Microsoft Intune 대한 Microsoft 클라우드 PKI 개요
적용 대상:
- Windows
- Android
- iOS
- macOS
Microsoft 클라우드 PKI 사용하여 Intune 관리 디바이스에 대한 인증서를 발급합니다. Microsoft 클라우드 PKI Intune 관리 디바이스에 대한 인증서 수명 주기 관리를 간소화하고 자동화하는 클라우드 기반 서비스입니다. 온-프레미스 서버, 커넥터 또는 하드웨어 없이도 organization 전용 PKI(공개 키 인프라)를 제공합니다. 지원되는 모든 Intune 플랫폼에 대한 인증서 발급, 갱신 및 해지를 처리합니다.
이 문서에서는 Intune에 대한 Microsoft 클라우드 PKI, 작동 방식 및 해당 아키텍처에 대한 개요를 제공합니다.
PKI란?
PKI는 디지털 인증서를 사용하여 디바이스와 서비스 간의 데이터를 인증하고 암호화하는 시스템입니다. PKI 인증서는 VPN, Wi-Fi, 이메일, 웹 및 디바이스 ID와 같은 다양한 시나리오를 보호하는 데 필수적입니다. 그러나 PKI 인증서를 관리하는 것은 특히 많은 수의 디바이스와 사용자가 있는 조직의 경우 어렵고 비용이 많이 들고 복잡할 수 있습니다. Microsoft 클라우드 PKI 사용하여 디바이스 및 사용자의 보안 및 생산성을 향상시키고 완전히 관리되는 클라우드 PKI 서비스로 디지털 변환을 가속화할 수 있습니다. 또한 의 클라우드 PKI 서비스를 활용하여 ADCS(Active Directory Certificate Services) 또는 프라이빗 온-프레미스 인증 기관의 워크로드를 줄일 수 있습니다.
Microsoft Intune 관리 센터에서 클라우드 PKI 관리
Microsoft 클라우드 PKI 개체는 Microsoft Intune 관리 센터에서 만들어지고 관리됩니다. 여기에서 다음을 수행할 수 있습니다.
- organization Microsoft 클라우드 PKI 설정하고 사용합니다.
- 테넌트에서 클라우드 PKI 사용하도록 설정합니다.
- 디바이스에 인증서 프로필을 만들고 할당합니다.
- 발급된 인증서를 모니터링합니다.
CA를 발급하는 클라우드 PKI 만든 후 몇 분 안에 인증서 발급을 시작할 수 있습니다.
지원되는 디바이스 플랫폼
다음 플랫폼에서 Microsoft 클라우드 PKI 서비스를 사용할 수 있습니다.
- Android
- iOS/iPadOS
- macOS
- Windows
디바이스는 Intune에 등록해야 하며 플랫폼은 Intune 디바이스 구성 SCEP 인증서 프로필을 지원해야 합니다.
기능 개요
다음 표에는 Microsoft 클라우드 PKI 및 Microsoft Intune 지원되는 기능 및 시나리오가 나와 있습니다.
| 기능 | 개요 |
|---|---|
| Intune 테넌트에서 여러 CA 만들기 | 클라우드에서 루트 및 발급 CA를 사용하여 2계층 PKI 계층 구조를 만듭니다. |
| BYOCA(Bring Your Own CA) | Active Directory 인증서 서비스 또는 비 Microsoft 인증서 서비스를 통해 프라이빗 CA에 Intune 발급 CA를 고정합니다. 기존 PKI 인프라가 있는 경우 동일한 루트 CA를 유지하고 외부 루트에 연결된 발급 CA를 만들 수 있습니다. 이 옵션에는 외부 프라이빗 CA N+ 계층 구조에 대한 지원이 포함됩니다. |
| 서명 및 암호화 알고리즘 | Intune은 RSA, 키 크기 2048, 3072 및 4096을 지원합니다. |
| 해시 알고리즘 | Intune은 SHA-256, SHA-384 및 SHA-512를 지원합니다. |
| HSM 키(서명 및 암호화) | 키는 Azure HSM(Azure Managed Hardware Security Module)을 사용하여 프로비전됩니다. 라이선스가 부여된 Intune Suite 또는 클라우드 PKI 독립 실행형 추가 기능으로 만든 CA는 HSM 서명 및 암호화 키를 자동으로 사용합니다. Azure HSM에는 Azure 구독이 필요하지 않습니다. |
| 소프트웨어 키(서명 및 암호화) | Intune Suite 또는 클라우드 PKI 독립 실행형 추가 기능의 평가판 기간 동안 생성된 CA는 를 사용하여 소프트웨어 지원 서명 및 암호화 키를 사용합니다System.Security.Cryptography.RSA. |
| 인증 등록 기관 | 각 클라우드 PKI 발급 CA에 대해 SCEP(단순 인증서 등록 프로토콜)를 지원하는 클라우드 인증서 등록 기관 제공 |
| CRL(인증서 해지 목록) 배포 지점 | Intune은 각 CA에 대한 CRL 배포 지점(CDP)을 호스트합니다. CRL 유효 기간은 7일입니다. 게시 및 새로 고침은 3.5일마다 발생합니다. CRL은 모든 인증서 해지로 업데이트됩니다. |
| AIA(기관 정보 액세스) 끝점 | Intune은 각 발급 CA에 대한 AIA 엔드포인트를 호스트합니다. AIA 엔드포인트는 신뢰 당사자가 부모 인증서를 검색하는 데 사용할 수 있습니다. |
| 사용자 및 디바이스에 대한 최종 엔터티 인증서 발급 | 리프 인증서 발급이라고도 합니다. 지원은 SCEP(PKCS#7) 프로토콜 및 인증 형식 및 SCEP 프로필을 지원하는 Intune-MDM 등록 디바이스에 대한 것입니다. |
| 인증서 수명 주기 관리 | 최종 엔터티 인증서를 발급, 갱신 및 해지합니다. |
| 보고 dashboard | Intune 관리 센터의 전용 dashboard 활성, 만료 및 해지된 인증서를 모니터링합니다. 발급된 리프 인증서 및 기타 인증서에 대한 보고서를 보고 리프 인증서를 해지합니다. 보고서는 24시간마다 업데이트됩니다. |
| 감사 | Intune 관리 센터에서 만들기, 해지 및 검색 작업과 같은 관리자 활동을 감사합니다. |
| RBAC(역할 기반 액세스 제어) 권한 | Microsoft 클라우드 PKI 권한을 사용하여 사용자 지정 역할을 만듭니다. 사용 가능한 권한을 사용하면 CA를 읽고, CA를 사용하지 않도록 설정하고, 다시 사용하도록 설정하고, 발급된 리프 인증서를 해지하고, 인증 기관을 만들 수 있습니다. |
| 범위 태그 | 관리 센터에서 만드는 모든 CA에 scope 태그를 추가합니다. 범위 태그를 추가, 삭제 및 편집할 수 있습니다. |
아키텍처
Microsoft 클라우드 PKI 공개 키 인프라의 복잡성과 관리를 간소화하기 위해 함께 작동하는 몇 가지 주요 구성 요소로 구성됩니다. 인증 기관을 만들고 호스팅하기 위한 클라우드 PKI 서비스이며, 인증 등록 기관과 결합되어 Intune에 등록된 디바이스에서 들어오는 인증서 요청을 자동으로 서비스합니다. 등록 기관은 SCEP(단순 인증서 등록 프로토콜)를 지원합니다.
구성 요소:
A - Microsoft Intune
B - Microsoft 클라우드 PKI 서비스
- B.1 - Microsoft 클라우드 PKI 서비스
- B.2 - SCEP 서비스 Microsoft 클라우드 PKI
- B.3 - SCEP 유효성 검사 서비스 Microsoft 클라우드 PKI
인증 등록 기관은 다이어그램에서 B.2 및 B.3을 구성합니다.
이러한 구성 요소는 온-프레미스 인증 기관, NDES 및 Intune 인증서 커넥터의 필요성을 대체합니다.
작업:
디바이스가 Intune 서비스에 체크 인하기 전에 Microsoft 클라우드 PKI 서비스를 관리할 수 있는 권한이 있는 Intune 관리자 또는 Intune 역할은 다음을 수행해야 합니다.
- Microsoft Intune 루트 및 발급 CA에 필요한 클라우드 PKI 인증 기관을 만듭니다.
- 루트 및 발급 CA에 필요한 신뢰 인증서 프로필을 만들고 할당합니다. 이 흐름은 다이어그램에 표시되지 않습니다.
- 필요한 플랫폼별 SCEP 인증서 프로필을 만들고 할당합니다. 이 흐름은 다이어그램에 표시되지 않습니다.
참고
Intune 관리 디바이스에 대한 인증서를 발급하려면 클라우드 PKI 발급 인증 기관이 필요합니다. 클라우드 PKI 인증서 등록 기관 역할을 하는 SCEP 서비스를 제공합니다. 서비스는 SCEP 프로필을 사용하여 Intune 관리 디바이스를 대신하여 발급 CA에서 인증서를 요청합니다.
- 디바이스는 Intune 서비스를 사용하여 체크인하고 신뢰할 수 있는 인증서 및 SCEP 프로필을 받습니다.
- SCEP 프로필에 따라 디바이스는 CSR(인증서 서명 요청)을 만듭니다. 프라이빗 키는 디바이스에서 만들어지고 디바이스에서 나가지 않습니다. CSR 및 SCEP 챌린지는 클라우드의 SCEP 서비스(SCEP 프로필의 SCEP URI 속성)로 전송됩니다. SCEP 챌린지는 Intune SCEP RA 키를 사용하여 암호화되고 서명됩니다.
- SCEP 유효성 검사 서비스는 SCEP 챌린지에 대해 CSR을 확인합니다(다이어그램에 B.3으로 표시됨). 유효성 검사를 통해 등록된 관리형 디바이스에서 요청이 제공되는지 확인합니다. 또한 Challenge가 조정되지 않고 SCEP 프로필의 예상 값과 일치하도록 합니다. 이러한 검사가 실패하면 인증서 요청이 거부됩니다.
- CSR의 유효성을 검사한 후 등록 기관이라고도 하는 SCEP 유효성 검사 서비스는 발급 CA가 CSR에 서명할 것을 요청합니다(다이어그램에 B.1로 표시됨).
- 서명된 인증서는 Intune MDM에 등록된 디바이스로 전달됩니다.
참고
SCEP 챌린지는 Intune SCEP 등록 기관 키를 사용하여 암호화되고 서명됩니다.
라이선스 요구사항
Microsoft 클라우드 PKI 다음 라이선스 중 하나가 필요합니다.
- Microsoft Intune Suite 라이선스
- 독립 실행형 Intune 추가 기능 라이선스 Microsoft 클라우드 PKI
라이선스 옵션에 대한 자세한 내용은 Microsoft Intune 라이선스를 참조하세요.
역할 기반 액세스 제어
사용자 지정 Intune 역할에 할당할 수 있는 권한은 다음과 같습니다. 이러한 권한을 통해 사용자는 관리 센터에서 CA를 보고 관리할 수 있습니다.
- CA 읽기: 이 권한이 할당된 모든 사용자는 CA의 속성을 읽을 수 있습니다.
- 인증 기관 만들기: 이 권한이 할당된 모든 사용자는 루트 또는 발급 CA를 만들 수 있습니다.
- 발급된 리프 인증서 해지: 이 권한이 할당된 모든 사용자는 발급 CA에서 발급한 인증서를 수동으로 해지할 수 있습니다. 이 권한에는 읽기 CA 권한도 필요합니다.
루트 및 발급 CA에 scope 태그를 할당할 수 있습니다. 사용자 지정 역할 및 scope 태그를 만드는 방법에 대한 자세한 내용은 Microsoft Intune 사용하여 역할 기반 액세스 제어를 참조하세요.
Microsoft 클라우드 PKI 사용해 보기
평가판 기간 동안 Intune 관리 센터에서 Microsoft 클라우드 PKI 기능을 사용해 볼 수 있습니다. 사용 가능한 평가판은 다음과 같습니다.
평가 기간 동안 테넌트에서 최대 6개의 CA를 만들 수 있습니다. 평가판 중에 만든 클라우드 PKI 소프트웨어 지원 키를 사용하고 를 사용하여 System.Security.Cryptography.RSA 키를 생성하고 서명합니다. 클라우드 PKI 라이선스를 구매한 후에도 CA를 계속 사용할 수 있습니다. 그러나 키는 소프트웨어 지원 상태로 유지되며 HSM 지원 키로 변환할 수 없습니다. Microsoft Intune 서비스 관리 CA 키입니다. Azure HSM 기능에는 Azure 구독이 필요하지 않습니다.
CA 구성 예제
2계층 클라우드 PKI 루트 & 발급 CA 및 bring-your-own CA는 Intune에서 공존할 수 있습니다. 예제로 제공된 다음 구성을 사용하여 Microsoft 클라우드 PKI CA를 만들 수 있습니다.
- 5개의 발급 CA가 있는 루트 CA 1개
- 각각 하나의 발급 CA가 있는 3개의 루트 CA
- 각각 하나의 발급 CA가 있는 루트 CA 2개와 사용자 고유의 CA 2개
- 6개의 BRING-Your-Own CA
알려진 문제점 및 제한
최신 변경 내용 및 추가 사항은 Microsoft Intune 새로운 기능 을 참조하세요.
- Intune 테넌트에서 최대 6개의 CA를 만들 수 있습니다.
- 라이선스 클라우드 PKI – Azure mHSM 키를 사용하여 총 6개의 CA를 만들 수 있습니다.
- 평가판 클라우드 PKI - Intune Suite 또는 독립 실행형 추가 기능을 클라우드 PKI 평가판 중에 총 6개의 CA를 만들 수 있습니다.
- 다음 CA 유형은 CA 용량에 포함됩니다.
- 루트 CA 클라우드 PKI
- 클라우드 PKI 발급 CA
- BYOCA 발급 CA
- 현재 관리 센터에서는 다음 CA 작업을 사용할 수 없지만 이를 제공하기 위해 적극적으로 노력하고 있습니다.
- Intune 테넌트에서 CA를 삭제하거나 사용하지 않도록 설정합니다.
이러한 작업을 사용할 수 있을 때까지 Intune 지원 요청을 수행하여 CA를 삭제하는 것이 좋습니다.
- Intune 테넌트에서 CA를 삭제하거나 사용하지 않도록 설정합니다.
피드백
출시 예정: 2024년 내내 콘텐츠에 대한 피드백 메커니즘으로 GitHub 문제를 단계적으로 폐지하고 이를 새로운 피드백 시스템으로 바꿀 예정입니다. 자세한 내용은 다음을 참조하세요. https://aka.ms/ContentUserFeedback
다음에 대한 사용자 의견 제출 및 보기