SCEP kullanarak Intune iş ortağı sertifika yetkilisi ekleme

Önemli

10 Mayıs 2022'den itibaren KB5014754'de tanıtılan ve duyurulan SCEP sertifikalarının güçlü eşlemesi için Windows gereksinimlerini desteklemek için yeni ve yenilenen SCEP sertifikaları için Intune SCEP sertifika vermesinde değişiklikler yaptık. Bu değişikliklerle, iOS/iPadOS, macOS ve Windows için yeni veya yenilenen Intune SCEP sertifikaları artık sertifikanın Konu Alternatif Adı (SAN) alanına aşağıdaki etiketi içerir:URL=tag:microsoft.com,2022-09-14:sid:<value> 

Bu etiket, sertifikayı belirli bir cihaza veya Kullanıcı SID'sine Entra Id'den bağlamak için güçlü eşleme tarafından kullanılır. Bu değişiklik ve entra kimliğinden bir SID eşleme gereksinimiyle:

• Cihaz sertifikaları, bir şirket içi Active Directory eşitlenmiş Entra Id'de SID'ye sahip olduğunda Windows hibrite katılmış cihazlar için desteklenir.
• Kullanıcı sertifikaları, şirket içi Active Directory'dan eşitlenen Entra Id'den Kullanıcının SID'sini kullanır.

SAN'da URL etiketini desteklemeyen Sertifika Yetkilileri (CA' lar) sertifika veremez. KB5014754 güncelleştirmesini yükleyen Microsoft Active Directory Sertifika Hizmetleri sunucuları bu etiketin kullanımını destekler. Üçüncü taraf CA kullanıyorsanız, CA sağlayıcınıza bu biçimi desteklediğini veya bu desteğin nasıl ve ne zaman ekleneceğini denetleyin.

Daha fazla bilgi için bkz. Destek ipucu: Microsoft Intune sertifikalarında güçlü eşleme uygulama - Microsoft Community Hub.

Intune ile üçüncü taraf sertifika yetkililerini (CA) kullanın. Üçüncü taraf CA'lar, Basit Sertifika Kayıt Protokolü(SCEP) kullanarak yeni veya yenilenmiş sertifikalara sahip mobil cihazlar sağlayabilir ve Windows, iOS/iPadOS, Android ve macOS cihazlarını destekleyebilir.

Bu özelliği kullanmanın iki bölümü vardır: açık kaynak API ve Intune yönetici görevleri.

Bölüm 1 - Açık kaynak API kullanma
Microsoft, Intune ile tümleştirmek için bir API oluşturdu. API aracılığıyla sertifikaları doğrulayabilir, başarı veya hata bildirimleri gönderebilir ve Intune ile iletişim kurmak için SSL, özellikle SSL yuva fabrikası kullanabilirsiniz.

API, Intune SCEP API'sinin genel GitHub deposundan indirilebilir ve çözümlerinizde kullanılabilir. SCEP bir cihaza sertifika sağlamadan önce Intune karşı özel sınama doğrulaması çalıştırmak için bu API'yi üçüncü taraf SCEP sunucularıyla kullanın.

Intune SCEP yönetim çözümüyle tümleştirme, API'yi kullanma, yöntemlerini kullanma ve oluşturduğunuz çözümü test etme hakkında daha fazla ayrıntı sağlar.

Bölüm 2 - Uygulamayı ve profili İçerik Oluşturucu
Microsoft Entra bir uygulama kullanarak, cihazlardan gelen SCEP isteklerini işlemek için Intune haklarını devredebilirsiniz. Microsoft Entra uygulaması, geliştiricinin oluşturduğu API çözümünde kullanılan uygulama kimliği ve kimlik doğrulama anahtarı değerlerini içerir. Yöneticiler daha sonra Intune kullanarak SCEP sertifika profilleri oluşturup dağıtabilir ve cihazlarda dağıtım durumuyla ilgili raporları görüntüleyebilir.

