Teilen über


Microsoft Intune Certificate Connector

Damit Microsoft Intune Zertifikate für die Authentifizierung und die Signierung und Verschlüsselung von E-Mails mit S/MIME unterstützt, können Sie den Microsoft Intune Certificate Connector verwenden. Der Zertifikatconnector ist eine Software, die Sie auf einem lokalen Server installieren, um Zertifikate für Ihre mit Intune verwalteten Geräte bereitzustellen und zu verwalten.

In diesem Artikel erhalten Sie eine Einführung in den Microsoft Intune Certificate Connector, seinen Lebenszyklus und das Updateverhalten.

Tipp

Ab dem 29. Juli 2021 ersetzt der Zertifikatsconnector für Microsoft Intune den PFX-Zertifikatsconnector für Microsoft Intune und den Microsoft Intune-Connector. Der neue Connector umfasst die Funktionen beider früheren Connectors. Mit der Veröffentlichung von Version 6.2109.51.0 des Zertifikatconnectors für Microsoft werden frühere Connectors nicht mehr unterstützt.

Connectorübersicht

Um den Zertifikatconnector zu verwenden, laden Sie zuerst Software aus dem Microsoft Intune Admin Center herunter, das Sie dann auf einem Windows Server installieren.

Während der Installation können Sie eines oder mehrere Connectorfeatures installieren, einschließlich der Unterstützung für:

  • PKCS-Zertifikate (Schlüsselpaar mit öffentlichem und privatem Schlüssel)
  • Importierte PKCS-Zertifikate
  • Simple Certificate Enrollment-Protokoll (SCEP)
  • Zertifikatssperrung

Außerdem weisen Sie ein Dienstkonto zu, um den Connector ausführen zu können. Dieses Konto wird für alle Interaktionen mit Ihrer Zertifizierungsstelle sowie für die Ausstellung, Sperrung und Erneuerung von Zertifikaten verwendet. Zu den unterstützten Optionen für das Dienstkonto zählen das SYSTEM-Konto des Connectorservers oder ein Domänenkonto.

Nach der Installation des Connectors können Sie das Konfigurationsprogramm für den Connector jederzeit ausführen, um ihn zu aktualisieren oder die installierten Features zu ändern. Nach der Installation und Konfiguration kann der Connector zukünftige Updates automatisch installieren, um Ihre Connectors auf dem Stand des neuesten Release zu halten.

Intune unterstützt die Installation mehrerer Instanzen des Connectors in einem Mandanten, und für jede Instanz können verschiedene Features aktiviert werden. Wenn Sie mehrere Connectors mit unterschiedlichen Features verwenden, werden Zertifikatanforderungen immer an einen relevanten Connector weitergeleitet. Wenn Sie beispielsweise zwei Connectors installieren, die PKCS unterstützen, und zwei weitere, die sowohl PKCS als auch SCEP unterstützen, können Zertifikattasks für PKCS von jedem der vier Connectors verwaltet werden. Tasks für SCEP werden jedoch nur an die beiden Connectors geleitet, die SCEP unterstützen.

Jede Instanz des Zertifikatconnectors hat dieselben Netzwerkanforderungen wie die Geräte, die von Intune verwaltet werden. Weitere Informationen finden Sie unter Netzwerkendpunkte für Microsoft Intune und Anforderungen an die Intune-Netzwerkkonfiguration und Bandbreite.

Funktionsumfang des Zertifikatconnectors

Der Microsoft Intune Certificate Connector unterstützt:

  • PKCS #12-Zertifikatanforderungen

  • Importierte PKCS-Zertifikate (PFX-Datei) für die E-Mail-Verschlüsselung mit S/MIME für einen bestimmten Benutzer

  • Die Ausstellung von SCEP-Zertifikaten (Simple Certificate Enrollment-Protokoll): Wenn Sie eine Zertifizierungsstelle der Active Directory-Zertifikatdienste (auch als Microsoft-ZS bezeichnet) verwenden, müssen Sie auch den Registrierungsdienst für Netzwerkgeräte auf dem Server konfigurieren, auf dem der Connector gehostet wird.

    Wenn Sie SCEP mit einer Drittanbieter-Zertifizierungsstelle verwenden, benötigen Sie den Microsoft Intune Certificate Connector nicht.

