Microsoft Intune kimlik doğrulaması için sertifikaları kullanma
Vpn, Wi-Fi veya e-posta profilleri aracılığıyla uygulama ve şirket kaynaklarında kullanıcılarınızın kimliğini doğrulamak için Intune ile sertifikaları kullanın. Bu bağlantıların kimliğini doğrulamak için sertifika kullandığınızda, son kullanıcılarınızın kullanıcı adları ve parolalar girmesi gerekmez ve bu da erişimlerini sorunsuz hale getirir. Sertifikalar, S/MIME kullanarak e-posta imzalamak ve şifrelemek için de kullanılır.
Intune ile sertifikalara giriş
Sertifikalar, aşağıdaki iki aşamada gecikme olmadan kimliği doğrulanmış erişim sağlar:
- Kimlik doğrulama aşaması: Kullanıcının kimlik doğrulaması, kullanıcının iddia ettikleri kişi olduğunu doğrulamak için denetlendi.
- Yetkilendirme aşaması: Kullanıcı, kullanıcıya erişim verilip verilmeyeceği konusunda bir belirleme yapılan koşullara tabidir.
Sertifikalar için tipik kullanım senaryoları şunlardır:
- Cihaz veya kullanıcı sertifikaları ile ağ kimlik doğrulaması (örneğin, 802.1x)
- Cihaz veya kullanıcı sertifikalarını kullanarak VPN sunucularıyla kimlik doğrulaması
- Kullanıcı sertifikalarını temel alan e-postayı imzalama
Intune, Basit Sertifika Kayıt Protokolü (SCEP), Ortak Anahtar Şifreleme Standartları (PKCS) ve içeri aktarılan PKCS sertifikalarını cihazlarda sertifika sağlama yöntemleri olarak destekler. Farklı sağlama yöntemleri farklı gereksinimlere ve sonuçlara sahiptir. Örneğin:
- SCEP, sertifika için her istek için benzersiz sertifikalar sağlar.
- PKCS, her cihaza benzersiz bir sertifika sağlar.
- İçeri Aktarılan PKCS ile, e-posta sunucusu gibi bir kaynaktan dışarı aktardığınız sertifikayı birden çok alıcıya dağıtabilirsiniz. Bu paylaşılan sertifika, tüm kullanıcılarınızın veya cihazlarınızın bu sertifika tarafından şifrelenen e-postaların şifresini çözebilmesini sağlamak için kullanışlıdır.
Intune, belirli bir sertifika türüne sahip bir kullanıcı veya cihaz sağlamak için bir sertifika profili kullanır.
Üç sertifika türüne ve sağlama yöntemine ek olarak, güvenilen bir Sertifika Yetkilisi'nden (CA) güvenilen bir kök sertifikaya ihtiyacınız vardır. CA, şirket içi bir Microsoft Sertifika Yetkilisi veya üçüncü taraf bir Sertifika Yetkilisi olabilir. Güvenilen kök sertifika, cihazdan diğer sertifikaların verildiği kök veya ara (veren) CA'nıza bir güven oluşturur. Bu sertifikayı dağıtmak için güvenilen sertifika profilini kullanır ve SCEP, PKCS ve içeri aktarılan PKCS için sertifika profillerini alan cihazlara ve kullanıcılara dağıtırsınız.
İpucu
Intune, akıllı kart kullanımı gerektiren ortamlar için Türetilmiş kimlik bilgilerinin kullanımını da destekler.
Sertifikaları kullanmak için gerekenler
- Sertifika Yetkilisi. CA'nız, kimlik doğrulaması için sertifika başvurusunda bulunan güven kaynağıdır. Microsoft CA veya üçüncü taraf CA kullanabilirsiniz.
- Şirket içi altyapı. gereken altyapı, kullandığınız sertifika türlerine bağlıdır:
- Güvenilir bir kök sertifika. SCEP veya PKCS sertifika profillerini dağıtmadan önce, güvenilen bir sertifika profili kullanarak CA'nızdan güvenilen kök sertifikayı dağıtın. Bu profil, cihazdan CA'ya geri güven oluşturmaya yardımcı olur ve diğer sertifika profilleri için gereklidir.
Güvenilen bir kök sertifika dağıtıldığında, kullanıcılara ve cihazlara kimlik doğrulaması için sertifika sağlamak üzere sertifika profilleri dağıtmaya hazırsınız.
