Konektory certifikátů pro Microsoft Intune

  • Článek

Důležité

Od 29. července 2021 certificate Connector pro Microsoft Intune nahrazuje používání konektoru CERTIFIKÁTU PFX pro Microsoft Intune a Microsoft Intune Connector. Nový konektor zahrnuje funkce obou předchozích konektorů. Podpora předchozích konektorů popsaných v tomto článku skončila 22. 9. 2021 vydáním verze 6.2109.51.0 certificate Connectoru pro Microsoft.

Pokud potřebujete nainstalovat nový certificate connector nebo přeinstalovat konektor, nainstalujte novější Certificate Connector pro Microsoft Intune. Další informace najdete v tématu Certificate Connector pro Microsoft Intune.

Pro podporu používání certifikátů pro ověřování a podepisování a šifrování e-mailů pomocí S/MIME vyžaduje Intune použití konektoru certifikátu. Certificate Connector je software, který nainstalujete na místní server. Konektor umožňuje zařízením spravovaným v cloudu zřizovat certifikáty z místní infrastruktury, jako je vydávající certifikační autorita.

Dostupné konektory

Pro Intune existují dva konektory certifikátů. Každý z nich má své vlastní použití a požadavky.

Konektor certifikátu PFX pro Microsoft Intune

Konektor certifikátu PFX podporuje nasazení certifikátu pro žádosti o certifikáty PKCS #12 a zpracovává požadavky na soubory PFX importované do Intune pro šifrování e-mailu S/MIME pro konkrétního uživatele.

Tip

Před srpnovou aktualizací tohoto konektoru (verze 6.2008.60.607) se žádosti o certifikáty PKCS #12 zpracovávaly pomocí Intune Certificate Connectoru. Se srpnovou aktualizací byly funkce pro všechny žádosti o certifikát PKCS konsolidovány v konektoru certifikátu PFX, který podporuje automatickou aktualizaci konektoru na nové verze a vyžaduje použití rozhraní .NET Framework verze 4.7.2.

Tento konektor také podporuje následující tři platformy, které nejsou podporovány prostřednictvím konektoru Microsoft Intune:

  • Android Enterprise – plně spravovaná
  • Android Enterprise – Dedicated
  • Android Enterprise – pracovní profil Corporate-Owned

Funkce konektoru Microsoft Intune nejsou zastaralé a u některých platforem ho můžete dál používat s profily certifikátů PKCS. Pokud ale nepoužíváte SCEP nebo potřebujete použít NDES jinak, můžete přepnout na konektor CERTIFIKÁTU PFX a odebrat NDES ze serverů.

Konektor certifikátu PFX:

  • Podporuje více instancí tohoto konektoru pro každého tenanta Intune. Každá instance konektoru se musí nainstalovat na Windows Server a mít přístup k privátnímu klíči používanému k šifrování hesel nahraných souborů PFX.

    Poznámka

    Všechny konektory musí mít stejná oprávnění a musí být schopné se připojit ke všem certifikačním autoritám definovaným později v profilech PKCS.

    Jakákoli instance tohoto konektoru může načíst čekající požadavky PKCS z fronty služby Intune, proto není možné definovat, který konektor zpracovává jednotlivé požadavky.

    Totéž platí pro odvolání certifikátu.

  • Lze nainstalovat na stejný server, který je hostitelem instance konektoru Microsoft Intune.

  • Podporuje až 100 instancí tohoto konektoru na tenanta, přičemž každá instance je na samostatném serveru Windows. Pokud používáte více konektorů:

    • Všechny instance konektoru certifikátu PFX ve vašem prostředí by měly mít stejnou verzi.
    • Vaše infrastruktura podporuje redundanci a vyrovnávání zatížení, protože všechny dostupné instance konektoru mohou zpracovávat vaše žádosti o certifikáty.

