適用於:
- Windows
- Android
- iOS
- macOS
使用 Microsoft 雲端 PKI 來發行 Intune 受控裝置的憑證。 Microsoft 雲端 PKI 是一項雲端式服務,可簡化並自動化 Intune 受控裝置的憑證生命週期管理。 它為您的組織提供專用的公開金鑰基礎結構 (PKI) ,不需要任何內部部署伺服器、連接器或硬體。 它會處理所有 Intune 支援平臺的憑證發行、更新和撤銷。
本文提供適用於 Intune 的 Microsoft 雲端 PKI 概觀、其運作方式及其架構。
什麼是 PKI?
PKI 是一種使用數位憑證對設備和服務之間的資料進行身份驗證和加密的系統。 PKI 憑證對於保護各種場景至關重要,例如 VPN、Wi-Fi、電子郵件、Web 和裝置身分。 然而,管理 PKI 憑證可能具有挑戰性、成本高昂且複雜,特別是對於擁有大量裝置和使用者的組織而言。 您可以使用 Microsoft 雲端 PKI 來增強裝置和使用者的安全性和生產力,並加速數位轉型至完全受控的雲端 PKI 服務。 此外,您可以利用 雲端 PKI 服務來減少 Active Directory 憑證服務 (ADCS) 或私人內部部署憑證授權單位的工作負載。
在 Microsoft Intune 系統管理中心管理雲端 PKI
Microsoft 雲端 PKI 物件是在 Microsoft Intune 系統管理中心建立和管理。 從那裡,您可以:
- 為您的組織設定和使用 Microsoft 雲端 PKI。
- 在您的租用戶中啟用雲端 PKI。
- 建立憑證設定檔並將其指派給裝置。
- 監控已核發的憑證。
建立雲端 PKI 簽發 CA 後,您可以在幾分鐘內開始簽發憑證。
支援的裝置平台
您可以搭配下列平臺使用 Microsoft 雲端 PKI 服務:
- Android
- iOS/iPadOS
- macOS
- Windows
裝置必須在 Intune 中註冊,而且平臺必須支援 Intune 裝置設定 SCEP 憑證配置檔。
功能概觀
下表列出 Microsoft 雲端 PKI 和 Microsoft Intune 支援的功能和案例。
| 功能 | 概觀 |
|---|---|
| 在 Intune 租用戶中建立多個憑證授權單位 (CA) | 在雲端中建立具有根和簽發 CA 的兩層 PKI 階層。 |
| 自備 CA (BYOCA) | 透過 Active Directory 憑證服務或非 Microsoft 憑證服務,將 Intune 發行 CA 錨定至私人 CA。 如果您有現有的 PKI 基礎結構,您可以維護相同的根 CA,並建立鏈結至外部根目錄的發行 CA。 此選項包括對外部私有 CA N+ 層階層的支援。 |
| 簽署和加密演算法 | Intune 支援 RSA、金鑰大小 2048、3072 和 4096。 |
| 雜湊演算法 | Intune 支援 SHA-256、SHA-384 和 SHA-512。 |
| HSM 金鑰 (簽署和加密) | 金鑰是使用 Azure 受控硬體安全性模組 (Azure 受控 HSM) 來佈建。 使用授權的 Intune Suite 或雲端 PKI 獨立附加元件建立的 CA 會自動使用 HSM 簽署和加密金鑰。 Azure HSM 不需要 Azure 訂用帳戶。 |
| 軟體金鑰 (簽署和加密) | 在 Intune Suite 或雲端 PKI 獨立附加元件試用期間建立的 CA 會使用軟體支援的簽署和加密金鑰。System.Security.Cryptography.RSA |
| 憑證註冊機構 | 為每個雲端 PKI簽發 CA 提供支援簡單憑證註冊通訊協定 (SCEP) 的雲端憑證註冊機構。 |
| CRL) 發佈點 (憑證撤銷清單 | Intune 會裝載每個 CA 的 CRL 發佈點 (CDP) 。 CRL 有效期為 7 天。 發佈和重新整理每 3.5 天進行一次。 CRL 會隨著每次憑證撤銷而更新。 |
| AIA) 端點 (機構資訊存取 | Intune 會裝載每個發行 CA 的 AIA 端點。 信賴憑證者可以使用 AIA 端點來擷取父憑證。 |
| 使用者和裝置的終端實體憑證發行 | 也稱為 葉證書 頒發。 支援 SCEP (PKCS#7) 通訊協定和認證格式,以及支援 SCEP 配置檔的 Intune-MDM 註冊裝置。 |
| 憑證生命週期管理 | 發行、更新及撤銷終端實體憑證。 |
| 報告儀表板 | 從 Intune 系統管理中心的專用儀錶板監視作用中、過期和已撤銷的憑證。 檢視已發行分葉憑證和其他憑證的報告,以及撤銷分葉憑證。 報告每 24 小時更新一次。 |
| 稽核 | 稽核系統管理員活動,例如 Intune 系統管理中心中的建立、撤銷和搜尋動作。 |
| RBAC) 權限 (角色型存取控制 | 建立具有 Microsoft 雲端 PKI 許可權的自訂角色。 可用的許可權可讓您讀取 CA、停用和重新啟用 CA、撤銷已核發的分葉憑證,以及建立憑證授權單位。 |
| 範圍標籤 | 將範圍標籤新增至您在系統管理中心建立的任何 CA。 可以新增、刪除和編輯範圍標籤。 |
架構
Microsoft 雲端 PKI 是由數個共同運作的關鍵元件所組成,以簡化公開金鑰基礎結構的複雜性和管理。 它包含用於建立和裝載憑證授權單位的雲端 PKI 服務,以及憑證註冊授權單位,以自動為來自 Intune 註冊裝置的傳入憑證要求提供服務。 註冊授權單位支援 SCEP) (簡單憑證註冊通訊協定。
