Pré-requisitos para perfis de certificado no Configuration Manager
Aplica-se a: Configuration Manager (branch atual)
Os perfis de certificado no Configuration Manager têm dependências externas e dependências no produto.
Importante
A partir da versão 2203, esta funcionalidade de acesso a recursos da empresa já não é suportada. Para obter mais informações, veja Perguntas mais frequentes sobre a descontinuação do acesso a recursos.
Dependências Externas ao Configuration Manager
| Dependência | Mais informações |
|---|---|
| Uma autoridade de certificação (AC) emissora empresarial que está a executar os Serviços de Certificados do Active Directory (AD CS). Para revogar certificados, a conta de computador do servidor do site na parte superior da hierarquia requer direitos de Emissão e Gestão de Certificados para cada modelo de certificado utilizado por um perfil de certificado no Configuration Manager. Em alternativa, conceda permissões ao Gestor de Certificados para conceder permissões em todos os modelos de certificado utilizados por essa AC A aprovação do gestor para pedidos de certificado é suportada. No entanto, os modelos de certificado utilizados para emitir certificados têm de ser configurados para Fornecimento no pedido do requerente do certificado para que Configuration Manager possam fornecer automaticamente este valor. |
Para obter mais informações sobre os Serviços de Certificados do Active Directory, veja Descrição Geral dos Serviços de Certificados do Active Directory. |
| Utilize o script do PowerShell para verificar e, se necessário, instalar os pré-requisitos para o serviço de função Serviço de Inscrição de Dispositivos de Rede (NDES) e o Ponto de Registo de Certificados Configuration Manager. |
O ficheiro de instruções, readme_crp.txt, está localizado em ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. O script do PowerShell, Test-NDES-CRP-Prereqs.ps1, está no mesmo diretório que as instruções. O script do PowerShell tem de ser executado localmente no servidor do NDES. |
| O serviço de função Serviço de Inscrição de Dispositivos de Rede (NDES) para Serviços de Certificados do Active Directory, em execução no Windows Server 2012 R2. Além disso: Os números de porta diferentes de TCP 443 (para HTTPS) ou TCP 80 (para HTTP) não são suportados para a comunicação entre o cliente e o Serviço de Inscrição de Dispositivos de Rede. O servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede tem de estar num servidor diferente da AC emissora. |
Configuration Manager comunica com o Serviço de Inscrição de Dispositivos de Rede no Windows Server 2012 R2 para gerar e verificar pedidos scep (Simple Certificate Enrollment Protocol). Se emitir certificados para utilizadores ou dispositivos que se ligam a partir da Internet, como dispositivos móveis geridos por Microsoft Intune, esses dispositivos têm de conseguir aceder ao servidor que executa o Serviço de Inscrição de Dispositivos de Rede a partir da Internet. Por exemplo, instale o servidor numa rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede filtrada). Se tiver uma firewall entre o servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede e a AC emissora, tem de configurar a firewall para permitir o tráfego de comunicação (DCOM) entre os dois servidores. Este requisito de firewall também se aplica ao servidor que executa o servidor do site Configuration Manager e à AC emissora, para que Configuration Manager possam revogar certificados. Se o Serviço de Inscrição de Dispositivos de Rede estiver configurado para exigir SSL, uma melhor prática de segurança é garantir que os dispositivos de ligação podem aceder à lista de revogação de certificados (CRL) para validar o certificado de servidor. Para obter mais informações sobre o Serviço de Inscrição de Dispositivos de Rede, veja Utilizar um Módulo de Política com o Serviço de Inscrição de Dispositivos de Rede. |
| Um certificado de autenticação de cliente PKI e um certificado de AC de raiz exportado. | Este certificado autentica o servidor que está a executar o Serviço de Inscrição de Dispositivos de Rede para Configuration Manager. Para obter mais informações, veja Requisitos de certificado PKI para Configuration Manager. |
| Sistemas operativos de dispositivos suportados. | Pode implementar perfis de certificado em dispositivos com Windows 8.1, Windows RT 8.1 e Windows 10. |
Dependências de Configuration Manager
| Dependência | Mais informações |
|---|---|
| Função do sistema de sites do ponto de registo de certificados | Antes de poder utilizar perfis de certificado, tem de instalar a função do sistema de sites do ponto de registo de certificados. Esta função comunica com a base de dados Configuration Manager, o servidor do site Configuration Manager e o Módulo de Política de Configuration Manager. Para obter mais informações sobre os requisitos de sistema para esta função do sistema de sites e onde instalar a função na hierarquia, veja a secção Requisitos do Sistema de Sites no artigo Configurações suportadas para Configuration Manager. O ponto de registo de certificados não pode ser instalado no mesmo servidor que executa o Serviço de Inscrição de Dispositivos de Rede. |
| Configuration Manager Módulo de Política instalado no servidor que está a executar o serviço de função Serviço de Inscrição de Dispositivos de Rede para Serviços de Certificados do Active Directory | Para implementar perfis de certificado, tem de instalar o Módulo de Política Configuration Manager. Pode encontrar este módulo de política no suporte de dados de instalação Configuration Manager. |
| Dados de deteção | Os valores do requerente do certificado e do nome alternativo do requerente são fornecidos por Configuration Manager e obtidos a partir de informações recolhidas da deteção: Para certificados de utilizador: Deteção de Utilizadores do Active Directory Para certificados de computador: Deteção de Sistemas do Active Directory e Deteção de Rede |
| Permissões de segurança específicas para gerir perfis de certificado | Tem de ter as seguintes permissões de segurança para gerir as definições de acesso a recursos da empresa, tais como perfis de certificado, perfis de Wi-Fi e perfis VPN: Para ver e gerir alertas e relatórios para perfis de certificado: Criar, Eliminar, Modificar, Modificar Relatório, Ler e Executar Relatório para o objeto Alertas . Para criar e gerir perfis de certificado: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil de Certificado . Para gerir implementações de perfis Wi-Fi, certificados e VPN: Implementar Políticas de Configuração, Modificar Alerta de Estado do Cliente, Ler e Ler Recurso para o objeto Coleção . Para gerir todas as políticas de configuração: Criar, Eliminar, Modificar, Ler e Definir Âmbito de Segurança para o objeto Política de Configuração . Para executar consultas relacionadas com perfis de certificado: permissão de leitura para o objeto Consulta . Para ver as informações dos perfis de certificado na consola do Configuration Manager: Permissão de leitura para o objeto Site. Para ver status mensagens para perfis de certificado: permissão de leitura para o objeto Mensagens de Estado. Para criar e modificar o perfil de certificado da AC Fidedigna: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil de Certificado da AC Fidedigna . Para criar e gerir perfis VPN: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil de VPN . Para criar e gerir perfis de Wi-Fi: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil Wi-Fi . A função de segurança Gestor de Acesso a Recursos da Empresa inclui estas permissões necessárias para gerir perfis de certificado no Configuration Manager. Para obter mais informações, veja a secção Configurar administração baseada em funções no artigo Configurar segurança . |