A Microsoft Intune Microsoft Cloud PKI áttekintése
A következőkre vonatkozik:
- A Windows
- Android
- iOS
- macOS
A Microsoft Cloud PKI használatával tanúsítványokat bocsáthat ki Intune által felügyelt eszközökhöz. Microsoft Cloud PKI egy felhőalapú szolgáltatás, amely leegyszerűsíti és automatizálja a tanúsítványok életciklusának kezelését Intune által felügyelt eszközök esetében. Dedikált nyilvánoskulcs-infrastruktúrát (PKI) biztosít a szervezet számára anélkül, hogy helyszíni kiszolgálókra, összekötőkre vagy hardverekre lenne szükség. Ez kezeli a tanúsítványok kiállítását, megújítását és visszavonását minden Intune támogatott platformon.
Ez a cikk áttekintést nyújt a Intune Microsoft Cloud PKI, működéséről és architektúrájáról.
Mi az a PKI?
A PKI egy olyan rendszer, amely digitális tanúsítványokat használ az eszközök és szolgáltatások közötti adatok hitelesítésére és titkosítására. A PKI-tanúsítványok alapvető fontosságúak a különböző forgatókönyvek, például a VPN, a Wi-Fi, az e-mail, a webes és az eszközidentitás biztonságossá tételéhez. A PKI-tanúsítványok kezelése azonban kihívást jelenthet, költséges és összetett lehet, különösen a nagy számú eszközzel és felhasználóval rendelkező szervezetek számára. A Microsoft Cloud PKI segítségével növelheti az eszközök és a felhasználók biztonságát és hatékonyságát, valamint felgyorsíthatja a digitális átalakítást egy teljes körűen felügyelt felhőalapú PKI-szolgáltatásra. Emellett az Cloud PKI szolgáltatás használatával csökkentheti az Active Directory tanúsítványszolgáltatások (ADCS) vagy a magánhálózati helyszíni hitelesítésszolgáltatók számítási feladatait.
Cloud PKI kezelése Microsoft Intune Felügyeleti központban
Microsoft Cloud PKI objektumok a Microsoft Intune Felügyeleti központban hozhatók létre és kezelhetők. Innen a következőt teheti:
- Állítson be és használjon Microsoft Cloud PKI a szervezet számára.
- Engedélyezze Cloud PKI a bérlőben.
- Létrehozás és rendelje hozzá a tanúsítványprofilokat az eszközökhöz.
- A kiadott tanúsítványok monitorozása.
Miután létrehozott egy Cloud PKI kiállító hitelesítésszolgáltatót, percek alatt megkezdheti a tanúsítványok kiállítását.
Támogatott eszközplatformok
A Microsoft Cloud PKI szolgáltatást az alábbi platformokon használhatja:
- Android
- iOS/iPadOS
- macOS
- A Windows
Az eszközöket regisztrálni kell Intune, és a platformnak támogatnia kell a Intune eszközkonfigurációs SCEP-tanúsítványprofilt.
A funkciók áttekintése
Az alábbi táblázat a Microsoft Cloud PKI és Microsoft Intune által támogatott funkciókat és forgatókönyveket sorolja fel.