  • Podporuje automatické aktualizace nových verzí. Pokud chcete automaticky nainstalovat nové verze, musí počítač, který je hostitelem konektoru, kontaktovat autoupdate.msappproxy.net na portu 443. Pokud se konektor automaticky neaktualizuje, můžete ho aktualizovat ručně.

  • Podporuje odvolání certifikátu (vyžaduje konektor verze 6.2008.60.607 nebo novější).

  • Má stejné požadavky na síť jako spravovaná zařízení

    Další informace najdete v tématech Koncové body sítě pro Microsoft Intune a Požadavky na konfiguraci sítě Intune a šířku pásma.

Server Windows, na kterém se konektor instaluje:

  • Musí běžet Windows Server 2012 R2 nebo novější.
  • Spusťte rozhraní .NET 4.7.2 Framework.

Instalace konektoru certifikátu PFX:

Pokyny k instalaci tohoto konektoru najdete v tématu Stažení, instalace a konfigurace konektoru certifikátu PFX.

konektor Microsoft Intune

Microsoft Intune Connector se někdy označuje jako Microsoft Intune Certificate Connector. Tento konektor podporuje nasazení certifikátů, pokud používáte protokol SCEP ( Simple Certificate Enrollment Protocol ) a máte certifikační autoritu (CA) služby Active Directory Certificate Services. Tento typ certifikační autority se také označuje jako certifikační autorita Microsoftu.

Pokud používáte SCEP s certifikační autoritou Microsoftu, musíte také nakonfigurovat Službu zápisu síťových zařízení (NDES). Z tohoto důvodu se tento konektor často označuje jako NDES Certificate Connector.

Pokud používáte certifikační autoritu třetí strany, nemusíte tento konektor používat a NDES se nevyžaduje.

Konektor Microsoft Intune:

  • Podporuje vydávání certifikátů SCEP.

  • Dá se použít k vydávání certifikátů PKCS pro většinu platforem zařízení, ale ne pro všechny. Tento konektor nepodporuje vydávání certifikátů PKCS pro:

    • Android Enterprise – plně spravovaná
    • Android Enterprise – Dedicated
    • Android Enterprise – pracovní profil Corporate-Owned

    Pokud chcete tyto platformy podporovat, použijte konektor CERTIFIKÁTU PFX, který podporuje vydávání certifikátů PKCS pro všechny platformy zařízení. Pokud nepoužíváte SCEP, můžete tento konektor odinstalovat a používat pouze konektor certifikátu PFX.

    Poznámka

    U pkcs musí mít všechny konektory stejná oprávnění a musí být schopné se připojit ke všem certifikačním autoritám definovaným později v profilech PKCS.

    Jakákoli instance tohoto konektoru může načíst čekající požadavky PKCS z fronty služby Intune, proto není možné definovat, který konektor zpracovává jednotlivé požadavky.

    Totéž platí pro odvolání certifikátu.

  • Nainstaluje se na server Windows, který může také hostovat instanci konektoru certifikátu PFX.

  • Podporuje až 100 instancí tohoto konektoru na tenanta, přičemž každá instance je na samostatném serveru Windows. Pokud používáte více konektorů:

    • Všechny instance konektoru Microsoft Intune ve vašem prostředí by měly mít stejnou verzi.
    • Vaše infrastruktura podporuje redundanci a vyrovnávání zatížení, protože všechny dostupné instance konektoru mohou zpracovávat vaše žádosti o certifikáty.

  • K instalaci nové verze konektoru se vyžaduje ruční aktualizace . Ruční aktualizace vyžaduje odinstalaci aktuálního konektoru a následnou instalaci nové verze konektoru. Další akce by se neměly vyžadovat.

  • Podporuje režim FIPS (Federal Information Processing Standard ). FIPS se nevyžaduje. Pokud je funkce FIPS povolená, můžete vystavovat a odvolávat certifikáty.

  • Má stejné požadavky na síť jako spravovaná zařízení.

    Další informace najdete v tématech Koncové body sítě pro Microsoft Intune a Požadavky na konfiguraci sítě Intune a šířku pásma.

