Partnercertificeringsinstantie toevoegen in Intune met behulp van SCEP

Belangrijk

Ter ondersteuning van Windows-vereisten voor sterke toewijzing van SCEP-certificaten die zijn geïntroduceerd en aangekondigd in KB5014754 vanaf 10 mei 2022 hebben we wijzigingen aangebracht in intune SCEP-certificaatuitgifte voor nieuwe en vernieuwde SCEP-certificaten. Met deze wijzigingen bevatten nieuwe of vernieuwde Intune SCEP-certificaten voor iOS/iPadOS, macOS en Windows nu de volgende tag in het veld Alternatieve onderwerpnaam (SAN) van het certificaat: URL=tag:microsoft.com,2022-09-14:sid:<value> 

Deze tag wordt gebruikt door sterke toewijzing om een certificaat te koppelen aan een specifiek apparaat of gebruikers-SID van Entra ID. Met deze wijziging en vereiste om een SID van Entra ID toe te wijzen:

• Apparaatcertificaten worden ondersteund voor hybride Windows-apparaten wanneer dat apparaat een SID in Entra ID heeft die is gesynchroniseerd vanuit een on-premises Active Directory.
• Gebruikerscertificaten gebruiken de SID van de gebruiker van entra-id, gesynchroniseerd vanuit on-premises Active Directory.

Certificeringsinstanties (CA's) die de URL-tag in het SAN niet ondersteunen, kunnen mogelijk geen certificaten uitgeven. Microsoft Active Directory Certificate Services-servers waarop de update is geïnstalleerd vanuit KB5014754 ondersteunen het gebruik van deze tag. Als u een externe CA gebruikt, neemt u contact op met uw CA-provider om te controleren of deze deze indeling ondersteunt of hoe en wanneer deze ondersteuning wordt toegevoegd.

Zie Ondersteuningstip: Sterke toewijzing implementeren in Microsoft Intune certificaten - Microsoft Community Hub voor meer informatie.

Gebruik externe certificeringsinstanties (CA) met Intune. Ca's van derden kunnen mobiele apparaten inrichten met nieuwe of vernieuwde certificaten met behulp van het Simple Certificate Enrollment Protocol (SCEP) en ondersteuning bieden voor Windows-, iOS-/iPadOS-, Android- en macOS-apparaten.

Er zijn twee onderdelen voor het gebruik van deze functie: opensource-API en de Intune-beheerderstaken.

Deel 1: een opensource-API gebruiken
Microsoft heeft een API gemaakt om te integreren met Intune. Via de API kunt u certificaten valideren, meldingen over slagen of mislukken verzenden en SSL, met name SSL socket factory, gebruiken om te communiceren met Intune.

De API is beschikbaar in de openbare GitHub-opslagplaats van de Intune SCEP-API die u kunt downloaden en gebruiken in uw oplossingen. Gebruik deze API met SCEP-servers van derden om aangepaste uitdagingsvalidatie uit te voeren voor Intune voordat SCEP een certificaat op een apparaat in richt.

Integreren met Intune SCEP-beheeroplossing biedt meer informatie over het gebruik van de API en de bijbehorende methoden en het testen van de oplossing die u bouwt.

Deel 2: De toepassing en het profiel maken
Met behulp van een Microsoft Entra-toepassing kunt u rechten delegeren aan Intune voor het verwerken van SCEP-aanvragen die afkomstig zijn van apparaten. De Microsoft Entra-toepassing bevat toepassings-id en verificatiesleutelwaarden die worden gebruikt in de API-oplossing die de ontwikkelaar maakt. Beheerders maken en implementeren vervolgens SCEP-certificaatprofielen met behulp van Intune en kunnen rapporten bekijken over de implementatiestatus op de apparaten.

Dit artikel biedt een overzicht van deze functie vanuit het perspectief van een beheerder, inclusief het maken van de Microsoft Entra-toepassing.

Overzicht

De volgende stappen bieden een overzicht van het gebruik van SCEP voor certificaten in Intune:

1. In Intune maakt een beheerder een SCEP-certificaatprofiel en richt het profiel vervolgens op gebruikers of apparaten.
2. Het apparaat wordt ingecheckt bij Intune.
3. Intune maakt een unieke SCEP-uitdaging. Er wordt ook aanvullende informatie over integriteitscontrole toegevoegd, zoals wat het verwachte onderwerp en SAN moeten zijn.
4. Intune versleutelt en ondertekent zowel de informatie over de uitdaging als de integriteitscontrole, en verzendt deze informatie vervolgens naar het apparaat met de SCEP-aanvraag.
5. Het apparaat genereert een aanvraag voor certificaatondertekening (CSR) en een openbare/persoonlijke sleutelpaar op basis van het SCEP-certificaatprofiel dat vanuit Intune wordt gepusht.
6. De CSR en de versleutelde/ondertekende uitdaging worden verzonden naar het SCEP-servereindpunt van derden.
7. De SCEP-server verzendt de CSR en de uitdaging naar Intune. Intune valideert vervolgens de handtekening, ontsleutelt de nettolading en vergelijkt de CSR met de informatie over de integriteitscontrole.
8. Intune stuurt een antwoord terug naar de SCEP-server en geeft aan of de validatie van de uitdaging is geslaagd of niet.
9. Als de uitdaging is geverifieerd, geeft de SCEP-server het certificaat uit aan het apparaat.

