podporované typy účtů vyberte Účty v libovolném adresáři organizace.
   • V části Identifikátor URI přesměrování ponechte výchozí hodnotu Web a pak zadejte přihlašovací adresu URL pro server SCEP třetí strany.

3. Výběrem možnosti Zaregistrovat vytvořte aplikaci a otevřete stránku Přehled nové aplikace.

4. Na stránce Přehled aplikace zkopírujte hodnotu ID aplikace (klienta) a poznamenejte si ji pro pozdější použití. Tuto hodnotu budete potřebovat později.

5. V navigačním podokně aplikace přejděte na Certifikáty & tajné kódy v části Spravovat. Vyberte tlačítko Nový tajný klíč klienta . Do pole Popis zadejte hodnotu, vyberte libovolnou možnost Pro vypršení platnosti a pak zvolte Přidat , aby se vygenerovala hodnota tajného klíče klienta.

   Důležité

   Před opuštěním této stránky zkopírujte hodnotu tajného klíče klienta a poznamenejte si ji pro pozdější použití s implementací vaší certifikační autority třetí strany. Tato hodnota se znovu nezobrazí. Nezapomeňte si projít pokyny pro vaši certifikační autoritu třetí strany, jak chce nakonfigurovat ID aplikace, ověřovací klíč a ID tenanta.

6. Poznamenejte si ID tenanta. ID tenanta je text domény za @přihlášením k vašemu účtu. Pokud je admin@name.onmicrosoft.comnapříklad váš účet , id tenanta je name.onmicrosoft.com.

7. V navigačním podokně aplikace přejděte na Oprávnění rozhraní API, která jsou v části Spravovat. Přidáte dvě samostatná oprávnění aplikace:

   1. Vyberte Přidat oprávnění:

      1. Na stránce Vyžádat oprávnění rozhraní API vyberte Intune a pak vyberte Oprávnění aplikace.
      2. Zaškrtněte políčko pro scep_challenge_provider (ověření výzvy SCEP).
      3. Výběrem možnosti Přidat oprávnění tuto konfiguraci uložte.

   2. Znovu vyberte Přidat oprávnění .

      1. Na stránce Vyžádat oprávnění rozhraní API vyberteOprávnění aplikaceMicrosoft Graph>.
      2. Rozbalte Položku Aplikace a zaškrtněte políčko Application.Read.All (Číst všechny aplikace).
      3. Výběrem možnosti Přidat oprávnění tuto konfiguraci uložte.

8. Zůstaňte na stránce oprávnění rozhraní API a vyberte Udělit souhlas správce pro<vašeho tenanta> a pak vyberte Ano.

   Proces registrace aplikace v Microsoft Entra ID je dokončený.

Konfigurace a nasazení profilu certifikátu SCEP

Jako správce vytvořte profil certifikátu SCEP, který bude cílit na uživatele nebo zařízení. Pak profil přiřaďte.

• Create profilu certifikátu SCEP

• Přiřazení profilu certifikátu

Odebírání certifikátů

Když zrušíte registraci nebo vymažete zařízení, certifikáty se odeberou. Certifikáty se neodvolá.

Partneři certifikační autority třetích stran

Následující certifikační autority třetích stran podporují Intune:

• Skupina Cogito
• DigiCert
• EasyScep
• EJBCA
• Svěřit
• EverTrust
• GlobalSign
• Globální HID
• IDnomic
• Příkaz keyfactor
• KeyTalk
• Klávesová zkratka
• Nexus Certificate Manager
• SCEPman
• Sectigo
• SecureW2
• Úvodní deska
• Venafi

Pokud jste certifikační autorita třetí strany, která má zájem o integraci produktu s Intune, projděte si doprovodné materiály k rozhraní API:

• úložiště GitHub pro Intune rozhraní API SCEP
• Intune pokyny k rozhraní API SCEP pro certifikační autority třetích stran

Viz také

• Konfigurace profilů certifikátů
• úložiště GitHub pro Intune rozhraní API SCEP
• Intune pokyny k rozhraní API SCEP pro certifikační autority třetích stran