Server Windows, na kterém se konektor instaluje:

  • Musí běžet Windows Server 2012 R2 nebo novější.
  • Spusťte rozhraní .NET 4.5 Framework. Když se tento konektor nainstaluje na stejný server jako konektor certifikátu PFX, musíte použít rozhraní .NET 4.7.2 Framework, které konektor PFX vyžaduje.
  • Nemůže to být stejný server, který je hostitelem vaší vydávající certifikační autority (CA).
  • Pokud se používá pro SCEP s certifikační autoritou Microsoftu, vyžaduje přístup k serveru, na kterém běží NDES. NDES běží na windows serveru a může běžet na stejném serveru jako tento konektor.

Pokud se vyžaduje NDES:

Instalace konektoru Microsoft Intune:

Pokyny k instalaci tohoto konektoru najdete v tématu Konfigurace infrastruktury pro podporu SCEP s Intune.

Životní cyklus konektoru

Důležité

Od 29. července 2021 nahrazuje Certificate Connector pro Microsoft Intune použití konektoru CERTIFIKÁTU PFX pro Microsoft Intune a Microsoft Intune Connector. Nový konektor zahrnuje funkce obou předchozích konektorů.

Pravidelně se vydávají aktualizované verze konektorů certifikátů. Oznámení o nových verzích konektorů se zobrazí v článku Co je nového pro Intune a v části Co je nového pro konektory na konci tohoto článku.

Při vydání nové verze je podpora předchozí verze vyřazena s omezenou lhůtou odkladu pro její další používání. Po uplynutí období odkladu podpora této zastaralé verze skončí a může kdykoli přestat fungovat. Období odkladu je šest měsíců.

Při první příležitosti naplánujte aktualizaci konektoru na nejnovější verzi. Každý konektor má jinou cestu aktualizace:

  • Konektor certifikátu PFX pro Microsoft Intune – podporuje automatické aktualizace.
  • Microsoft Intune Connector – vyžaduje ruční aktualizaci.

Automatická aktualizace

Pokud to podporuje typ konektoru a vaše prostředí, intune může konektor automaticky aktualizovat na nejnovější verzi krátce po vydání této verze konektoru.

Aby se server, který je hostitelem konektoru, aktualizoval automaticky, měl přístup ke službě Azure Update Service:

  • Port: 443
  • Koncový bod: autoupdate.msappproxy.net

Pokud brány firewall, infrastruktura nebo konfigurace sítě omezují přístup k automatickým aktualizacím, vyřešte problémy s blokováním nebo ručně aktualizujte konektor na novou verzi.

Ruční aktualizace

Postup ruční aktualizace konektoru certifikátu je stejný jako při přeinstalaci konektoru.

Konektor certificate můžete ručně aktualizovat, i když podporuje automatické aktualizace. Konektor můžete například ručně aktualizovat, když konfigurace sítě blokuje automatickou aktualizaci.

Přeinstalace konektoru certifikátu

  1. Na serveru Windows, který je hostitelem konektoru, odinstalujte konektor pomocí aplikací a funkcí pro Windows .

  2. Pokud chcete nainstalovat novou verzi, použijte postup k instalaci nové verze konektoru. Při instalaci novější verze konektoru nezapomeňte zkontrolovat všechny nové nebo aktualizované požadavky:

Stav konektoru

V Centru pro správu Microsoft Intune můžete vybrat konektor certificate a zobrazit informace o jeho stavu:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte nastránku Správa tenanta – Konektory a tokeny– Konektory> certifikátů.>

  3. Výběrem konektoru zobrazíte jeho stav.

Při zobrazení stavu konektoru:

  • Zastaralé konektory se zobrazí s upozorněním. Po uplynutí šestiměsíční lhůty se upozornění změní na Chybu.
  • U konektorů, které jsou nad rámec odkladu, se zobrazí chyba. Tyto konektory už nejsou podporované a můžou kdykoli přestat fungovat.

