Použití certifikátů k ověřování v Microsoft Intune
Pomocí certifikátů s Intune ověřte uživatele k aplikacím a podnikovým prostředkům prostřednictvím sítě VPN, Wi-Fi nebo e-mailových profilů. Když k ověřování těchto připojení použijete certifikáty, koncoví uživatelé nebudou muset zadávat uživatelská jména a hesla, což jim umožní bezproblémový přístup. Certifikáty se také používají k podepisování a šifrování e-mailů pomocí S/MIME.
Úvod do certifikátů pomocí Intune
Certifikáty poskytují ověřený přístup neprodleně v následujících dvou fázích:
- Fáze ověřování: Ověřte pravost uživatele, abyste potvrdili, že uživatel je tím, za koho se vydává.
- Fáze autorizace: Uživatel podléhá podmínkám, pro které se určí, jestli má mít uživatel přístup.
Mezi typické scénáře použití certifikátů patří:
- Síťové ověřování (například 802.1x) pomocí certifikátů zařízení nebo uživatele
- Ověřování pomocí serverů VPN pomocí certifikátů zařízení nebo uživatelů
- Podepisování e-mailů na základě uživatelských certifikátů
Intune podporuje protokol SCEP (Simple Certificate Enrollment Protocol), standardy PKCS (Public Key Cryptography Standards) a importované certifikáty PKCS jako metody zřizování certifikátů na zařízeních. Různé metody zřizování mají různé požadavky a výsledky. Příklad:
- SCEP zřizuje certifikáty, které jsou jedinečné pro každý požadavek na certifikát.
- PKCS zřídí každé zařízení jedinečný certifikát.
- Pomocí importované pkcs můžete nasadit stejný certifikát, který jste exportovali ze zdroje, jako je e-mailový server, více příjemcům. Tento sdílený certifikát je užitečný k tomu, aby všichni vaši uživatelé nebo zařízení mohli dešifrovat e-maily zašifrované tímto certifikátem.
Pokud chcete zřídit uživatele nebo zařízení s určitým typem certifikátu, Intune používá profil certifikátu.
Kromě tří typů certifikátů a metod zřizování budete potřebovat důvěryhodný kořenový certifikát od důvěryhodné certifikační autority (CA). Certifikační autoritou může být místní certifikační autorita Microsoftu nebo certifikační autorita třetí strany. Důvěryhodný kořenový certifikát vytvoří vztah důvěryhodnosti ze zařízení do kořenové nebo zprostředkující certifikační autority (vydávající), ze které se vystavují ostatní certifikáty. K nasazení tohoto certifikátu použijete profil důvěryhodného certifikátu a nasadíte ho do stejných zařízení a uživatelů, kterým se budou zobrazovat profily certifikátů pro SCEP, PKCS a importované PKCS.
Tip
Intune také podporuje použití odvozených přihlašovacích údajů pro prostředí, která vyžadují použití čipových karet.
Co je potřeba k používání certifikátů
- Certifikační autorita. Vaše certifikační autorita je zdrojem důvěryhodnosti, na který certifikáty odkazují pro ověřování. Můžete použít certifikační autoritu Microsoftu nebo certifikační autoritu třetí strany.
- Místní infrastruktura. Infrastruktura, kterou budete potřebovat, závisí na typech certifikátů, které budete používat:
- Důvěryhodný kořenový certifikát. Před nasazením profilů certifikátů SCEP nebo PKCS nasaďte důvěryhodný kořenový certifikát z certifikační autority pomocí profilu důvěryhodného certifikátu . Tento profil pomáhá navázat vztah důvěryhodnosti ze zařízení zpět k certifikační autoritě a vyžaduje ho ostatní profily certifikátů.
S nasazeným důvěryhodným kořenovým certifikátem budete připraveni nasadit profily certifikátů, abyste zřídili uživatele a zařízení pomocí certifikátů pro ověřování.
Jaký profil certifikátu použít
Následující porovnání nejsou komplexní, ale mají pomoci odlišit použití různých typů profilů certifikátů.
| Typ profilu | Podrobnosti |
|---|---|
| Důvěryhodný certifikát | Slouží k nasazení veřejného klíče (certifikátu) z kořenové certifikační autority nebo zprostředkující certifikační autority uživatelům a zařízením za účelem vytvoření vztahu důvěryhodnosti zpět ke zdrojové certifikační autoritě. Jiné profily certifikátů vyžadují profil důvěryhodného certifikátu a jeho kořenový certifikát. |
| Certifikát SCEP | Nasadí šablonu pro žádost o certifikát pro uživatele a zařízení. Každý certifikát, který je zřízený pomocí SCEP, je jedinečný a vázaný na uživatele nebo zařízení, které certifikát požaduje. Pomocí SCEP můžete nasazovat certifikáty do zařízení, která nemají spřažení uživatelů, včetně použití SCEP ke zřízení certifikátu v beznabídkových nebo uživatelských zařízeních. |
| Certifikát PKCS | Nasadí šablonu pro žádost o certifikát, která určuje typ certifikátu uživatele nebo zařízení. – Žádosti o typ certifikátu uživatele vždy vyžadují spřažení uživatele. Při nasazení pro uživatele obdrží každé zařízení uživatele jedinečný certifikát. Při nasazení do zařízení s uživatelem je tento uživatel přidružený k certifikátu pro dané zařízení. Při nasazení do bezuživatelného zařízení se nezřídí žádný certifikát. – Šablony s typem certifikátu zařízení nevyžadují ke zřízení certifikátu spřažení uživatele. Nasazení do zařízení zřídí zařízení. Nasazení uživateli zřídí zařízení, ke které je uživatel přihlášený pomocí certifikátu. |
| Importovaný certifikát PKCS | Nasadí jeden certifikát pro více zařízení a uživatelů, což podporuje scénáře, jako je podepisování a šifrování S/MIME. Když například na každé zařízení nasadíte stejný certifikát, může každé zařízení dešifrovat e-maily přijaté ze stejného e-mailového serveru. Jiné metody nasazení certifikátů nejsou pro tento scénář nedostatečné, protože SCEP pro každý požadavek vytvoří jedinečný certifikát a PKCS přidruží pro každého uživatele jiný certifikát s různými uživateli, kteří obdrží různé certifikáty. |
Intune podporovaných certifikátů a využití
| Typ | Ověřování | Podepisování S/MIME | Šifrování S/MIME |
|---|---|---|---|
| Importovaný certifikát PKCS (Public Key Cryptography Standards) |  |
|
|
| PKCS#12 (nebo PFX) | |
|
|
| Protokol SCEP (Simple Certificate Enrollment Protocol) | |
|
Pokud chcete tyto certifikáty nasadit, vytvoříte a přiřadíte profily certifikátů zařízením.