| Kiemelés | Áttekintés |
|---|---|
| több hitelesítésszolgáltató Létrehozás egy Intune-bérlőben | Létrehozás kétszintű PKI-hierarchiát gyökérszintű és kiállító hitelesítésszolgáltatóval a felhőben. |
| Saját hitelesítésszolgáltató használata (BYOCA) | Rögzítsen egy Intune Hitelesítésszolgáltatót egy privát hitelesítésszolgáltatóhoz az Active Directory tanúsítványszolgáltatáson vagy egy nem Microsoft-tanúsítványszolgáltatáson keresztül. Ha már rendelkezik PKI-infrastruktúrával, megtarthatja ugyanazt a legfelső szintű hitelesítésszolgáltatót, és létrehozhat egy kiállító hitelesítésszolgáltatót, amely a külső gyökérhez kapcsolódik. Ez a lehetőség támogatja a külső magánhálózati hitelesítésszolgáltató N+ szintű hierarchiáit. |
| Aláírási és titkosítási algoritmusok | Intune támogatja az RSA-t, a 2048-at, a 3072-es és a 4096-os kulcsméretet. |
| Kivonatoló algoritmusok | Intune támogatja az SHA-256, az SHA-384 és az SHA-512 elemet. |
| HSM-kulcsok (aláírás és titkosítás) | A kulcsok kiépítése az Azure Managed Hardware Security Module (Azure Managed HSM) használatával történik. A licencelt Intune Suite-tal vagy Cloud PKI önálló bővítménnyel létrehozott hitelesítésszolgáltatók automatikusan HSM aláírási és titkosítási kulcsokat használnak. Az Azure HSM-hez nincs szükség Azure-előfizetésre. |
| Szoftverkulcsok (aláírás és titkosítás) | A Intune Suite próbaidőszakában létrehozott hitelesítésszolgáltatók vagy Cloud PKI önálló bővítmények szoftveralapú aláírási és titkosítási kulcsokat használnak a használatávalSystem.Security.Cryptography.RSA. |
| Tanúsítványregisztrációs szolgáltató | Felhőbeli tanúsítványregisztrációs szolgáltató biztosítása, amely támogatja az Egyszerű tanúsítványigénylési protokollt (SCEP) minden Cloud PKI kiállító hitelesítésszolgáltató számára. |
| Visszavont tanúsítványok listájának (CRL) terjesztési pontjai | Intune minden hitelesítésszolgáltatóhoz a CRL-terjesztési pontot (CDP) üzemelteti. A CRL érvényességi időtartama hét nap. A közzététel és a frissítés 3,5 naponta történik. A CRL minden visszavont tanúsítványsal frissül. |
| Szolgáltatói információ-hozzáférési (AIA) végpontok | Intune üzemelteti az AIA-végpontot minden kiállító hitelesítésszolgáltatóhoz. Az AIA-végpontot a függő entitások használhatják a szülőtanúsítványok lekéréséhez. |
| Végfelhasználói tanúsítványok kiállítása felhasználók és eszközök számára | Levéltanúsítvány-kiállításnak is nevezik. A támogatás az SCEP (PKCS#7) protokoll és tanúsítványformátum, valamint az SCEP-profilt támogató Intune-MDM-ben regisztrált eszközök esetében támogatott. |
| Tanúsítvány életciklusának kezelése | Végfelhasználói tanúsítványok kiállítása, megújítása és visszavonása. |
| Jelentéskészítési irányítópult | Az aktív, lejárt és visszavont tanúsítványok figyelése egy dedikált irányítópultról a Intune Felügyeleti központban. Megtekintheti a kiadott levéltanúsítványok és egyéb tanúsítványok jelentéseit, és visszavonhatja a levéltanúsítványokat. A jelentések 24 óránként frissülnek. |
| Naplózás | Naplózhatja a rendszergazdai tevékenységeket, például a létrehozási, visszavonási és keresési műveleteket a Intune Felügyeleti központban. |
| Szerepköralapú hozzáférés-vezérlési (RBAC-) engedélyek | Létrehozás egyéni szerepköröket Microsoft Cloud PKI engedélyekkel. Az elérhető engedélyek lehetővé teszik a hitelesítésszolgáltatók olvasását, a hitelesítésszolgáltatók letiltását és újraengedélyezhetőségét, a kiadott levéltanúsítványok visszavonását és a hitelesítésszolgáltatók létrehozását. |
| Hatókörcímkék | Adjon hozzá hatókörcímkéket a felügyeleti központban létrehozott bármely hitelesítésszolgáltatóhoz. A hatókörcímkék hozzáadhatók, törölhetők és szerkeszthetők. |
Architecture
Microsoft Cloud PKI több fő összetevőből áll, amelyekkel egyszerűbbé tehető a nyilvános kulcsú infrastruktúra összetettsége és kezelése. Ez egy Cloud PKI szolgáltatás a hitelesítésszolgáltatók létrehozásához és üzemeltetéséhez, valamint egy tanúsítványregisztrációs szolgáltató, amely automatikusan kiszolgálja a Intune regisztrált eszközökről érkező tanúsítványkéréseket. A regisztrációs szolgáltató támogatja a Simple Certificate Enrollment Protocol (SCEP) protokollt.
