Использование производных учетных данных в Microsoft Intune

Производные учетные данные — это реализация руководящих принципов Национального института стандартов и технологий (NIST) для учетных данных для проверки удостоверений на основе производных личных удостоверений (PIV) в рамках специальной публикации (SP) 800-157(Ссылка открывает файл .pdf на nvlpubs.nist.gov)).

Эта статья относится к:

  • Полностью управляемые устройства Android Enterprise (версии 7.0 и более поздних)
  • iOS/iPadOS
  • Windows 10
  • Windows 11

Организации, которым требуется использование смарт-карт для проверки подлинности или шифрования и подписывания, могут использовать Intune для подготовки мобильных устройств с помощью сертификата, полученного из смарт-карта пользователя. Этот сертификат называется производными учетными данными. Intune поддерживает несколько производных издателей учетных данных, но для каждого клиента используется только один издатель.

О реализации Intune

Чтобы использовать Intune производные учетные данные, администратор Intune должен настроить клиент для работы с поддерживаемым издателем производных учетных данных. Вам не нужно настраивать параметры Intune в системе издателя производных учетных данных.

  • Администратор Intune указывает Производные учетные данные в качестве метода проверки подлинности для следующих объектов:

    Для полностью управляемых устройств Android Enterprise:

    • Распространенные типы профилей, такие как Wi-Fi
    • Проверка подлинности приложения

    Для iOS и iPadOS:

    • общие типы профилей, такие как Wi-Fi, VPN и электронная почта, включая собственное почтовое приложение iOS/iPadOS.
    • Проверка подлинности приложения
    • Подписывание и шифрование S/MIME

    Для Windows:

    • общие типы профилей, такие как Wi-Fi и VPN.

    Примечание.

    В настоящее время производные учетные данные в качестве метода проверки подлинности для профилей VPN не работают должным образом на устройствах Windows. Это поведение влияет только на профили VPN на устройствах Windows и будет исправлено в будущем выпуске (без ETA).

  • Для Android и iOS/iPadOS пользователи получают производные учетные данные на основе смарт-карты на компьютере для проверки подлинности у издателя производных учетных данных. После этого издатель выдает для мобильного устройства сертификат, полученный со смарт-карты. Для Windows пользователи устанавливают приложение из поставщика производных учетных данных, которое устанавливает сертификат на устройство для последующего использования. a

  • После того как устройство получит производные учетные данные, учетные данные используются для проверки подлинности, а также для подписывания и шифрования S/MIME, если приложения или профили доступа к ресурсам настроены на требование производных учетных данных.

Предварительные требования

Прежде чем настраивать клиент для использования производных учетных данных, ознакомьтесь со следующими сведениями.

Поддерживаемые платформы

Intune поддерживает производные учетные данные на следующих платформах:

  • iOS/iPadOS
  • Android Enterprise:
    • полностью управляемые устройства (версии 7.0 и более поздней)
    • Корпоративный рабочий профиль
  • Windows 10
  • Windows 11

Поддерживаемые издатели

Intune поддерживает один издатель производных учетных данных для каждого клиента. Поддерживаются следующие издатели:

Важные сведения об использовании разных издателей см. в соответствующих руководствах. Дополнительные сведения см. в разделе Планирование производных учетных данных в этой статье.

Важно!

Если удалить издатель производных учетных данных из клиента, то производные учетные данные, настроенные с помощью этого издателя, больше не будут работать.

См. раздел Изменение издателя производных учетных данных далее в этой статье.

Требуемые приложения

Запланируйте развертывание соответствующего пользовательского приложения на устройствах, которые регистрировать производные учетные данные. Пользователи устройств используют приложение для запуска процесса регистрации учетных данных.

Планирование производных учетных данных

Прежде чем настраивать издатель производных учетных данных для Android и iOS/iPadOS, необходимо учесть следующие моменты.

Сведения об устройствах Windows см. в разделе Производные учетные данные для Windows.

1. Ознакомьтесь с документацией для выбранного издателя производных учетных данных.

