Usare i certificati per l'autenticazione in Microsoft Intune

Usare i certificati con Intune per autenticare gli utenti in applicazioni e risorse aziendali tramite profili VPN, Wi-Fi o di posta elettronica. Quando si usano i certificati per autenticare queste connessioni, gli utenti finali non dovranno immettere nomi utente e password e l'accesso risulta così semplificato. I certificati vengono usati anche per la firma e la crittografia della posta elettronica tramite S/MIME.

Introduzione ai certificati con Intune

I certificati consentono l'accesso autenticato immediato tramite le due fasi seguenti:

  • Fase di autenticazione: viene verificata l'autenticità dell'utente per confermare che l'utente è effettivamente chi afferma di essere.
  • Fase di autorizzazione: l'utente è soggetto a condizioni in base alle quali viene stabilito se può essere autorizzato all'accesso.

I tipici scenari d'uso dei certificati includono:

  • Autenticazione di rete, ad esempio 802.1x, tramite certificati utente o dispositivo
  • Autenticazione con server VPN tramite certificati utente o dispositivo
  • Firma della posta elettronica in base a certificati utente

Come metodi per eseguire il provisioning dei certificati nei dispositivi, Intune supporta il protocollo SCEP (Simple Certificate Enrollment Protocol), gli standard PKCS (Public Key Cryptography Standards) e i certificati PKCS importati. I vari metodi di provisioning presentano requisiti e risultati diversi. Ad esempio:

  • SCEP esegue il provisioning di certificati univoci per ogni richiesta di certificato.
  • PKCS effettua il provisioning di ogni dispositivo con un certificato univoco.
  • Con i certificati PKCS importati, è possibile distribuire lo stesso certificato che è stato esportato da un'origine, ad esempio un server di posta elettronica, a più destinatari. Questo certificato condiviso è utile per assicurare che tutti gli utenti o i dispositivi possano decrittografare i messaggi di posta elettronica crittografati da tale certificato.

Per effettuare il provisioning di un utente o di un dispositivo con un tipo specifico di certificato, Intune usa un profilo certificato.

Oltre ai tre tipi di certificato e metodi di provisioning, è necessario un certificato radice trusted rilasciato da un'autorità di certificazione (CA) attendibile. La CA può essere un'autorità di certificazione Microsoft locale o un'autorità di certificazione di terze parti. Il certificato radice trusted stabilisce una relazione di trust dal dispositivo alla CA radice o intermedia (emittente) da cui vengono rilasciati gli altri certificati. Per distribuire questo certificato, si usa il profilo certificato trusted e si esegue la distribuzione agli stessi dispositivi e utenti che ricevono i profili certificato per SCEP, PKCS e i certificati PKCS importati.

Suggerimento

Intune supporta anche l'uso di credenziali derivate per ambienti che richiedono l'uso di smart card.

Requisiti per l'uso dei certificati

  • Un'autorità di certificazione. La CA è l'origine della relazione di trust a cui fanno riferimento i certificati per l'autenticazione. È possibile usare una CA Microsoft o una CA di terze parti.
  • Infrastruttura locale. L'infrastruttura necessaria dipende dai tipi di certificato che verranno usati:
  • Un certificato radice trusted. Prima di distribuire i profili certificato SCEP o PKCS, distribuire il certificato radice trusted dalla CA usando un profilo certificato trusted. Questo profilo consente di stabilire la relazione di trust dal dispositivo alla CA ed è richiesto dagli altri profili certificato.

Con un certificato radice trusted distribuito, sarà possibile distribuire i profili certificato per effettuare il provisioning di utenti e dispositivi con certificati per l'autenticazione.

Quale profilo certificato usare

I dati di confronto riportati di seguito non sono completi, ma consentono di distinguere più facilmente l'uso dei diversi tipi di profilo certificato.

Tipo profilo Dettagli
Certificato attendibile Usare per distribuire la chiave pubblica (certificato) da una CA radice o da una CA intermedia a utenti e dispositivi per stabilire una relazione di trust con la CA di origine. Altri profili certificato richiedono il profilo certificato attendibile e il relativo certificato radice.
Certificato SCEP Distribuisce un modello per una richiesta di certificato a utenti e dispositivi. Ogni certificato di cui viene effettuato il provisioning con SCEP è univoco ed è associato all'utente o al dispositivo che ne fa richiesta.