Každý profil jednotlivých certifikátů, který vytvoříte, podporuje jednu platformu. Pokud například používáte certifikáty PKCS, vytvoříte profil certifikátu PKCS pro Android a samostatný profil certifikátu PKCS pro iOS/iPadOS. Pokud pro tyto dvě platformy používáte také certifikáty SCEP, vytvoříte profil certifikátu SCEP pro Android a druhý pro iOS/iPadOS.
Obecné aspekty při používání certifikační autority Microsoftu
Pokud používáte certifikační autoritu (CA) Microsoftu:
Použití profilů certifikátů SCEP:
Použití profilů certifikátů PKCS:
Použití importovaných certifikátů PKCS:
- Nainstalujte Certificate Connector pro Microsoft Intune.
- Exportujte certifikáty z certifikační autority a pak je naimportujte do Microsoft Intune. Podívejte se na projekt POWERShellu PFXImport.
Nasaďte certifikáty pomocí následujících mechanismů:
- Profily důvěryhodných certifikátů pro nasazení certifikátu důvěryhodné kořenové certifikační autority z kořenové nebo zprostředkující certifikační autority (vydávající) do zařízení
- Profily certifikátů SCEP
- Profily certifikátů PKCS
- Importované profily certifikátů PKCS
Obecné aspekty při používání certifikační autority třetí strany
Při použití certifikační autority (CA) jiného výrobce než Microsoftu:
Použití profilů certifikátů SCEP:
- Nakonfigurujte integraci s certifikační autoritou třetí strany od některého z našich podporovaných partnerů. Součástí instalace je postupovat podle pokynů od certifikační autority třetí strany a dokončit integraci certifikační autority s Intune.
- Vytvořte aplikaci v Azure AD, která deleguje práva na Intune k ověření výzvy certifikátu SCEP.
Importované certifikáty PKCS vyžadují, abyste nainstalovali Certificate Connector pro Microsoft Intune.
Nasaďte certifikáty pomocí následujících mechanismů:
- Profily důvěryhodných certifikátů pro nasazení certifikátu důvěryhodné kořenové certifikační autority z kořenové nebo zprostředkující certifikační autority (vydávající) do zařízení
- Profily certifikátů SCEP
- Profily certifikátů PKCS (podporované jenom u platformy PKI Platform Digicert)
- Importované profily certifikátů PKCS
Podporované platformy a profily certifikátů
| Platforma | Profil důvěryhodného certifikátu | Profil certifikátu PKCS | Profil certifikátu SCEP | Profil importovaného certifikátu PKCS |
|---|---|---|---|---|
| Správce zařízení s Androidem | (viz poznámka 1) |
|
|
|
| Android Enterprise – Plně spravovaná (vlastník zařízení) |
|
|
|
|
| Android Enterprise – Dedicated (vlastník zařízení) |
|
|
|
|
| Android Enterprise – Corporate-Owned pracovní profil |
|
|
|
|
| Android Enterprise – Personally-Owned pracovní profil |
|
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 a novější | |
|
||
| Windows 10/11 | (viz poznámka 2) |
(viz poznámka 2) |
(viz poznámka 2) |
|
- Poznámka 1 _ – Počínaje Androidem 11 už profily důvěryhodných certifikátů nemůžou instalovat důvěryhodný kořenový certifikát na zařízení, která jsou zaregistrovaná jako _Android správce zařízení. Toto omezení se nevztahuje na Samsung Knox. Další informace najdete v tématu Profily důvěryhodných certifikátů pro správce zařízení s Androidem.
- Poznámka 2 – Tento profil je podporován pro Windows Enterprise vzdálené plochy s více relacemi.
Další kroky
Další zdroje
Vytvoření profilů certifikátů:
- Konfigurace profilu důvěryhodného certifikátu
- Konfigurace infrastruktury pro podporu certifikátů SCEP pomocí Intune
- Konfigurace a správa certifikátů PKCS pomocí Intune
- Vytvoření profilu importovaného certifikátu PKCS
Další informace o certificate connectoru pro Microsoft Intune