Перед настройкой издателя ознакомьтесь с его документацией, чтобы понять, как система доставляет производные учетные данные на устройства.

В зависимости от выбранного издателя может потребоваться участие персонала во время регистрации, чтобы помочь пользователям завершить процесс. Кроме того, проверьте текущие конфигурации Intune, чтобы они не блокировали доступ, необходимый устройствам или пользователям для выполнения запроса учетных данных.

Например, условный доступ можно использовать для блокировки доступа к электронной почте для устройств, не соответствующих требованиям. Если вы полагаетесь на уведомления по электронной почте, чтобы сообщить пользователю о необходимости запуска процесса регистрации учетных данных, пользователи могут не получить эти инструкции до тех пор, пока они не будут соответствовать политике.

Аналогичным образом некоторые рабочие процессы запроса учетных данных должны использовать камеру устройства для сканирования QR-кода на экране. Этот код связывает устройство с запросом проверки подлинности, который направлялся издателю производных учетных данных с учетными данными смарт-карты пользователя. Если политики конфигурации устройств блокируют использование камеры, пользователь не может выполнить запрос на регистрацию производных учетных данных.

Общие сведения:

  • Одновременно можно настроить только одного издателя для каждого клиента; такой издатель будет доступен всем пользователям и поддерживаемым устройствам в клиенте.

  • Пользователи не уведомляются о том, что они должны зарегистрироваться для получения производных учетных данных до тех пор, пока не будет назначена политика, для которой требуются производные учетные данные.

  • Уведомление можно направить через Корпоративный портал, по электронной почте или обоими способами. Если вы решили использовать уведомления по электронной почте и применяете включенный условный доступ, пользователи могут не получить уведомление по электронной почте, если их устройства не соответствуют требованиям.

    Важно!

    Чтобы конечные пользователи получали уведомления, связанные с учетными данными устройств, следует включить уведомления приложений для Корпоративного портала, уведомлений по электронной почте или обоих способов.

2. Проверка рабочего процесса конечного пользователя для выбранного издателя

Ниже приведены основные рекомендации по работе с каждым поддерживаемым партнером. Ознакомьтесь с данными сведениями и убедитесь, что ваши политики и конфигурации Intune не мешают пользователям и устройствам успешно регистрировать производные учетные данные от этого издателя.

DISA Purebred

Проверьте зависящий от платформы рабочий процесс пользователя для устройств, которые будут использоваться с производными учетными данными.

  • iOS и iPadOS
  • Android Enterprise - Корпоративный рабочий профиль или полностью управляемые устройства

Основные требования:

  • Пользователям требуется доступ к компьютеру или киоску, где они могут использовать смарт-карты для проверки подлинности у издателя.

  • Необходима установка приложения "Корпоративный портал Intune" на устройствах iOS и iPadOS, которые будут регистрироваться для получения производных учетных данных. Необходима установка и использование приложения Intune на полностью управляемых устройствах Android и устройствах с корпоративным рабочим профилем.

  • Используйте Intune для развертывания приложения DISA Purebred на устройствах, которые будут регистрироваться для получения производных учетных данных. Это приложение необходимо развернуть с помощью Intune, чтобы оно было управляемым и могло работать с приложением "Корпоративный портал Intune" или приложением Intune, которое пользователи устройств применяют для выполнения запроса производных учетных данных.

  • Чтобы получить производные учетные данные из приложения Purebred, у устройства должен быть доступ к локальной сети. Доступ может быть выполняться через корпоративные сети Wi-Fi или VPN.

  • Пользователи устройств должны работать с интерактивным агентом во время процесса регистрации. В ходе процесса регистрации пользователю предоставляются ограниченные по времени одноразовые секретные коды.

  • При внесении изменений в политику, использующую производные учетные данные, например при создании профиля Wi-Fi, пользователи iOS и iPadOS получают уведомления о необходимости открыть приложение "Корпоративный портал".