In het volgende diagram ziet u een gedetailleerde stroom van SCEP-integratie van derden met Intune:

CA-integratie van derden instellen

Certificeringsinstantie van derden valideren

Voordat u externe certificeringsinstanties integreert met Intune, controleert u of de CA die u gebruikt Intune ondersteunt. Externe CA-partners (in dit artikel) bevat een lijst. U kunt ook de richtlijnen van uw certificeringsinstantie controleren voor meer informatie. De CA kan installatie-instructies bevatten die specifiek zijn voor de implementatie ervan.

Opmerking

Ter ondersteuning van de volgende apparaten moet de CA het gebruik van een HTTPS-URL ondersteunen wanneer u configureert. U moet een HTTPS-URL configureren wanneer u SCEP Server-URL's configureert voor het SCEP-certificaatprofiel:

• Android-apparaatbeheerder
• Android Enterprise-apparaateigenaar
• Android Enterprise-werkprofiel in bedrijfseigendom
• Android Enterprise-werkprofiel in persoonlijk eigendom

Communicatie tussen CA en Intune autoriseren

Maak een app in Microsoft Entra ID om een externe SCEP-server toe te staan aangepaste uitdagingsvalidatie uit te voeren met Intune. Deze app verleent gedelegeerde rechten aan Intune om SCEP-aanvragen te valideren.

Zorg ervoor dat u over de vereiste machtigingen beschikt om een Microsoft Entra-app te registreren. Zie Vereiste machtigingen in de documentatie voor Microsoft Entra.

Een toepassing maken in Microsoft Entra ID

1. Ga in de Azure Portal naar Microsoft Entra ID>App-registraties en selecteer vervolgens Nieuwe registratie.

2. Geef op de pagina Een toepassing registreren de volgende gegevens op:

   • Voer in de sectie Naam een betekenisvolle toepassingsnaam in.
   • Voor de sectie Ondersteunde accounttypen selecteert u Accounts in een organisatiemap.
   • Laat voor omleidings-URI de standaardwaarde Web staan en geef vervolgens de aanmeldings-URL op voor de SCEP-server van derden.

3. Selecteer Registreren om de toepassing te maken en de pagina Overzicht voor de nieuwe app te openen.

4. Kopieer op de pagina Overzicht van de app de waarde van de toepassings-id (client) en noteer deze voor later gebruik. U hebt deze waarde later nodig.

5. Ga in het navigatiedeelvenster van de app naar Certificaten & geheimen onder Beheren. Selecteer de knop Nieuw clientgeheim . Voer een waarde in Bij Beschrijving, selecteer een optie voor Verloopt en kies vervolgens Toevoegen om een waarde voor het clientgeheim te genereren.

   Belangrijk

   Voordat u deze pagina verlaat, kopieert u de waarde voor het clientgeheim en registreert u deze voor later gebruik met uw externe CA-implementatie. Deze waarde wordt niet opnieuw weergegeven. Lees de richtlijnen voor uw externe CA over hoe ze de toepassings-id, verificatiesleutel en tenant-id willen configureren.

6. Noteer uw tenant-id. De tenant-id is de domeintekst na de @-aanmelding in uw account. Als uw account bijvoorbeeld is, wordt admin@name.onmicrosoft.comuw tenant-id name.onmicrosoft.com.

7. Ga in het navigatiedeelvenster voor de app naar API-machtigingen, die zich onder Beheren bevinden. U gaat twee afzonderlijke toepassingsmachtigingen toevoegen:

   1. Selecteer Een machtiging toevoegen:

      1. Selecteer op de pagina API-machtigingen aanvragende optie Intune en selecteer vervolgens Toepassingsmachtigingen.
      2. Schakel het selectievakje voor scep_challenge_provider (VALIDATIE VAN SCEP-uitdaging) in.
      3. Selecteer Machtigingen toevoegen om deze configuratie op te slaan.

   2. Selecteer nogmaals Een machtiging toevoegen .

      1. Selecteer op de pagina API-machtigingen aanvragende optie MicrosoftGraph-toepassingsmachtigingen>.
      2. Vouw Toepassing uit en schakel het selectievakje voor Application.Read.All (Alle toepassingen lezen) in.
      3. Selecteer Machtigingen toevoegen om deze configuratie op te slaan.

8. Blijf op de pagina API-machtigingen , selecteer Beheerderstoestemming verlenen voor<uw tenant> en selecteer vervolgens Ja.

   Het app-registratieproces in Microsoft Entra ID is voltooid.

Een SCEP-certificaatprofiel configureren en implementeren

Maak als beheerder een SCEP-certificaatprofiel voor gebruikers of apparaten. Wijs vervolgens het profiel toe.

• Een SCEP-certificaatprofiel maken

• Het certificaatprofiel toewijzen

Certificaten verwijderen

Wanneer u de registratie van het apparaat ongedaan maken of wissen, worden de certificaten verwijderd. De certificaten worden niet ingetrokken.

Externe certificeringsinstantiepartners

De volgende externe certificeringsinstanties ondersteunen Intune:

• Cogito-groep
• DigiCert
• EasyScep
• EJBCA
• Vertrouwen
• EverTrust
• Globalsign
• HID Global
• IDnomic
• Keyfactor-opdracht
• KeyTalk
• Keytos
• Nexus Certificate Manager
• SCEPman
• Sectigo
• SecureW2
• Venafi

Als u een externe CA bent die geïnteresseerd is in het integreren van uw product met Intune, raadpleegt u de API-richtlijnen:

• Intune SCEP API GitHub-opslagplaats
• Intune SCEP API-richtlijnen voor externe CA's

Zie ook

• Certificaatprofielen configureren
• Intune SCEP API GitHub-opslagplaats
• Intune SCEP API-richtlijnen voor externe CA's