Certificaten gebruiken voor verificatie in Microsoft Intune
Gebruik certificaten met Intune om uw gebruikers te verifiëren bij toepassingen en bedrijfsresources via VPN-, Wi-Fi- of e-mailprofielen. Wanneer u certificaten gebruikt om deze verbindingen te verifiëren, hoeven uw eindgebruikers geen gebruikersnamen en wachtwoorden in te voeren, waardoor hun toegang naadloos kan worden uitgevoerd. Certificaten worden ook gebruikt voor ondertekening en versleuteling van e-mail met behulp van S/MIME.
Inleiding tot certificaten met Intune
Certificaten bieden zonder vertraging geverifieerde toegang via de volgende twee fasen:
- Verificatiefase: de echtheid van de gebruiker wordt gecontroleerd om te bevestigen dat de gebruiker is wie hij beweert te zijn.
- Autorisatiefase: De gebruiker wordt onderworpen aan voorwaarden waarvoor wordt bepaald of de gebruiker toegang moet krijgen.
Veelvoorkomende gebruiksscenario's voor certificaten zijn:
- Netwerkverificatie (bijvoorbeeld 802.1x) met apparaat- of gebruikerscertificaten
- Verifiëren met VPN-servers met behulp van apparaat- of gebruikerscertificaten
- E-mail ondertekenen op basis van gebruikerscertificaten
Intune ondersteunt SCEP (Simple Certificate Enrollment Protocol), PKCS (Public Key Cryptography Standards) en geïmporteerde PKCS-certificaten als methoden voor het inrichten van certificaten op apparaten. De verschillende inrichtingsmethoden hebben verschillende vereisten en resultaten. Bijvoorbeeld:
- SCEP richt certificaten in die uniek zijn voor elke aanvraag voor het certificaat.
- PKCS richt elk apparaat in met een uniek certificaat.
- Met geïmporteerde PKCS kunt u hetzelfde certificaat implementeren dat u hebt geëxporteerd vanuit een bron, zoals een e-mailserver, voor meerdere geadresseerden. Dit gedeelde certificaat is handig om ervoor te zorgen dat al uw gebruikers of apparaten vervolgens e-mailberichten kunnen ontsleutelen die door dat certificaat zijn versleuteld.
Intune gebruikt een certificaatprofiel om een gebruiker of apparaat in te richten met een specifiek type certificaat.
Naast de drie certificaattypen en inrichtingsmethoden hebt u een vertrouwd basiscertificaat van een vertrouwde certificeringsinstantie (CA) nodig. De CA kan een on-premises Microsoft-certificeringsinstantie of een externe certificeringsinstantie zijn. Het vertrouwde basiscertificaat brengt een vertrouwensrelatie tot stand van het apparaat naar uw hoofd- of tussenliggende (verlenende) CA van waaruit de andere certificaten worden uitgegeven. Als u dit certificaat wilt implementeren, gebruikt u het vertrouwde certificaatprofiel en implementeert u het op dezelfde apparaten en gebruikers die de certificaatprofielen voor SCEP, PKCS en geïmporteerde PKCS ontvangen.
Tip
Intune ondersteunt ook het gebruik van afgeleide referenties voor omgevingen waarvoor het gebruik van smartcards is vereist.
Wat is vereist voor het gebruik van certificaten
- Een certificeringsinstantie. Uw CA is de bron van vertrouwen waarnaar de certificaten verwijzen voor verificatie. U kunt een Microsoft-CA of een externe CA gebruiken.
- On-premises infrastructuur. De infrastructuur die u nodig hebt, is afhankelijk van de certificaattypen die u gebruikt:
- Een vertrouwd basiscertificaat. Voordat u SCEP- of PKCS-certificaatprofielen implementeert, implementeert u het vertrouwde basiscertificaat van uw CA met behulp van een vertrouwd certificaatprofiel . Dit profiel helpt bij het tot stand brengen van de vertrouwensrelatie van het apparaat naar de CA en is vereist voor de andere certificaatprofielen.
Nu een vertrouwd basiscertificaat is geïmplementeerd, kunt u certificaatprofielen implementeren om gebruikers en apparaten in te richten met certificaten voor verificatie.
