Aggiungere l'autorità di certificazione partner in Intune usando SCEP

  • Articolo

Importante

Per supportare i requisiti di Windows per il mapping sicuro dei certificati SCEP introdotti e annunciati in KB5014754 dal 10 maggio 2022 sono state apportate modifiche al rilascio di certificati SCEP di Intune per i certificati SCEP nuovi e rinnovati. Con queste modifiche, i certificati SCEP di Intune nuovi o rinnovati per iOS/iPadOS, macOS e Windows ora includono il tag seguente nel campo Nome alternativo soggetto (SAN) del certificato: URL=tag:microsoft.com,2022-09-14:sid:<value>

Questo tag viene usato dal mapping sicuro per associare un certificato a un dispositivo specifico o a un SID utente specifico dall'ID entra. Con questa modifica e questo requisito per eseguire il mapping di un SID da Entra ID:

  • I certificati del dispositivo sono supportati per i dispositivi windows aggiunti a un ambiente ibrido quando il dispositivo ha un SID in Entra ID sincronizzato da un Active Directory locale.
  • I certificati utente usano il SID dell'utente da Entra ID, sincronizzato da Active Directory locale.

Le autorità di certificazione che non supportano il tag URL nella SAN potrebbero non emettere certificati. I server di Servizi certificati Microsoft Active Directory che hanno installato l'aggiornamento da KB5014754 supportano l'uso di questo tag. Se si usa una CA di terze parti, rivolgersi al provider di ca per assicurarsi che supporti questo formato o come e quando verrà aggiunto il supporto.

Per altre informazioni, vedere Suggerimento per il supporto: Implementazione di un mapping sicuro nei certificati Microsoft Intune - Microsoft Community Hub.

Usare autorità di certificazione di terze parti con Intune. Le autorità di certificazione di terze parti possono effettuare il provisioning di dispositivi mobili con certificati nuovi o rinnovati usando il protocollo SCEP (Simple Certificate Enrollment Protocol) e supportare dispositivi Windows, iOS/iPadOS, Android e macOS.

Questa funzionalità può essere usata in due parti: l'API open source e le attività di amministratore di Intune.

Parte 1: Usare un'API open source
Microsoft ha creato un'API da integrare con Intune. Tramite l'API è possibile convalidare i certificati, inviare notifiche di esito positivo o negativo e usare SSL, in particolare ssl socket factory, per comunicare con Intune.

L'API è disponibile nel repository GitHub pubblico dell'API SCEP di Intune da scaricare e usare nelle soluzioni. Usare questa API con server SCEP di terze parti per eseguire la convalida delle richieste personalizzate su Intune prima che SCEP eserciti un certificato in un dispositivo.

L'integrazione con la soluzione di gestione SCEP di Intune fornisce maggiori dettagli sull'uso dell'API, sui relativi metodi e sul test della soluzione compilata.

Parte 2: Creare l'applicazione e il profilo
Usando un'applicazione Microsoft Entra, è possibile delegare i diritti a Intune per gestire le richieste SCEP provenienti dai dispositivi. L'applicazione Microsoft Entra include i valori di ID applicazione e chiave di autenticazione usati nella soluzione API creata dallo sviluppatore. Gli amministratori quindi creano e distribuiscono profili di certificati SCEP usando Intune e possono visualizzare i report sullo stato della distribuzione nei dispositivi.

Questo articolo offre una panoramica di questa funzionalità dal punto di vista dell'amministratore, inclusa la creazione dell'applicazione Microsoft Entra.

Panoramica

I passaggi seguenti offrono una panoramica dell'uso di SCEP per i certificati in Intune:

  1. In Intune un amministratore crea un profilo certificato SCEP e quindi lo indirizza a utenti o dispositivi.
  2. Il dispositivo esegue il check-in in Intune.
  3. Intune crea una sfida SCEP univoca. Aggiunge anche informazioni aggiuntive sul controllo dell'integrità, ad esempio l'oggetto previsto e la SAN.
  4. Intune crittografa e firma le informazioni di verifica e controllo dell'integrità e quindi invia queste informazioni al dispositivo con la richiesta SCEP.
  5. Il dispositivo genera una richiesta di firma del certificato (CSR) e una coppia di chiavi pubblica/privata nel dispositivo in base al profilo del certificato SCEP sottoposto a push da Intune.
  6. La richiesta csr e la richiesta di verifica crittografata/firmata vengono inviate all'endpoint server SCEP di terze parti.
  7. Il server SCEP invia la richiesta csr e la richiesta di verifica a Intune. Intune convalida quindi la firma, decrittografa il payload e confronta il csr con le informazioni di controllo dell'integrità.
  8. Intune invia una risposta al server SCEP e indica se la convalida della verifica ha esito positivo o meno.
  9. Se la verifica viene eseguita correttamente, il server SCEP rilascia il certificato al dispositivo.

Il diagramma seguente mostra un flusso dettagliato dell'integrazione SCEP di terze parti con Intune:

In che modo l'autorità di certificazione di terze parti SCEP si integra con Microsoft Intune

Configurare l'integrazione della CA di terze parti

Convalidare l'autorità di certificazione di terze parti

Prima di integrare le autorità di certificazione di terze parti con Intune, verificare che la CA in uso supporti Intune. I partner ca di terze parti (in questo articolo) includono un elenco. Per altre informazioni, è anche possibile consultare le indicazioni dell'autorità di certificazione. La CA può includere istruzioni di configurazione specifiche per l'implementazione.

Nota

Per supportare i dispositivi seguenti, la CA deve supportare l'uso di un URL HTTPS quando si configura è necessario configurare un URL HTTPS quando si configurano gli URL del server SCEP per il profilo certificato SCEP:

  • Amministratore del dispositivo Android
  • Proprietario del dispositivo Android Enterprise
  • Profilo di lavoro di proprietà dell'azienda Android Enterprise
  • Profilo di lavoro di proprietà personale di Android Enterprise

Autorizzare la comunicazione tra CA e Intune

Per consentire a un server SCEP di terze parti di eseguire la convalida delle richieste personalizzate con Intune, creare un'app in Microsoft Entra ID. Questa app concede a Intune diritti delegati per convalidare le richieste SCEP.

Assicurarsi di disporre delle autorizzazioni necessarie per registrare un'app Microsoft Entra. Vedere Autorizzazioni necessarie nella documentazione di Microsoft Entra.

Creare un'applicazione in Microsoft Entra ID

  1. Nel portale di Azure passare a Microsoft Entra ID>Registrazioni app e quindi selezionare Nuova registrazione.

  2. Nella pagina Registra un'applicazione specificare i dettagli seguenti:

    • Nella sezione Nome immettere un nome di applicazione significativo.
    • Per la sezione Tipi di account supportati selezionare Account in qualsiasi directory dell'organizzazione.
    • Per URI di reindirizzamento lasciare il valore predefinito Web e quindi specificare l'URL di accesso per il server SCEP di terze parti.

  3. Selezionare Registra per creare l'applicazione e per aprire la pagina Panoramica per la nuova app.

  4. Nella pagina Panoramica dell'app copiare il valore dell'ID applicazione (client) e registrarlo per un uso successivo. Questo valore sarà necessario in un secondo momento.

  5. Nel riquadro di spostamento dell'app passare a Certificati & segreti in Gestisci. Selezionare il pulsante Nuovo segreto client. Immettere un valore in Descrizione, selezionare qualsiasi opzione per Scadenza e quindi scegliere Aggiungi per generare un valore per il segreto client.

    Importante

    Prima di uscire da questa pagina, copiare il valore per il segreto client e registrarlo per l'uso successivo con l'implementazione della CA di terze parti. Questo valore non viene visualizzato di nuovo. Assicurarsi di esaminare le indicazioni per la CA di terze parti su come devono configurare l'ID applicazione, la chiave di autenticazione e l'ID tenant.

  6. Registrare l'ID tenant. L'ID tenant è il testo del dominio dopo l'accesso @ all'account. Ad esempio, se l'account è admin@name.onmicrosoft.com, l'ID tenant viene name.onmicrosoft.com.

  7. Nel riquadro di spostamento per l'app passare a Autorizzazioni API, disponibili in Gestisci. Si aggiungeranno due autorizzazioni dell'applicazione separate:

    1. Selezionare Aggiungi un'autorizzazione:

      1. Nella pagina Richiedi autorizzazioni API selezionare Intune e quindi selezionare Autorizzazioni applicazione.
      2. Selezionare la casella di controllo per scep_challenge_provider (convalida della verifica SCEP).
      3. Selezionare Aggiungi autorizzazioni per salvare questa configurazione.

    2. Selezionare di nuovo Aggiungi un'autorizzazione .

      1. Nella pagina Richiedi autorizzazioni API selezionareAutorizzazioni applicazioneMicrosoft Graph>.
      2. Espandere Applicazione e selezionare la casella di controllo Per Application.Read.All (Leggere tutte le applicazioni).
      3. Selezionare Aggiungi autorizzazioni per salvare questa configurazione.

  8. Rimanere nella pagina Autorizzazioni API e selezionare Concedi consenso amministratore per<il tenant> e quindi selezionare .

    Il processo di registrazione dell'app in Microsoft Entra ID è completato.

Configurare e distribuire un profilo certificato SCEP

Come amministratore, creare un profilo certificato SCEP destinato a utenti o dispositivi. Assegnare quindi il profilo.

Rimozione di certificati

Quando si annulla la registrazione o si cancella il dispositivo, i certificati vengono rimossi. I certificati non vengono revocati.

Partner dell'autorità di certificazione di terze parti

Le autorità di certificazione di terze parti seguenti supportano Intune:

Se si è un'autorità di certificazione di terze parti interessata all'integrazione del prodotto con Intune, vedere le indicazioni per le API:

Vedere anche