Bu makalede, Microsoft Entra uygulaması oluşturma da dahil olmak üzere yönetici perspektifinden bu özelliğe genel bir bakış sağlanır.

Genel bakış

Aşağıdaki adımlar, Intune sertifikalar için SCEP kullanımına genel bir bakış sağlar:

1. Intune'da bir yönetici bir SCEP sertifika profili oluşturur ve ardından profili kullanıcılara veya cihazlara hedefler.
2. Cihaz, Intune'da denetler.
3. Intune benzersiz bir SCEP sınaması oluşturur. Ayrıca beklenen konunun ve SAN'ın ne olması gerektiği gibi ek bütünlük denetimi bilgileri ekler.
4. Intune hem sınama hem de bütünlük denetimi bilgilerini şifreler ve imzalar ve ardından bu bilgileri SCEP isteğiyle cihaza gönderir.
5. Cihaz, Intune gönderilen SCEP sertifika profiline göre cihazda bir sertifika imzalama isteği (CSR) ve ortak/özel anahtar çifti oluşturur.
6. CSR ve şifrelenmiş/imzalı sınama üçüncü taraf SCEP sunucu uç noktasına gönderilir.
7. SCEP sunucusu CSR'yi ve sınamayı Intune gönderir. Intune ardından imzayı doğrular, yükün şifresini çözer ve CSR'yi bütünlük denetimi bilgileriyle karşılaştırır.
8. Intune SCEP sunucusuna bir yanıt gönderir ve sınama doğrulamasının başarılı olup olmadığını belirtir.
9. Sınama başarıyla doğrulanırsa SCEP sunucusu sertifikayı cihaza verir.

Aşağıdaki diyagramda, Intune ile üçüncü taraf SCEP tümleştirmesinin ayrıntılı akışı gösterilmektedir:

Üçüncü taraf CA tümleştirmesi ayarlama

Üçüncü taraf sertifika yetkilisini doğrulama

Üçüncü taraf sertifika yetkililerini Intune ile tümleştirmeden önce, kullandığınız CA'nın Intune desteklediğini onaylayın. Üçüncü taraf CA iş ortakları (bu makalede) bir liste içerir. Daha fazla bilgi için sertifika yetkilinizin yönergelerini de kontrol edebilirsiniz. CA, uygulamalarına özgü kurulum yönergelerini içerebilir.

Not

Aşağıdaki cihazları desteklemek için, SCEP sertifika profili için SCEP Sunucusu URL'lerini yapılandırırken BIR HTTPS URL'si yapılandırmanız gerektiğinde CA'nın HTTPS URL'si kullanımını desteklemesi gerekir:

• Android cihaz yöneticisi
• Android Kurumsal cihaz sahibi
• Android Kurumsal şirkete ait iş profili
• Android Kurumsal kişisel iş profili

CA ile Intune arasındaki iletişimi yetkilendirme

Üçüncü taraf SCEP sunucusunun Intune ile özel sınama doğrulaması çalıştırmasına izin vermek için Microsoft Entra ID'de bir uygulama oluşturun. Bu uygulama, SCEP isteklerini doğrulamak için Intune için temsilci hakları verir.

Microsoft Entra uygulamasını kaydetmek için gerekli izinlere sahip olduğunuzdan emin olun. Microsoft Entra belgelerinde Gerekli izinler bölümüne bakın.

Microsoft Entra ID'da uygulama İçerik Oluşturucu

1. Azure portalMicrosoft Entra ID>Uygulama Kayıtları'na gidin ve yeni kayıt'ı seçin.

2. Uygulama kaydetme sayfasında aşağıdaki ayrıntıları belirtin:

   • Ad bölümünde anlamlı bir uygulama adı girin.
   • Desteklenen hesap türleri bölümü için herhangi bir kuruluş dizinindeki Hesaplar'ı seçin.
   • Yeniden Yönlendirme URI'si için varsayılan Web'i bırakın ve üçüncü taraf SCEP sunucusu için oturum açma URL'sini belirtin.

