通过

安装 Microsoft Intune 证书连接器

  • 项目

若要支持将证书与 Intune 一起使用,可以在满足连接器先决条件的任何 Windows Server 上安装 Microsoft Intune 证书连接器。 以下部分可帮助你安装并配置连接器。 本文还将介绍如何修改以前安装的连接器,以及如何从服务器中删除连接器。

下载并安装连接器软件

  1. 登录到 Microsoft Intune 管理中心

  2. 选择“租户管理”>“连接器和令牌”>“证书连接器”>“添加”。

  3. “安装证书连接器 ”窗格中,选择 证书连接器 链接以下载连接器软件。 将该文件保存到可从要安装连接器的服务器访问的位置。

    下载证书连接器软件。

  4. 登录到将托管证书连接器的 Windows Server,并确认已安装证书连接器的先决条件

    若要将简单证书注册协议 (SCEP) 与Microsoft Certification颁发机构 (CA) 配合使用,请确认已安装网络设备注册服务 (NDES) 角色。

  5. 使用对服务器具有管理权限的帐户运行安装程序 (“IntuneCertificateConnector.exe”)。 该安装程序也会安装 NDES 的策略模块。 策略模块在 IIS 中作为应用程序运行。

    注意

    当“IntuneCertificateConnector.exe”运行并安装新连接器时或现有连接器在 Windows 事件查看器处于打开状态的情况下进行自动升级时,安装过程会记录一条类似于以下内容且来自源“找不到 Microsoft-Intune-CertificateConnectors”的消息并提供事件 ID 1000

    • 引发此事件的组件未安装在本地计算机上,或者安装已损坏。 可以在本地计算机上安装或修复该组件。

    可以安全地忽略此消息。 显示此消息是因为在事件查看器打开的情况下无法加载连接器的事件查看器清单。 关闭后再重新打开事件查看器会显示正确的消息。

  6. 查看并同意许可条款和条件,然后选择“安装”以继续。 选择“选项”以选择其他安装文件夹

  7. 连接器安装只需片刻时间。 安装后,安装程序会显示两个选项:

    • 立即配置 - 选择此选项可关闭连接器安装并打开“Microsoft Intune 证书连接器”向导,该向导用于在本地服务器上配置证书连接器

    • 关闭 - 此选项在未配置连接器的情况下关闭连接器安装。 如果选择此时“关闭”安装,稍后可以运行“Microsoft Intune 证书连接器”向导来启动连接器配置程序。 默认情况下,该向导位于“C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Intune”

安装连接器后,可以再次运行安装程序以卸载连接器。

提示

安装程序将尝试安装 .NET Framework 4.7.2。 如果在此过程中遇到问题,可以选择使用适用于 Windows 的 Microsoft .NET Framework 4.7.2 脱机安装程序预安装.NET Framework

配置证书连接器

若要配置证书连接器,请使用“Microsoft Intune 证书连接器”向导。 在证书连接器安装结束时选择“立即配置”,配置即可自动启动,也可以通过打开提升的命令提示符并运行 C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe 来手动启动。 下面是一个示例。 必须以管理员身份运行此命令。

C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe

每次在服务器上启动用于Microsoft Intune的证书连接器时,都应看到以下欢迎页:

Microsoft Intune 证书连接器向导的“欢迎使用”页面。

提示

运行适用于Microsoft Intune的证书连接器以修改以前配置的连接器时,将看不到Microsoft Entra登录页。 这是因为连接器已向Microsoft Entra ID进行身份验证。

使用以下过程来配置新连接器以及修改以前配置的连接器。

  1. 在“Microsoft Intune 证书连接器”的“欢迎使用”页面上,选择“下一步”

  2. 在“功能”上,选中要在此服务器上安装的每个连接器功能的复选框,然后选择“下一步”。 选项包括:

    • SCEP:选择此选项以使用 SCEP 协议从 Microsoft Active Directory 证书颁发机构向设备发送证书。 提交证书请求的设备将生成私钥/公钥对,并仅提交公钥作为该请求的一部分。

    • PKCS:选择此选项以 PKCS #12 格式从 Microsoft Active Directory 证书颁发机构向设备发送证书。 确保设置了所有必要的先决条件。

    • PKCS 导入的证书:选择此选项可将导入到Intune的 pfx 证书传递到设备的证书。 确保设置了所有必要的先决条件。

    • 证书吊销:选择此选项可自动吊销从 Microsoft Active Directory 证书颁发机构颁发的证书。

  3. 在“服务帐户”上,选择要用于此连接器的服务帐户的帐户类型。 选择的帐户必须具有证书连接器服务帐户的先决条件中所述的权限。

    选项包括:

    • 系统
    • 域用户帐户 - 使用充当 Windows Server 上的管理员的任何域用户帐户。

  4. 在“代理”页上,如果需要使用代理访问 Internet,请为代理服务器添加详细信息。 例如,http://proxy.contoso.com

    重要

    请务必包含 HTTP 或 HTTPS 前缀。 这是与以前版本的连接器的代理配置相比的更改。

  5. 在“先决条件”页上,向导会在开始配置之前在服务器上运行多项检查。 在继续操作之前,请查看并解决所有错误或警告。

  6. 在显示为 Azure AD登录) (Microsoft Entra登录页上,选择托管Microsoft Entra ID的环境,然后选择“登录”。 然后,在出现提示时,对访问权限进行身份验证。 登录时使用的帐户需要Intune许可证,该帐户可以是全局管理员或Intune管理员。

    除非使用政府云,否则请使用“环境”默认设置“公有商业云”。

    向Microsoft Entra ID进行身份验证。

    成功向Microsoft Entra ID进行身份验证后,选择“下一步”继续:

    成功登录到Microsoft Entra ID。

  7. 在“配置”页上,Intune 会将所选内容应用到连接器。 如果成功,该实用工具将继续配置到“完成”页,选择“退出”以完成连接器的配置

    成功配置证书连接器。

    如果配置失败,向导会显示有关错误的详细信息,以帮助你解决问题。

成功完成配置并关闭向导后,即可使用 Microsoft Intune 的证书连接器。

提示

重命名连接器以引用安装连接器的服务器可能会有所帮助。

若要重命名连接器,请在Microsoft Intune管理中心选择“租户管理>连接器和令牌>证书连接器”。 选择要重命名的连接器。 在“名称”中,输入要使用的名称,然后选择“保存”。

修改连接器配置

在服务器上配置 Microsoft Intune 证书连接器后,可以在该服务器上运行配置向导来修改连接器配置。

删除连接器

若要从 Windows Server 上卸载 Microsoft Intune 证书连接器,请在服务器上运行 IntuneCertificateConnector.exe,该软件是用于安装连接器的同一软件。 在安装了连接器的服务器上运行软件时,唯一可用的选项是删除当前的连接器安装。

相关内容