  • Zertifikatsperrung

  • Automatische Updates auf neue Versionen: Wenn die Server, auf denen der Zertifikatconnector gehostet wird, auf das Internet zugreifen können, installieren sie automatisch neue Updates, um auf dem neuesten Stand zu bleiben. Wenn das automatische Update des Connectors fehlschlägt, können Sie das Update manuell durchführen.

  • Die Installation von bis zu 100 Instanzen dieses Connectors wird pro Intune-Mandant unterstützt, wobei sich jede Instanz auf einer separaten Windows Server-Instanz befindet. Wenn Sie mehrere Connectors verwenden:

    • Jede Instanz des Connectors muss auf den privaten Schlüssel zugreifen können, mit dem die Kennwörter für die hochgeladenen PFX-Dateien verschlüsselt wurden.

    • Jede Instanz des Connectors sollte die gleiche Version aufweisen. Da der Connector automatische Updates auf die neueste Version unterstützt, kann Intune die Updates für Sie verwalten.

    • Ihre Infrastruktur unterstützt Redundanz und Lastenausgleiche, da jede verfügbare Connectorinstanz, die die gleichen Connectorfeatures unterstützt, Ihre Zertifikatanforderungen verarbeiten kann.

    • Sie können einen Proxy konfigurieren, damit der Connector mit Intune kommunizieren kann.

    • Der Zertifikatconnector sollte nicht auf demselben Server wie Intune Connector für Active Directory installiert sein.

      Hinweis

      Jede Instanz des Connectors, die PKCS unterstützt, kann verwendet werden, um ausstehende PKCS-Anforderungen aus der Intune-Dienstwarteschlange abzurufen und importierte Zertifikate und Sperranforderungen zu verarbeiten. Es ist nicht möglich, zu definieren, welcher Connector die einzelnen Anforderungen verarbeitet.

      Daher muss jeder Connector, der PKCS unterstützt, über die gleichen Berechtigungen verfügen und eine Verbindung mit allen später in den PKCS-Profilen definierten Zertifizierungsstellen herstellen können.

Lebenszyklus

In regelmäßigen Abständen werden Updates für den Zertifikatconnector veröffentlicht. Ankündigungen für neue Connectorupdates, einschließlich Version und Veröffentlichungsdatum für jedes Update, finden Sie im Abschnitt Neuigkeiten für den Zertifikatconnector in diesem Artikel.

Jedes neue Connectorrelease:

  • Wird sechs Monate nach der Veröffentlichung einer neuen Version unterstützt. Während dieses Zeitraums können automatische Updates eine neuere Connectorversion installieren. Aktualisierte Connectorversionen können Fehlerkorrekturen sowie Leistungs- und Featureverbesserungen enthalten, sind aber nicht darauf beschränkt.

  • Wenn bei einem Connector, dessen Support abgelaufen ist, ein Fehler auftritt, müssen Sie auf die neueste unterstützte Version aktualisieren.

  • Wenn Sie das automatische Update des Connectors blockieren, planen Sie, den Connector innerhalb von sechs Monaten manuell zu aktualisieren, bevor der Support für die installierte Version endet. Nach Ende des Supports müssen Sie den Connector auf eine Version aktualisieren, für die weiterhin Support bereitgestellt wird, um Unterstützung für Probleme mit dem Connector zu erhalten.

  • Connectors, die nicht mehr unterstützt werden, funktionieren noch bis zu 18 Monate nach der Veröffentlichung einer neuen Version. Nach 18 Monaten schlagen können Fehler bei den Connectorfunktionen aufgrund von Servicelevelverbesserungen, Updates oder durch die Behebung zukünftiger allgemeiner Sicherheitslücken auftreten.

Wenn beispielsweise die Connectorversion 6.2203.12.0, die am 4. Mai 2022 veröffentlicht wurde, wird die vorherige Connectorversion 6.2202.38.0 am 4. November 2022 nicht mehr unterstützt. Die vorherige Connectorversion sollte bis November 2023 weiterhin funktionieren (wird jedoch nicht unterstützt). Nach November 2023 kommuniziert die vorherige Connectorversion möglicherweise nicht mehr mit Intune.

Automatische Aktualisierung

Intune kann den Connector kurz nach dem Release einer neuen Connectorversion automatisch auf diese aktualisieren.

