通过

Microsoft Intune 的证书连接器

  • 项目

重要

从 2021 年 7 月 29 日开始, 用于Microsoft Intune的证书连接器将替换对 Microsoft IntuneMicrosoft Intune 连接器的PFX 证书连接器的使用。 新连接器包括先前两个连接器的功能。 对本文中所述的对先前连接器的支持已于 2021 年 9 月 22 日结束,并发布了适用于 Microsoft 的证书连接器版本 6.2109.51.0。

如果需要安装新连接器或重新安装连接器,请安装较新的 Microsoft Intune 证书连接器。 有关详细信息,请参阅 Microsoft Intune 证书连接器

为支持使用证书进行身份验证以及使用 S/MIME 对电子邮件进行签名和加密,Intune 要求使用证书连接器。 证书连接器是你在本地服务器上安装的软件。 连接器使云托管设备可以从本地基础结构(例如正在颁发证书的颁发机构)预配证书。

可用连接器

Intune 有两个证书连接器。 它们各有自己的用途和要求。

Microsoft Intune 的 PFX 证书连接器

PFX 证书连接器支持针对 PKCS #12 证书请求的证书部署,并处理对导入到 Intune 中的 PFX 文件的请求,从而为特定用户实现 S/MIME 电子邮件加密

提示

在此连接器的 8 月更新(版本 6.2008.60.607)之前,由 Intune 证书连接器处理 PKCS #12 证书请求。 在 8 月更新中,PFX 证书连接器中合并了所有 PKCS 证书请求的功能,该功能支持将连接器自动更新为新版本,并且要求使用 .NET Framework 4.7.2 版。

此连接器还支持以下三个平台,这些平台不受 Microsoft Intune 连接器支持:

  • Android Enterprise - 完全托管
  • Android Enterprise - 专用设备
  • Android Enterprise - 公司拥有的工作配置文件

Microsoft Intune 连接器的功能并未弃用,可以继续将其用于某些平台的 PKCS 证书配置文件。 但如果不使用 SCEP 或以其他方式要求使用 NDES,可以切换到 PFX 证书连接器并从服务器删除 NDES。

PFX 证书连接器

  • 为每个 Intune 租户支持此连接器的多个实例。 连接器的每个实例必须安装在 Windows Server 上,并且可以访问用于加密上传的 PFX 文件的密码的私钥。

    注意

    所有连接器都需要具有相同的权限,并且能够连接到在 PKCS 配置文件中稍后定义的所有证书颁发机构。

    此连接器的任何实例都可从 Intune 服务队列检索挂起的 PKCS 请求,因此无法定义哪个连接器处理每个请求。

    这同样适用于证书吊销。

  • 可以安装在托管 Microsoft Intune 连接器实例的服务器上。

  • 支持每个租户最多有此连接器的 100 个实例,每个实例位于不同的 Windows Server 上。 使用多个连接器时:

    • 在你的环境中,PFX 证书连接器的所有实例都应是相同的版本。
    • 基础结构支持冗余和负载均衡,因为任何可用连接器实例都可以处理证书请求。

  • 支持自动更新为新版本。 若要自动安装新版本,托管连接器的计算机必须在端口 443 上访问 autoupdate.msappproxy.net。 如果连接器未能自动更新,你可以手动更新连接器。

  • 支持证书吊销(需要连接器运行版本 6.2008.60.607 或更高版本)

  • 网络要求与受管理设备相同

    有关详细信息,请参阅 Microsoft Intune 的网络终结点Intune 网络配置要求和带宽

安装连接器的 Windows 服务器

  • 必须运行 Windows Server 2012 R2 或更高版本。
  • 运行 .NET 4.7.2 Framework。

若要安装 PFX 证书连接器

有关此连接器的安装指南,请参阅下载、安装和配置 PFX 证书连接器

Microsoft Intune 连接器

Microsoft Intune 连接器有时也称为 Microsoft Intune 证书连接器。 在你使用简单证书注册协议 (SCEP) 并具有 Active Directory 证书服务证书颁发机构 (CA) 时,此连接器支持证书部署。 这一类型的 CA 也称为 Microsoft CA

