通过

Microsoft Intune 证书连接器的先决条件

  • 项目

查看适用于Microsoft Intune的证书连接器的先决条件和基础结构要求。 某些先决条件和基础结构要求可能因配置连接器实例支持的功能而异。

一般先决条件

安装连接器软件的计算机要求:

  • Windows Server 2012 R2 或更高版本。

    注意

    服务器安装必须包括桌面体验并支持使用浏览器。 有关详细信息,请参阅 Windows Server 2016 文档中的安装具有桌面体验的服务器

  • .NET 4.7.2

  • 传输层安全性 (TLS) 1.2。 有关详细信息,请参阅 Microsoft Entra 文档中的在环境中启用对 TLS 1.2 的支持

  • 服务器必须满足与托管设备相同的网络要求。 有关Microsoft IntuneIntune网络配置要求和带宽,请参阅网络终结点。

  • 若要支持连接器软件的自动更新,该服务器必须拥有对 Azure 更新服务的访问权限:

    • 端口:443
    • 终结点:autoupdate.msappproxy.net

  • 必须停用 增强安全配置

PKCS

PKCS) 证书模板 (私钥和公钥对的要求:

  • 必须将用于 PKCS 请求的证书模板配置为允许证书连接器服务帐户注册证书的权限。
  • 必须将证书模板添加到证书颁发机构 (CA)。

注意

支持 PKCS 的连接器的任何实例都可用于从 Intune 服务队列检索挂起的 PKCS 请求,处理导入的证书以及处理吊销请求。 无法定义处理每个请求的连接器。

因此,支持 PKCS 的每个连接器必须具有相同的权限,并且能够与稍后在 PKCS 配置文件中定义的所有证书颁发机构连接。

PKCS 导入的证书

要支持 PKCS 导入的证书,托管连接器的服务器需要进行其他配置,例如配置密钥存储提供程序访问权限以允许连接器服务用户检索密钥。

有关对 PKCS 导入证书的支持的信息,请参阅配置和使用导入的 PKCS 证书和Intune

吊销的先决条件

SCEP

若要支持简单证书注册协议 (SCEP) 证书,除常规先决条件外,托管连接器的 Windows Server 还必须满足以下 先决条件

  • IIS 7 或更高版本
  • 网络设备注册服务 (NDES) 服务,它是 Active Directory 认证服务角色的一部分。 不支持在证书颁发机构 (CA) 所在的同一服务器上使用该连接器。 有关详细信息,请参阅配置基础结构以使用 Intune 支持 SCEP

在 Windows Server 上,选择添加以下服务器角色和功能:

  • 服务器角色

    • Active Directory 证书服务
    • Web 服务器 (IIS)

  • 功能

    • .NET Framework 4.7 功能
      • .NET Framework 4.7
      • ASP.NET 4.7
      • WCF 服务
        • HTTP 激活

  • AD CS > 角色服务

    • 网络设备注册服务 - 对于使用 Microsoft CA 时连接器 SCEP,请安装并配置网络设备注册服务 (NDES) 服务器角色。 配置 NDES 时,需要分配一个用户帐户供 NDES 应用程序池使用。 NDES 也有其自身的要求。

  • Web 服务器角色 (IIS) > 角色服务

    • 安全性
      • 请求筛选
    • 应用程序开发
      • .NET Extensibility 4.7
      • ASP.NET 4.7
    • 管理工具
      • IIS 管理控制台
      • IIS 6 管理兼容性
        • IIS 6 元数据库兼容性
        • IIS 6 WMI 兼容性

    此外,NDES 还需要具有以下 .NET Framework 3.5 功能:

    • .NET Framework 3.5
    • HTTP 激活

SCEP 证书模板要求:

  • 用于 SCEP 请求的证书模板必须配置为允许证书连接器服务帐户自动注册证书的权限。
  • 必须将证书模板添加到 CA 中。

帐户

在安装证书连接器软件之前准备好以下帐户。

安装帐户

你可以使用在 Windows 服务器上具有本地管理权限的任何用户帐户来安装连接器软件。 如果使用 SCEP 和 Microsoft CA,还可使用此帐户来配置具有 NDES Windows 服务器角色的 Windows 服务器。

证书连接器服务帐户

证书连接器需要一个帐户用作服务帐户。 连接器使用此帐户访问 Windows 服务器、与 Intune 通信并访问证书颁发机构来服务 PKI 请求。

连接器服务帐户必须具有以下权限:

  • 以服务形式登录
  • 在证书颁发机构颁发和管理证书的权限(仅在吊销场景中需要)
  • 读取和注册用于颁发证书的任何证书模板的权限。
  • PFX 导入使用的密钥存储提供程序 (KSP) 的权限。 请参阅将 PFX 证书导入 Intune

支持将以下选项用作证书连接器服务帐户:

  • 系统
  • 域用户 - 使用充当 Windows Server 上的管理员的任何域用户帐户。

有关详细信息,请参阅安装 Microsoft Intune 证书连接器

NDES 应用程序池用户

若要将 SCEP 与 Microsoft CA 配合使用,需要在安装连接器之前将 NDES 添加到托管连接器的服务器。 配置 NDES 时,需要指定一个用作应用程序池用户的帐户,该帐户也可以称为 NDES 服务帐户。 此帐户可以是本地帐户或域用户帐户,并且必须具有以下权限:

  • 读取和注册用于颁发证书的每个 SCEP 证书模板的权限。
  • IIS_IUSRS 组的成员

有关为 Microsoft Intune 证书连接器配置 NDES 服务器角色的指南,请参阅“配置基础结构以支持在 Intune 中使用 SCEP”一文中的设置 NDES部分

Microsoft Entra用户

配置连接器时,需要使用以下用户帐户:是全局管理员或Intune 管理员,并且分配有Intune许可证。

后续步骤

安装 Microsoft Intune 证书连接器