Protokolování

Od verze konektoru 6.2101.13.0 jsou k dispozici následující podrobnosti protokolování.

Protokoly pro konektor CERTIFIKÁTU PFX jsou k dispozici jako protokoly událostí na serveru, na kterém je konektor nainstalovaný:

  • > Prohlížeč událostí Aplikace a protokoly> služebMicrosoft>Intune>Certificate Connectors

K dispozici jsou následující protokoly s výchozím nastavením 50 MB s povolenou automatickou archivací:

  • Správa protokol – Tento protokol obsahuje jednu událost protokolu na každý požadavek na konektor. Mezi události patří buď úspěch s informacemi o požadavku, nebo chyba s informacemi o požadavku a chybě.
  • Provozní protokol – tento protokol zobrazuje další informace, než jsou v protokolu Správa, a můžou být využité při ladění problémů. Tento protokol také zobrazuje probíhající operace pro konektor certifikátu PFX místo jednotlivých událostí.

ID událostí

Všechny události mají jedno z následujících ID:

  • 0001-0999 – Nepřidružuje se k žádnému konkrétnímu scénáři.
  • 1000-1999 - PKCS
  • 2000-2999 - Import PKCS
  • 3000-3999 - Odvolání

Kategorie úkolů

Všechny události jsou označeny kategorií úkolů, která pomáhá při filtrování. Kategorie úkolů obsahují mimo jiné následující seznam:

PKCS

  • Správce
    • PkcsRequestSuccess – Úspěšně se splnila a nahrála žádost PKCS do Intune.
    • PkcsRequestFailure – Nepodařilo se splnit nebo nahrát žádost PKCS do Intune.
  • Operační
    • PkcsDownloadSuccess – Žádosti PKCS se z Intune úspěšně stáhly.
    • PkcsDownloadFailure – Při stahování požadavků PKCS z Intune došlo k chybě.
    • PkcsDownloadedRequest – podrobnosti o jedné stažené žádosti z Intune.
    • PkcsIssuedSuedSuccess – vystavil certifikát pro žádost.
    • PkcsIssuedFailedAttempt – Při vystavování certifikátu pro žádost došlo k chybě.
    • PkcsIssuedFailure – Nepodařilo se vydat certifikát pro žádost.
    • PkcsUploadSuccess – podrobnosti o úspěšném požadavku, který se nahrál do Intune.
    • PkcsUploadFailure – Při nahrávání požadavků do Intune došlo k chybě.
    • PkcsUploadedRequest – podrobnosti o nahraném požadavku do Intune.

PKCS Import

  • Správce
    • PkcsImportRequestSuccess – z Intune se úspěšně stáhly žádosti o import PKCS.
    • PkcsImportRequestFailure – Při stahování žádostí o import PKCS z Intune došlo k chybě.
  • Operační
    • PkcsImportDownloadSuccess – z Intune se úspěšně stáhly žádosti o import PKCS.
    • PkcsImportDownloadFailure – Při stahování žádostí o import PKCS z Intune došlo k chybě.
    • PkcsImportDownloadedRequest – podrobnosti o jedné stažené žádosti z Intune.
    • PkcsImportReencryptSuccess – opětovné šifrování importovaného certifikátu
    • PkcsImportReencryptFailedAttempt – při opětovném šifrování importovaného certifikátu došlo k chybě.
    • PkcsImportReencryptFailure – Nepodařilo se znovu zašifrovat importovaný certifikát.
    • PkcsImportUploadFailure – Při nahrávání požadavků do Intune došlo k chybě.
    • PkcsImportUploadedRequest – podrobnosti o nahraném požadavku do Intune.