结合使用 SCEP 和 Microsoft CA 时,你还必须配置网络设备注册服务 (NDES)。 因此,此连接器通常称为 NDES 证书连接器

如果使用 第三方证书颁发机构,则无需使用此连接器,并且不需要 NDES。

Microsoft Intune 连接器

  • 支持颁发 SCEP 证书

  • 可用于向大多数设备平台(但不是全部)颁发 PKCS 证书。 此连接器不支持向以下平台颁发 PKCS 证书:

    • Android Enterprise - 完全托管
    • Android Enterprise - 专用设备
    • Android Enterprise - 公司拥有的工作配置文件

    若要支持这些平台,请使用 PFX 证书连接器,它支持向所有设备平台颁发 PKCS 证书。 如果不使用 SCEP,则可以卸载此连接器,并只使用 PFX 证书连接器。

    注意

    对于 PKCS,所有连接器都需要具有相同的权限,并且能够连接到在 PKCS 配置文件中稍后定义的所有证书颁发机构。

    此连接器的任何实例都可从 Intune 服务队列检索挂起的 PKCS 请求,因此无法定义哪个连接器处理每个请求。

    这同样适用于证书吊销。

  • 安装在还可以托管 PFX 证书连接器实例的 Windows 服务器上。

  • 支持每个租户最多有此连接器的 100 个实例,每个实例位于不同的 Windows Server 上。 使用多个连接器时:

    • 环境中 Microsoft Intune 连接器的所有实例都应为同一版本
    • 基础结构支持冗余和负载均衡,因为任何可用连接器实例都可以处理证书请求。

  • 需要手动更新才能安装新版连接器。 手动更新需要卸载当前的连接器,然后才能安装新版连接器。 不需要其他操作。

  • 支持美国联邦信息处理标准 (FIPS) 模式。 FIPS 不是必需的。 启用 FIPS 后,就可颁发和吊销证书。

  • 网络要求与受管理设备相同。

    有关详细信息,请参阅 Microsoft Intune 的网络终结点Intune 网络配置要求和带宽

安装连接器的 Windows 服务器

  • 必须运行 Windows Server 2012 R2 或更高版本。
  • 运行 .NET 4.5 Framework。 此连接器与 PFX 证书连接器安装在同一服务器上时,必须使用 .NET 4.7.2 Framework,这是 PFX 连接器的要求
  • 不能是托管正在颁发的证书颁发机构 (CA) 的服务器。
  • 与 Microsoft CA 一起用于 SCEP 时,需要能够访问运行 NDES 的服务器。 NDES 在 Windows 服务器上运行,并且可以与此连接器在同一服务器上运行。

如果 NDES 是必需的

  • 必须在托管 NDES 和 Microsoft Intune 连接器的服务器上禁用 Internet Explorer 增强型安全配置

  • 连接器需要其他配置才能与 NDES 通信。 你将找到安装和配置 NDES 的流程以及安装 Microsoft Intune 连接器的流程

    有关 NDES 的详细信息,请参阅网络设备注册服务指南

若要安装 Microsoft Intune 连接器

有关安装此连接器的指南,请参阅配置基础结构以支持在 Intune 中使用 SCEP

连接器生命周期

重要

从 2021 年 7 月 29 日开始,适用于 Microsoft Intune 的证书连接器取代了 Microsoft Intune 和 Microsoft Intune 连接器PFX 证书连接器的使用。 新连接器包括先前两个连接器的功能。

定期发布更新版的证书连接器。 新版连接器的公告显示在 Intune 的新增功能一文中,以及本文结尾处的连接器的新增功能部分中。

发布新版本后,弃用对旧版本的支持,可在有限的宽限期内继续使用旧版本。 宽限期到期时,终止对该弃用版本的支持,并且可能会随时停止运行。 宽限期为六个月。

计划尽快将连接器更新为最新版本。 每个连接器都有不同的更新路径:

