Dela via

Krav för certifikatanslutningsappen för Microsoft Intune

  • Artikel

Granska förutsättningarna och infrastrukturkraven för certifikatanslutningsappen för Microsoft Intune. Vissa krav och infrastrukturkrav kan variera beroende på vilka funktioner du konfigurerar en anslutningsinstans för att stödja.

Allmänna krav

Krav för den dator där du installerar anslutningsprogrammet:

PKCS

Krav för PKCS-certifikatmallar (private and public key pair):

  • Certifikatmallar som du använder för PKCS-begäranden måste konfigureras med behörigheter som gör att certifikatanslutningstjänstens konto kan registrera certifikatet.
  • Certifikatmallarna måste läggas till i certifikatutfärdare (CA).

Obs!

Alla instanser av anslutningsappen som stöder PKCS kan användas för att hämta väntande PKCS-begäranden från Intune Service-kön, bearbeta importerade certifikat och hantera begäranden om återkallande. Det går inte att definiera vilken anslutningsapp som hanterar varje begäran.

Därför måste varje anslutningsapp som stöder PKCS ha samma behörigheter och kunna ansluta till alla certifikatutfärdare som definierats senare i PKCS-profilerna.

PKCS-importerade certifikat

För att stödja PKCS-importerade certifikat kräver servern som är värd för anslutningsappen ytterligare konfigurationer, till exempel att konfigurera en åtkomst för nyckellagringsprovidern så att anslutningstjänstens användare kan hämta nycklar.

Information om stöd för PKCS-importerade certifikat finns i Konfigurera och använda importerade PKCS-certifikat med Intune.

Krav för återkallning

SCEP

För att stöda SCEP-certifikat (Simple Certificate Enrollment Protocol) måste Windows Server som är värd för anslutningsappen uppfylla följande krav utöver de allmänna kraven:

  • IIS 7 eller senare
  • NDES-tjänsten (Network Device Enrollment Service), som ingår i rollen Active Directory Certification Services. Anslutningsappen stöds inte på samma server som den utfärdande certifikatutfärdare (CA). Mer information finns i Konfigurera infrastruktur för att stödja SCEP med Intune.

På Windows Server väljer du för att lägga till följande serverroller och funktioner:

  • Serverroller:

    • Active Directory Certificate Services
    • Webbserver (IIS)

  • Funktioner:

    • .NET Framework 4.7-funktioner
      • .NET Framework 4,7
      • ASP.NET 4.7
      • WCF-tjänster
        • HTTP-aktivering

  • AD CS > Rolltjänster:

    • Registreringstjänst för nätverksenheter – För anslutningstjänsten SCEP när du använder en Microsoft CA installerar och konfigurerar du serverrollen Registreringstjänst för nätverksenheter (NDES). När du konfigurerar NDES måste du tilldela ett användarkonto för användning av NDES-programpoolen. NDES har också sina egna krav.

  • Webbserverroll (IIS) > Rolltjänster:

    • Säkerhet
      • Begärandefiltrering
    • Programutveckling
      • .NET-utökningsbarhet 4.7
      • ASP.NET 4.7
    • Hanteringsverktyg
      • IIS-hanteringskonsol
      • IIS 6-hanteringskompatibilitet
        • IIS 6-metabaskompatibilitet
        • IIS 6 WMI-kompatibilitet

    Dessutom kräver NDES following.NET Framework 3.5-funktioner:

    • .NET Framework 3.5
    • HTTP-aktivering

Krav för SCEP-certifikatmallar:

  • Certifikatmallar som du använder för SCEP-begäranden måste konfigureras med behörigheter som gör att certifikatanslutningstjänstens konto kan registrera certifikatet automatiskt.
  • Certifikatmallarna måste läggas till i certifikatutfärdare.

Konton

Förbered följande konton innan du installerar programmet för certifikatanslutningsappen.

Installationskonto

Du kan använda alla användarkonton som har lokal administratörsbehörighet på Windows Server för att installera anslutningsprogrammet. Du kan använda samma konto för att konfigurera Windows Server med NDES Windows-serverrollen om du använder SCEP och en Microsoft CA.

Tjänstkonto för certifikatanslutningsprogram

Certifikatanslutningsappen kräver att ett konto används som ett tjänstkonto. Det här kontot används av anslutningsappen för att komma åt Windows Server, kommunicera med Intune och få åtkomst till certifikatutfärdare för att hantera PKI-begäranden.

Anslutningstjänstkontot måste ha följande behörigheter:

  • Logga in som tjänst
  • Utfärda och hantera certifikatbehörigheter på certifikatutfärdare (krävs endast för återkallningsscenarier).
  • Läsa och registrera behörigheter för alla certifikatmallar som du använder för att utfärda certifikat.
  • Behörigheter till nyckellagringsprovidern (KSP) som används av PFX-import. Se Importera PFX-certifikat till Intune.

Följande alternativ stöds för användning som certifikatanslutningstjänstkonto:

  • System
  • Domänanvändare – Använd alla domänanvändarkonton som är administratör på Windows Server.

Mer information finns i Installera certifikatanslutningsappen för Microsoft Intune.

Användare av NDES-programpool

Om du vill använda SCEP med en Microsoft CA måste du lägga till NDES på den server som är värd för anslutningsappen innan du installerar anslutningsappen. När du konfigurerar NDES måste du ange ett konto som ska användas som programpoolsanvändare, vilket även kan kallas NDES-tjänstkontot. Det här kontot kan vara ett lokalt användarkonto eller domänanvändarkonto och måste ha följande behörigheter:

  • Läsa och registrera behörigheter för varje SCEP-certifikatmall som du använder för att utfärda certifikat.
  • Medlem i gruppen IIS_IUSRS .

Mer information om hur du konfigurerar NDES-serverrollen för certifikatanslutningsappen för Microsoft Intune finns i Konfigurera NDES i Konfigurera infrastruktur för att stödja SCEP med Intune.

Microsoft Entra användare

När du konfigurerar anslutningsappen måste du använda ett användarkonto som: antingen är en global Admin eller Intune Admin och har en Intune licens tilldelad.

Nästa steg

Installera certifikatanslutningsappen för Microsoft Intune