Kullanılacak sertifika profili
Aşağıdaki karşılaştırmalar kapsamlı değildir ancak farklı sertifika profili türlerinin kullanımını ayırt etmeye yardımcı olmak için tasarlanmıştır.
| Profil türü | Ayrıntılar |
|---|---|
| Güvenilen sertifika | Ortak anahtarı (sertifika) kök CA'dan veya aracı CA'dan kullanıcılara ve cihazlara dağıtarak kaynak CA'ya bir güven oluşturmak için kullanın. Diğer sertifika profilleri, güvenilen sertifika profilini ve kök sertifikasını gerektirir. |
| SCEP sertifikası | Kullanıcılara ve cihazlara sertifika isteği için bir şablon dağıtır. SCEP kullanılarak sağlanan her sertifika benzersizdir ve sertifikayı isteyen kullanıcı veya cihaza bağlıdır. SCEP ile, bilgi noktası veya kullanıcısız cihazda sertifika sağlamak için SCEP kullanımı da dahil olmak üzere kullanıcı benzitesi olmayan cihazlara sertifika dağıtabilirsiniz. |
| PKCS sertifikası | Kullanıcı veya cihaz sertifika türünü belirten bir sertifika isteği için şablon dağıtır. - Bir kullanıcı sertifika türüne yönelik istekler her zaman kullanıcı benzitesi gerektirir. Bir kullanıcıya dağıtıldığında, kullanıcının cihazlarının her biri benzersiz bir sertifika alır. Bir kullanıcıya sahip bir cihaza dağıtıldığında, bu kullanıcı o cihazın sertifikasıyla ilişkilendirilir. Kullanıcısız bir cihaza dağıtıldığında, hiçbir sertifika sağlanmaz. - Sertifika türü cihaz olan şablonlar, sertifika sağlamak için kullanıcı benzitesi gerektirmez. Cihaza dağıtım, cihazı sağlar. Kullanıcıya dağıtım, kullanıcının bir sertifikayla oturum açtığı cihazı sağlar. |
| PKCS içeri aktarılan sertifika | S/MIME imzalama ve şifreleme gibi senaryoları destekleyen birden çok cihaza ve kullanıcıya tek bir sertifika dağıtır. Örneğin, her cihaza aynı sertifikayı dağıtarak, her cihaz aynı e-posta sunucusundan alınan e-postanın şifresini çözebilir. SCEP her istek için benzersiz bir sertifika oluşturduğundan ve PKCS her kullanıcı için farklı bir sertifikayı farklı kullanıcılar farklı sertifikalar aldığından, diğer sertifika dağıtım yöntemleri bu senaryo için yetersizdir. |
Intune tarafından desteklenen sertifikalar ve kullanım
| Tür | Kimlik Doğrulama | S/MIME İmzalama | S/MIME şifrelemesi |
|---|---|---|---|
| Ortak Anahtar Şifreleme Standartları (PKCS) içeri aktarılan sertifika |  |
|
|
| PKCS#12 (veya PFX) | |
|
|
| Basit Sertifika Kayıt Protokolü (SCEP) | |
|
Bu sertifikaları dağıtmak için, sertifika profilleri oluşturun ve cihazlara atayın.
Oluşturduğunuz her sertifika profili tek bir platformu destekler. Örneğin, PKCS sertifikaları kullanıyorsanız Android için PKCS sertifika profili ve iOS/iPadOS için ayrı bir PKCS sertifika profili oluşturursunuz. Bu iki platform için SCEP sertifikaları da kullanıyorsanız, Android için bir SCEP sertifika profili ve iOS/iPadOS için başka bir sertifika profili oluşturursunuz.
Microsoft Sertifika Yetkilisi kullanırken dikkat edilmesi gereken genel noktalar
Microsoft Sertifika Yetkilisi (CA) kullandığınızda:
SCEP sertifika profillerini kullanmak için:
- Intune ile kullanmak üzere bir Ağ Cihazı Kayıt Hizmeti (NDES) sunucusu kurun.
- Microsoft Intune için Sertifika Bağlayıcısı'nı yükleyin.
PKCS sertifika profillerini kullanmak için:
PKCS içeri aktarılan sertifikalarını kullanmak için:
- Microsoft Intune için Sertifika Bağlayıcısı'nı yükleyin.
- Sertifikaları sertifika yetkilisinden dışarı aktarın ve sonra Microsoft Intune'a aktarın. Bkz . PFXImport PowerShell projesi.
Aşağıdaki mekanizmaları kullanarak sertifikaları dağıtın:
- Güvenilen Kök CA sertifikasını kök veya ara CA'nızdan cihazlara dağıtmak için güvenilen sertifika profilleri
- SCEP sertifika profilleri
- PKCS sertifika profilleri
- PKCS içeri aktarılan sertifika profilleri
Üçüncü taraf Sertifika Yetkilisi kullanırken dikkat edilmesi gereken genel noktalar
Üçüncü taraf (Microsoft dışı) bir Sertifika Yetkilisi (CA) kullandığınızda:
SCEP sertifika profillerini kullanmak için:
- Desteklenen iş ortaklarımızdan birinin üçüncü taraf CA'sı ile tümleştirmeyi yapılandırın. Kurulum, CA'larının Intune ile tümleştirilmesini tamamlamak için üçüncü taraf CA'dan gelen yönergelerin takipini içerir.
- SCEP sertifika sınaması doğrulamasını yapmak için Intune'a haklar veren Microsoft Entra kimliğinde bir uygulama oluşturun.
PKCS içeri aktarılan sertifikalar, Microsoft Intune için Sertifika Bağlayıcısı'nı yüklemenizi gerektirir.
Aşağıdaki mekanizmaları kullanarak sertifikaları dağıtın:
- Güvenilen Kök CA sertifikasını kök veya ara CA'nızdan cihazlara dağıtmak için güvenilen sertifika profilleri
- SCEP sertifika profilleri
- PKCS sertifika profilleri (yalnızca Digicert PKI Platformu ile desteklenir)
- PKCS içeri aktarılan sertifika profilleri
Desteklenen platformlar ve sertifika profilleri
| Ortam | Güvenilen sertifika profili | PKCS sertifika profili | SCEP sertifika profili | PKCS içeri aktarılan sertifika profili |
|---|---|---|---|---|
| Android cihaz yöneticisi | (bkz . Not 1) |
|
|
|
| Android Kurumsal - Tam Olarak Yönetilen (Cihaz Sahibi) | |
|
|
|
| Android Kurumsal - Ayrılmış (Cihaz Sahibi) | |
|
|
|
| Android Kurumsal - Corporate-Owned İş Profili | |
|
|
|
| Android Kurumsal - Personally-Owned İş Profili | |
|
|
|
| Android (AOSP) | |
|
|
|
| iOS/iPadOS | |
|
|
|
| macOS | |
|
|
|
| Windows 8.1 ve üzeri | |
|
||
| Windows 10/11 | (bkz . Not 2) |
(bkz . Not 2) |
(bkz . Not 2) |
|
- Not 1 - Android 11'le başlayarak, güvenilen sertifika profilleri artık Android cihaz yöneticisi olarak kaydedilen cihazlara güvenilen kök sertifikayı yükleyemez. Bu sınırlama Samsung Knox için geçerli değildir. Daha fazla bilgi için bkz . Android cihaz yöneticisi için güvenilen sertifika profilleri.
- Not 2 - Bu profil Windows Enterprise çok oturumlu uzak masaüstleri için desteklenir.
Önemli
22 Ekim 2022'de Microsoft Intune Windows 8.1 çalıştıran cihazlar için desteği sona erdirdi. Bu cihazlarda teknik yardım ve otomatik güncelleştirmeler kullanılamaz.
Şu anda Windows 8.1 kullanıyorsanız Windows 10/11 cihazlara geçmenizi öneririz. Microsoft Intune, Windows 10/11 istemci cihazlarını yöneten yerleşik güvenlik ve cihaz özelliklerine sahiptir.
Önemli
Microsoft Intune, Google Mobile Services'e (GMS) erişimi olan cihazlarda Android cihaz yöneticisi yönetimi desteğini 30 Ağustos 2024'te sona erdiriyor. Bu tarihten sonra cihaz kaydı, teknik destek, hata düzeltmeleri ve güvenlik düzeltmeleri kullanılamaz. Şu anda cihaz yöneticisi yönetimini kullanıyorsanız, destek sona ermeden önce Intune'da başka bir Android yönetim seçeneğine geçmenizi öneririz. Daha fazla bilgi için bkz. GMS cihazlarında Android cihaz yöneticisi desteğini sonlandırma.
Sonraki adımlar
Diğer kaynaklar:
- E-postaları imzalamak ve şifrelemek için S/MIME kullanma
- Üçüncü taraf sertifika yetkilisini kullanma
Sertifika profilleri oluşturma:
- Güvenilen sertifika profili yapılandırma
- Intune ile SCEP sertifikalarını desteklemek için altyapıyı yapılandırma
- Intune ile PKCS sertifikalarını yapılandırma ve yönetme
- PKCS içeri aktarılan sertifika profili oluşturma
Microsoft Intune için Sertifika Bağlayıcısı hakkında bilgi edinin
Geri Bildirim
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz. https://aka.ms/ContentUserFeedback.
Gönderin ve geri bildirimi görüntüleyin