  • Пользователи получают уведомление о необходимости открыть соответствующее приложение, когда им нужно обновить производные учетные данные.

    Процесс обновления происходит следующим образом.

    • Издателю производных учетных данных необходимо выпустить новые или обновленные сертификаты до того, как срок действия предыдущих сертификатов истечет более чем на 80%.
    • Устройство проверяется во время периода обновления (последние 20% срока действия).
    • Microsoft Intune уведомляет пользователя по электронной почте или в уведомлении приложения о запуске Корпоративный портал.
    • Пользователь запускает Корпоративный портал и нажимает уведомление о производных учетных данных, а затем сертификаты производных учетных данных копируются на устройство.

Сведения о получении и настройке приложения DISA Purebred см. в разделе Развертывание приложения DISA Purebred далее в этой статье.

Entrust

Проверьте зависящий от платформы рабочий процесс пользователя для устройств, которые будут использоваться с производными учетными данными.

  • iOS и iPadOS
  • Android Enterprise- Корпоративный рабочий профиль или полностью управляемые устройства

Основные требования:

  • Пользователям требуется доступ к компьютеру или киоску, где они могут использовать смарт-карты для проверки подлинности у издателя.

  • Необходима установка приложения "Корпоративный портал Intune" на устройствах iOS и iPadOS, которые будут регистрироваться для получения производных учетных данных. Необходима установка и использование приложения Intune на полностью управляемых устройствах Android и устройствах с корпоративным рабочим профилем.

  • Использование камеры устройства для сканирования QR-кода, связывающего запрос проверки подлинности с запросом производных учетных данных от мобильного устройства.

  • Пользователям предлагается зарегистрировать производные учетные данные в приложении "Корпоративный портал" или по электронной почте.

  • При внесении изменений в политику, использующую производные учетные данные, например при создании профиля Wi-Fi, происходит следующее:

    • iOS и iPadOS — пользователи получают уведомление о необходимости открыть приложение "Корпоративный портал";
    • Корпоративный рабочий профильAndroid Enterprise или полностью управляемые устройства— приложение Корпоративный портал открывать не нужно.
  • Пользователи получают уведомление о необходимости открыть соответствующее приложение, когда им нужно обновить производные учетные данные.

    Процесс обновления происходит следующим образом.

    • Издателю производных учетных данных необходимо выпустить новые или обновленные сертификаты до того, как срок действия предыдущих сертификатов истечет более чем на 80%.
    • Устройство проверяется во время периода обновления (последние 20% срока действия).
    • Microsoft Intune уведомляет пользователя по электронной почте или в уведомлении приложения о запуске Корпоративный портал.
    • Пользователь запускает это приложение и нажимает на уведомление о производных учетных данных, после чего сертификаты производных учетных данных копируются на устройство

Intercede

Проверьте зависящий от платформы рабочий процесс пользователя для устройств, которые будут использоваться с производными учетными данными.

  • iOS и iPadOS
  • Android Enterprise - Корпоративный рабочий профиль или полностью управляемые устройства

Основные требования:

  • Пользователям требуется доступ к компьютеру или киоску, где они могут использовать смарт-карты для проверки подлинности у издателя.

  • Необходима установка приложения "Корпоративный портал Intune" на устройствах iOS и iPadOS, которые будут регистрироваться для получения производных учетных данных. Необходима установка и использование приложения Intune на полностью управляемых устройствах Android и устройствах с корпоративным рабочим профилем.

  • Использование камеры устройства для сканирования QR-кода, связывающего запрос проверки подлинности с запросом производных учетных данных от мобильного устройства.

  • Пользователям предлагается зарегистрировать производные учетные данные в приложении "Корпоративный портал" или по электронной почте.

  • При внесении изменений в политику, использующую производные учетные данные, например при создании профиля Wi-Fi, происходит следующее:

    • iOS и iPadOS — пользователи получают уведомление о необходимости открыть приложение "Корпоративный портал";
    • Корпоративный рабочий профильAndroid Enterprise или полностью управляемые устройства— приложение Корпоративный портал открывать не нужно.
  • Пользователи получают уведомление о необходимости открыть соответствующее приложение, когда им нужно обновить производные учетные данные.

    Процесс обновления происходит следующим образом.

    • Издателю производных учетных данных необходимо выпустить новые или обновленные сертификаты до того, как срок действия предыдущих сертификатов истечет более чем на 80%.
    • Устройство проверяется во время периода обновления (последние 20% срока действия).
    • Microsoft Intune уведомляет пользователя по электронной почте или в уведомлении приложения о запуске Корпоративный портал.
    • Пользователь запускает это приложение и нажимает на уведомление о производных учетных данных, после чего сертификаты производных учетных данных копируются на устройство

3. Развертывание доверенного корневого сертификата на устройствах

Доверенный корневой сертификат используется с производными учетными данными, чтобы гарантировать, что цепочка сертификатов производных учетных данных действительна и является доверенной. Он нужен, даже если не указана прямая ссылка на политику. См. раздел Настройка профиля сертификата для устройств в Microsoft Intune.

4. Предоставьте конечным пользователям инструкции по получению производных учетных данных

Создайте и предоставьте пользователям рекомендации по запуску процесса регистрации производных учетных данных и перейдите к рабочему процессу регистрации производных учетных данных для выбранного издателя.

Рекомендуется указать URL-адрес, в котором размещено руководство. Этот URL-адрес указывается при настройке издателя производных учетных данных для клиента и предоставляется в приложении корпоративного портала. Если вы не укажете собственный URL-адрес, Intune предоставит ссылку на общие сведения. Эти сведения подходят не для всех сценариев и могут быть неверными для вашей среды.

5. Развертывание политик Intune, для которых требуются производные учетные данные

Создайте новые или измените существующие политики для использования производных учетных данных. Производные учетные данные заменяют другие методы проверки подлинности для следующих объектов:

  • Проверка подлинности приложения
  • Wi-Fi
  • VPN
  • электронная почта (только iOS)
  • подписывание и шифрование S/MIME, включая Outlook (только iOS).

Не требуйте использования производных учетных данных для доступа к процессу, который будет применяться для получения производных учетных данных, так как это может препятствовать выполнению запроса пользователями.

Настройка издателя производных учетных данных

Перед созданием политик, требующих использования производных учетных данных, настройте издателя учетных данных в центре администрирования Microsoft Intune. Издатель производных учетных данных настраивается на уровне клиента. Клиенты поддерживают только одного издателя одновременно.

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Администрирование клиента>Соединители и токены>Производные учетные данные.

    Настройте производные учетные данные в Центре администрирования Microsoft Intune.

  3. Укажите понятное отображаемое имя для политики издателя производных учетных данных. Это имя не отображается для пользователей устройства.

  4. В качестве издателя производных учетных данных выберите издателя производных учетных данных, выбранного для вашего клиента:

    • DISA Purebred (только iOS)
    • Entrust
    • Intercede
  5. Укажите URL-адрес справки по производным учетным данным для ссылки на инструкции, помогающие пользователям получить производные учетные данные для вашей организации. Инструкции должны быть специфичны для вашей организации и рабочего процесса, необходимого для получения учетных данных от выбранного издателя. Ссылка отображается в приложении "Корпоративный портал" и должна быть доступна с устройства.

    Если вы не укажете собственный URL-адрес, Intune предоставит ссылку на общие сведения, которые подходят не для всех сценариев. Это универсальное руководство может быть неверным для вашей среды.

  6. Выберите параметры для типа уведомления. Типы уведомлений — это методы, которые используются для информирования пользователей о следующих сценариях:

    • Регистрация устройства у издателя для получения новых производных учетных данных.
    • Получение новых производных учетных данных, если текущие учетные данные близки к истечению срока действия.
    • Использование производных учетных данных с поддерживаемым объектом.
  7. Когда все будет готово, выберите Сохранить, чтобы завершить настройку издателя производных учетных данных.

После сохранения конфигурации можно внести изменения во все поля, кроме издателя производных учетных данных. Сведения об изменении издателя см. в разделе Изменение издателя производных учетных данных.

Развертывание приложения DISA Purebred

Этот раздел применим только при использовании DISA Purebred.

Чтобы использовать DISA Purebred в качестве издателя производных учетных данных для Intune, необходимо получить приложение DISA Purebred, а затем использовать Intune для развертывания приложения на устройствах. Затем пользователи запрашивают производные учетные данные из DISA Purebred с помощью приложения "Корпоративный портал" на устройстве iOS/iPadOS или приложения Intune на устройствах с Android.

Помимо развертывания приложения DISA Purebred с помощью Intune устройство должно обладать доступом к локальной сети. Чтобы обеспечить этот доступ, рассмотрите возможность использования VPN или корпоративной сети Wi-Fi.

Выполните следующие задачи.

  1. Скачайте приложение DISA Purebred: https://cyber.mil/pki-pke/purebred/.

  2. Разверните приложение DISA Purebred в Intune.

    Могут потребоваться дополнительные параметры для приложения Purebred. Обратитесь к агенту Purebred, чтобы понять, какие значения должны быть включены в ваши политики, или если у вас есть общая карточка доступа (CAC), выданная DoD, вы можете получить доступ к документации Purebred в Интернете по адресу https://cyber.mil/pki-pke/purebred/.

  3. Если вы решили использовать VPN для каждого приложения DISA Purebred, см. статью Создание VPN для каждого приложения.

Используйте производные учетные данные для проверки подлинности приложений, подписывания и шифрования S/MIME.

Можно указать Производные учетные данные для следующих типов профилей и целей.

Использование производных учетных данных для проверки подлинности приложения

Используйте производные учетные данные для проверки подлинности на основе сертификатов на веб-сайтах и в приложениях. Чтобы доставить производные учетные данные для проверки подлинности приложений, выполните следующие действия:

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Устройства>Управление устройствами>Конфигурация> на вкладке Политики выберите + Создать.

  3. Используйте указанные ниже параметры:

    Для iOS и iPadOS:

    • Для платформы. выберите iOS/iPadOS, а затем в поле Тип профиля выберите Шаблоны > Производные учетные данные. Нажмите кнопку Создать , чтобы продолжить.
    • В поле Имя введите описательное имя профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Производные учетные данные для профилей устройств iOS.
    • В поле Описание введите описание, которое содержит общие сведения о параметре и другие важные сведения.

    Для Android Enterprise:

    • Для платформы. Выберите Android Enterprise, а затем в поле Тип профиля в разделе Полностью управляемый, Выделенный и Corporate-Owned рабочий профиль выберите Производные учетные данные. Нажмите кнопку Создать , чтобы продолжить.
    • В поле Имя введите описательное имя профиля. Назначьте имена профилям, чтобы позже их можно было легко найти. Например, хорошее имя профиля — Производные учетные данные для профиля устройств Android Enterprise.
    • В поле Описание введите описание, которое содержит общие сведения о параметре и другие важные сведения.
    • На странице Приложения настройте доступ к сертификату , чтобы управлять предоставлением доступа к сертификатам приложениям. Варианты:
      • Требовать утверждения пользователем для приложений(по умолчанию) — пользователи должны утвердить использование сертификата всеми приложениями.
      • Предоставление автоматического предоставления для определенных приложений (требуется утверждение пользователем для других приложений) — с помощью этого параметра выберите Добавить приложения, а затем выберите одно или несколько приложений, которые будут автоматически использовать сертификат без вмешательства пользователя.
  4. На странице Назначения выберите группы, которые должны получать политику.

  5. По завершении нажмите кнопку Создать, чтобы создать профиль Intune. По завершении профиль отображается в списке Устройства — профили конфигурации.

Пользователи получают уведомление в приложении или по электронной почте в зависимости от параметров, указанных при настройке издателя производных учетных данных. Уведомление информирует пользователя о том, что нужно открыть Корпоративный портал, чтобы обработать политики производных учетных данных.

