Certificaten voor verificatie gebruiken in Microsoft IntuneUse certificates for authentication in Microsoft Intune

Gebruik certificaten in Intune om uw gebruikers te verifiëren voor toepassingen en bedrijfsresources via een VPN-, Wi-Fi- of e-mailprofiel.Use certificates with Intune to authenticate your users to applications and corporate resources through VPN, Wi-Fi, or email profiles. Wanneer u certificaten gebruikt om deze verbindingen te verifiëren, hoeven uw eindgebruikers geen gebruikersnamen en wachtwoorden in te voeren, waardoor ze naadloos toegang kunnen krijgen.When you use certificates to authenticate these connections, your end users won't need to enter usernames and passwords, which can make their access seamless. Certificaten worden ook gebruikt voor het ondertekenen en versleutelen van e-mail met behulp van S/MIME.Certificates are also used for signing and encryption of email using S/MIME.

Inleiding tot certificaten met IntuneIntroduction to certificates with Intune

Certificaten bieden geverifieerde toegang zonder vertraging via de volgende twee fasen:Certificates provide authenticated access without delay through the following two phases:

  • Verificatiefase: De echtheid van de gebruiker wordt gecontroleerd om te bevestigen dat de gebruiker daadwerkelijk is wie hij of zij beweert te zijn.Authentication phase: The user’s authenticity is checked to confirm the user is who they claim to be.
  • Autorisatiefase: De gebruiker moet voldoen aan voorwaarden op basis waarvan wordt bepaald of de gebruiker toegang mag krijgen.Authorization phase: The user is subjected to conditions for which a determination is made on whether the user should be given access.

Hier volgen enkele gebruikelijke scenario's voor certificaten:Typical use scenarios for certificates include:

  • Netwerkverificatie (bijvoorbeeld 802.1x) met apparaat- of gebruikerscertificatenNetwork authentication (for example, 802.1x) with device or user certs
  • Verificatie met VPN-servers met behulp van apparaat- of gebruikerscertificatenAuthenticating with VPN servers using device or user certs
  • Ondertekening van e-mail op basis van gebruikerscertificatenSigning e-mail based on user certs

Intune ondersteunt Simple Certificate Enrollment Protocol (SCEP), PKCS (Public Key Cryptography Standards) en geïmporteerde PKCS-certificaten als methoden om certificaten in te richten op apparaten.Intune supports Simple Certificate Enrollment Protocol (SCEP), Public Key Cryptography Standards (PKCS), and imported PKCS certificates as methods to provision certificates on devices. De verschillende inrichtingsmethoden hebben verschillende vereisten en resultaten.The different provisioning methods have different requirements, and results. Bijvoorbeeld:For example:

  • Met SCEP worden certificaten ingericht die uniek zijn voor elke aanvraag voor het certificaat.SCEP provisions certificates that are unique to each request for the certificate.
  • Met PKCS kan een gebruiker hetzelfde certificaat ingericht hebben op elk apparaat dat hij of zij gebruikt.With PKCS, a user can have the same certificate provisioned on each device they use.
  • Met geïmporteerde PKCS kunt u hetzelfde certificaat dat u hebt geëxporteerd uit een bron, zoals een e-mailserver, implementeren bij meerdere ontvangers.With Imported PKCS, you can deploy the same certificate that you’ve exported from a source, like an email server, to multiple recipients. Dit gedeelde certificaat is nuttig om ervoor te zorgen dat e-mailberichten door al uw gebruikers of apparaten kunnen worden ontsleuteld door dat certificaat.This shared certificate is useful to ensure all your users or devices can then decrypt emails that were encrypted by that certificate.

In Intune wordt een certificaatprofiel gebruikt om een gebruiker of apparaat te voorzien van een specifiek type certificaat.To provision a user or device with a specific type of certificate, Intune uses a certificate profile.

Naast de drie certificaattypen en de inrichtingsmethoden hebt u een vertrouwd basiscertificaat van een vertrouwde certificeringsinstantie (CA) nodig.In addition to the three certificate types and provisioning methods, you’ll need a trusted root certificate from a trusted Certification Authority (CA). De CA kan een on-premises Microsoft-certificeringsinstantie of een externe certificeringsinstantie zijn.The CA can be an on-premises Microsoft Certification Authority, or a third-party Certification Authority. Het vertrouwde basiscertificaat brengt vertrouwen tot stand tussen het apparaat en de basiscertificeringsinstantie of tussenliggende (verlenende) CA van waaruit de andere certificaten worden verleend.The trusted root certificate establishes a trust from the device to your root or intermediate (issuing) CA from which the other certificates are issued. U kunt dit certificaat implementeren door het profiel voor vertrouwd certificaat te gebruiken en dit te implementeren voor de apparaten en gebruikers die de certificaatprofielen voor SCEP, PKCS en het geïmporteerde PKCS zullen ontvangen.To deploy this certificate, you use the trusted certificate profile, and deploy it to the same devices and users that will receive the certificate profiles for SCEP, PKCS, and imported PKCS.

Tip

Intune biedt ook ondersteuning voor het gebruik van afgeleide referenties voor omgevingen waarvoor smartcards vereist zijn.Intune also supports use of Derived credentials for environments that require use of smartcards.

Wat is er nodig om certificaten te gebruiken?What’s required to use certificates

  • Een certificeringsinstantie (CA) .A Certification Authority. Uw CA is de bron van vertrouwen waarnaar de certificaten verwijzen voor verificatie.Your CA is the source of trust that the certificates reference for authentication. U kunt gebruikmaken van een Microsoft-CA of van een externe CA.You can use a Microsoft CA or a third-party CA.
  • On-premises infrastructuur.On-premises infrastructure. De infrastructuur die u nodig hebt, is afhankelijk van de certificaattypen die u gaat gebruiken:The infrastructure you’ll require depends on the certificate types you’ll use:
  • Een vertrouwd basiscertificaat.A trusted root certificate. Voordat u SCEP- of PKCS-certificaatprofielen implementeert, implementeert u het vertrouwde basiscertificaat van uw CA met behulp van een profiel voor vertrouwd certificaat.Before you deploy SCEP or PKCS certificate profiles, deploy the trusted root certificate from your CA using a trusted certificate profile. Dit profiel helpt om het vertrouwen van het apparaat terug naar de CA tot stand te brengen en wordt vereist door de andere certificaatprofielen.This profile helps establish the trust from the device back to the CA and is required by the other certificate profiles.

Als er een vertrouwd basiscertificaat is geïmplementeerd, bent u er klaar voor om certificaatprofielen te implementeren om gebruikers en apparaten te voorzien van certificaten voor verificatie.With a trusted root certificate deployed, you’ll then be ready to deploy certificate profiles to provision users and devices with certificates for authentication.

Het te gebruiken certificaatprofielWhich certificate profile to use

De volgende vergelijking is niet uitputtend maar is bedoeld om het gebruik van de verschillende typen certificaatprofielen te kunnen onderscheiden.The following comparisons aren’t comprehensive but intended to help distinguish the use of the different certificate profile types.

ProfieltypeProfile type DetailsDetails
Vertrouwd certificaatTrusted certificate Gebruik dit om (een certificaat met) de openbare sleutel van een basis-CA of intermediaire CA te implementeren voor gebruikers en apparaten om vertrouwen terug naar de bron-CA tot stand te brengen.Use to deploy the public key (certificate) from a root CA or intermediary CA to users and devices to establish a trust back to the source CA. Voor andere certificaatprofielen is het profiel voor vertrouwd certificaat en het bijbehorende basiscertificaat vereist.Other certificate profiles require the trusted certificate profile and its root certificate.
SCEP-certificaatSCEP certificate Hiermee implementeert u een sjabloon voor een certificaataanvraag voor gebruikers en apparaten.Deploys a template for a certificate request to users and devices. Elk certificaat dat is ingericht met SCEP is uniek en is gebonden aan de gebruiker of het apparaat waarvoor het certificaat is aangevraagd.Each certificate that’s provisioned using SCEP is unique and tied to the user or device that requests the certificate.

Met SCEP kunt u certificaten implementeren op apparaten zonder gebruikersaffiniteit, inclusief het gebruik van SCEP om een certificaat in te richten op een kiosk of op een apparaat zonder gebruiker.With SCEP, you can deploy certificates to devices that lack a user affinity, including use of SCEP to provision a certificate on KIOSK or user-less device.
PKCS-certificaatPKCS certificate Hiermee implementeert u een sjabloon voor een certificaataanvraag voor gebruikers en apparaten.Deploys a template for a certificate request to users and devices. Het ingerichte certificaat is altijd gekoppeld aan een gebruiker en elk van de apparaten van de gebruiker kan datzelfde certificaat ontvangen.The provisioned certificate is always associated to a user and each of the user’s devices can receive that same certificate.

Als het certificaat wordt geïmplementeerd op een apparaat zonder gebruikersaffiniteit, wordt het certificaat niet ingericht.When deployed to a device that lacks a user affinity, the certificate isn’t provisioned.
PKCS-geïmporteerd certificaatPKCS imported certificate Hiermee wordt één certificaat geïmplementeerd voor meerdere apparaten en gebruikers, waardoor scenario's zoals S/MIME-ondertekening en -versleuteling worden ondersteund.Deploys a single certificate to multiple devices and users, which supports scenarios like S/MIME signing and encryption. Als u bijvoorbeeld hetzelfde certificaat op elk apparaat implementeert, kan elk apparaat e-mails ontsleutelen die van diezelfde e-mailserver worden ontvangen.For example, by deploying the same certificate to each device, each device can decrypt email received from that same email server.

Andere methoden voor het implementeren van certificaten zijn onvoldoende voor dit scenario, omdat SCEP een uniek certificaat maakt voor elke aanvraag en PKCS aan elke gebruiker een ander certificaat koppelt, waarbij verschillende gebruikers verschillende certificaten ontvangen.Other certificate deployment methods are insufficient for this scenario, as SCEP creates a unique certificate for each request, and PKCS associates a different certificate for each user, with different users receiving different certificates.

Door Intune ondersteunde certificaten en ondersteund gebruikIntune supported certificates and usage

TypeType VerificatieAuthentication S/MIME-ondertekeningS/MIME Signing S/MIME-versleutelingS/MIME encryption
Geïmporteerd PKCS-certificaat (Public Key Cryptography Standards)Public Key Cryptography Standards (PKCS) imported certificate Ondersteund Ondersteund
PKCS #12 (of PFX)PKCS#12 (or PFX) Ondersteund Ondersteund
Simple Certificate Enrollment Protocol (SCEP)Simple Certificate Enrollment Protocol (SCEP) Ondersteund Ondersteund

Als u deze certificaten wilt implementeren, moet u certificaatprofielen maken en deze toewijzen aan apparaten.To deploy these certificates, you'll create and assign certificate profiles to devices.

Elk afzonderlijk certificaatprofiel dat u maakt, ondersteunt één platform.Each individual certificate profile you create supports a single platform. Als u bijvoorbeeld PKCS-certificaten gebruikt, moet u een PKCS-certificaatprofiel voor Android en een afzonderlijk PKCS-certificaatprofiel voor iOS/iPadOS maken.For example, if you use PKCS certificates, you'll create PKCS certificate profile for Android and a separate PKCS certificate profile for iOS/iPadOS. Als u ook SCEP-certificaten voor deze twee platforms gebruikt, moet u een SCEP-certificaatprofiel voor Android en een ander SCEP-certificaatprofiel voor iOS/iPadOS maken.If you also use SCEP certificates for those two platforms, you'll create a SCEP certificate profile for Android, and another for iOS/iPadOS.

Algemene overwegingen als u een Microsoft-certificeringsinstantie gebruiktGeneral considerations when you use a Microsoft Certification Authority

Als u een Microsoft-certificeringsinstantie gebruikt (CA):When you use a Microsoft Certification Authority (CA):

Algemene overwegingen als u een externe certificeringsinstantie gebruiktGeneral considerations when you use a third-party Certification Authority

Als u een externe (niet-Microsoft) certificeringsinstantie (CA) gebruikt:When you use a third-party (non-Microsoft) Certification Authority (CA):

Ondersteunde platforms en certificaatprofielenSupported platforms and certificate profiles

PlatformPlatform Vertrouwd certificaatprofielTrusted certificate profile PKCS-certificaatprofielPKCS certificate profile SCEP-certificaatprofielSCEP certificate profile Geïmporteerd PKCS-certificaatprofielPKCS imported certificate profile
Android-apparaatbeheerderAndroid device administrator OndersteundSupported
(zie Opmerking 1)(see Note 1)
Ondersteund Ondersteund Ondersteund
Android EnterpriseAndroid Enterprise
- Volledig beheerd (apparaateigenaar)- Fully Managed (Device Owner)
Ondersteund Ondersteund Ondersteund Ondersteund
Android EnterpriseAndroid Enterprise
- Toegewezen (apparaateigenaar)- Dedicated (Device Owner)
Ondersteund Ondersteund Ondersteund Ondersteund
Android EnterpriseAndroid Enterprise
Werkprofiel in bedrijfseigendom- Corporate-Owned Work Profile
Ondersteund Ondersteund Ondersteund Ondersteund
Android EnterpriseAndroid Enterprise
- Werkprofiel- Work Profile
Ondersteund Ondersteund Ondersteund Ondersteund
iOS/iPadOSiOS/iPadOS Ondersteund Ondersteund Ondersteund Ondersteund
macOSmacOS Ondersteund Ondersteund Ondersteund Ondersteund
Windows 8.1 en hogerWindows 8.1 and later Ondersteund Ondersteund
Windows 10 en hogerWindows 10 and later Ondersteund Ondersteund Ondersteund Ondersteund
  • Opmerking 1: vanaf Android 11 kunnen met vertrouwde certificaatprofielen niet meer het vertrouwde basiscertificaat worden geïnstalleerd op apparaten die zijn ingeschreven als Android-apparaatbeheerder.Note 1 - Beginning with Android 11, trusted certificate profiles can no longer install the trusted root certificate on devices that are enrolled as Android device administrator. Deze beperking is niet van toepassing op Samsung Knox.This limitation doesn't apply to Samsung Knox. Zie Vertrouwde certificaatprofielen voor Android-apparaatbeheer voor meer informatie.For more information, see Trusted certificate profiles for Android device administrator.

Aanvullende bronnenAdditional resources

Volgende stappenNext steps

Certificaatprofielen maken:Create certificate profiles :

Meer informatie over certificaatconnectorsLearn about Certificate connectors