Microsoft Cloud PKI hitelesítésszolgáltató törlése
Töröljön egy kiállító és legfelső szintű hitelesítésszolgáltatót (CA) a Microsoft Intune Microsoft Cloud PKI szolgáltatásból. A Microsoft Intune Felügyeleti központban az alábbi műveletekkel kezelheti a hitelesítésszolgáltatókat (CA-kat) a bérlőben:
- Hitelesítésszolgáltató szüneteltetése – A hitelesítésszolgáltató szüneteltetése a használatának leállításához.
- Hitelesítésszolgáltató visszavonása – Vonja vissza az összes aktív levéltanúsítványt, majd vonja vissza a hitelesítésszolgáltatót.
- Hitelesítésszolgáltató törlése – Törölje és távolítsa el a hitelesítésszolgáltatót a Microsoft Intune.
A legfelső szintű hitelesítésszolgáltató csak akkor törölhető, ha az összes rögzített kiállító hitelesítésszolgáltató törlődik. Ha a hitelesítésszolgáltató szüneteltetése után meggondolja magát, megszüntetheti a használatát a használat folytatásához. A hitelesítésszolgáltató visszavonása és törlése azonban végleges művelet, és nem vonható vissza.
Ez a cikk azt ismerteti, hogyan törölhet egy kiállító hitelesítésszolgáltatót és egy legfelső szintű hitelesítésszolgáltatót Microsoft Intune a Felügyeleti központban elérhető műveletekkel.
Szerepköralapú hozzáférési követelmények
Ezek a rendszergazdai szerepkörök törölhetik a hitelesítésszolgáltatókat a Microsoft Intune Felügyeleti központban:
- Intune rendszergazda, beépített Microsoft Entra szerepkör
- Egyéni Intune szerepkörhöz a következő Intune engedélyek vannak hozzárendelve:
- Ca-k olvasása
- Ca-k letiltása és újbóli engedélyezése
- Kiadott levéltanúsítványok visszavonása
Kiállító hitelesítésszolgáltató törlése
A kiállító hitelesítésszolgáltató végleges eltávolítása a Microsoft Intune. Ha gyökérszintű hitelesítésszolgáltatót próbál törölni, először végezze el ezeket a lépéseket a hozzá rögzített kiállító hitelesítésszolgáltató törléséhez.
Lépjen a Bérlői felügyelet>elemre Cloud PKI.
Válasszon ki egy aktív kiállító hitelesítésszolgáltatót az elérhető hitelesítésszolgáltatók listájából. Ha kiválaszt egy hitelesítésszolgáltatót, megnyílik az elérhető műveletei.
Válassza a Szüneteltetés lehetőséget.
Válassza ismét a Szüneteltetés lehetőséget, amikor a rendszer megerősítést kér.
Megjegyzés:
A kiállító hitelesítésszolgáltató szüneteltetése után:
- Nem tud levéltanúsítványokat kiadni.
- Továbbra is válaszol a visszavont tanúsítványok listájára (CRL) és az AIA-kérelmekre.
Vissza a hitelesítésszolgáltatók listájára, és válassza a Frissítés lehetőséget. Ezután az Állapot oszlopban ellenőrizze, hogy a kiállító hitelesítésszolgáltató szüneteltetve van-e.
Válassza ki a szüneteltetett hitelesítésszolgáltatót az összes elérhető lehetőség újbóli megnyitásához. Két új lehetőség jelenik meg:
- Folytatás: Ez a beállítás megszünteti a hitelesítésszolgáltatót, és ismét aktívvá teszi.
- Visszavonás: Ez a beállítás visszavonja a kiállító hitelesítésszolgáltatót.
Válassza a Visszavonás lehetőséget.
Tipp
A művelet működéséhez a hitelesítésszolgáltatóhoz tartozó összes aktív levéltanúsítványt vissza kell vonni. További információ és lépések: Az aktív levéltanúsítványok visszavonása ebben a cikkben.
Válassza ismét a Visszavonás lehetőséget, amikor a rendszer megerősítést kér.
Fontos
Ez a művelet nem vonható vissza.
Megjegyzés:
A kiállító hitelesítésszolgáltató visszavonása után:
- Továbbra is válaszol a CRL- és AIA-kérelmekre.
- Már nem megbízható a megbízhatósági láncot végrehajtó függő entitások számára.
- A legfelső szintű hitelesítésszolgáltató CRL-címe azt mutatja, hogy a kiállító hitelesítésszolgáltató tanúsítványát visszavonták.
- A hitelesítésszolgáltató által kiadott összes meglévő levéltanúsítvány hitelesítése leáll.
Vissza a hitelesítésszolgáltatók listájára, és válassza a Frissítés lehetőséget. Ezután az Állapot oszlopban ellenőrizze, hogy a kiállító hitelesítésszolgáltató vissza van-e vonva.
Válassza ki a visszavont hitelesítésszolgáltatót az összes elérhető lehetőség újbóli megnyitásához.
A hitelesítésszolgáltató törlésére vonatkozó lehetőségnek most már elérhetőnek kell lennie. Válassza a Törlés lehetőséget a hitelesítésszolgáltató Microsoft Intune való eltávolításához.
Válassza ismét a Törlés lehetőséget, amikor a rendszer megerősítést kér.
Fontos
Ez a művelet nem vonható vissza.
Vissza a hitelesítésszolgáltatók listájára, és válassza a Frissítés lehetőséget. Győződjön meg arról, hogy a kiállító hitelesítésszolgáltató már nem jelenik meg a listában.
Legfelső szintű hitelesítésszolgáltató törlése
Véglegesen távolítsa el a legfelső szintű hitelesítésszolgáltatót a Microsoft Intune.
Tipp
A legfelső szintű hitelesítésszolgáltató törlése előtt törölje az összes rögzített kiállító hitelesítésszolgáltatót.
Lépjen a Bérlői felügyelet>elemre Cloud PKI.
Válasszon ki egy legfelső szintű hitelesítésszolgáltatót az elérhető hitelesítésszolgáltatók listájából. Ha kiválaszt egy hitelesítésszolgáltatót, megnyílik az elérhető műveletei.
Válassza a Törlés lehetőséget a hitelesítésszolgáltató Microsoft Intune való eltávolításához.
Válassza ismét a Törlés lehetőséget, amikor a rendszer megerősítést kér.
Fontos
Ez a művelet nem vonható vissza.
Vissza a hitelesítésszolgáltatók listájára, és válassza a Frissítés lehetőséget. Győződjön meg arról, hogy a legfelső szintű hitelesítésszolgáltató már nem jelenik meg a listában.
Aktív levéltanúsítványok visszavonása
Amikor egy kiállító hitelesítésszolgáltatót próbál visszavonni, először minden aktív levéltanúsítványt vissza kell vonnia. Visszavonhat egyszerre egy levéltanúsítványt egy kiállító hitelesítésszolgáltatótól, vagy tömegesen visszavonhatja a levéltanúsítványokat.
Levéltanúsítvány visszavonása
- A Microsoft Intune Felügyeleti központban lépjen a Bérlői felügyelet>Cloud PKI.
- Válasszon ki egy kiállító hitelesítésszolgáltatót.
- Válassza az Összes tanúsítvány megtekintése lehetőséget.
- Válasszon ki egy aktív levéltanúsítványt, majd válassza a Visszavonás lehetőséget. Ismételje meg ezt a lépést minden fennmaradó levéltanúsítványon.
Az összes levéltanúsítvány visszavonása
Az ebben a szakaszban található PowerShell-példaszkripttel visszavonhatja a hitelesítésszolgáltatóhoz tartozó összes levéltanúsítványt. A szkript lekéri a Microsoft Intune bérlőtől a Microsoft Cloud PKI kapcsolatos információkat, és visszavonja a bérlőben lévő kiállító hitelesítésszolgáltató levéltanúsítványait.
- A szkript lekéri az összes levéltanúsítványt, és mindegyiken végrehajtja a visszavonási műveletet.
- A szkript rendszergazdaként megkéri Önt, hogy erősítse meg, hogy vissza szeretné vonni az összes levéltanúsítványt.
- A szkript tartalmaz egy választható konfigurációt, amely megerősítési kérést küld az egyes tanúsítványokhoz. A szkript szakasza megjegyzésként szerepel a mintában, ezért adja hozzá újra, ha futtatni szeretné az adott részt.