Damit automatische Updates durchgeführt werden können, muss der Server, auf dem der Connector gehostet wird, auf den Azure-Updatedienst zugreifen:

  • Port: 443
  • Endpunkt: autoupdate.msappproxy.net

Wenn der Zugriff für automatische Updates durch Firewalls, die Infrastruktur oder Netzwerkkonfigurationen eingeschränkt wird, müssen Sie diese Blockierprobleme beheben oder den Connector manuell auf die neueste Version aktualisieren.

Manuelles Update

Die Vorgehensweise zum Durchführen eines manuellen Updates für einen Zertifikatconnector ist identisch mit der Neuinstallation eines Connectors.

Sie können ein manuelles Update für einen Zertifikatconnector durchführen, selbst wenn dieser automatische Updates unterstützt. Beispielsweise können Sie ein manuelles Update für den Connector durchführen, wenn ein automatisches Update durch Ihre Netzwerkkonfiguration blockiert wird.

Neuinstallieren eines Zertifikatconnectors

  1. Führen Sie auf der Windows Server-Instanz, auf der der Connector gehostet wird, das entsprechende Installationsprogramm aus, um den Connector zu deinstallieren.

  2. Verwenden Sie anschließend die Vorgehensweise zum Installieren einer neuen Version des Connectors. Überprüfen Sie beim Installieren einer neueren Version eines Connectors, ob neue oder geänderte Voraussetzungen vorliegen.

Connectorstatus

Im Microsoft Intune Admin Center können Sie einen Zertifikatconnector auswählen, um Informationen zu dessen status anzuzeigen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Navigieren Sie zu Mandantenverwaltung>Connectors und Tokens>Zertifikatconnectors.

  3. Wählen Sie den Connector aus, dessen Status Sie anzeigen möchten.

Beim Anzeigen des Connectorstatus:

  • Für veraltete Connectors wird eine Warnung angezeigt. Die Warnung wird nach der sechs Monate langen Übergangsfrist in einen Fehler geändert.
  • wird für Connectors nach Überschreitung der Übergangsfrist ein Fehler angezeigt. Diese Connectors werden nicht mehr unterstützt und können jederzeit ihre Funktionsfähigkeit verlieren.

Protokollierung

Protokolle für den Microsoft Intune Certificate Connector sind als Ereignisprotokolle auf den Servern verfügbar, auf denen der Connector installiert ist:

  • Ereignisanzeige>Anwendungs- und Dienstprotokolle>Microsoft>Intune>Zertifikatconnectors

Die folgenden Protokolle sind verfügbar und weisen standardmäßig 50 MB auf. Die automatische Archivierung ist aktiviert:

  • Administratorprotokoll: Dieses Protokoll enthält ein Protokollereignis pro Connectoranforderung. Als Ereignis wird entweder über einen Erfolg zusammen mit Informationen zur Anforderung informiert, oder über einen Fehler mit Informationen zur Anforderung und zum Fehler.
  • Betriebsprotokoll: Dieses Protokoll enthält zusätzliche Informationen, die diejenigen im Administratorprotokoll ergänzen. Es kann für Debugprobleme verwendet werden. Dieses Protokoll führt keine einzelnen Ereignisse, sondern fortlaufende Vorgänge auf.

Als Ergänzung zur Standardprotokollebene können Sie die Debuggenprotokollierung für jedes Protokoll aktivieren, um weitere Details zu erhalten.

Ereignis-IDs

Alle Ereignisse weisen eine der folgenden IDs auf:

  • 0001-0999: Diese ID ist keinem bestimmten Szenario zugeordnet.
  • 1.000–1.999: PKCS
  • 2.000–2.999: PKCS-Import
  • 3.000–3.999: Sperren
  • 4000–4999: SCEP
  • 5000-5999 – Konnektorintegrität

Aufgabenkategorien

Allen Ereignissen wird eine Taskkategorie als Tag zugewiesen, um die Filterung zu erleichtern. Die folgende nicht vollständige Liste enthält Beispiele für Taskkategorien:

PKCS

  • Admin

    • Ereignis-ID: 1000 - PkcsRequestSuccess
      Eine PKCS-Anforderung wurde erfolgreich in Intune hochgeladen.

    • Ereignis-ID: 1001 - PkcsRequestFailure
      Beim Erfüllen oder Hochladen einer PKCS-Anforderung in Intune ist ein Fehler aufgetreten.

    • Ereignis-ID: 1200 - PkcsRecryptRequestSuccess
      PKCS Reencrypt-Anforderung wurde erfolgreich verarbeitet.

    • Ereignis-ID: 1201 - PkcsRecryptRequestFailure
      Fehler beim Verarbeiten der PKCS Reencrypt-Anforderung.

  • Betrieblich

    • Ereignis-ID: 1002 - PkcsDownloadSuccess
      Die PKCS-Anforderungen wurden erfolgreich von Intune heruntergeladen.

    • Ereignis-ID: 1003 - PkcsDownloadFailure
      Fehler beim Herunterladen von PKCS-Anforderungen von Intune.

    • Ereignis-ID: 1020 - PkcsDownloadedRequest
      Die PKCS-Anforderung wurde erfolgreich von Intune heruntergeladen.

    • Ereignis-ID: 1032 - PkcsDigiCertRequest
      PKCS-Anforderung für DigiCert-CA erfolgreich von Intune heruntergeladen.

    • Ereignis-ID: 1050 - PkcsIssuedSuccess
      Ein PKCS-Zertifikat wurde erfolgreich ausgestellt.

    • Ereignis-ID: 1051 - PkcsIssuedFailedAttempt
      Fehler beim Ausstellen eines PKCS-Zertifikats. Es wird erneut versucht.

    • Ereignis-ID: 1052 - PkcsIssuedFailure
      Fehler beim Ausstellen eines PKCS-Zertifikats.

    • Ereignis-ID: 1100 - PkcsUploadSuccess
      PKCS-Anforderungsergebnisse wurden erfolgreich in Intune hochgeladen.

    • Ereignis-ID: 1101 - PkcsUploadFailure
      Fehler beim Hochladen von PKCS-Anforderungsergebnissen in Intune.

    • Ereignis-ID: 1102 - PkcsUploadedRequest
      PKCS-Anforderung wurde erfolgreich in Intune hochgeladen.

    • Ereignis-ID: 1202 - PkcsRecryptDownloadSuccess
      PKCS Reencrypt-Anforderungen wurden erfolgreich heruntergeladen.

    • Ereignis-ID: 1203 - PkcsRecryptDownloadFailure
      Fehler beim Herunterladen von PKCS Reencrypt-Anforderungen.

    • Ereignis-ID: 1220 - PkcsRecryptDownloadedRequest
      Eine PKCS Reencrypt-Anforderung wurde erfolgreich heruntergeladen.

    • Ereignis-ID: 1250 - PkcsRecryptReencryptSuccess
      PKCS-Zertifikatnutzlast erfolgreich neu verschlüsselt.

    • Ereignis-ID: 1251 - PkcsRecryptDecryptSuccess
      PKCS-Zertifikatnutzlast erfolgreich entschlüsselt.

    • Ereignis-ID: 1252 - PkcsRecryptDecryptFailure
      Fehler beim Entschlüsseln der PKCS-Zertifikatnutzlast.

    • Ereignis-ID: 1253 - PkcsRecryptReencryptFailure
      Fehler beim erneuten Verschlüsseln der PKCS-Zertifikatnutzlast.

    • Ereignis-ID: 1300 - PkcsRecryptUploadSuccess
      PKCS Reencrypt-Anforderungsergebnisse wurden erfolgreich in Intune hochgeladen.

    • Ereignis-ID: 1301 - PkcsRecryptUploadFailure
      Fehler beim Hochladen der PKCS Reencrypt-Anforderungsergebnisse in Intune.

    • Ereignis-ID: 1302 - PkcsRecryptUploadedRequest
      Eine PKCS Reencrypt-Anforderung wurde erfolgreich in Intune hochgeladen.

PKCS-Import

  • Admin

    • Ereignis-ID: 2000 - PkcsImportRequestSuccess
      PKCS-Importanforderungen wurden erfolgreich aus Intune heruntergeladen.

    • Ereignis-ID: 2001 - PkcsImportRequestFailure
      Fehler beim Verarbeiten einer PKCS-Importanforderung von Intune.

  • Betrieblich

    • Ereignis-ID: 2202 - PkcsImportDownloadSuccess
      PKCS-Importanforderungen wurden erfolgreich aus Intune heruntergeladen.

    • Ereignis-ID: 2203 - PkcsImportDownloadFailure
      Fehler beim Herunterladen von PKCS-Importanforderungen aus Intune.

    • Ereignis-ID: 2020 - PkcsImportDownloadedRequest
      Eine PKCS-Importanforderung wurde erfolgreich aus Intune heruntergeladen.

    • Ereignis-ID: 2050 - PkcsImportReencryptSuccess
      Ein PKCS-Importzertifikat wurde erfolgreich erneut verschlüsselt.

    • Ereignis-ID: 2051 - PkcsImportReencryptFailedAttempt
      Fehler beim erneuten Verschlüsseln eines PKCS-Importzertifikats. Es wird erneut versucht.

    • Ereignis-ID: 2052 - PkcsImportReencryptFailure
      Fehler beim erneuten Verschlüsseln eines importierten Zertifikats.

    • Ereignis-ID: 2100 - PkcsImportUploadSuccess
      PKCS-Importanforderungsergebnisse wurden erfolgreich in Intune hochgeladen.

    • Ereignis-ID: 2101 - PkcsImportUploadFailure
      Fehler beim Hochladen von PKCS-Anforderungsergebnissen in Intune.

    • Ereignis-ID: 2102 - PkcsImportUploadedRequest
      Eine PKCS-Importanforderung wurde erfolgreich in Intune hochgeladen.

Widerruf

  • Admin

    • Ereignis-ID: 3000 - RevokeRequestSuccess
      Sperrungsanforderungen wurden erfolgreich aus Intune heruntergeladen.

    • Ereignis-ID: 3001 - RevokeRequestFailure
      Beim Herunterladen von Sperrungsanforderungen aus Intune ist ein Fehler aufgetreten.

  • Betrieblich

    • Ereignis-ID: 3002 - RevokeDownloadSuccess
      Sperrungsanforderungen wurden erfolgreich aus Intune heruntergeladen.

    • Ereignis-ID: 3003 - RevokeDownloadFailure
      Beim Herunterladen von Sperrungsanforderungen aus Intune ist ein Fehler aufgetreten.

    • Ereignis-ID: 3020 - RevokeDownloadedRequest
      Details zu einer einzelnen heruntergeladenen Anforderung aus Intune.

    • Ereignis-ID: 3032 - RevokeDigicertRequest
      Es wurde eine Widerrufsanforderung von Intune empfangen und eine Anforderung zur Erfüllung der Anforderung an Digicert weitergeleitet.

    • Ereignis-ID: 3050 - RevokeSuccess
      Ein Zertifikat wurde erfolgreich gesperrt.

    • Ereignis-ID: 3051 - RevokeFailure
      Beim Sperren eines Zertifikats ist ein Fehler aufgetreten.

    • Ereignis-ID: 3052 - RevokeFailedAttempt
      Fehler beim Sperren eines Zertifikats. Es wird erneut versucht.

    • Ereignis-ID: 3100 - RevokeUploadSuccess
      Sperranforderungsergebnisse wurden erfolgreich in Intune hochgeladen.

    • Ereignis-ID: 3101 - RevokeUploadFailure
      Fehler beim Hochladen der Ergebnisse der Sperranforderung in Intune.

    • Ereignis-ID: 3102 - RevokeUploadedRequest
      Sperranforderung wurde erfolgreich in Intune hochgeladen.

SCEP

  • Admin

    • Ereignis-ID: 4000 - ScrepRequestSuccess
      SCEP-Anforderung erfolgreich verarbeitet und Intune benachrichtigt.

    • Ereignis-ID: 4001 - ScepRequestIssuedFailure
      Fehler beim Verarbeiten einer SCEP-Anforderung und Intune benachrichtigt.

    • Ereignis-ID: 4002 - ScepRequestUploadFailure
      SCEP-Anforderung erfolgreich verarbeitet, Intune aber nicht benachrichtigt.

  • Betrieblich

    • Ereignis-ID: 4003 - ScepRequestReceived
      Eine SCEP-Anforderung wurde erfolgreich von einem Gerät empfangen.