Odvolání

  • Správce
    • RevokeRequestSuccess – Žádosti o odvolání se z Intune úspěšně stáhly.
    • RevokeRequestFailure – Při stahování žádostí o odvolání z Intune došlo k chybě.
  • Operační
    • RevokeDownloadSuccess – Žádosti o odvolání se z Intune úspěšně stáhly.
    • RevokeDownloadFailure – Při stahování žádostí o odvolání z Intune došlo k chybě.
    • RevokeDownloadedRequest – podrobnosti o jedné stažené žádosti z Intune.
    • RevokeSuccess – certifikát se úspěšně odvolal.
    • RevokeFailure – Při odvolávání certifikátu došlo k chybě.
    • RevokeFailedAttempt – Nepodařilo se odvolat certifikát.
    • RevokeUploadSuccess – podrobnosti o úspěšném nahrání požadavku do Intune.
    • RevokeUploadFailure – při nahrávání požadavků do Intune došlo k chybě.
    • RevokeUploadedRequest – podrobnosti o nahraném požadavku do Intune.

Novinky pro konektory

Aktualizace pro oba konektory certifikátů se vydávají pravidelně. Když aktualizujeme konektor, můžete si o změnách přečíst tady.

Důležité

Od dubna 2022 budou konektory certifikátů starší než verze 6.2101.13.0 zastaralé a budou zobrazovat stav Chyba. Tento stav nemá vliv na funkčnost. Od června 2022 nebudou tyto konektory moct vystavovat certifikáty. Podrobnosti o přechodu na nový Certificate Connector pro Microsoft najdete v poznámce na začátku tohoto článku.

Historie verzí konektoru certifikátu PFX

Konektor certifikátu PFX pro Microsoft Intunepodporuje automatické aktualizace.

úterý 10. března 2021

Verze 6.2101.16.0. - Změny v této verzi:

  • Vylepšení toku vytváření PFX, aby se zabránilo duplikování souborů žádostí o certifikát na místních serverech, které jsou hostiteli konektoru.

středa 24. února 2021

Verze 6.2101.13.0. Tato nová verze konektoru přidává vylepšení pro protokolování do konektoru PFX:

  • Nové umístění pro protokoly událostí s protokoly rozdělenými na Správa, provozní & ladění
  • Správa & Operační protokoly ve výchozím nastavení 50 MB – s povolenou automatickou archivací.
  • Identifikátory událostí pro import PKCS, vytvoření a odvolání PKCS.

úterý 26. ledna 2021

Verze 6.2009.2.0 – změny v této verzi:

  • Zlepšuje upgrade konektoru, aby se zachovaly účty, na kterých běží služby Connector Services.

úterý 15. ledna 2021

Verze 6.2009.1.9 – změny v této verzi:

  • Vylepšení obnovení certifikátu konektoru

úterý 2. října 2020

Verze 6.2008.60.612 – změny v této verzi:

  • Opravili jsme problém s doručováním certifikátů PKCS do plně spravovaných zařízení s Androidem Enterprise. Tento problém vyžadoval, aby zprostředkovatel kryptografického úložiště klíčů (KSP) byl starším poskytovatelem. Teď můžete použít také poskytovatele úložiště kryptografických klíčů nové generace (CNG).
  • Změny karty Účet certifikační autority konektoru certifikátu PFX: Uživatelské jméno a heslo (přihlašovací údaje), které zadáte, se teď používají k vydávání certifikátů a odvolávání certifikátů. Dříve se tyto přihlašovací údaje používaly jenom pro odvolání certifikátu.

Historie vydaných verzí konektoru Microsoft Intune

úterý 2. dubna 2019

Verze 6.1904.1.0 – změny v této verzi:

  • Opravili jsme problém, kdy se po přihlášení ke konektoru pomocí účtu globálního správce nepovede zaregistrovat konektor do Intune.
  • Zahrnuje opravy spolehlivosti odvolání certifikátů.
  • Zahrnuje opravy výkonu, které zvyšují rychlost zpracování žádostí o certifikáty PKCS.

Další kroky

Vytvořte profily importovaných certifikátů SCEP, PKCS nebo PKCS pro každou platformu, kterou chcete použít. Pokud chcete pokračovat, přečtěte si následující články: