Wymagania wstępne łącznika certyfikatów dla Microsoft Intune

Zapoznaj się z wymaganiami wstępnymi i wymaganiami dotyczącymi infrastruktury łącznika certyfikatów dla Microsoft Intune. Niektóre wymagania wstępne i wymagania dotyczące infrastruktury mogą się różnić w zależności od funkcji konfigurowania wystąpienia łącznika do obsługi.

Ogólne wymagania wstępne

Wymagania dotyczące komputera, na którym jest instalowane oprogramowanie łącznika:

• Windows Server 2012 R2 lub nowszym.

  Uwaga

  Instalacja serwera musi zawierać środowisko pulpitu i obsługiwać korzystanie z przeglądarki. Aby uzyskać więcej informacji, zobacz Install Server with Desktop Experience (Instalowanie serwera za pomocą środowiska pulpitu) w dokumentacji Windows Server 2016.

• .NET 4.7.2

• Transport Layer Security (TLS) 1.2. Aby uzyskać więcej informacji, zobacz Włączanie obsługi protokołu TLS 1.2 w środowisku w dokumentacji Microsoft Entra.

• Serwer musi spełniać te same wymagania dotyczące sieci co urządzenia zarządzane. Zobacz Network endpoints for Microsoft Intune, and Intune network configuration requirements and bandwidth (Punkty końcowe sieci dla Microsoft Intune i Intune wymagania dotyczące konfiguracji sieci i przepustowości.

• Aby obsługiwać automatyczne aktualizacje oprogramowania łącznika, serwer musi mieć dostęp do usługi aktualizacji platformy Azure:

  • Port: 443
  • Punkt końcowy: autoupdate.msappproxy.net

• Konfiguracja rozszerzonych zabezpieczeń musi zostać dezaktywowana.

PKCS

Wymagania dotyczące szablonów certyfikatów pary kluczy prywatnych i publicznych (PKCS):

• Szablony certyfikatów używane dla żądań PKCS muszą być skonfigurowane z uprawnieniami, które umożliwiają kontu usługi łącznika certyfikatów zarejestrowanie certyfikatu.
• Szablony certyfikatów muszą zostać dodane do urzędu certyfikacji.

Uwaga

Każde wystąpienie łącznika obsługujące PKCS może służyć do pobierania oczekujących żądań PKCS z kolejki usługi Intune, przetwarzania zaimportowanych certyfikatów i obsługi żądań odwołania. Nie można zdefiniować, który łącznik obsługuje każde żądanie.

W związku z tym każdy łącznik obsługujący PKCS musi mieć te same uprawnienia i mieć możliwość nawiązywania połączenia ze wszystkimi urzędami certyfikacji zdefiniowanymi później w profilach PKCS.

Zaimportowane certyfikaty PKCS

Aby obsługiwać zaimportowane certyfikaty PKCS, serwer hostujący łącznik wymaga dodatkowych konfiguracji, takich jak skonfigurowanie dostępu dostawcy magazynu kluczy w celu umożliwienia użytkownikowi usługi łącznika pobierania kluczy.

Aby uzyskać informacje na temat obsługi zaimportowanych certyfikatów PKCS, zobacz Konfigurowanie i używanie zaimportowanych certyfikatów PKCS z Intune.

Wymagania wstępne dotyczące odwołania

• Urząd certyfikacji musi być skonfigurowany tak, aby zezwolić kontu usługi łącznika na odwoływanie certyfikatów.

Protokół SCEP

Aby obsługiwać certyfikaty protokołu SCEP (Simple Certificate Enrollment Protocol), system Windows Server hostujący łącznik musi spełniać następujące wymagania wstępne oprócz ogólnych wymagań wstępnych:

• Usługi IIS 7 lub nowsze
• Usługa rejestracji urządzeń sieciowych (NDES), która jest częścią roli usług certyfikacji Active Directory. Łącznik nie jest obsługiwany na tym samym serwerze co urząd wystawiający certyfikaty (CA). Aby uzyskać więcej informacji, zobacz Konfigurowanie infrastruktury do obsługi protokołu SCEP przy użyciu Intune.