    • Ereignis-ID: 4004 - ScepVerifySuccess
      Eine SCEP-Anforderung wurde erfolgreich mit Intune verifiziert.

    • Ereignis-ID: 4005 - ScepVerifyFailure
      Fehler beim Verifizieren einer SCEP-Anforderung mit Intune.

    • Ereignis-ID: 4006 - ScepIssuedSuccess
      Zertifikat für eine SCEP-Anforderung erfolgreich ausgestellt.

    • Ereignis-ID: 4007 - ScepIssuedFailure
      Fehler beim Ausstellen des Zertifikats für die SCEP-Anforderung.

    • Ereignis-ID: 4008 - ScepNotifySuccess
      Intune wurde erfolgreich über das Ergebnis einer SCEP-Anforderung benachrichtigt.

    • Ereignis-ID: 4009 - ScepNotifyAttemptFailed
      Fehler beim Benachrichtigen von Intune über das Ergebnis einer SCEP-Anforderung. Es wird erneut versucht.

    • Ereignis-ID: 4010 - ScepNotifySaveToDiskFailed
      Fehler beim Schreiben der Benachrichtigung auf den Datenträger. Intune kann nicht über den Anforderungsstatus benachrichtigt werden.

Konnektorintegrität

  • Betrieblich

    • Ereignis-ID: 5000 - HealthMessageUploadSuccess Integritätsmeldungen wurden erfolgreich in Intune hochgeladen.

    • Ereignis-ID: 5001 - HealthMessageUploadFailedAttempt Fehler beim Hochladen von Integritätsmeldungen in Intune, versucht es erneut.

    • Ereignis-ID: 5002 - HealthMessageUploadFailure Fehler beim Hochladen von Integritätsmeldungen in Intune.

Neuerungen für den Zertifikatconnector

Updates für den Certificate Connector für Microsoft Intune werden regelmäßig veröffentlicht und dannsechs Monate lang unterstützt. Wenn wir den Connector aktualisieren, können Sie sich hier über die Änderungen informieren.

Es kann eine Woche oder länger dauern, bis neue Updates für den Connector für jeden einzelnen Mandanten verfügbar sind.

Wichtig

Ab April 2022 sind Zertifikatconnectors älter als Version 6.2101.13.0 veraltet und zeigen den Status Fehler an. Ab August 2022 werden diese Connectorversionen nicht mehr in der Lage sein, Zertifikate zu widerrufen. Ab September 2022 werden diese Connectorversionen nicht mehr in der Lage sein, Zertifikate auszugeben. Dies umfasst sowohl den PFX Certificate Connector für Microsoft Intune als auch Microsoft Intune Connector, die am 29. Juli 2021 durch den Certificate Connector for Microsoft Intune ersetzt wurden (wie in diesem Artikel beschrieben).

19. September 2024

Version 6.2406.0.1001 : Änderungen in dieser Version:

  • Änderungen zur Unterstützung KB5014754 Anforderungen
  • Verbesserte PKCS-Importpipelineprotokollierung
  • Fehlerbehebungen
  • Sicherheitsverbesserungen

15. Februar 2023

Version 6.2301.1.0 : Änderungen in dieser Version:

  • Protokollierungsinformationen, die mit Intune-Dienstprotokollen korreliert werden sollen
  • Protokollierungsverbesserungen im PFX-Zertifikatausstellungsflow

21. September 2022

Version 6.2206.122.0 – Änderungen in dieser Version:

  • Verbesserte Telemetriedaten zusätzlich zu Fehlerbehebungen und Leistungsverbesserungen

Donnerstag, 30. Juni 2022

Version 6.2205.201.0 – Änderungen in diesem Release:

  • Telemetriekanal auf Intune aktualisiert, damit der Intune-Administrator Daten im Portal sammeln kann

4. Mai 2022

Version 6.2203.12.0 – Änderungen in diesem Release:

  • Unterstützung von CNG-Anbietern für Clientauthentifizierungszertifikate
  • Verbesserte Unterstützung für die automatische Erneuerung von Clientauthentifizierungszertifikaten

10. März 2022

Version 6.2202.38.0. Dieses Update umfasst Folgendes:

  • Änderungen zur Unterstützung von TLS 1.2 für automatische Updates

Nächste Schritte

Voraussetzungen für den Microsoft Intune Certificate Connector