Összetevők:
A – Microsoft Intune
B – Microsoft Cloud PKI szolgáltatások
- B.1 – Microsoft Cloud PKI szolgáltatás
- B.2 – Microsoft Cloud PKI SCEP szolgáltatás
- B.3 – Microsoft Cloud PKI SCEP érvényesítési szolgáltatás
A tanúsítványregisztrációs szolgáltató a B.2-t és a B.3-at alkotja a diagramon.
Ezek az összetevők felváltják a helyszíni hitelesítésszolgáltató, az NDES és a Intune tanúsítvány-összekötő szükségességét.
Műveletek:
Mielőtt az eszköz bejelentkezik az Intune szolgáltatásba, a Microsoft Cloud PKI szolgáltatás kezeléséhez szükséges engedélyekkel rendelkező Intune rendszergazdának vagy Intune szerepkörnek:
- Létrehozás a legfelső szintű hitelesítésszolgáltatóhoz szükséges Cloud PKI hitelesítésszolgáltatót, és kiállító hitelesítésszolgáltatókat Microsoft Intune.
- Létrehozás és rendelje hozzá a szükséges megbízhatósági tanúsítványprofilokat a legfelső szintű és a kiállító hitelesítésszolgáltatókhoz. Ez a folyamat nem jelenik meg a diagramon.
- Létrehozás és rendelje hozzá a szükséges platformspecifikus SCEP-tanúsítványprofilokat. Ez a folyamat nem jelenik meg a diagramon.
Megjegyzés:
A Intune felügyelt eszközök tanúsítványainak kiállításához Cloud PKI kiállító hitelesítésszolgáltatóra van szükség. Cloud PKI egy tanúsítványregisztrációs szolgáltatóként működő SCEP-szolgáltatást biztosít. A szolgáltatás tanúsítványokat kér a kiállító hitelesítésszolgáltatótól az SCEP-profilt használó Intune által felügyelt eszközök nevében.
- Egy eszköz bejelentkezik a Intune szolgáltatásba, és megkapja a megbízható tanúsítványt és az SCEP-profilokat.
- Az SCEP-profil alapján az eszköz létrehoz egy tanúsítvány-aláírási kérést (CSR). A titkos kulcs az eszközön jön létre, és soha nem hagyja el az eszközt. A CSR és az SCEP-feladat a felhőben található SCEP-szolgáltatásnak lesz elküldve (SCEP URI tulajdonság az SCEP-profilban). Az SCEP-feladat titkosítása és aláírása az Intune SCEP RA-kulcsokkal történik.
- Az SCEP-érvényesítési szolgáltatás ellenőrzi a CSR-t az SCEP-kihívással szemben (a diagramon B.3-asként látható). Az ellenőrzés biztosítja, hogy a kérés egy regisztrált és felügyelt eszközről érkezik. Azt is biztosítja, hogy a Feladvány nincs megszelídítve, és hogy megfeleljen az SCEP-profil várt értékeinek. Ha ezen ellenőrzések bármelyike sikertelen, a rendszer elutasítja a tanúsítványkérelmet.
- A CSR ellenőrzése után az SCEP érvényesítési szolgáltatása, más néven a regisztrációs szolgáltató kéri, hogy a kiállító hitelesítésszolgáltató aláírja a CSR-t (a diagramon B.1-ként látható).
- Az aláírt tanúsítvány a Intune MDM-ben regisztrált eszközre lesz kézbesítve.
Megjegyzés:
Az SCEP-feladat titkosítása és aláírása az Intune SCEP regisztrációs szolgáltatói kulcsokkal történik.
Licencelési követelmények
Microsoft Cloud PKI a következő licencek egyikét igényli:
- licenc Microsoft Intune Suite
- különálló Intune bővítménylicencek Microsoft Cloud PKI
További információ a licencelési lehetőségekről: Microsoft Intune licencelés.
Szerepköralapú hozzáférés-vezérlés
Az egyéni Intune szerepkörökhöz a következő engedélyek rendelhetők hozzá. Ezekkel az engedélyekkel a felhasználók megtekinthetik és kezelhetik a hitelesítésszolgáltatókat a felügyeleti központban.