*請參閱 元件 以取得服務明細。
組件:
A - Microsoft Intune
B - Microsoft 雲端 PKI 服務
- B1 - Microsoft 雲端 PKI 服務
- B2 - Microsoft 雲端 PKI SCEP 服務
- B3 - Microsoft 雲端 PKI SCEP 驗證服務
憑證註冊中心構成了圖中的 B2 和 B3。
這些元件取代了內部部署憑證授權單位、NDES 和 Intune 憑證連接器的需求。
行動:
在裝置簽入 Intune 服務之前,具有管理 Microsoft 雲端 PKI 服務許可權的 Intune 系統管理員或 Intune 角色必須完成下列動作:
- 在 Microsoft Intune 中為根和發行 CA 建立必要的雲端 PKI 憑證授權單位。
- 建立並指派根 CA 和發行 CA 所需的信任憑證設定檔。
- 建立並指派必要的平台特定 SCEP 憑證設定檔。
這些動作需要元件 B1、B2 和 B3。
注意事項
需要雲端 PKI 發行憑證授權單位,才能發行 Intune 受控裝置的憑證。 雲端 PKI 提供 SCEP 服務,可作為憑證註冊授權單位。 服務會使用 SCEP 配置檔,代表 Intune 受控裝置向發行 CA 要求憑證。
流程會繼續執行下列動作,如圖所示為 A1 到 A5:
答 1. 裝置會簽入 Intune 服務,並接收受信任的憑證和 SCEP 配置檔。
答案 2: 根據SCEP配置檔案,裝置會建立證書簽名請求 (CSR) 。 私密金鑰是在裝置上建立的,永遠不會離開裝置。 CSR 和 SCEP 挑戰會傳送至雲端中的 SCEP 服務 (SCEP 設定檔) 中的 SCEP URI 屬性。 SCEP 挑戰會使用 Intune SCEP RA 金鑰進行加密和簽署。
答3. SCEP驗證服務會根據SCEP挑戰驗證CSR。 驗證可確保要求來自已註冊和受管理的裝置。 它也會確保挑戰未竄改,且符合 SCEP 配置檔的預期值。 如果其中任何一項檢查失敗,則會拒絕憑證要求。
答4. 驗證CSR後,SCEP驗證服務(也稱為 註冊授權單位)要求發行CA簽署CSR。
答5. 已簽署的憑證會傳遞至 Intune MDM 註冊的裝置。
注意事項
SCEP 挑戰會使用 Intune SCEP 註冊授權單位金鑰進行加密和簽署。
授權需求
Microsoft 雲端 PKI 需要下列其中一個授權:
- Microsoft Intune Suite 授權
- Microsoft 雲端 PKI 獨立 Intune 附加元件授權
如需授權選項的詳細資訊,請參閱 Microsoft Intune 授權。
角色型存取控制
下列許可權可用來指派給自訂 Intune 角色。 這些許可權可讓使用者在系統管理中心檢視和管理 CA。
- 讀取 CA:獲指派此權限的任何使用者都可以讀取 CA 的屬性。
- 建立憑證授權單位:任何獲指派此權限的使用者都可以建立根 CA 或發行 CA。
- 撤銷已核發的分葉憑證:獲指派此權限的任何使用者都可以手動撤銷發行 CA 所核發的憑證。 此權限也需要 讀取 CA 權限。
您可以將範圍標籤指派給根和發行 CA。 如需如何建立自訂角色和範圍標籤的詳細資訊,請參閱 使用 Microsoft Intune 進行角色型存取控制。
試用 Microsoft 雲端 PKI
您可以在試用期間在 Intune 系統管理中心試用 Microsoft 雲端 PKI 功能。 可用的試用版包括:
在試用期間,您最多可以在租用戶中建立六個 CA。 在試用期間建立的雲端 PKI CA 會使用軟體支援的金鑰,並用於System.Security.Cryptography.RSA產生和簽署金鑰。 購買雲端 PKI 授權後,您可以繼續使用 CA。 不過,金鑰仍受軟體支援,且無法轉換成 HSM 支援的金鑰。 Microsoft Intune 服務受控 CA 金鑰。 Azure HSM 功能不需要 Azure 訂用帳戶。
CA 組態範例
兩層雲端 PKI根 & 發出 CA,而自備 CA 可以在 Intune 中共存。 您可以使用下列設定 (範例) 在 Microsoft 雲端 PKI 中建立 CA:
- 一個根 CA 與五個發行 CA
- 三個根 CA,每個根 CA 有一個發行 CA
- 兩個根 CA,每個有一個發行 CA,以及兩個自備 CA
- 六個自備 CA
已知問題和限制
如需最新的變更和新增功能,請參閱 Microsoft Intune 的新功能。
- 您最多可以在 Intune 租用戶中建立六個 CA。
- 授權雲端 PKI – 使用 Azure mHSM 金鑰總共可以建立 6 個 CA。
- 試用雲端 PKI - 在試用 Intune Suite 或雲端 PKI 獨立附加元件期間,總共可以建立 6 個 CA。
- 下列 CA 類型會計入 CA 容量:
- 雲端 PKI 根 CA
- 雲端 PKI 簽發 CA
- BYOCA 簽發 CA
- 在系統管理中心中,當您選取 [檢視發行 CA 的所有 憑證] 時,Intune 只會顯示前 1,000 個已發行的憑證。 我們正在積極努力解決這一限制。 因應措施是前往 [裝置>監視器]。 然後選取 [憑證] 以檢視所有已發行的憑證。
- 使用雲端 PKI 的客戶目前無法使用資料落地選項。