Voraussetzungen für den Microsoft Intune Certificate Connector
Überprüfen Sie die Voraussetzungen und Infrastrukturanforderungen für den Zertifikatconnector für Microsoft Intune. Einige Voraussetzungen und Infrastrukturanforderungen können je nach den Features variieren, die Sie für einen Connector konfigurieren instance, der unterstützt werden soll.
Allgemeine Voraussetzungen
Anforderungen für den Computer, auf dem Sie die Connectorsoftware installieren:
Windows Server 2012 R2 oder höher.
Hinweis
Die Serverinstallation muss die Desktopdarstellung umfassen und die Verwendung eines Browsers unterstützen. Weitere Informationen finden Sie unter Installieren des Servers mit Desktopdarstellung in der Windows Server 2016-Dokumentation.
.NET 4.7.2
Transport Layer Security (TLS) 1.2 Weitere Informationen finden Sie unter Aktivieren der Unterstützung für TLS 1.2 in Ihrer Umgebung in der Microsoft Entra-Dokumentation.
Der Server muss die gleichen Netzwerkanforderungen erfüllen wie verwaltete Geräte. Informationen zu Microsoft Intune finden Sie unter Netzwerkendpunkte und Intune Netzwerkkonfigurationsanforderungen und -bandbreite.
Der Server muss Zugriff auf den Azure-Updatedienst haben, um automatische Updates der Connectorsoftware zu unterstützen:
- Port: 443
- Endpunkt: autoupdate.msappproxy.net
Die Erweiterte Sicherheitskonfiguration muss deaktiviert werden.
PKCS
Anforderungen für PKCS-Zertifikatvorlagen (Private and Public Key Pair):
- Zertifikatvorlagen, die Sie für PKCS-Anforderungen verwenden, müssen mit Berechtigungen konfiguriert werden, die es dem Zertifikatconnectordienstkonto ermöglichen, das Zertifikat zu registrieren.
- Die Zertifikatvorlagen müssen der Zertifizierungsstelle (CA) hinzugefügt werden.
Hinweis
Jede Instanz des Connectors, die PKCS unterstützt, kann verwendet werden, um ausstehende PKCS-Anforderungen aus der Intune-Dienstwarteschlange abzurufen und importierte Zertifikate und Sperranforderungen zu verarbeiten. Es ist nicht möglich, zu definieren, welcher Connector die einzelnen Anforderungen verarbeitet.
Daher muss jeder Connector, der PKCS unterstützt, über die gleichen Berechtigungen verfügen und eine Verbindung mit allen später in den PKCS-Profilen definierten Zertifizierungsstellen herstellen können.
Importierte PKCS-Zertifikate
Der Server, der den Connector hostet, erfordert zur Unterstützung importierter PKCS-Zertifikate zusätzliche Konfigurationen wie das Konfigurieren des Zugriffs für den Schlüsselspeicheranbieter, damit der Benutzer des Connector-Diensts Schlüssel abrufen kann.
Informationen zur Unterstützung für importierte PKCS-Zertifikate finden Sie unter Konfigurieren und Verwenden importierter PKCS-Zertifikate mit Intune.
Voraussetzungen für die Sperrung
- Die Zertifizierungsstelle muss so konfiguriert sein, dass das Connector-Dienstkonto Zertifikate sperren kann.
SCEP
Um SCEP-Zertifikate (Simple Certificate Enrollment Protocol) zu unterstützen, muss der Windows Server, der den Connector hostet, zusätzlich zu den allgemeinen Voraussetzungen die folgenden Voraussetzungen erfüllen:
- IIS 7 oder höher
- Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), der Teil der Rolle „Active Directory-Zertifikatdienste“ ist. Der Connector wird nicht auf dem gleichen Server wie Ihre ausstellende Zertifizierungsstelle (CA) unterstützt. Weitere Informationen finden Sie unter Konfigurieren der Infrastruktur zur Unterstützung von SCEP mit Intune.
Wählen Sie auf dem Windows Server aus, um die folgenden Serverrollen und Features hinzuzufügen:
Serverrollen:
- Active Directory-Zertifikatdienste
- Webserver (IIS)
Features:
- .NET Framework 4.7-Features
- .NET Framework 4.7
- ASP.NET 4.7
- WCF-Dienste
- HTTP-Aktivierung
- .NET Framework 4.7-Features
AD CS > Rollendienste:
- Registrierungsdienst für Netzwerkgeräte: Installieren und konfigurieren Sie bei Verwendung einer Microsoft-Zertifizierungsstelle die NDES-Serverrolle ( Network Device Enrollment Service ). Wenn Sie NDES konfigurieren, müssen Sie ein Benutzerkonto für die Verwendung durch den NDES-Anwendungspool zuweisen. NDES hat auch eigene Anforderungen.