Fontos
Körültekintően használja ezt a szkriptet. A levéltanúsítványok visszavonási művelete nem vonható vissza.
- A futtatás előtt tekintse át a mintaszkriptet, hogy jobban megértse, hogyan működik, és gondolja át, milyen hatással van a bérlőre.
- Először futtassa a példaszkriptet egy nem éles vagy tesztelési bérlői fiókban.
A szkript telepíti a Microsoft Graph PowerShell-modult, a Microsoft.Graph-ot. A modul sikeres telepítéséhez a szkriptet futtató eszköznek rendszergazdai jogosultságokkal kell rendelkeznie.
A Connect-MgGraph parancsot olyan rendszergazdának kell kiadnia, aki jogosult a levéltanúsítványok visszavonására a kiállító hitelesítésszolgáltatón.
A szkript futtatásához a hitelesítésszolgáltató azonosítója szükséges. Az információk megkeresése a felügyeleti központban:
Lépjen a Bérlői felügyelet>elemre Cloud PKI.
Válasszon ki egy kiállító hitelesítésszolgáltatót.
A ca-azonosító megkereséséhez tekintse meg a böngésző URL-címét. Az URL végén található kötőjeles alfanumerikus sztring a hitelesítésszolgáltató azonosítója. A következő URL-címben például a hitelesítésszolgáltató azonosítója f12345-acf1-12ab-1b2a-1a1234567a89:
https://intune.microsoft.com/#view/Microsoft_Intune_DeviceSettings/CaDetails.ReactView/id/f12345-acf1-12ab-1b2a-1a1234567a89
Példaszkript
Futtassa a PowerShell-példaszkriptet egy felügyeleti munkaállomásról. A futtatásához a következő Intune engedélyekkel kell rendelkeznie:
- Ca-k olvasása
- Kiadott levéltanúsítványok visszavonása
param (
[string]$caId = $(Read-Host "Input CaId")
)
Install-Module Microsoft.Graph
Connect-MgGraph -Scopes "DeviceManagementConfiguration.ReadWrite.All"
Start-Transcript -Path ".\RevokeAllLeafCerts_$($caId)_$(Get-Date -f 'yyyyMMdd-HHmmss').txt"
### Get all leaf certs
$leafCerts = Invoke-MgGraphRequest -Method GET -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/cloudCertificationAuthorityLeafCertificate"
# Prompt user to confirm data cleanup
$confirmAllDelete = $(Write-Host "Are you 100% sure you want to revoke all $($leafCerts.value.count) certificates for CA $($caId)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline;
Read-Host " ")
if ($confirmAllDelete.ToLower() -ne "y" -and $confirmAllDelete.ToLower() -ne "yes") {
Write-Host "Aborted"
Stop-Transcript
exit
}
# Iterate on retrieved leaf certs and revoke
foreach ($leafCert in $leafCerts.value)
{
Write-Host ""
if ($leafCert.certificateStatus.ToLower() -eq "revoked") {
Write-Host "LeafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint) is already revoked. Skipping"
continue
}
Write-Host "Revoking leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint)"
# Uncomment next five lines to prompt for each cert
# $confirmCertDelete = $(Write-Host "Are you sure you want to revoke leafCert id: $($leafCert.id), thumbprint: $($leafCert.thumbprint), $($leafCert.certificateStatus)?" -ForegroundColor Yellow; Write-Host '[Y] Yes' -NoNewline; Write-Host ' [N] No' -ForegroundColor Yellow -NoNewline; Read-Host " ")
# if ($confirmCertDelete.ToLower() -ne "y" -and $confirmCertDelete.ToLower() -ne "yes") {
# Write-Host "Skipping"
# continue
# }
$currentCertId = $($leafCert.id)
$revokeParams = @{ "leafCertificateId" = $($leafCert.id) }
Invoke-MgGraphRequest -Method POST -Uri "https://graph.microsoft.com/beta/devicemanagement/cloudCertificationAuthority/$caId/revokeLeafCertificate" -Body ($revokeParams|ConvertTo-Json) -ContentType "application/json"
}