Производные учетные данные для Windows

Вы можете использовать производные сертификаты в качестве метода проверки подлинности для профилей Wi-Fi и VPN на устройствах Windows. Те же поставщики, которые поддерживаются устройствами Android и iOS/iPadOS, поддерживаются и в качестве поставщиков для Windows.

  • DISA Purebred
  • Entrust
  • Intercede

Примечание.

В настоящее время производные учетные данные в качестве метода проверки подлинности для профилей VPN не работают должным образом на устройствах Windows. Это поведение влияет только на профили VPN на устройствах Windows и будет исправлено в будущем выпуске (без ETA).

В Windows пользователи не проходят процесс регистрации смарт-карты, чтобы получить сертификат для использования в качестве производных учетных данных. Вместо этого они устанавливают приложение для Windows, полученное от поставщика производных учетных данных. Чтобы использовать производные учетные данные в Windows, настройте следующие конфигурации.

  1. Установите приложение от поставщиков производных учетных данных на устройстве Windows.

    Когда вы устанавливаете приложение Windows из поставщика производных учетных данных на устройстве Windows, производный сертификат добавляется в хранилище сертификатов Windows для устройств. После добавления сертификата на устройство его можно использовать в методе проверки подлинности на основе производных учетных данных.

    Когда вы получите приложение от выбранного поставщика, приложение можно развернуть для пользователей или пользователь устройства может установить его самостоятельно.

  2. Настройте профили Wi-Fi и VPN для использования производных учетных данных в качестве метода проверки подлинности.

    При настройке профиля Windows для Wi-Fi или VPN выберите Производные учетные данные для параметра Метод проверки подлинности. В этой конфигурации профиль использует сертификат, который устанавливается на устройстве при установке приложения поставщика.

Продление производных учетных данных

Производные учетные данные для устройств Android или iOS/iPadOS невозможно продлить. Вместо этого пользователям следует использовать рабочий процесс запроса новых производных учетных данных для своего устройства. Для устройств Windows обратитесь к документации по приложению от поставщика производных учетных данных.

Если вы настроили методы для типа уведомления, Intune автоматически оповещает пользователей о достижении текущими производными учетными данными 80 % жизненного цикла. Уведомление предлагает пользователям пройти запрос учетных данных для получения новых производных учетных данных.

После того как устройство получит новые производные учетные данные, политики, использующие производные учетные данные, повторно развертываются на этом устройстве.

Изменение издателя производных учетных данных

На уровне клиента можно изменить издателя учетных данных, хотя для клиента поддерживается только один издатель одновременно.

После изменения издателя пользователям будет предложено получить новые производные учетные данные от нового издателя. Это следует сделать, чтобы они могли использовать производные учетные данные для проверки подлинности.

Изменение издателя для клиента

Важно!

При удалении издателя и повторной настройке этого же издателя необходимо обновить профили и устройства, чтобы они использовали производные учетные данные от этого издателя. Производные учетные данные, полученные до удаления издателя, более не действительны.

  1. Войдите в Центр администрирования Microsoft Intune.
  2. Выберите Администрирование клиента>Соединители и токены>Производные учетные данные.
  3. Выберите Удалить, чтобы удалить текущего издателя производных учетных данных.
  4. Настройте нового издателя.

Обновление профилей, использующих производные учетные данные

После удаления издателя и добавления нового измените каждый профиль, использующий производные учетные данные. Это правило действует даже в том случае, если восстанавливается предыдущий издатель. Любое изменение профиля активирует обновление, включая простое изменение описания профиля.

Обновление производных учетных данных на устройствах

После удаления издателя и добавления нового пользователям устройства следует запросить новые производные учетные данные. Это правило применяется даже при добавлении того же издателя, что был удален. Процесс запроса новых производных учетных данных аналогичен процессу регистрации нового устройства или продлению существующих учетных данных.

Дальнейшие действия

Создание профилей конфигурации устройств