Webserverrolle (IIS) > Rollendienste:
- Sicherheit
- Anforderungsfilterung
- Anwendungsentwicklung
- .NET-Erweiterbarkeit 4.7
- ASP.NET 4.7
- Verwaltungstools
- IIS-Verwaltungskonsole
- IIS 6-Verwaltungskompatibilität
- IIS 6-Metabasiskompatibilität
- IIS 6-WMI-Kompatibilität
Darüber hinaus erfordert NDES die folgenden .NET Framework 3.5-Features:
- .NET Framework 3.5
- HTTP-Aktivierung
- Sicherheit
Anforderungen für SCEP-Zertifikatvorlagen:
- Zertifikatvorlagen, die Sie für SCEP-Anforderungen verwenden, müssen mit Berechtigungen konfiguriert werden, die es dem Zertifikatconnector-Dienstkonto ermöglichen, das Zertifikat automatisch zu registrieren.
- Die Zertifikatvorlagen müssen der Zertifizierungsstelle hinzugefügt werden.
Konten
Bereiten Sie die folgenden Konten vor, bevor Sie die Certificate Connector-Software installieren.
Installationskonto
Sie können für die Installation der Connectorsoftware ein beliebiges Benutzerkonto verwenden, das über lokale Administratorberechtigungen auf der Windows Server-Instanz verfügt. Wenn Sie das SCEP und eine Microsoft-Zertifizierungsstelle verwenden, können Sie dieses Konto verwenden, um die Windows Server-Instanz mit der NDES-Windows-Serverrolle zu konfigurieren.
Certificate Connector-Dienstkonto
Der Certificate Connector erfordert ein Konto, das als Dienstkonto verwendet werden soll. Dieses Konto wird vom Connector verwendet, um auf die Windows Server-Instanz zuzugreifen, mit Intune zu kommunizieren und auf die Zertifizierungsstelle zuzugreifen, um PKI-Anforderungen zu verarbeiten.
Das Connector-Dienstkonto muss über die folgenden Berechtigungen verfügen:
- Logon as Service (Als Dienst anmelden)
- Berechtigungen Zertifikate ausstellen und verwalten für die Zertifizierungsstelle (erforderlich nur für Sperrszenarios)
- Lesen und Registrieren von Berechtigungen für jede Zertifikatvorlage, die Sie zum Ausstellen von Zertifikaten verwenden.
- Berechtigungen für den Schlüsselspeicheranbieter (Key Storage Provider, KSP), der beim PFX-Import verwendet wird. Weitere Informationen finden Sie unter Importieren von PFX-Zertifikaten in Intune.
Die folgenden Optionen werden für die Verwendung als Certificate Connector-Dienstkonto unterstützt:
- SYSTEM
- Domänenbenutzer: Verwenden Sie ein beliebiges Domänenbenutzerkonto, das Administrator auf der Windows Server-Instanz ist.
Weitere Informationen finden Sie unter Installieren des Microsoft Intune Certificate Connector.
NDES-Anwendungspoolbenutzer
Um SCEP mit einer Microsoft-Zertifizierungsstelle zu verwenden, müssen Sie NDES dem Server hinzufügen, auf dem der Connector gehostet wird, bevor Sie den Connector installieren. Beim Konfigurieren von NDES müssen Sie ein Konto für die Verwendung als Anwendungspoolbenutzer angeben, das auch als NDES-Dienstkonto bezeichnet werden kann. Dieses Konto kann ein lokales Benutzerkonto oder ein Domänenbenutzerkonto sein und muss über die folgenden Berechtigungen verfügen:
- Lese- und Registrierungsberechtigungen für jede SCEP-Zertifikatvorlage, die Sie zum Ausstellen von Zertifikaten verwenden.
- Mitglied der Gruppe IIS_IUSRS
Eine Anleitung zum Konfigurieren der NDES-Serverrolle für den Microsoft Intune Certificate Connector finden Sie unter Einrichten von NDES im Artikel Konfigurieren der Infrastruktur für die Unterstützung des SCEP mit Intune.
Microsoft Entra Benutzer
Beim Konfigurieren des Connectors müssen Sie ein Benutzerkonto verwenden, das entweder ein globaler Admin oder ein Intune Admin ist und dem eine Intune Lizenz zugewiesen ist.