Voraussetzungen für den Microsoft Intune Certificate Connector
Bevor Sie den Microsoft Intune Certificate Connector installieren und konfigurieren, überprüfen Sie die Voraussetzungen und Infrastrukturanforderungen, die in Abhängigkeit von den Features variieren können, die Sie für eine zu unterstützende Connector-Instanz konfigurieren.
Allgemeine Voraussetzungen
Anforderungen für den Computer, auf dem Sie die Connectorsoftware installieren:
Windows Server 2012 R2 oder höher.
Hinweis
Die Serverinstallation muss die Desktopdarstellung umfassen und die Verwendung eines Browsers unterstützen. Weitere Informationen finden Sie unter Installieren des Servers mit Desktopdarstellung in der Windows Server 2016-Dokumentation.
.NET 4.7.2
Transport Layer Security (TLS) 1.2 Weitere Informationen finden Sie unter Aktivieren der Unterstützung für TLS 1.2 in Ihrer Umgebung in der Microsoft Entra-Dokumentation.
Der Server muss die gleichen Netzwerkanforderungen erfüllen wie verwaltete Geräte. Weitere Informationen finden Sie unter Netzwerkendpunkte für Microsoft Intune und Anforderungen an die Intune-Netzwerkkonfiguration und Bandbreite.
Der Server muss Zugriff auf den Azure-Updatedienst haben, um automatische Updates der Connectorsoftware zu unterstützen:
- Port: 443
- Endpunkt: autoupdate.msappproxy.net
Die Erweiterte Sicherheitskonfiguration muss deaktiviert werden.
PKCS
Anforderungen für PKCS-Zertifikatvorlagen:
- Zertifikatvorlagen, die Sie für PKCS-Anforderungen verwenden, müssen mit Berechtigungen konfiguriert sein, die dem Certificate Connector-Dienstkonto die Registrierung des Zertifikats erlauben.
- Die Zertifikatvorlagen müssen der Zertifizierungsstelle (CA) hinzugefügt werden.
Hinweis
Jede Instanz des Connectors, die PKCS unterstützt, kann verwendet werden, um ausstehende PKCS-Anforderungen aus der Intune-Dienstwarteschlange abzurufen und importierte Zertifikate und Sperranforderungen zu verarbeiten. Es ist nicht möglich, zu definieren, welcher Connector die einzelnen Anforderungen verarbeitet. Daher muss jeder Connector, der PKCS unterstützt, über die gleichen Berechtigungen verfügen und eine Verbindung mit allen später in den PKCS-Profilen definierten Zertifizierungsstellen herstellen können.
Importierte PKCS-Zertifikate
Der Server, der den Connector hostet, erfordert zur Unterstützung importierter PKCS-Zertifikate zusätzliche Konfigurationen wie das Konfigurieren des Zugriffs für den Schlüsselspeicheranbieter, damit der Benutzer des Connector-Diensts Schlüssel abrufen kann.
Informationen zur Unterstützung für importierte PKCS-Zertifikate finden Sie unter Konfigurieren und Verwenden importierter PKCS-Zertifikate mit Intune.
Voraussetzungen für die Sperrung
- Die Zertifizierungsstelle muss so konfiguriert sein, dass das Connector-Dienstkonto Zertifikate sperren kann.
SCEP
Die Windows Server-Instanz, die den Connector hostet, muss zusätzlich zu den allgemeinen Voraussetzungen die folgenden Voraussetzungen erfüllen:
- IIS 7 oder höher
- Registrierungsdienst für Netzwerkgeräte (Network Device Enrollment Service, NDES), der Teil der Rolle „Active Directory-Zertifikatdienste“ ist. Der Connector wird nicht auf dem gleichen Server wie Ihre ausstellende Zertifizierungsstelle (CA) unterstützt. Weitere Informationen finden Sie unter Konfigurieren der Infrastruktur zur Unterstützung des SCEP mit Intune.
Konfigurieren Sie auf der Windows Server-Instanz die folgenden Serverrollen und Features:
Serverrollen:
- Active Directory-Zertifikatdienste
- Webserver (IIS)
Features:
- .NET Framework 4.7-Features
- .NET Framework 4.7
- ASP.NET 4.7
- WCF-Dienste
- HTTP-Aktivierung
- .NET Framework 4.7-Features
AD CS > Rollendienste:
- Registrierungsdienst für Netzwerkgeräte: Installieren und konfigurieren Sie bei Verwendung einer Microsoft-Zertifizierungsstelle die Serverrolle Registrierungsdienst für Netzwerkgeräte (NDES) für das Connector-SCEP. Wenn Sie NDES konfigurieren, müssen Sie ein Benutzerkonto für die Verwendung durch den NDES-Anwendungspool zuweisen. NDES hat auch eigene Anforderungen.