Welk certificaatprofiel u wilt gebruiken
De volgende vergelijkingen zijn niet uitgebreid, maar zijn bedoeld om het gebruik van de verschillende certificaatprofieltypen te onderscheiden.
| Profieltype | Details |
|---|---|
| Vertrouwd certificaat | Gebruik om de openbare sleutel (certificaat) van een basis-CA of tussenliggende CA te implementeren voor gebruikers en apparaten om een vertrouwensrelatie tot stand te brengen naar de bron-CA. Voor andere certificaatprofielen is het vertrouwde certificaatprofiel en het bijbehorende basiscertificaat vereist. |
| SCEP-certificaat | Implementeert een sjabloon voor een certificaataanvraag voor gebruikers en apparaten. Elk certificaat dat is ingericht met SCEP is uniek en gekoppeld aan de gebruiker of het apparaat dat het certificaat aanvraagt. Met SCEP kunt u certificaten implementeren op apparaten zonder gebruikersaffiniteit, inclusief het gebruik van SCEP om een certificaat in te richten op KIOSK of een apparaat zonder gebruiker. |
| PKCS-certificaat | Hiermee wordt een sjabloon geïmplementeerd voor een certificaataanvraag die een certificaattype van een gebruiker of apparaat opgeeft. - Aanvragen voor een certificaattype gebruiker vereisen altijd gebruikersaffiniteit. Wanneer deze is geïmplementeerd voor een gebruiker, ontvangt elk van de apparaten van de gebruiker een uniek certificaat. Wanneer deze met een gebruiker is geïmplementeerd op een apparaat, wordt die gebruiker gekoppeld aan het certificaat voor dat apparaat. Wanneer geïmplementeerd op een apparaat zonder gebruiker, wordt er geen certificaat ingericht. - Voor sjablonen met een certificaattype apparaat is geen gebruikersaffiniteit vereist om een certificaat in te richten. Implementatie op een apparaat richt het apparaat in. Implementatie naar een gebruiker richt het apparaat in waarbij de gebruiker is aangemeld met een certificaat. |
| Geïmporteerd PKCS-certificaat | Hiermee wordt één certificaat geïmplementeerd op meerdere apparaten en gebruikers, wat scenario's ondersteunt, zoals S/MIME-ondertekening en -versleuteling. Door bijvoorbeeld hetzelfde certificaat op elk apparaat te implementeren, kan elk apparaat e-mail ontsleutelen die is ontvangen van dezelfde e-mailserver. Andere certificaatimplementatiemethoden zijn onvoldoende voor dit scenario, omdat SCEP een uniek certificaat maakt voor elke aanvraag en PKCS een ander certificaat voor elke gebruiker koppelt, waarbij verschillende gebruikers verschillende certificaten ontvangen. |
Door Intune ondersteunde certificaten en gebruik
| Type | Verificatie | S/MIME-ondertekening | S/MIME-versleuteling |
|---|---|---|---|
| PKCS-certificaat (Public Key Cryptography Standards) geïmporteerd |  |
|
|
| PKCS#12 (of PFX) | |
|
|
| Simple Certificate Enrollment Protocol (SCEP) | |
|
Als u deze certificaten wilt implementeren, maakt en wijst u certificaatprofielen toe aan apparaten.
Elk afzonderlijk certificaatprofiel dat u maakt, ondersteunt één platform. Als u bijvoorbeeld PKCS-certificaten gebruikt, maakt u een PKCS-certificaatprofiel voor Android en een afzonderlijk PKCS-certificaatprofiel voor iOS/iPadOS. Als u ook SCEP-certificaten voor deze twee platforms gebruikt, maakt u een SCEP-certificaatprofiel voor Android en een andere voor iOS/iPadOS.
Algemene overwegingen wanneer u een Microsoft-certificeringsinstantie gebruikt
Wanneer u een Microsoft-certificeringsinstantie (CA) gebruikt:
SCEP-certificaatprofielen gebruiken:
PKCS-certificaatprofielen gebruiken:
Geïmporteerde PKCS-certificaten gebruiken:
- Installeer de certificaatconnector voor Microsoft Intune.
- Exporteer certificaten van de certificeringsinstantie en importeer ze vervolgens in Microsoft Intune. Zie het PowerShell-project PFXImport.
