Tanúsítványok használata hitelesítéshez a Microsoft Intune
Az Intune tanúsítványaival VPN-, Wi-Fi- vagy e-mail-profilokkal hitelesítheti a felhasználókat az alkalmazásokban és a vállalati erőforrásokban. Ha tanúsítványokkal hitelesíti ezeket a kapcsolatokat, a végfelhasználóknak nem kell felhasználóneveket és jelszavakat megadniuk, ami zökkenőmentessé teheti a hozzáférést. A tanúsítványok az E-mailek S/MIME használatával történő aláírására és titkosítására is használhatók.
A tanúsítványok bemutatása az Intune-nal
A tanúsítványok az alábbi két fázison keresztül biztosítják a hitelesített hozzáférést:
- Hitelesítési fázis: A rendszer ellenőrzi a felhasználó hitelességét annak ellenőrzéséhez, hogy a felhasználó az, akinek állítja magát.
- Engedélyezési fázis: A felhasználóra olyan feltételek vonatkoznak, amelyek alapján meghatározható, hogy a felhasználónak hozzáférést kell-e kapnia.
A tanúsítványok tipikus használati forgatókönyvei a következők:
- Hálózati hitelesítés (például 802.1x) eszköz- vagy felhasználói tanúsítványokkal
- Hitelesítés VPN-kiszolgálókkal eszköz- vagy felhasználói tanúsítványok használatával
- E-mail aláírása felhasználói tanúsítványok alapján
Az Intune támogatja a Simple Certificate Enrollment Protocolt (SCEP), a nyilvános kulcsú titkosítási szabványokat (PKCS) és az importált PKCS-tanúsítványokat a tanúsítványok eszközökre történő kiépítésének módszereiként. A különböző kiépítési módszerek különböző követelményekkel és eredménnyel rendelkeznek. Például:
- Az SCEP olyan tanúsítványokat hoz ki, amelyek egyediek a tanúsítvány minden egyes kéréséhez.
- A PKCS minden eszközt egyedi tanúsítvánnyal helyez üzembe.
- Az Importált PKCS használatával ugyanazt a tanúsítványt helyezheti üzembe, amelyet egy forrásból, például egy e-mail-kiszolgálóról exportált több címzettnek. Ez a megosztott tanúsítvány hasznos annak biztosításához, hogy az összes felhasználó vagy eszköz visszafejthesse az adott tanúsítvány által titkosított e-maileket.
Ha egy felhasználót vagy eszközt egy adott típusú tanúsítvánnyal szeretne kiépíteni, az Intune tanúsítványprofilt használ.
A három tanúsítványtípus és kiépítési módszer mellett megbízható hitelesítésszolgáltatótól (CA) származó megbízható főtanúsítványra is szükség van. A hitelesítésszolgáltató lehet helyszíni Microsoft-hitelesítésszolgáltató vagy külső hitelesítésszolgáltató. A megbízható főtanúsítvány megbízhatósági kapcsolatot létesít az eszközről a legfelső szintű vagy köztes (kiállító) hitelesítésszolgáltatóval, amelyből a többi tanúsítványt kiadták. A tanúsítvány üzembe helyezéséhez használja a megbízható tanúsítványprofilt , és telepítse ugyanazokat az eszközöket és felhasználókat, amelyek megkapják az SCEP, a PKCS és az importált PKCS tanúsítványprofiljait.
Tipp
Az Intune emellett támogatja a származtatott hitelesítő adatok használatát az intelligens kártyákat igénylő környezetekben.
A tanúsítványok használatához szükséges tudnivalók
- Hitelesítésszolgáltató. A hitelesítésszolgáltató az a megbízhatósági forrás, amelyet a tanúsítványok a hitelesítéshez hivatkoznak. Használhat Microsoft hitelesítésszolgáltatót vagy külső hitelesítésszolgáltatót.
- Helyszíni infrastruktúra. A szükséges infrastruktúra a használt tanúsítványtípusoktól függ:
- Megbízható főtanúsítvány. Az SCEP- vagy PKCS-tanúsítványprofilok telepítése előtt telepítse a megbízható főtanúsítványt a hitelesítésszolgáltatótól egy megbízható tanúsítványprofillal . Ez a profil segít az eszköz és a hitelesítésszolgáltató közötti megbízhatósági kapcsolat kialakításában, és ezt a többi tanúsítványprofil is megköveteli.
Egy megbízható főtanúsítvány üzembe helyezésével készen áll tanúsítványprofilok üzembe helyezésére a felhasználók és eszközök hitelesítéshez szükséges tanúsítványokkal történő kiépítéséhez.
Melyik tanúsítványprofilt kell használni?