Webserverrolle (IIS) > Rollendienste:
- Sicherheit
- Anforderungsfilterung
- Anwendungsentwicklung
- .NET-Erweiterbarkeit 4.7
- ASP.NET 4.7
- Verwaltungstools
- IIS-Verwaltungskonsole
- IIS 6-Verwaltungskompatibilität
- IIS 6-Metabasiskompatibilität
- IIS 6-WMI-Kompatibilität
Darüber hinaus erfordert NDES die folgenden .NET Framework 3.5-Features:
- .NET Framework 3.5
- HTTP-Aktivierung
- Sicherheit
Anforderungen für SCEP-Zertifikatvorlagen:
- Zertifikatvorlagen, die Sie für SCEP-Anforderungen verwenden, müssen mit Berechtigungen konfiguriert sein, die dem Certificate Connector-Dienstkonto die automatische Registrierung des Zertifikats erlauben.
- Die Zertifikatvorlagen müssen der Zertifizierungsstelle hinzugefügt werden.
Konten
Bereiten Sie die folgenden Konten vor, bevor Sie die Certificate Connector-Software installieren.
Installationskonto
Sie können für die Installation der Connectorsoftware ein beliebiges Benutzerkonto verwenden, das über lokale Administratorberechtigungen auf der Windows Server-Instanz verfügt. Wenn Sie das SCEP und eine Microsoft-Zertifizierungsstelle verwenden, können Sie dieses Konto verwenden, um die Windows Server-Instanz mit der NDES-Windows-Serverrolle zu konfigurieren.
Certificate Connector-Dienstkonto
Der Certificate Connector erfordert ein Konto, das als Dienstkonto verwendet werden soll. Dieses Konto wird vom Connector verwendet, um auf die Windows Server-Instanz zuzugreifen, mit Intune zu kommunizieren und auf die Zertifizierungsstelle zuzugreifen, um PKI-Anforderungen zu verarbeiten.
Das Connector-Dienstkonto muss über die folgenden Berechtigungen verfügen:
- Logon as Service (Als Dienst anmelden)
- Berechtigungen Zertifikate ausstellen und verwalten für die Zertifizierungsstelle (erforderlich nur für Sperrszenarios)
- Berechtigungen Lesen und Registrieren für alle Zertifikatvorlagen, die Sie zum Ausstellen von Zertifikaten verwenden
- Berechtigungen für den Schlüsselspeicheranbieter (Key Storage Provider, KSP), der beim PFX-Import verwendet wird. Weitere Informationen finden Sie unter Importieren von PFX-Zertifikaten in Intune.
Die folgenden Optionen werden für die Verwendung als Certificate Connector-Dienstkonto unterstützt:
- SYSTEM
- Domänenbenutzer: Verwenden Sie ein beliebiges Domänenbenutzerkonto, das Administrator auf der Windows Server-Instanz ist.
Weitere Informationen finden Sie unter Installieren des Microsoft Intune Certificate Connector.
NDES-Anwendungspoolbenutzer
Damit Sie das SCEP mit einer Microsoft-Zertifizierungsstelle verwenden können, müssen Sie NDES vor der Installation des Connectors dem Server hinzufügen, der diesen hostet. Wenn Sie NDES konfigurieren, müssen Sie ein Konto angeben, das als Anwendungspoolbenutzer verwendet wird und auch als NDES-Dienstkonto bezeichnet werden kann. Dieses Konto kann ein lokales Benutzerkonto oder ein Domänenbenutzerkonto sein und muss über die folgenden Berechtigungen verfügen:
- Berechtigungen Lesen und Registrieren für jede SCEP-Zertifikatvorlage, die Sie zum Ausstellen von Zertifikaten verwenden
- Mitglied der Gruppe IIS_IUSRS
Eine Anleitung zum Konfigurieren der NDES-Serverrolle für den Microsoft Intune Certificate Connector finden Sie unter Einrichten von NDES im Artikel Konfigurieren der Infrastruktur für die Unterstützung des SCEP mit Intune.
Microsoft Entra Benutzer
Beim Konfigurieren des Connectors müssen Sie ein Benutzerkonto verwenden, das entweder ein globaler Admin oder ein Intune-Admin ist und dem eine Intune-Lizenz zugewiesen ist.
Nächste Schritte
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für