- Ca-k olvasása: Az engedélyhez hozzárendelt felhasználók elolvashatják a hitelesítésszolgáltató tulajdonságait.
- Létrehozás hitelesítésszolgáltatók: Az ehhez az engedélyhez hozzárendelt bármely felhasználó létrehozhat egy legfelső szintű vagy kiállító hitelesítésszolgáltatót.
- Kiadott levéltanúsítványok visszavonása: Az ehhez az engedélyhez hozzárendelt összes felhasználónak lehetősége van manuálisan visszavonni egy kiállító hitelesítésszolgáltató által kiadott tanúsítványt. Ehhez az engedélyhez olvasási hitelesítésszolgáltatói engedély is szükséges.
Hatókörcímkéket rendelhet a gyökérhez és a kiállító hitelesítésszolgáltatókhoz. További információ az egyéni szerepkörök és hatókörcímkék létrehozásáról: Szerepköralapú hozzáférés-vezérlés Microsoft Intune.
Próbálja ki Microsoft Cloud PKI
Próbaidőszak alatt kipróbálhatja a Microsoft Cloud PKI funkciót a Intune Felügyeleti központban. Az elérhető próbaverziók a következők:
A próbaidőszak alatt legfeljebb hat hitelesítésszolgáltatót hozhat létre a bérlőben. Cloud PKI próbaverzió során létrehozott hitelesítésszolgáltatók szoftveralapú kulcsokat használnak, és a használatával System.Security.Cryptography.RSA generálják és aláírják a kulcsokat. Az Cloud PKI licenc megvásárlása után továbbra is használhatja a hitelesítésszolgáltatókat. A kulcsok azonban szoftveralapúak maradnak, és nem konvertálhatók HSM-alapú kulcsokká. A Microsoft Intune szolgáltatás által felügyelt hitelesítésszolgáltatói kulcsok. Az Azure HSM képességeihez nincs szükség Azure-előfizetésre.
CA-konfigurációs példák
A kétrétegű Cloud PKI legfelső szintű & kiállító hitelesítésszolgáltatók és a saját hitelesítésszolgáltatók együtt létezhetnek Intune. A következő, példákként megadott konfigurációkkal hozhat létre hitelesítésszolgáltatókat Microsoft Cloud PKI:
- Egy legfelső szintű hitelesítésszolgáltató öt kiállító hitelesítésszolgáltatóval
- Három legfelső szintű hitelesítésszolgáltató egy-egy kiállító hitelesítésszolgáltatóval
- Két legfelső szintű hitelesítésszolgáltató egy-egy kiállító hitelesítésszolgáltatóval és két saját hitelesítésszolgáltatóval
- Hat saját hitelesítésszolgáltató
Ismert problémák és korlátozások
A legújabb módosításokat és kiegészítéseket lásd: A Microsoft Intune újdonságai.
- Egy Intune bérlőben legfeljebb hat hitelesítésszolgáltatót hozhat létre.
- Licencelt Cloud PKI – Összesen 6 hitelesítésszolgáltató hozható létre Azure mHSM-kulcsokkal.
- Próbaverziós Cloud PKI – Összesen 6 hitelesítésszolgáltató hozható létre a Intune Suite vagy Cloud PKI önálló bővítmény próbaverziója során.
- A következő ca-típusok számítanak bele a ca-kapacitásba:
- legfelső szintű hitelesítésszolgáltató Cloud PKI
- Cloud PKI kiállító hitelesítésszolgáltató
- BYOCA kiállító hitelesítésszolgáltató
- A következő hitelesítésszolgáltatói műveletek jelenleg nem érhetők el a Felügyeleti központban, de aktívan dolgozunk a szolgáltatásukon.
- Ca törlése vagy letiltása a Intune-bérlőből.
Amíg ezek a műveletek elérhetővé nem válnak, javasoljuk, hogy küldjön egy Intune támogatási kérést a hitelesítésszolgáltató törléséhez.
- Ca törlése vagy letiltása a Intune-bérlőből.
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: