Lägga till partnercertifikatutfärdare i Intune med HJÄLP av SCEP

Viktigt

För att stödja Windows-krav för stark mappning av SCEP-certifikat som introducerades och tillkännagavs i KB5014754 från den 10 maj 2022 har vi gjort ändringar i Intune SCEP-certifikatutfärdande för nya och förnyade SCEP-certifikat. Med dessa ändringar innehåller nya eller förnyade Intune SCEP-certifikat för iOS/iPadOS, macOS och Windows nu följande tagg i fältet Alternativt namn för certifikatmottagare (SAN) för certifikatet:URL=tag:microsoft.com,2022-09-14:sid:<value> 

Den här taggen används av stark mappning för att koppla ett certifikat till en specifik enhet eller användar-SID från Entra-ID. Med den här ändringen och kravet på att mappa ett SID från Entra-ID:

• Enhetscertifikat stöds för Hybrid-anslutna Windows-enheter när enheten har ett SID i Entra-ID som har synkroniserats från en lokal Active Directory.
• Användarcertifikat använder användarens SID från Etttra-ID, synkroniserat från lokal Active Directory.

Certifikatutfärdare som inte stöder URL-taggen i SAN kan misslyckas med att utfärda certifikat. Microsoft Active Directory Certificate Services-servrar som installerade uppdateringen från KB5014754 stöder användningen av den här taggen. Om du använder en tredjeparts-CA kontrollerar du med din CA-leverantör att de stöder det här formatet, eller hur och när den här supporten kommer att läggas till.

Mer information finns i Supporttips: Implementera stark mappning i Microsoft Intune certifikat – Microsoft Community Hub.

Använd certifikatutfärdare från tredje part (CA) med Intune. Certifikatutfärdare från tredje part kan etablera mobila enheter med nya eller förnyade certifikat med hjälp av SCEP (Simple Certificate Enrollment Protocol) och kan stödja Windows-, iOS/iPadOS-, Android- och macOS-enheter.

Det finns två delar i att använda den här funktionen: API med öppen källkod och Intune administratörsuppgifter.

Del 1 – Använda ett API med öppen källkod
Microsoft har skapat ett API för att integrera med Intune. Via API:et kan du verifiera certifikat, skicka meddelanden om lyckade eller misslyckade meddelanden och använda SSL, särskilt SSL Socket Factory, för att kommunicera med Intune.

API:et är tillgängligt på den offentliga GitHub-lagringsplatsen för Intune SCEP API så att du kan ladda ned och använda dem i dina lösningar. Använd det här API:et med SCEP-servrar från tredje part för att köra anpassad utmaningsverifiering mot Intune innan SCEP etablerar ett certifikat till en enhet.

Integrera med Intune SCEP-hanteringslösning ger mer information om hur du använder API:et, dess metoder och testar lösningen du skapar.

Del 2 – Skapa programmet och profilen
Med hjälp av ett Microsoft Entra program kan du delegera behörigheter till Intune för att hantera SCEP-begäranden som kommer från enheter. Det Microsoft Entra programmet innehåller program-ID och autentiseringsnyckelvärden som används i den API-lösning som utvecklaren skapar. Administratörer skapar och distribuerar sedan SCEP-certifikatprofiler med hjälp av Intune och kan visa rapporter om distributionsstatus på enheterna.

Den här artikeln innehåller en översikt över den här funktionen från ett administratörsperspektiv, inklusive att skapa Microsoft Entra-programmet.

Översikt

Följande steg ger en översikt över hur du använder SCEP för certifikat i Intune:

1. I Intune skapar en administratör en SCEP-certifikatprofil och riktar sedan profilen mot användare eller enheter.
2. Enheten checkar in på Intune.
3. Intune skapar en unik SCEP-utmaning. Den lägger också till ytterligare information om integritetskontroll, till exempel vad det förväntade ämnet och SAN ska vara.
4. Intune krypterar och signerar både utmanings- och integritetskontrollinformationen och skickar sedan den här informationen till enheten med SCEP-begäran.
5. Enheten genererar en begäran om certifikatsignering (CSR) och ett offentligt/privat nyckelpar på enheten baserat på SCEP-certifikatprofilen som skickas från Intune.
6. CSR och den krypterade/signerade utmaningen skickas till SCEP-serverslutpunkten från tredje part.
7. SCEP-servern skickar csr och utmaningen att Intune. Intune verifierar sedan signaturen, dekrypterar nyttolasten och jämför CSR med integritetskontrollinformationen.
8. Intune skickar tillbaka ett svar till SCEP-servern och anger om utmaningsverifieringen lyckas eller inte.
9. Om utmaningen har verifierats utfärdar SCEP-servern certifikatet till enheten.

I följande diagram visas ett detaljerat flöde av SCEP-integrering från tredje part med Intune:

Konfigurera ca-integrering från tredje part

Verifiera certifikatutfärdare från tredje part

Innan du integrerar certifikatutfärdare från tredje part med Intune kontrollerar du att certifikatutfärdare som du använder stöder Intune. Ca-partner från tredje part (i den här artikeln) innehåller en lista. Du kan också läsa vägledningen för certifikatutfärdare om du vill ha mer information. Ca:en kan innehålla installationsanvisningar som är specifika för implementeringen.

Obs!

För att stödja följande enheter måste certifikatutfärdare ha stöd för användning av en HTTPS-URL när du konfigurerar att du måste konfigurera en HTTPS-URL när du konfigurerar SCEP Server-URL:er för SCEP-certifikatprofilen:

• Android-enhetsadministratör
• Android Enterprise-enhetsägare
• Företagsägd Android Enterprise-arbetsprofil
• Personligt ägd Android Enterprise-arbetsprofil

Auktorisera kommunikation mellan CA och Intune

Om du vill tillåta att en SCEP-server från tredje part kör anpassad utmaningsverifiering med Intune skapar du en app i Microsoft Entra ID. Den här appen ger delegerade rättigheter till Intune för att verifiera SCEP-begäranden.

Se till att du har de behörigheter som krävs för att registrera en Microsoft Entra app. Se Nödvändiga behörigheter i Microsoft Entra-dokumentationen.

Skapa ett program i Microsoft Entra ID

1. I Azure Portal går du till Microsoft Entra ID>Appregistreringar och väljer sedan Ny registrering.

2. På sidan Registrera ett program anger du följande information:

   • I avsnittet Namn anger du ett beskrivande programnamn.
   • I avsnittet Kontotyper som stöds väljer du Konton i valfri organisationskatalog.
   • För Omdirigerings-URI lämnar du standardinställningen Webb och anger sedan inloggnings-URL:en för SCEP-servern från tredje part.

3. Välj Registrera för att skapa programmet och öppna sidan Översikt för den nya appen.

4. På appens översiktssida kopierar du värdet för program-ID (klient) och registrerar det för senare användning. Du behöver det här värdet senare.

5. I appens navigeringsfönster går du till Certifikat & hemligheter under Hantera. Välj knappen Ny klienthemlighet . Ange ett värde i Beskrivning, välj valfritt alternativ för Upphör att gälla och välj sedan Lägg till för att generera ett värde för klienthemligheten.

   Viktigt

   Innan du lämnar den här sidan kopierar du värdet för klienthemligheten och registrerar det för senare användning med din tredjeparts-CA-implementering. Det här värdet visas inte igen. Se till att läsa vägledningen för certifikatutfärdarna från tredje part om hur de vill att program-ID, autentiseringsnyckel och klientorganisations-ID ska konfigureras.

6. Registrera ditt klientorganisations-ID. Klientorganisations-ID:t är domäntexten efter @-inloggningen i ditt konto. Om ditt konto till exempel är admin@name.onmicrosoft.comär ditt klientorganisations-ID name.onmicrosoft.com.

7. I appens navigeringsfönster går du till API-behörigheter, som finns under Hantera. Du ska lägga till två separata programbehörigheter:

   1. Välj Lägg till en behörighet:

      1. På sidan Begär API-behörigheter väljer du Intune och sedan Programbehörigheter.
      2. Markera kryssrutan för scep_challenge_provider (SCEP-utmaningsverifiering).
      3. Välj Lägg till behörigheter för att spara den här konfigurationen.

   2. Välj Lägg till en behörighet igen.

      1. På sidan Begär API-behörigheter väljer du MicrosoftGraph-programbehörigheter>.
      2. Expandera Program och markera kryssrutan för Application.Read.All (Läs alla program).
      3. Välj Lägg till behörigheter för att spara den här konfigurationen.

8. Stanna kvar på sidan API-behörigheter och välj Bevilja administratörsmedgivande för<din klientorganisation> och välj sedan Ja.

   Appregistreringsprocessen i Microsoft Entra ID är klar.

Konfigurera och distribuera en SCEP-certifikatprofil

Som administratör skapar du en SCEP-certifikatprofil som ska riktas till användare eller enheter. Tilldela sedan profilen.

• Skapa en SCEP-certifikatprofil

• Tilldela certifikatprofilen

Ta bort certifikat

När du avregistrerar eller rensar enheten tas certifikaten bort. Certifikaten återkallas inte.

Tredjepartspartner för certifikatutfärdare

Följande certifikatutfärdare från tredje part stöder Intune:

• Cogito Group
• DigiCert
• EasyScep
• EJBCA
• Anförtro
• EverTrust
• Globalsign
• HID Global
• IDnomic
• Keyfactor-kommando
• KeyTalk
• Keytos
• Nexus Certificate Manager
• SCEPman
• Sectigo
• SecureW2
• Splashtop
• Venafi

Om du är en tredjeparts-CA som är intresserad av att integrera din produkt med Intune kan du läsa API-vägledningen:

• Intune SCEP API GitHub-lagringsplats
• Intune SCEP API-vägledning för certifikatutfärdare från tredje part

Se även

• Konfigurera certifikatprofiler
• Intune SCEP API GitHub-lagringsplats
• Intune SCEP API-vägledning för certifikatutfärdare från tredje part