Az alábbi összehasonlítások nem teljes körűek, de segítenek megkülönböztetni a különböző tanúsítványprofil-típusokat.
| Profil típusa | Részletek |
|---|---|
| Megbízható tanúsítvány | A használatával üzembe helyezheti a nyilvános kulcsot (tanúsítványt) egy legfelső szintű hitelesítésszolgáltatóról vagy köztes hitelesítésszolgáltatóról a felhasználókra és eszközökre, hogy megbízhatósági kapcsolatot létesítsen a forrás hitelesítésszolgáltatóval. Más tanúsítványprofilokhoz a megbízható tanúsítványprofil és annak főtanúsítványa szükséges. |
| SCEP-tanúsítvány | Üzembe helyez egy sablont egy tanúsítványkérelemhez a felhasználók és az eszközök számára. Az SCEP használatával kiépített összes tanúsítvány egyedi, és a tanúsítványt kérő felhasználóhoz vagy eszközhöz van kötve. Az SCEP-vel tanúsítványokat telepíthet olyan eszközökre, amelyek nem rendelkeznek felhasználói affinitással, beleértve az SCEP használatát a tanúsítványok KIOSK-on vagy felhasználó nélküli eszközökön való kiépítéséhez. |
| PKCS-tanúsítvány | Üzembe helyez egy sablont egy tanúsítványkérelemhez, amely megadja a felhasználó vagy az eszköz tanúsítványtípusát. – A felhasználó tanúsítványtípusára vonatkozó kérések mindig felhasználói affinitást igényelnek. Amikor egy felhasználóhoz telepíti, a felhasználó eszközei egyedi tanúsítványt kapnak. Ha egy felhasználóval rendelkező eszközön van telepítve, az adott felhasználó az eszköz tanúsítványához van társítva. Felhasználó nélküli eszközön való üzembe helyezéskor a rendszer nem épít ki tanúsítványt. – Az eszköz tanúsítványtípusával rendelkező sablonok nem igényelnek felhasználói affinitást a tanúsítvány kiépítéséhez. Az eszköz üzembe helyezése kiépíti az eszközt. A felhasználó üzembe helyezése kiépít egy eszközt, amelybe a felhasználó tanúsítvánnyal van bejelentkezve. |
| PKCS importált tanúsítvány | Egyetlen tanúsítványt helyez üzembe több eszközön és felhasználón, amely támogatja az olyan forgatókönyveket, mint az S/MIME aláírása és titkosítása. Ha például minden eszközön ugyanazt a tanúsítványt helyezi üzembe, az egyes eszközök visszafejthetik az ugyanabból a levelezési kiszolgálóról érkező e-maileket. A többi tanúsítványterjesztési módszer nem elegendő ehhez a forgatókönyvhöz, mivel az SCEP minden kéréshez egyedi tanúsítványt hoz létre, és a PKCS minden felhasználóhoz más-más tanúsítványt társít, a különböző felhasználók különböző tanúsítványokat kapnak. |
Az Intune által támogatott tanúsítványok és használat
| Típus | Hitelesítés | S/MIME-aláírás | S/MIME-titkosítás |
|---|---|---|---|
| Nyilvános kulcsú titkosítási szabványok (PKCS) importált tanúsítványa |  |
|
|
| PKCS#12 (vagy PFX) | |
|
|
| Simple Certificate Enrollment Protocol (SCEP) | |
|
A tanúsítványok üzembe helyezéséhez hozzon létre és rendeljen hozzá tanúsítványprofilokat az eszközökhöz.
Minden egyes létrehozott tanúsítványprofil egyetlen platformot támogat. PKCS-tanúsítványok használata esetén például létre kell hoznia egy PKCS-tanúsítványprofilt Androidhoz, és egy külön PKCS-tanúsítványprofilt az iOS/iPadOS rendszerhez. Ha a két platformhoz SCEP-tanúsítványokat is használ, hozzon létre egy SCEP-tanúsítványprofilt Androidhoz, egy másikat pedig iOS/iPadOS rendszerhez.
Általános szempontok a Microsoft hitelesítésszolgáltató használatakor
Ha Microsoft Hitelesítésszolgáltatót (CA) használ:
SCEP-tanúsítványprofilok használata:
PKCS-tanúsítványprofilok használata:
Az importált PKCS-tanúsítványok használata:
- Telepítse az Microsoft Intune tanúsítvány-összekötőt.
- Exportálja a tanúsítványokat a hitelesítésszolgáltatótól, majd importálja őket a Microsoft Intune. Lásd : PFXImport PowerShell-projekt.
A tanúsítványok üzembe helyezése az alábbi mechanizmusokkal történik:
- Megbízható tanúsítványprofilok a megbízható legfelső szintű hitelesítésszolgáltató tanúsítványának központi telepítéséhez a legfelső szintű vagy köztes hitelesítésszolgáltatótól az eszközökre
- SCEP-tanúsítványprofilok
- PKCS-tanúsítványprofilok
- PKCS importált tanúsítványprofilok
Külső hitelesítésszolgáltató használatakor megfontolandó általános szempontok
Ha külső (nem Microsoft) hitelesítésszolgáltatót (CA) használ:
SCEP-tanúsítványprofilok használata:
- Konfigurálja az integrációt egy külső hitelesítésszolgáltatóval az egyik támogatott partnerünktől. A telepítő a külső hitelesítésszolgáltató utasításait követi a hitelesítésszolgáltató integrálásához az Intune-nal.
- Hozzon létre egy alkalmazást Microsoft Entra-azonosítóban, amely jogosultságokat delegál az Intune-nak az SCEP-tanúsítvány ellenőrzéséhez.
Az importált PKCS-tanúsítványokhoz telepítenie kell az Microsoft Intune tanúsítvány-összekötőt.
A tanúsítványok üzembe helyezése az alábbi mechanizmusokkal történik:
- Megbízható tanúsítványprofilok a megbízható legfelső szintű hitelesítésszolgáltató tanúsítványának központi telepítéséhez a legfelső szintű vagy köztes hitelesítésszolgáltatótól az eszközökre
- SCEP-tanúsítványprofilok
- PKCS-tanúsítványprofilok (csak a Digicert PKI platform támogatja)
- PKCS importált tanúsítványprofilok
Támogatott platformok és tanúsítványprofilok
| Platform | Megbízható tanúsítványprofil | PKCS-tanúsítványprofil | SCEP-tanúsítványprofil | PKCS importált tanúsítványprofil |
|---|---|---|---|---|
| Android-eszközadminisztrátor | (lásd: 1. megjegyzés) |
|
|
|
| Android Enterprise – Teljes körűen felügyelt (eszköztulajdonos) | |
|
|
|
| Android Enterprise – Dedikált (eszköztulajdonos) | |
|
|
|
| Android Enterprise – Corporate-Owned munkahelyi profil | |
|
|
|
| Android Enterprise – Personally-Owned munkahelyi profil | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 és újabb verziók | |
|
||
| Windows 10/11 | (lásd: 2. megjegyzés) |
(lásd: 2. megjegyzés) |
(lásd: 2. megjegyzés) |
|
- 1. megjegyzés – Az Android 11-től kezdődően a megbízható tanúsítványprofilok már nem tudják telepíteni a megbízható főtanúsítványt az Android-eszközadminisztrátorként regisztrált eszközökön. Ez a korlátozás nem vonatkozik a Samsung Knoxra. További információ: Megbízható tanúsítványprofilok androidos eszközadminisztrátor számára.
- 2. megjegyzés – Ez a profil Windows Enterprise több munkamenetes távoli asztalok esetén támogatott.
Fontos
2022. október 22-én Microsoft Intune megszüntette a Windows 8.1-et futtató eszközök támogatását. Ezeken az eszközökön nem érhető el technikai segítség és automatikus frissítés.
Ha jelenleg a Windows 8.1-et használja, javasoljuk, hogy lépjen Windows 10/11-eszközökre. Microsoft Intune beépített biztonsági és eszközfunkciókkal rendelkezik, amelyek a Windows 10/11 ügyféleszközöket kezelik.
Fontos
Microsoft Intune 2024. augusztus 30-án megszűnik az Android-eszközök rendszergazdai felügyeletének támogatása a Google Mobile Services (GMS) szolgáltatáshoz hozzáféréssel rendelkező eszközökön. Ezt követően az eszközregisztráció, a technikai támogatás, a hibajavítások és a biztonsági javítások nem lesznek elérhetők. Ha jelenleg eszközadminisztrátori felügyeletet használ, javasoljuk, hogy a támogatás befejeződése előtt váltson egy másik Android-felügyeleti lehetőségre az Intune-ban. További információ: Android-eszközadminisztrátor támogatásának megszüntetése GMS-eszközökön.
Következő lépések
További források:
Tanúsítványprofilok létrehozása:
- Megbízható tanúsítványprofil konfigurálása
- Infrastruktúra konfigurálása SCEP-tanúsítványok támogatására az Intune-nal
- PKCS-tanúsítványok konfigurálása és kezelése az Intune-nal
- Importált PKCS-tanúsítványprofil létrehozása
Tudnivalók az Microsoft Intune tanúsítvány-összekötőjéről
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: