← Terug naar blog
Cloud & Infrastructure

Microsoft Cloud PKI: certificaatbeheer zonder NDES of on-premises servers

Door Zarioh Digital Solutions5 min leestijd
Delen
Microsoft Cloud PKI: certificaatbeheer zonder NDES of on-premises servers

NDES, de Certificate Connector en on-premises AD CS zijn al jaren een bron van onderhoud en storingen. Microsoft Cloud PKI vervangt dit complete certificaatpad vanuit de cloud voor Intune-beheerde apparaten — en zit per 1 juli 2026 inbegrepen in Microsoft 365 E5.

Certificaatbeheer is één van de meest onderschatte uitdagingen bij endpoint management. Wie apparaten via Intune beheert en gebruik maakt van SCEP-certificaten voor wifi, VPN of interne authenticatie, kent het klassieke plaatje: een NDES-server (Network Device Enrollment Service), een Intune Certificate Connector erop, en via een Entra Application Proxy de verbinding naar buiten. Elke schakel in die keten is een potentieel storingspunt en vraagt onderhoud.

Per 1 juli 2026 verandert er iets wezenlijks. Microsoft Cloud PKI, de volledig cloudbeheerde certificaatautoriteit voor Intune, is nu inbegrepen in Microsoft 365 E5. Wie al op E5 zit, hoeft geen extra add-on meer te kopen. De on-premises keten voor apparaatcertificaten kan stap voor stap worden uitgeschakeld.

Wat vervangt Microsoft Cloud PKI precies?

Microsoft Cloud PKI is een cloudgehoste certificaatautoriteit die volledig binnen de Intune-dienst leeft. Het geeft SCEP-certificaten uit aan Intune-beheerde apparaten: Windows, macOS, iOS en Android worden alle ondersteund. Het punt waarop dit de meeste tijd bespaart is de eliminatie van drie on-premises componenten.

Ten eerste valt de NDES-server weg. NDES is een Windows Server-rol die de SCEP-communicatie tussen apparaten en de certificaatautoriteit afhandelt. Die server heeft patching, monitoring en soms een eigen hoge-beschikbaarheidsconfiguratie nodig. Ten tweede verdwijnt de Intune Certificate Connector, de software die op de NDES-server draait en de verbinding met Intune onderhoudt. Ten derde is de Entra Application Proxy of een reverse-proxy niet meer nodig om SCEP-verkeer van buiten het netwerk toe te laten. Cloud PKI handelt dit allemaal intern af.

Het resultaat is een directe SCEP-eindpunt in de cloud dat Intune-certificaatprofielen kunnen aanroepen zonder dat er iets on-premises aanwezig moet zijn. De CA zelf, de certificaatuitgifte, de hernieuwing en intrekking lopen allemaal via de Intune-portaal en de bijbehorende cloud-service.

Licentie: wat zit waar inbegrepen?

Microsoft Cloud PKI maakt onderdeel uit van de Intune Suite. Tot 1 juli 2026 moest u de Intune Suite apart inkopen als add-on bovenop uw bestaande Microsoft 365-licentie, voor circa twee euro per gebruiker per maand. Vanaf die datum is de Intune Suite — inclusief Cloud PKI, Endpoint Privilege Management, Enterprise Application Management en Advanced Analytics — inbegrepen in Microsoft 365 E5 zonder meerkosten.

Voor organisaties op Microsoft 365 E3 geldt dit niet automatisch. Daar blijft de Intune Suite een aparte add-on. Wie E3 gebruikt en Cloud PKI wil inzetten, heeft dus een Intune Suite-licentie nodig voor de gebruikers in scope. Voor E5-omgevingen is de stap eenvoudiger: de functionaliteit is beschikbaar zodra de tenant de nieuwe licentie-entitlements heeft verwerkt.

Twee architectuurmodellen

Wie Cloud PKI inricht, kiest uit twee deployment-modellen. Het eenvoudigste is een volledig cloudgehoste tweelaagse hiërarchie: een nieuwe root-CA en een nieuwe uitgevende CA, beide in de cloud aangemaakt via het Intune-beheercentrum. Er is geen dependency op bestaande infrastructuur. Dit model is het snelst op te zetten en het meest geschikt voor organisaties zonder bestaande PKI of voor omgevingen die bewust willen beginnen met een nieuwe vertrouwensketen.

Het tweede model is BYOCA: Bring Your Own CA. Hierbij maakt u een nieuwe cloudgehoste uitgevende CA aan die niet een eigen root heeft, maar kettingt aan uw bestaande on-premises root-CA. Apparaten vertrouwen certificaten dan nog steeds via de bestaande vertrouwensketen die al in hun certificate store zit. Dit model is geschikt voor organisaties met een bestaande interne PKI die die root willen behouden, maar de uitgifte-laag naar de cloud willen verplaatsen.