Il protocollo SCEP può essere usato per distribuire i certificati ai dispositivi privi di affinità utente e anche per effettuare il provisioning di un certificato in un chiosco multimediale o in un dispositivo senza utente.
Certificato PKCS Distribuisce un modello per una richiesta di certificato che specifica un tipo di certificato di utente o dispositivo.

- Le richieste per un tipo di certificato di utente richiedono sempre l'affinità utente. Quando viene distribuito a un utente, ogni dispositivo dell'utente riceve un certificato univoco. Quando viene distribuito in un dispositivo con un utente, tale utente viene associato al certificato per tale dispositivo. Quando viene distribuito in un dispositivo senza utente, non viene effettuato il provisioning di alcun certificato.
- I modelli con un tipo di certificato di dispositivo non richiedono l'affinità utente per il provisioning di un certificato. La distribuzione in un dispositivo effettua il provisioning del dispositivo. La distribuzione a un utente effettua il provisioning del dispositivo a cui l'utente ha eseguito l'accesso con un certificato.
Certificato importato PKCS Distribuisce un singolo certificato a più dispositivi e utenti e supporta pertanto scenari come la firma e la crittografia S/MIME. Se, ad esempio, si distribuisce lo stesso certificato a ogni dispositivo, ciascuno di essi può decrittografare il messaggio di posta elettronica ricevuto dallo stesso server.

Gli altri metodi di distribuzione dei certificati non sono adeguati a questo scenario, poiché SCEP crea un certificato univoco per ogni richiesta, mentre PKCS associa un certificato diverso per ogni utente e pertanto utenti diversi ricevono certificati diversi.

Certificati supportati da Intune e utilizzo

Tipo Autenticazione Firma S/MIME Crittografia S/MIME
Certificato importato PKCS (Public Key Cryptography Standards) Supportato Supportato
PKCS#12 (o PFX) Supportato Supportato
Simple Certificate Enrollment Protocol (SCEP) Supportato Supportato

Per distribuire questi certificati, verranno creati e assegnati profili di certificato ai dispositivi.

Ogni singolo profilo di certificato creato supporta un'unica piattaforma. Se, ad esempio, si usano certificati PKCS, si creerà un profilo di certificato PKCS per Android e un profilo di certificato PKCS separato per iOS/iPadOS. Se per queste due piattaforme si usano anche certificati SCEP, si creerà un profilo di certificato SCEP per Android e un altro per iOS/iPadOS.

Considerazioni generali se si usa un'autorità di certificazione Microsoft

Quando si usa un'autorità di certificazione (CA) Microsoft:

Considerazioni generali se si usa un'autorità di certificazione di terze parti

Quando si usa un'autorità di certificazione (CA) di terze parti (non Microsoft):

Piattaforme e profili di certificato supportati

Piattaforma Profilo di certificato attendibile Profilo di certificato PKCS Profilo di certificato SCEP Profilo di certificato PKCS importato
Amministratore dispositivo Android Supportato
(vedere Nota 1)
Supportato Supportato Supportato
Android Enterprise
- Dispositivi completamente gestiti (proprietario del dispositivo)
Supportato Supportato Supportato Supportato
Android Enterprise
- Dedicato (proprietario del dispositivo)
Supportato Supportato Supportato Supportato
Android Enterprise
- Profilo di lavoro di proprietà aziendale
Supportato Supportato Supportato Supportato
Android Enterprise
- Profilo di lavoro di proprietà personale
Supportato Supportato Supportato Supportato
iOS/iPadOS Supportato Supportato Supportato Supportato
macOS Supportato Supportato Supportato Supportato
Windows 8.1 e versioni successive Supportato Supportato
Windows 10 e versioni successive Supportato
(vedere la nota 2)
Supportato
(vedere la nota 2)
Supportato
(vedere la nota 2)
Supportato

Risorse aggiuntive

Passaggi successivi

Creare i profili certificato:

Informazioni sul connettore di certificati per Microsoft Intune