Ik heb een Azure point-to-site VPN ingesteld die ik handmatig configureer voor apparaten via Netwerkverbindingen. Ik installeer ook handmatig een PFX-bestand (dat zowel P2SRootCert als P2SChildCert installeert) op de apparaten. Dit stelt machines in staat om toegang te krijgen tot Azure-bestandsdeling zodra ze verbinden. Ik ben nu belast met het implementeren van deze configuratie via Intune. Ik werk voor een bedrijf met minder dan 50 werknemers. Wat is de beste manier om dit aan te pakken? Kan ik een van de bestaande Azure VPN-configuraties gebruiken, of moet ik nieuwe certificaten en een volledig nieuwe configuratie opzetten? Gebruik ik SCEP of PKCS? Moet ik een CA aanmaken? Ik weet echt niet waar ik moet beginnen. Alle hulp wordt zeer gewaardeerd.
Je moet altijd SCEP gebruiken, PFX is niet zo veilig omdat de certificaten exporteerbaar zijn.
Benieuwd naar je opmerking over het certificaat dat wordt gebruikt voor toegang tot Azure-bestandsdeling na verbinding via VPN. Is deze omgeving Entra-only en is dit onderdeel van hoe de apparaten zich authenticeren bij de Azure-bestandsdeling? In onze hybride omgeving wordt de toegang tot Azure-bestandsdelen beheerd door de hybride identiteit van de gebruiker plus machtigingen op de mappen.
Ja. En als je nog een on-premises CA hebt, zijn er goede handleidingen om een NDES-server en app-proxy op te zetten om certificaten via Intune te leveren met SCEP. Het is geweldig zodra je het hebt opgezet en niet erg moeilijk. Het kan echter overweldigend lijken in het begin.
Dezelfde certificaten worden op elke gebruikersmachine geïnstalleerd. Ze faciliteren gewoon de VPN-verbinding. Zodra deze verbonden is, voert een aangepaste script uit dat de routes naar onze servers publiceert, en dan kan ik stations koppelen aan de machine met hun actieve directory-accounts die op een VM draaien.
Of gebruik Cloud PKI en heb het binnen een uur operationeel 
We hebben niet echt iets ‘on-premises’, aangezien onze servers in Azure staan. Kan/heb ik een CA op een van onze bestaande servers moeten instellen? Je hebt gelijk, het is helemaal overweldigend. Ik probeer al een week uit te zoeken wat ik moet doen en ik ben nog niet verder gekomen met het implementeren van de VPN.
Begrepen. Dit klinkt bekend van toen we ongeveer 5 jaar geleden Azure VPN gebruikten. Ik geloof dat we een solide wildcard-certificaat gebruikten en dit naar de machines pushte die in de VPN-toegestane groep zaten. Ik vind de cloud PKI-optie leuk, maar zodra je meer dan een bepaald aantal machines hebt, wordt het wat kostbaarder. Heb ik het mis dat een wildcard-certificaat dit voor je zou kunnen doen?
Nog beter! Ik weet alleen niet hoe ik de kosten daaraan kan rechtvaardigen aan het management, terwijl we een on-premise CA hebben die goed werkt, en ik ben ook niet degene die het beheert 
Dat is prima! On-premise betekent tegenwoordig echt gewoon zelf beheerde servers. Het hoeft niet fysiek op je bedrijfslocatie te staan. Al onze on-premises servers zijn VM’s die draaien in onze vSphere-omgeving.
Heb je al een CA opgezet? Ik neem aan dat daar die certificaten vandaan komen? Zo ja, volg ik deze gids: NDES and SCEP for Intune: Part 1 — Rubix
Ik heb het deze maand net opgezet volgens deze gids. Het loopt door elke stap.
Ja, als je het hebt, gebruik het dan, maar het is veel gemakkelijker geworden voor degenen die dat niet hebben.
Ik ben een servicedesk-technicus die plotseling moest nadenken over het opzetten van een Intune-configuratie. Ik kan machines nu op zijn minst uitrollen met beveiligingsbasislijnen, LAPD, herstelgegevens en een paar apps. Deze VPN is absoluut het moeilijkste om uit te vogelen.
Bedankt voor de gids! En nee, ik heb geen CA opgezet. Dit is allemaal heel nieuw voor mij, dus ik moet gewoon mijn uitgangspunt bepalen en daarvan leren.
Helemaal akkoord. Als we nu helemaal opnieuw zouden beginnen, zou niemand geïnteresseerd zijn in het beheren van de gigantische CA. SCEPman of Microsoft Cloud PKI zien er veel mooier uit.
Als ik helemaal opnieuw zou beginnen, zou ik iets als SCEPman of Cloud PKI overwegen. Niet te duur en veel makkelijker te beheren.
Deze aanpak lijkt me een geweldig idee. Ik kan Cloud PKI toevoegen aan onze Intune-abonnement voor $2. Ik snap nog niet helemaal wat het allemaal betekent, maar ik ga me er in verdiepen. Bedankt!!!