Pré-requisitos para perfis de certificado em Configuration Manager
Aplica-se a: Gerenciador de Configurações (branch atual)
Os perfis de certificado no Configuration Manager têm dependências e dependências externas no produto.
Importante
A partir da versão 2203, esse recurso de acesso a recursos da empresa não tem mais suporte. Para obter mais informações, confira Perguntas frequentes sobre a preterição do acesso ao recurso.
Dependências externas a Configuration Manager
Dependência | Mais informações |
---|---|
Uma AC (autoridade de certificação de emissão corporativa) que está executando o AD CS (Active Directory Certificate Services). Para revogar certificados, a conta de computador do servidor do site na parte superior da hierarquia requer direitos de Emissão e Gerenciamento de Certificados para cada modelo de certificado usado por um perfil de certificado em Configuration Manager. Como alternativa, conceda permissões do Gerenciador de Certificados para conceder permissões em todos os modelos de certificado usados por essa AC Há suporte para a aprovação do gerente para solicitações de certificado. No entanto, os modelos de certificado usados para emitir certificados devem ser configurados para Fornecimento na solicitação da entidade de certificado para que Configuration Manager possa fornecer automaticamente esse valor. |
Para obter mais informações sobre os Serviços de Certificado do Active Directory, consulte Visão geral dos Serviços de Certificados do Active Directory. |
Use o script do PowerShell para verificar e, se necessário, instalar os pré-requisitos para o serviço de função NDES (Serviço de Registro de Dispositivo de Rede) e o Configuration Manager Ponto de Registro de Certificado. |
O arquivo de instrução, readme_crp.txt, está localizado em ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. O script do PowerShell, Test-NDES-CRP-Prereqs.ps1, está no mesmo diretório que as instruções. O script do PowerShell deve ser executado localmente no servidor NDES. |
O serviço de função NDES (Serviço de Registro de Dispositivo de Rede) para Serviços de Certificado do Active Directory, em execução no Windows Server 2012 R2. Além disso: Não há suporte para números de porta diferentes do TCP 443 (para HTTPS) ou TCP 80 (para HTTP) para a comunicação entre o cliente e o Serviço de Registro de Dispositivo de Rede. O servidor que está executando o Serviço de Registro de Dispositivo de Rede deve estar em um servidor diferente da AC emissora. |
Configuration Manager se comunica com o Serviço de Registro de Dispositivo de Rede no Windows Server 2012 R2 para gerar e verificar solicitações de SCEP (Protocolo de Registro de Certificado Simples). Se você emitir certificados para usuários ou dispositivos que se conectam da Internet, como dispositivos móveis gerenciados por Microsoft Intune, esses dispositivos devem ser capazes de acessar o servidor que executa o Serviço de Registro de Dispositivo de Rede da Internet. Por exemplo, instale o servidor em uma rede de perímetro (também conhecida como DMZ, zona desmilitarizada e sub-rede exibida). Se você tiver um firewall entre o servidor que está executando o Serviço de Registro de Dispositivo de Rede e a AC emissora, você deverá configurar o firewall para permitir o DCOM (tráfego de comunicação) entre os dois servidores. Esse requisito de firewall também se aplica ao servidor que executa o servidor de site Configuration Manager e a AC emissora, para que Configuration Manager possa revogar certificados. Se o Serviço de Registro de Dispositivo de Rede estiver configurado para exigir SSL, uma prática recomendada de segurança será garantir que os dispositivos de conexão possam acessar a CRL (lista de revogação de certificado) para validar o certificado do servidor. Para obter mais informações sobre o Serviço de Registro de Dispositivo de Rede, consulte Usando um módulo de política com o Serviço de Registro de Dispositivo de Rede. |
Um certificado de autenticação de cliente PKI e um certificado de AC raiz exportado. | Esse certificado autentica o servidor que está executando o Serviço de Registro de Dispositivo de Rede para Configuration Manager. Para obter mais informações, consulte Requisitos de certificado PKI para Configuration Manager. |
Sistemas operacionais de dispositivo com suporte. | Você pode implantar perfis de certificado em dispositivos que executam Windows 8.1, Windows RT 8.1 e Windows 10. |
dependências Configuration Manager
Dependência | Mais informações |
---|---|
Função do sistema de site de ponto de registro de certificado | Antes de usar perfis de certificado, você deve instalar a função do sistema do site do ponto de registro de certificado. Essa função se comunica com o banco de dados Configuration Manager, o servidor de site Configuration Manager e o Módulo de Política Configuration Manager. Para obter mais informações sobre os requisitos do sistema para essa função de sistema de site e onde instalar a função na hierarquia, consulte a seção Requisitos do Sistema de Site nas configurações com suporte para Configuration Manager artigo. O ponto de registro de certificado não deve ser instalado no mesmo servidor que executa o Serviço de Registro de Dispositivo de Rede. |
Configuration Manager Módulo de Política instalado no servidor que está executando o serviço de função do Serviço de Registro de Dispositivo de Rede para Serviços de Certificado do Active Directory | Para implantar perfis de certificado, você deve instalar o Módulo de Política Configuration Manager. Você pode encontrar esse módulo de política na mídia de instalação Configuration Manager. |
Dados de descoberta | Os valores da entidade de certificado e o nome alternativo do assunto são fornecidos por Configuration Manager e recuperados das informações coletadas da descoberta: Para certificados de usuário: Descoberta de Usuário do Active Directory Para certificados de computador: descoberta do sistema do Active Directory e descoberta de rede |
Permissões de segurança específicas para gerenciar perfis de certificado | Você deve ter as seguintes permissões de segurança para gerenciar as configurações de acesso de recursos da empresa, como perfis de certificado, perfis Wi-Fi e perfis VPN: Para exibir e gerenciar alertas e relatórios para perfis de certificado: Criar, Excluir, Modificar, Modificar Relatório, Ler e Executar Relatório para o objeto Alertas . Para criar e gerenciar perfis de certificado: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil de Certificado . Para gerenciar implantações de perfil wi-fi, certificado e VPN: implantar políticas de configuração, modificar alerta de status do cliente, ler e ler recurso para o objeto Collection . Para gerenciar todas as políticas de configuração: Criar, Excluir, Modificar, Ler e Definir Escopo de Segurança para o objeto Política de Configuração . Para executar consultas relacionadas a perfis de certificado: leia a permissão para o objeto Consulta . Para exibir informações de perfis de certificado no console Configuration Manager: leia a permissão para o objeto Site. Para exibir mensagens de status para perfis de certificado: leia a permissão para o objeto Mensagens de Status . Para criar e modificar o perfil de certificado de AC confiável: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil de Certificado confiável da AC . Para criar e gerenciar perfis de VPN: Política de Autor, Modificar Relatório, Leitura e Executar Relatório para o objeto Perfil vpn . Para criar e gerenciar perfis de Wi-Fi: Política de Autor, Modificar Relatório, Ler e Executar Relatório para o objeto Perfil do Wi-Fi . A função de segurança do Gerenciador de Acesso de Recursos da Empresa inclui essas permissões necessárias para gerenciar perfis de certificado em Configuration Manager. Para obter mais informações, consulte a seção Configurar administração baseada em função no artigo Configurar segurança . |