W systemie Windows Server wybierz, aby dodać następujące role i funkcje serwera:

• Role serwera:

  • Usługi certyfikatów Active Directory
  • Serwer sieci Web (IIS)

• Funkcje:

  • funkcje .NET Framework 4.7
    • .NET Framework 4.7
    • ASP.NET 4.7
    • Usługi WCF
      • Aktywacja HTTP

• AD CS > Usługi ról:

  • Usługa rejestracji urządzeń sieciowych — w przypadku łącznika SCEP podczas korzystania z urzędu certyfikacji firmy Microsoft zainstaluj i skonfiguruj rolę serwera usługi rejestracji urządzeń sieciowych (NDES). Podczas konfigurowania usługi NDES należy przypisać konto użytkownika do użycia przez pulę aplikacji usługi NDES. Usługa NDES ma również własne wymagania.

• Rola serwera sieci Web (IIS) > Usługi ról:

  • Bezpieczeństwo
    • Filtrowanie żądań
  • Tworzenie aplikacji
    • Rozszerzalność platformy .NET 4.7
    • ASP.NET 4.7
  • Narzędzia do zarządzania
    • Konsola zarządzania usługami IIS
    • Zgodność zarządzania usługami IIS 6
      • Zgodność metabazy usług IIS 6
      • Zgodność usług IIS 6 WMI

  Ponadto usługa NDES wymaga funkcji following.NET Framework 3.5:

  • .NET Framework 3.5
  • Aktywacja HTTP

Wymagania dotyczące szablonów certyfikatów SCEP:

• Szablony certyfikatów używane dla żądań protokołu SCEP muszą być skonfigurowane z uprawnieniami, które umożliwiają kontu usługi łącznika certyfikatów automatyczne rejestrowanie certyfikatu.
• Szablony certyfikatów muszą zostać dodane do urzędu certyfikacji.

Konta

Przed zainstalowaniem oprogramowania łącznika certyfikatów przygotuj następujące konta.

Konto instalacji

Do zainstalowania oprogramowania łącznika można użyć dowolnego konta użytkownika z lokalnymi uprawnieniami administracyjnymi w systemie Windows Server. Tego samego konta można użyć do skonfigurowania systemu Windows Server z rolą serwera systemu Windows usługi NDES, jeśli używasz protokołu SCEP i urzędu certyfikacji firmy Microsoft.

Konto usługi łącznika certyfikatów

Łącznik certyfikatów wymaga, aby konto było używane jako konto usługi. To konto jest używane przez łącznik do uzyskiwania dostępu do systemu Windows Server, komunikowania się z Intune i uzyskiwania dostępu do urzędu certyfikacji w celu obsługi żądań PKI.

Konto usługi łącznika musi mieć następujące uprawnienia:

• Logowanie jako usługa
• Wystawianie uprawnień certyfikatów i zarządzanie nimi w urzędzie certyfikacji (wymagane tylko w scenariuszach odwołania).
• Uprawnienia odczytu i rejestrowania dla dowolnego szablonu certyfikatu używanego do wystawiania certyfikatów.
• Uprawnienia do dostawcy magazynu kluczy (KSP) używanego przez usługę PFX Import. Zobacz Importowanie certyfikatów PFX do Intune.

Następujące opcje są obsługiwane do użycia jako konto usługi łącznika certyfikatów:

• SYSTEM
• Użytkownik domeny — użyj dowolnego konta użytkownika domeny, które jest administratorem systemu Windows Server.

Aby uzyskać więcej informacji, zobacz Instalowanie łącznika certyfikatów dla Microsoft Intune.

Użytkownik puli aplikacji usługi NDES

Aby używać protokołu SCEP z urzędem certyfikacji firmy Microsoft, należy dodać usługę NDES do serwera hostującego łącznik przed zainstalowaniem łącznika. Podczas konfigurowania usługi NDES należy określić konto do użycia jako użytkownik puli aplikacji, które może być również nazywane kontem usługi NDES. To konto może być kontem użytkownika lokalnego lub domeny i musi mieć następujące uprawnienia:

• Uprawnienia odczytu i rejestrowania dla każdego szablonu certyfikatu SCEP używanego do wystawiania certyfikatów.
• Członek grupy IIS_IUSRS .

Aby uzyskać wskazówki dotyczące konfigurowania roli serwera usługi NDES dla łącznika certyfikatów dla Microsoft Intune, zobacz Konfigurowanie usługi NDES w temacie Konfigurowanie infrastruktury do obsługi protokołu SCEP przy użyciu Intune.

użytkownik Microsoft Entra

Podczas konfigurowania łącznika należy użyć konta użytkownika, które: jest Administracja globalnym lub Intune Administracja i ma przypisaną licencję Intune.

Następne kroki

Instalowanie łącznika certyfikatów dla Microsoft Intune