随着各组织采用基于证书的身份验证来加强 Zero Trust 计划,许多组织会先使用 Microsoft Cloud PKI 为已注册到 Intune 的设备签发证书。这是一种精简且原生兼容 Microsoft 的方法,可通过 Intune 证书配置文件在 Windows、macOS、iOS 和 Android 上签发证书。
然而,大多数真实的业务环境远不止 Intune。IT 团队日常支持 Wi-Fi 控制器、防火墙、交换机、VPN 设备、RADIUS 服务器、Linux 端点、IoT 系统、Chromebook、服务器、SaaS 工作负载以及内部应用服务。许多人还会使用多个 MDM,尤其是在拥有 macOS 或 iOS 设备群的环境中。几乎所有组织都会支持非托管设备、BYOD 设备、承包商设备和访客设备。这些系统无法注册到 Intune,因此无法从 Microsoft Cloud PKI 接收证书。随着组织将基于证书的访问扩展到其网络、应用程序和基础设施,如果没有更广泛、更灵活的 PKI,就会越来越难以弥合这一差距。
这正是 Foxpass 发挥作用的地方。Foxpass Cloud PKI为基于证书的安全提供了更灵活、更具可扩展性且更完整的方案,覆盖 Intune 内外的所有环境。
在这篇博客中,我们将介绍 Microsoft Cloud PKI 的设计用途、组织通常会在哪些方面遇到缺口、Foxpass 如何通过更灵活、覆盖整个基础设施的 PKI 填补这些缺口,以及为什么对于需要在各处安全部署证书而不只是依赖 Intune 的团队来说,Foxpass 是最完整的替代方案。
什么是 Microsoft Cloud PKI?
Microsoft Cloud PKI 是专�为基于 Intune 的证书签发而设计的云托管证书颁发机构。它包含在 Microsoft Intune Suite 中,也可作为单独附加组件提供,无需再维护本地证书颁发机构(AD CS)或传统的 NDES 连接器,同时还能简化使用 Intune 管理证书工作流的设备的证书部署。它通过 Intune SCEP 和 PFX 配置文件签发证书,通过 Intune 的设备管理流程验证请求,并维持适用于 Intune 绑定证书的吊销和生命周期控制。这一范围是有意为之,旨在为已纳入 Intune 管理的设备提供简单、安全的端到端证书体验。
这让 Microsoft Cloud PKI 成为全面采用 Intune 设备管理的组织的理想之选。但这也是它的关键局限。
Microsoft Cloud PKI 的局限性
Microsoft Cloud PKI 很适合用于通过 Intune 注册的端点,但无法满足网络其余部分的证书需求。以下是大多数 IT 团队常会遇到的限制。
1. 仅限 Intune 的设备注册
Microsoft Cloud PKI 仅向已注册到 Intune 且能够接收 Intune SCEP 或 PFX 配置文件的设备签发证书。由于 Cloud PKI 的范围有意限定在 Intune 的受管设备模型内,因此它无法为 Intune 之外的设备提供证书签发路径——例如 BYOD、承包商、访客或基础设施设备。因此,当组织将基于证书的访问扩展到 Intune 管理边界之外的用户或系统时,往往会出现覆盖缺口。
2. 没有内置 RADIUS 服务器
Microsoft Cloud PKI 不包含 RADIUS 服务。实施基于证书的 Wi-Fi(EAP-TLS)或 VPN 身份验证的组织,仍然需要单独的 RADIUS 解决方案,以便在其现有基础架构中处理身份验证、身份集成、访问策略和网络强制执行。
3. 不支持 CSR 或基于 API 的证书工作流
Microsoft Cloud PKI 不提供面向 Intune 之外设备的 CSR 上传、基于 API 的证书签发、ACME 或 SCEP 注册。由于认证工作流有意�与 Intune 的受管设备模型绑定,因此服务器、微服务、负载均衡器、设备或网络基础设施都没有可用的注册路径。这就是为什么许多组织会通过可服务这些额外系统的全面 PKI 来扩展或替代 Microsoft Cloud PKI。
4. 对混合办公和 BYOD 环境的支持有限
大多数组织都在混合 MDM 环境中运营,包括由 Jamf/Iru(Kandji)管理的 macOS 设备群、承包商和外部合作伙伴,以及需要访问 Wi-Fi 的非受管设备。Microsoft Cloud PKI 无法向这些设备签发证书。
这些限制可能会带来实际的运营挑战,尤其是对于管理多样化用户群组或实施零信任安全模型的团队而言。正在寻找更完整、更灵活解决方案的组织,应考虑一种超越 Intune 并能填补这些功能缺口的替代方案。Foxpass 正是为此而打造的。
认识 Foxpass:理想的 Microsoft Cloud PKI 替代方案
Foxpass Cloud PKI 是一款云原生证书颁发机构,旨在适配现代环境中的各类设备和系统。它不仅支持为传统终端签发证书,也支持为网络设备、安全设备、服务器和内部服务签发证书。同一套 PKI 可用于 Wi-Fi(EAP-TLS)、VPN 访问、NAC 部署,甚至还适用于 IoT、BYOD 以及其他未受管理的设备。Foxpass 支持在任何支持 SCEP 的 MDM 上使用 SCEP——包括 Intune、Jamf、Iru (Kandji)、Workspace ONE 和 Addigy——同时也支持传统的 PKI 工作流程,例如 CSR 提交和手动证书注册。对于完全不在 MDM 管理范围内的设备,Foxpass 提供简洁易用的 BYOD 证书安装程序,简化证书接入流程。支持与 Entra ID、Google Workspace、Okta、OneLogin 及其他提供商进行身份同步,可在广泛的用户和设备身份范围内统一实施策略。
Foxpass Cloud RADIUS
除了证书�签发之外,Foxpass 还提供完全托管的 Cloud RADIUS 服务,专为与 Foxpass Cloud PKI 无缝协作而打造。它们共同构建了统一的、端到端的基于证书的 Wi-Fi 和 VPN 身份验证工作流程。该服务支持 EAP-TLS 的基于证书访问、EAP-TTLS 和 PEAP 的基于凭据的方法,以及通过安全的、TLS 加密通道传输 RADIUS 流量的 RadSec。Foxpass 可与广泛使用的 Wi-Fi 和 VPN 基础架构配合使用,例如 Cisco、Aruba、Meraki、Fortinet 和 Ubiquiti/UniFi,使组织无需彻底更换现有硬件即可加强网络身份验证。由于 RADIUS 服务采用高可用的云托管方式,IT 团队无需部署或维护本地 RADIUS 服务器。身份和组成员身份可直接从身份提供商同步,并且无论设备是通过 MDM 管理、通过 SCEP 注册,还是通过 Foxpass BYOD installer 完成接入,都能在所有设备上一致应用策略。
通过将 Foxpass Cloud PKI 和 Cloud RADIUS 整合为一个统一平台,Foxpass 提供了比 Microsoft Cloud PKI 更完整且更具可扩展性的替代方案。它专为当今动态多变的 IT 环境而设计,而不仅仅适用于由 Microsoft 管理的环境。
Foxpass 与 Microsoft Cloud PKI 功能对比
在评估 Microsoft Cloud PKI 和 Foxpass 时,两者不同的适用范围会变得很明显。Microsoft Cloud PKI 专注于向 Intune 管理的设备颁发证书,在该生态系统内提供简洁且集成的一体化体验。相比之下,Foxpass 可在整个环境中支持基于证书的安全性——包括基础设施设备、混合平台设备群、非托管端点,以及需要基于 RADIUS 的身份验证的系统——从而提供许多组织所需的更广泛覆盖范围和可扩展性。
以下是关键功能的并排对比:
对比项 | Microsoft Cloud PKI | Foxpass 云 PKI |
证书注册 | 仅限 Intune SCEP/PFX | SCEP(任何 MDM)、CSR、手动工作流、BYOD 安装程序 |
设备支持 | 由 Intune 管理的终端设备 | 任何设备:端点、服务器、基础设施、IoT、BYOD |
MDM 兼容性 | 仅限 Intune | 任何支持 SCEP 的 MDM |
支持 RADIUS | 不包含 | 内置云 RADIUS,支持 EAP-TLS、EAP-TTLS、PEAP 和 RadSec |
身份集成 | 通过 Intune 的 Entra ID | Entra ID、Okta、Google、OneLogin 等更多服务 |
平台兼容性 | Windows、macOS、iOS、Android(仅限 Intune 注册设备) | Windows、macOS、iOS、Android、Chromebook、Linux |
灵活定价 | 需要 Intune Suite 或附加许可证 | 可作为独立 PKI 提供,或包含在 RADIUS Advanced 许可中,无需依赖 Intune |
Foxpass 满足证书生命周期管理的核心需求,同时将支持扩展到非受管设备、多样化的身份提供商以及直接网络访问控制。希望获得安全、可扩展的身份验证,又不想被绑定在单一设备管理平台上的组织,将受益于 Foxpass 的灵活性和易于部署。
如果贵组织也在考虑为 Entra ID 采用基于证书的身份验证,不妨参考我们的指南:如何使用 Foxpass Cloud PKI 配置 Microsoft Entra CBA。它将逐步介绍设置流程,并说明 Foxpass 签发的证书如何与 Entra CBA 工作流顺畅集成。
Foxpass 大�放异彩的使用场景
Foxpass 的构建充分考虑了现代 IT 团队的真实需求。其灵活性和内置网络集成功能,使其成为需要在广泛设备和环境中保障访问安全的组织的理想解决方案。以下是一些最常见的使用场景,在这些场景中,Foxpass 的表现优于 Microsoft Cloud PKI:
1. 基于证书的 Wi-Fi 身份验证
Foxpass 通过采用带有 EAP-TLS 的 802.1x,为 Wi-Fi 网络提供安全的基于证书的身份验证。它可与 Cisco、Aruba、Meraki 和 Ubiquiti 等领先供应商的接入点及网络硬件无缝配合使用。借助 Foxpass Cloud RADIUS,无需自行部署和维护 RADIUS 基础架构。
2. BYOD 和非托管设备注册
与仅支持 Intune 注册设备的 Microsoft Cloud PKI 不同,Foxpass 可轻松为任何设备签发证书。无论是个人笔记本电脑、承包商的手机,还是学校环境中使用的 Chromebook,Foxpass 都能支持安全引导接入,同时不牺牲控制力。
3. 安全 VPN 访问
Foxpass 证书可用于在各种平台上对 VPN 客户端进行身份验证。IT 团队可为远程用户强制执行基于证书的访问,确保只有受信任的设备才能建立 VPN 连接,而无需依赖密码或要求用户注册 Intune。
4. 零信任身份和网络访问
Foxpass 支持与 Entra ID 和 Okta 等身份提供商进行实时同步,使组织能够根据用户和设备身份执行访问策略。与基于证书的身份验证和 Cloud RADIUS 结合使用时,Foxpass 可在网络层和身份层全面支持真正的零信任方法。
这些使用场景反映出,对安全、可扩展的访问解决方案的需求正在不断增长,而这类解决方案已超越 Microsoft 生态系统的范围。借助 Foxpass,组织可以在其管理的每个环境中简化运营、降低风险,并提升用户体验。
准备替换或扩展 Microsoft Cloud PKI?试试 Foxpass
对于已经深度使用 Intune 生态系统的组织来说,Microsoft Cloud PKI 可能是一个方便的选择,但当需要灵活性、更广泛的设备支持以及完整的网络集成时,它就显得力有不逮。它缺乏 RADIUS 支持、设备兼容性有限以及证书有效期较短,这些都给管理现代混合环境的 IT 团队带来了不必要的挑战。
Foxpass 是最佳替代方案。它具备基于证书的安全性的全部优势,同时不会将您锁定在单一平台上。借助基于证书的身份验证、无缝身份集成以及完全托管的 Cloud RADIUS 后端,Foxpass 可让您轻松在任何设备、用户或位置实施安全访问策略。
无论是想替换 Microsoft Cloud PKI,还是扩展其功能,Foxpass 都能在一个易于管理的平台中提供所需的一切。
立即开始免费试用 Foxpass,体验安全访问可以有多轻松。