3. Uygulamayı oluşturmak ve yeni uygulamanın Genel Bakış sayfasını açmak için Kaydet'i seçin.

4. Uygulamaya Genel Bakış sayfasında Uygulama (istemci) kimliği değerini kopyalayın ve daha sonra kullanmak üzere kaydedin. Bu değere daha sonra ihtiyacınız olacak.

5. Uygulamanın gezinti bölmesinde Yönet altında Sertifikalar & gizli diziler'e gidin. Yeni istemci gizli dizisi düğmesini seçin. Açıklama alanına bir değer girin, Süre Sonu için herhangi bir seçenek belirleyin ve ardından ekle'yi seçerek istemci gizli dizisi için bir değer oluşturun.

   Önemli

   Bu sayfadan ayrılmadan önce, istemci gizli dizisinin değerini kopyalayın ve daha sonra üçüncü taraf CA uygulamanızla kullanmak üzere kaydedin. Bu değer yeniden gösterilmez. Üçüncü taraf CA'nızın Uygulama Kimliği, Kimlik Doğrulama Anahtarı ve Kiracı Kimliği'nin nasıl yapılandırılmasını istediklerine ilişkin yönergeleri gözden geçirmeyi unutmayın.

6. Kiracı Kimliğinizi kaydedin. Kiracı Kimliği, hesabınızda @ oturum açmadan sonraki etki alanı metnidir. Örneğin, hesabınız ise admin@name.onmicrosoft.comkiracı kimliğiniz name.onmicrosoft.com.

7. Uygulamanın gezinti bölmesinde Yönet'in altındaki API izinleri'ne gidin. İki ayrı uygulama izni ekleyeceksiniz:

   1. İzin ekle'yi seçin:

      1. API izinlerini iste sayfasında Intune'ı ve ardından Uygulama izinleri'ni seçin.
      2. scep_challenge_provider (SCEP sınama doğrulaması) onay kutusunu seçin.
      3. Bu yapılandırmayı kaydetmek için İzin ekle'yi seçin.

   2. İzin ekle'yi yeniden seçin.

      1. API izinleri iste sayfasında Microsoft Graph>Uygulaması izinleri'ni seçin.
      2. Uygulama'yi genişletin ve Application.Read.All (Tüm uygulamaları oku) onay kutusunu seçin.
      3. Bu yapılandırmayı kaydetmek için İzin ekle'yi seçin.

8. API izinleri sayfasında kalın ve Kiracınız> için<yönetici onayı ver'i ve ardından Evet'i seçin.

   Microsoft Entra ID'deki uygulama kayıt işlemi tamamlandı.

SCEP sertifika profilini yapılandırma ve dağıtma

Yönetici olarak, kullanıcıları veya cihazları hedeflemek için bir SCEP sertifika profili oluşturun. Ardından profili atayın.

• SCEP sertifika profilini İçerik Oluşturucu

• Sertifika profilini atama

Sertifikaları kaldırma

Cihazın kaydını sildiğinizde veya sildiğinizde sertifikalar kaldırılır. Sertifikalar iptal edilmemiştir.

Üçüncü taraf sertifika yetkilisi iş ortakları

Aşağıdaki üçüncü taraf sertifika yetkilileri Intune destekler:

• Cogito Grubu
• DigiCert
• EasyScep
• EJBCA
• Emanet
• EverTrust
• Globalsign
• HID Genel
• IDnomik
• Keyfactor Komutu
• KeyTalk
• Keytos
• Nexus Sertifika Yöneticisi
• SCEPman
• Sectigo
• SecureW2
• Sıçramatopu
• Venafi dili

Ürününüzü Intune ile tümleştirmek isteyen bir üçüncü taraf CA'ysanız API kılavuzunu gözden geçirin:

• SCEP API GitHub deposunu Intune
• Üçüncü taraf CA'lar için SCEP API rehberliğini Intune

Ayrıca bkz.

• Sertifika profillerini yapılandırma
• SCEP API GitHub deposunu Intune
• Üçüncü taraf CA'lar için SCEP API rehberliğini Intune