Implementeer certificaten met behulp van de volgende mechanismen:
- Vertrouwde certificaatprofielen voor het implementeren van het vertrouwde basis-CA-certificaat van uw basis- of tussenliggende (verlenende) CA op apparaten
- SCEP-certificaatprofielen
- PKCS-certificaatprofielen
- Geïmporteerde PKCS-certificaatprofielen
Algemene overwegingen wanneer u een externe certificeringsinstantie gebruikt
Wanneer u een externe (niet-Microsoft) certificeringsinstantie (CA) gebruikt:
SCEP-certificaatprofielen gebruiken:
- Integratie configureren met een externe CA van een van onze ondersteunde partners. Setup omvat het volgen van de instructies van de externe CA om de integratie van hun CA met Intune te voltooien.
- Maak een toepassing in Microsoft Entra-id die rechten aan Intune delegeert om scep-certificaatuitdagingsvalidatie uit te voeren.
Voor geïmporteerde PKCS-certificaten moet u de certificaatconnector installeren voor Microsoft Intune.
Implementeer certificaten met behulp van de volgende mechanismen:
- Vertrouwde certificaatprofielen voor het implementeren van het vertrouwde basis-CA-certificaat van uw basis- of tussenliggende (verlenende) CA op apparaten
- SCEP-certificaatprofielen
- PKCS-certificaatprofielen (alleen ondersteund met het Digicert PKI-platform)
- Geïmporteerde PKCS-certificaatprofielen
Ondersteunde platforms en certificaatprofielen
| Platform | Vertrouwd certificaatprofiel | PKCS-certificaatprofiel | SCEP-certificaatprofiel | Geïmporteerd PKCS-certificaatprofiel |
|---|---|---|---|---|
| Android-apparaatbeheerder | (zie opmerking 1) |
|
|
|
| Android Enterprise - Volledig beheerd (apparaateigenaar) | |
|
|
|
| Android Enterprise - Toegewezen (apparaateigenaar) | |
|
|
|
| Android Enterprise - Corporate-Owned-werkprofiel | |
|
|
|
| Android Enterprise - Personally-Owned-werkprofiel | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 en hoger | |
|
||
| Windows 10/11 | (zie opmerking 2) |
(zie opmerking 2) |
(zie opmerking 2) |
|
- Opmerking 1 : vanaf Android 11 kunnen vertrouwde certificaatprofielen het vertrouwde basiscertificaat niet meer installeren op apparaten die zijn ingeschreven als Android-apparaatbeheerder. Deze beperking is niet van toepassing op Samsung Knox. Zie Vertrouwde certificaatprofielen voor Android-apparaatbeheerder voor meer informatie.
- Opmerking 2 : dit profiel wordt ondersteund voor externe bureaubladen met meerdere sessies in Windows Enterprise.
Belangrijk
Op 22 oktober 2022 heeft Microsoft Intune de ondersteuning voor apparaten met Windows 8.1 beëindigd. Technische ondersteuning en automatische updates op deze apparaten zijn niet beschikbaar.
Als u momenteel Windows 8.1 gebruikt, raden we u aan over te stappen op Windows 10/11-apparaten. Microsoft Intune beschikt over ingebouwde beveiligings- en apparaatfuncties waarmee Windows 10/11-clientapparaten worden beheerd.
Belangrijk
Microsoft Intune beëindigt de ondersteuning voor Beheer van Android-apparaten op apparaten met toegang tot Google Mobile Services (GMS) op 30 augustus 2024. Na die datum zijn apparaatinschrijving, technische ondersteuning, bugfixes en beveiligingspatches niet meer beschikbaar. Als u momenteel apparaatbeheerdersbeheer gebruikt, raden we u aan over te schakelen naar een andere Android-beheeroptie in Intune voordat de ondersteuning afloopt. Lees Ondersteuning voor Android-apparaatbeheerder op GMS-apparaten beëindigen voor meer informatie.
Volgende stappen
Meer resources:
- S/MIME gebruiken om e-mailberichten te ondertekenen en te versleutelen
- Externe certificeringsinstantie gebruiken
Certificaatprofielen maken:
- Een vertrouwd certificaatprofiel configureren
- Infrastructuur configureren voor ondersteuning van SCEP-certificaten met Intune
- PKCS-certificaten configureren en beheren met Intune
- Een geïmporteerd PKCS-certificaatprofiel maken
Meer informatie over de certificaatconnector voor Microsoft Intune
Feedback
Binnenkort beschikbaar: In de loop van 2024 zullen we GitHub Issues geleidelijk uitfaseren als het feedbackmechanisme voor inhoud. Het wordt vervangen door een nieuw feedbacksysteem. Zie voor meer informatie: https://aka.ms/ContentUserFeedback.
Feedback verzenden en weergeven voor