Požadavky na Certificate Connector pro Microsoft Intune

  • Článek

Než nainstalujete a nakonfigurujete Certificate Connector pro Microsoft Intune, projděte si požadavky a požadavky na infrastrukturu, které se můžou lišit v závislosti na funkcích, které nakonfigurujete pro podporu instance konektoru.

Obecné požadavky

Požadavky na počítač, na který instalujete software konektoru:

PKCS

Požadavky na šablony certifikátů PKCS:

  • Šablony certifikátů, které budete používat pro požadavky PKCS, musí být nakonfigurované s oprávněními, která umožňují účtu služby Certificate Connector zaregistrovat certifikát.
  • Šablony certifikátů musí být přidány do certifikační autority (CA).

Poznámka

Libovolnou instanci konektoru, která podporuje pkcs, můžete použít k načtení čekajících požadavků PKCS z fronty služby Intune, zpracování importovaných certifikátů a zpracování žádostí o odvolání. Není možné definovat, který konektor zpracovává jednotlivé požadavky.

Proto každý konektor, který podporuje pkcs, musí mít stejná oprávnění a musí být schopný se připojit ke všem certifikačním autoritami definovaným později v profilech PKCS.

Importované certifikáty PKCS

Kvůli podpoře importovaných certifikátů PKCS vyžaduje server, který je hostitelem konektoru, další konfigurace, například konfiguraci přístupu poskytovatele úložiště klíčů, aby uživatel služby konektoru mohl načítat klíče.

Informace o podpoře importovaných certifikátů PKCS najdete v tématu Konfigurace a použití importovaných certifikátů PKCS v Intune.

Požadavky na odvolání

SCEP

Windows Server, který je hostitelem konektoru, musí kromě obecných požadavků splňovat následující požadavky:

  • IIS 7 nebo novější
  • Služba NDES (Network Device Enrollment Service), která je součástí role služby Active Directory Certification Services. Konektor není podporovaný na stejném serveru jako vaše vydávající certifikační autorita (CA). Další informace najdete v tématu Konfigurace infrastruktury pro podporu SCEP s Intune.

Na Windows Serveru nakonfigurujte následující role a funkce serveru:

  • Role serveru:

    • Active Directory Certificate Services
    • Webový server (IIS)

  • Funkce:

    • Funkce rozhraní .NET Framework 4.7
      • .NET Framework 4.7
      • ASP.NET 4,7
      • Služby WCF
        • Aktivace protokolem HTTP

  • AD CS > Služby rolí:

    • Služba zápisu síťových zařízení – Pro konektor SCEP při použití certifikační autority Microsoftu nainstalujte a nakonfigurujte roli serveru NDES ( Network Device Enrollment Service ). Při konfiguraci NDES budete muset přiřadit uživatelský účet, který bude používat fond aplikací NDES. NDES má také své vlastní požadavky.

  • Role webového serveru (IIS) > Služby rolí:

    • Zabezpečení
      • Filtrování požadavků
    • Vývoj aplikací
      • Rozšiřitelnost .NET 4.7
      • ASP.NET 4,7
    • Nástroje pro správu
      • Konzola pro správu služby IIS
      • Kompatibilita správy služby IIS 6
        • Kompatibilita metabáze služby IIS 6
        • Kompatibilita rozhraní WMI služby IIS 6

    Kromě toho NDES vyžaduje funkce following.NET Framework 3.5:

    • .NET Framework 3.5
    • Aktivace protokolem HTTP

Požadavky na šablony certifikátů SCEP:

  • Šablony certifikátů, které budete používat pro požadavky SCEP, musí být nakonfigurované s oprávněními, která účtu služby Certificate Connector umožní automaticky zaregistrovat certifikát.
  • Šablony certifikátů musí být přidány do certifikační autority.

Účty

Před instalací softwaru certificate connectoru připravte následující účty.

Instalační účet

K instalaci softwaru konektoru můžete použít libovolný uživatelský účet, který má na Windows Serveru oprávnění místního správce. Stejný účet můžete použít ke konfiguraci Windows Serveru s rolí serveru NDES systému Windows, pokud použijete SCEP a certifikační autoritu Microsoftu.

Účet služby Certificate Connector

Certificate Connector vyžaduje účet, který se má použít jako účet služby. Tento účet používá konektor pro přístup k Windows Serveru, komunikaci s Intune a přístup k certifikační autoritě pro obsluhu požadavků PKI.

Účet služby konektoru musí mít následující oprávnění:

  • Přihlásit se jako služba
  • Vydávání a správa oprávnění certifikátů u certifikační autority (vyžadováno pouze pro scénáře odvolání).
  • Oprávnění ke čtení a zápisu u jakékoli šablony certifikátu, kterou použijete k vydávání certifikátů.
  • Oprávnění k poskytovateli úložiště klíčů (KSP), který se používá při importu PFX. Viz Import certifikátů PFX do Intune.

Jako účet služby Certificate Connector se podporují následující možnosti:

  • SYSTÉMU
  • Uživatel domény – Použijte libovolný účet uživatele domény, který je správcem windows serveru.

Další informace najdete v tématu Instalace Certificate Connectoru pro Microsoft Intune.

Uživatel fondu aplikací NDES

Pokud chcete používat SCEP s certifikační autoritou Microsoftu, budete muset před instalací konektoru přidat NDES na server, který je hostitelem konektoru. Při konfiguraci NDES budete muset zadat účet pro použití jako uživatel fondu aplikací, který se může také označovat jako účet služby NDES. Tento účet může být místní nebo doménový uživatelský účet a musí mít následující oprávnění:

  • Oprávnění ke čtení a zápisu u každé šablony certifikátu SCEP, kterou použijete k vydávání certifikátů.
  • Člen skupiny IIS_IUSRS .

Pokyny ke konfiguraci role serveru NDES pro Certificate Connector pro Microsoft Intune najdete v tématu Nastavení NDES v tématu Konfigurace infrastruktury pro podporu SCEP s Intune.

Microsoft Entra uživatel

Při konfiguraci konektoru budete muset použít uživatelský účet, který je globální Správa nebo intune Správa a má přiřazenou licenci Intune.

Další kroky

Instalace Certificate Connectoru pro Microsoft Intune