Hoe verloopt de migratie van NDES?

Een migratie van NDES naar Cloud PKI verloopt in vier stappen. De eerste stap is het inventariseren van de bestaande situatie: welke Intune-certificaatprofielen zijn er, voor welke apparaatgroepen, en welke SCEP-eindpunten gebruiken ze? Die lijst bepaalt de scope van de migratie.

De tweede stap is het opzetten van de Cloud PKI in het Intune-beheercentrum. U maakt de root-CA en de uitgevende CA aan, of configureert het BYOCA-model als u een bestaande root wilt behouden. Dit kost normaliter minder dan een uur.

De derde stap is het bijwerken van de SCEP-URL in uw bestaande certificaatprofielen. De SCEP-eindpunt-URL wijzigt van het on-premises NDES-adres naar het cloudadres dat Cloud PKI verstrekt. U kunt beide profielen, het oude en het nieuwe, parallel actief houden tijdens de overgangsperiode. Apparaten krijgen dan van het eerste profiel dat reageert een certificaat.

De vierde stap, zodra alle apparaten zijn overgeschakeld en u heeft geverifieerd dat de certificaatuitgifte goed loopt, is het uitschakelen van de NDES-server, de Certificate Connector en de Application Proxy-configuratie. Die stap levert direct onderhoudsbesparing op.

Wat Cloud PKI niet doet

Het is belangrijk te begrijpen wat buiten de scope van Cloud PKI valt, want voor organisaties met een bredere PKI-behoefte blijft aanvullende infrastructuur nodig. Cloud PKI is exclusief bedoeld voor Intune-beheerde apparaten. Apparaten die via Jamf, ManageEngine of een andere MDM-oplossing worden beheerd, vallen buiten het bereik.

Servercertificaten worden niet ondersteund. Wie interne webservers, RADIUS-servers, domeincontrollers of netwerkhardware van certificaten moet voorzien, heeft daarvoor een andere CA-oplossing nodig. Cloud PKI geeft alleen clientcertificaten uit aan eindpunten in Intune.

Verder heeft Cloud PKI technische beperkingen die het waard zijn te kennen: er is geen OCSP-ondersteuning voor real-time intrekkingsstatus, alleen RSA-sleutels worden ondersteund (geen ECC), en per tenant zijn maximaal zes CA's te configureren. De CA-configuratie is na aanmaak onveranderbaar — wie instellingen wil wijzigen, moet een nieuwe CA aanmaken.

Wat kunt u nu doen?

Drie concrete stappen om vandaag mee te beginnen. Ten eerste: controleer uw licentie. Zit u op Microsoft 365 E5? Dan is Cloud PKI nu beschikbaar in uw tenant. Open het Intune-beheercentrum en navigeer naar Tenant administration, Cloud PKI om te bevestigen dat de functie actief is. Op E3: check of de Intune Suite is toegevoegd aan uw abonnement.

Ten tweede: maak een inventarisatie van uw certificaatinfrastructuur. Hoeveel NDES-servers heeft u? Welke apparaatgroepen ontvangen SCEP-certificaten? Voor welke use cases (wifi, VPN, authenticatie)? Die inventarisatie bepaalt de complexiteit van de migratie en de juiste keuze voor het architectuurmodel.

Ten derde: beoordeel of volledig cloudmodel of BYOCA bij uw situatie past. Als uw apparaten al vertrouwen op een bestaande interne root-CA en u die vertrouwensketen wilt behouden, is BYOCA de aangewezen route. Als u een nieuwe start wilt maken, biedt het volledig cloudmodel de minste onderhoudslast op de lange termijn.

Wilt u ondersteuning bij het opzetten van Microsoft Cloud PKI, het uitvoeren van de NDES-migratie of het beoordelen van uw certificaatinfrastructuur? Neem contact op met Zarioh voor een praktijkgericht gesprek.

Was dit artikel nuttig?

Z

Zarioh Digital Solutions

IT-specialisten uit Utrecht. Wij helpen bedrijven door heel Nederland met Microsoft 365, AI agents, hosting en telefonie — en delen hier wekelijks wat we in de praktijk tegenkomen. Volg ons op LinkedIn

Nieuwsbrief

Laatste tech nieuws

Ontvang nieuwe artikelen direct in je inbox.

Geen spam. Afmelden kan altijd.

Lees ook

← Terug naar alle artikelen
Delen