  • Microsoft Intune 的 PFX 证书连接器 - 支持自动更新。
  • Microsoft Intune 连接器 - 需要手动更新。

自动更新

如果受连接器类型和环境支持,Intune 可以在发布该连接器版本后立即将连接器自动更新为最新版本。

若要自动更新,托管连接器的服务器必须访问 Azure 更新服务

  • 端口:443
  • 终结点:autoupdate.msappproxy.net

如果防火墙、基础结构或网络配置限制自动更新,请解决阻塞性问题或将连接器手动更新为新版本。

手动更新

手动更新证书连接器的流程与重新安装连接器的流程相同。

即使证书连接器支持自动更新,你也可以手动更新。 例如,当网络配置阻止自动更新时,可以手动更新连接器。

重新安装证书连接器

  1. 在托管连接器的 Windows 服务器上,使用“Windows 应用和功能”卸载连接器

  2. 若要安装新版本,请按以下流程安装新版连接器。 安装较新版本的连接器时,请务必检查是否有任何新增的或更新的先决条件:

连接器状态

在Microsoft Intune管理中心,可以选择证书连接器以查看其状态信息:

  1. 登录到 Microsoft Intune 管理中心

  2. 转到“租户管理”>“连接器和令牌”>“证书连接器”

  3. 选择连接器以查看其状态。

查看连接器状态时:

  • 已弃用的连接器旁边将显示警告。 六个月的宽限期到期后,该警告将变为错误。
  • 超出宽限期的连接器将显示错误。 这些连接器不再受支持,并且随时可能停止工作。

日志记录

从连接器版本 6.2101.13.0 开始提供以下日志记录详细信息

PFX 证书连接器的日志作为安装连接器的服务器上的事件日志提供:

  • “事件查看器”>“应用程序和服务日志”>“Microsoft”>“Intune”>“证书连接器”

以下日志可用,默认为 50 MB,已启用自动存档:

  • 管理员日志 - 此日志对于每个连接器请求都包含一个日志事件。 事件包含成功的请求信息,或包含失败的请求信息及错误
  • 操作日志 - 该日志显示的信息比管理员日志中的信息多,可用于调试问题。 此日志还会显示 PFX 证书连接器的正在进行的操作,而不是单个事件。

事件 ID

所有事件都具有以下 ID 之一:

  • 0001-0999 - 未与任何特定方案关联
  • 1000-1999 - PKCS
  • 2000-2999 - PKCS 导入
  • 3000-3999 - 撤销

任务类别

所有事件都带有任务类别标记,以帮助进行筛选。 任务类别包含但不限于以下列表:

PKCS

  • 管理员
    • PkcsRequestSuccess - 成功完成 PKCS 请求并将其上传到了 Intune
    • PkcsRequestFailure - 未能完成 PKCS 请求或未能将其上传到 Intune
  • 操作
    • PkcsDownloadSuccess - 成功从 Intune 下载了 PKCS 请求
    • PkcsDownloadFailure - 从 Intune 下载 PKCS 请求时出错
    • PkcsDownloadedRequest - 从 Intune 下载的单个请求的详细信息
    • PkcsIssuedSuccess - 已为请求颁发证书
    • PkcsIssuedFailedAttempt - 为请求颁发证书时出错
    • PkcsIssuedFailure - 未能为请求颁发证书
    • PkcsUploadSuccess - 已上传到 Intune 的成功请求的详细信息
    • PkcsUploadFailure - 将请求上传到 Intune
    • PkcsUploadedRequest - 向 Intune 上传的请求的详细信息

PKCS 导入

  • 管理员
    • PkcsImportRequestSuccess - 已成功从 Intune 下载 PKCS 导入请求
    • PkcsImportRequestFailure - 从 Intune 下载 PKCS 导入请求时出错
  • 操作
    • PkcsImportDownloadSuccess -已成功从 Intune 下载 PKCS 导入请求
    • PkcsImportDownloadFailure - 从 Intune 下载 PKCS 导入请求时出错
    • PkcsImportDownloadedRequest - 从 Intune 下载的单个请求的详细信息
    • PkcsImportReencryptSuccess - 重新加密导入的证书
    • PkcsImportReencryptFailedAttempt - 重新加密导入的证书时出错
    • PkcsImportReencryptFailure - 无法对导入的证书进行重新加密
    • PkcsImportUploadFailure - 将请求上传到 Intune 时出错
    • PkcsImportUploadedRequest - 向 Intune 上传的请求的详细信息

吊销

  • 管理员
    • RevokeRequestSuccess - 已成功从 Intune 下载吊销请求
    • RevokeRequestFailure - 从 Intune 下载吊销请求时出错
  • 操作
    • RevokeDownloadSuccess - 已成功从 Intune 下载吊销请求
    • RevokeDownloadFailure - 从 Intune 下载吊销请求时出错
    • RevokeDownloadedRequest - 从 Intune 下载的单个请求的详细信息
    • RevokeSuccess - 已成功撤销证书
    • RevokeFailure - 撤销证书时出错
    • RevokeFailedAttempt - 未能撤销证书
    • RevokeUploadSuccess - 已上传到 Intune 的成功请求的详细信息
    • RevokeUploadFailure - 将请求上传到 Intune 时出错
    • RevokeUploadedRequest - 向 Intune 上传的请求的详细信息

连接器的新增功能

我们将定期发布这两个证书连接器的更新。 更新连接器时,你可以在此处阅读有关更改的信息。

重要

从 2022 年 4 月开始,将弃用低于 版本 6.2101.13.0 的证书连接器,并显示 错误状态。 此状态不会影响功能。 从 2022 年 6 月开始,此类连接器将无法颁发证书。 有关移动到新 Microsoft 证书连接器 的详细信息,请参阅本文开头的说明。

PFX 证书连接器版本历史记录

用于Microsoft Intune的 PFX 证书连接器支持自动更新

2021 年 3 月 10 日

版本 6.2101.16.0。 - 此版本中的更改:

  • 改进了 PFX Create 流,以防止在托管连接器的本地服务器上复制证书请求文件。

2021 年 2 月 24 日

版本 6.2101.13.0。 此新连接器版本为 PFX 连接器增加了日志记录方面的改进

  • 事件日志的新位置,其中日志划分为管理员日志、操作日志和调试日志
  • 管理员日志和操作日志默认为 50 MB 并已启用自动存档功能。
  • PKCS 导入、PKCS 创建和吊销的 EventID。

2021 年 1 月 26 日

版本 6.2009.2.0 - 此版本中的更改:

  • 改进连接器的升级,以持久保存运行连接器服务的帐户。

2021 年 1 月 15 日

版本 6.2009.1.9 - 此版本中的更改:

  • 对连接器证书续订的改进。

2020 年 10 月 2 日

版本 6.2008.60.612 - 此版本中的更改:

  • 修复了在将 PKCS 证书传递到 Android Enterprise 完全托管设备的过程中出现的问题。 此问题为要求必须使用旧版的加密密钥存储提供程序 (KSP)。 现在也可以使用下一代加密技术 (CNG) 密钥存储提供程序。
  • 对 PFX 证书连接器的 CA 帐户的更改:你指定的用户名和密码(凭据)现在用于颁发证书和吊销证书。 以前,这些凭据只用于吊销证书。

Microsoft Intune 连接器版本历史记录

2019 年 4 月 2日

版本 6.1904.1.0 - 此版本中的更改:

  • 解决了使用全局管理员帐户登录连接器后连接器可能无法注册到 Intune 的问题。
  • 包括证书吊销的可靠性修补程序。
  • 包括性能修补程序,以提高处理 PKCS 证书请求的速度。

后续步骤

为要使用的每个平台创建 SCEP、PKCS 或 PKCS 导入的证书配置文件。 请参阅以下文章进一步了解: