Requisitos previos de Certificate Connector para Microsoft Intune

Revise los requisitos previos y los requisitos de infraestructura de Certificate Connector para Microsoft Intune. Algunos requisitos previos y requisitos de infraestructura pueden variar en función de las características que configure para admitir una instancia del conector.

Requisitos previos generales

Requisitos para el equipo donde se instala el software del conector:

• Windows Server 2012 R2 o posterior.

  Nota:

  La instalación del servidor debe incluir la Experiencia de escritorio y admitir el uso de un explorador. Para obtener más información, vea Instalación de servidor con Experiencia de escritorio en la documentación de Windows Server 2016.

• .NET 4.7.2

• Seguridad de la capa de transporte (TLS) 1.2. Para obtener más información, consulte Habilitación de la compatibilidad con TLS 1.2 en el entorno en la documentación de Microsoft Entra.

• El servidor debe tener los mismos requisitos de red que los dispositivos administrados. Consulte Puntos de conexión de red para obtener Microsoft Intune y Intune los requisitos de configuración de red y el ancho de banda.

• Para admitir las actualizaciones automáticas del software del conector, el servidor debe tener acceso al servicio de actualización de Azure:

  • Puerto: 443
  • Punto de conexión: autoupdate.msappproxy.net

• La configuración de seguridad mejorada debe desactivarse.

PKCS

Requisitos para plantillas de certificado de par de claves pública y privada (PKCS):

• Las plantillas de certificado que se usan para las solicitudes PKCS deben configurarse con permisos que permitan que la cuenta de servicio del conector de certificados inscriba el certificado.
• Las plantillas de certificado se deben agregar a la entidad de certificación (CA).

Nota:

Cualquier instancia del conector que admita PKCS se puede usar para recuperar solicitudes PKCS pendientes de la cola del servicio Intune, procesar certificados importados y controlar las solicitudes de revocación. No es posible definir qué conector controla cada solicitud.

Por lo tanto, cada conector que admita PKCS debe tener los mismos permisos y poder conectarse con todas las entidades de certificación definidas más adelante en los perfiles PKCS.

Certificados PKCS importados

Para admitir certificados PKCS importados, el servidor en el que se hospeda el conector necesita configuraciones adicionales, como un acceso del proveedor de almacenamiento de claves para permitir que el usuario del servicio del conector recupere las claves.

Para obtener información sobre la compatibilidad con certificados PKCS importados, consulte Configuración y uso de certificados PKCS importados con Intune.

Requisitos previos de revocación

• La entidad de certificación se debe configurar para permitir que la cuenta de servicio del conector revoque los certificados.

SCEP

Para admitir certificados del Protocolo simple de inscripción de certificados (SCEP), Windows Server que hospeda el conector debe cumplir los siguientes requisitos previos además de los requisitos previos generales:

• IIS 7 o posterior
• Servicio de inscripción de dispositivos de red (NDES), que forma parte del rol Servicios de certificación de Active Directory. El conector no se admite en el mismo servidor que la entidad de certificación (CA) emisora. Para obtener más información, vea Configurar la infraestructura para admitir SCEP con Intune.

En Windows Server, seleccione para agregar los siguientes roles y características de servidor:

• Roles del servidor:

  • Servicios de certificados de Active Directory
  • Servidor web (IIS)

• Características:

  • Características de .NET Framework 4.7
    • .NET Framework 4.7
    • ASP.NET 4.7
    • Servicios de WCF
      • Activación de HTTP

• AD CS > Servicios de rol:

  • Servicio de inscripción de dispositivos de red: para el SCEP del conector cuando se usa una CA de Microsoft, instale y configure el rol de servidor servicio de inscripción de dispositivos de red (NDES). Al configurar NDES, debe asignar una cuenta de usuario para que la use el grupo de aplicaciones NDES. NDES también tiene requisitos propios.

• Rol de servidor web (IIS) > Servicios de rol:

  • Seguridad
    • Filtrado de solicitudes
  • Desarrollo de aplicaciones
    • Extensibilidad de .NET 4.7
    • ASP.NET 4.7
  • Herramientas de administración
    • Consola de administración de IIS
    • Compatibilidad con la administración de IIS 6
      • Compatibilidad con la metabase de IIS 6
      • Compatibilidad con WMI de IIS 6

  Además, para NDES se necesitan las características siguientes de .NET Framework 3.5:

  • .NET Framework 3.5
  • Activación de HTTP

Requisitos para plantillas de certificado SCEP:

• Las plantillas de certificado que se usan para las solicitudes SCEP deben configurarse con permisos que permitan que la cuenta de servicio del conector de certificados inscriba automáticamente el certificado.
• Las plantillas de certificado se deben agregar a la CA.

Cuentas

Prepare las cuentas siguientes antes de instalar el software del conector de certificados.

Cuenta de instalación

Puede usar cualquier cuenta de usuario que tenga permisos administrativos locales en la instancia de Windows Server para instalar el software del conector. Puede usar esta misma cuenta para configurar la instancia de Windows Server con el rol de servidor de Windows NDES si usa SCEP y una entidad de certificación de Microsoft.

Cuenta de servicio del conector de certificados

El conector de certificados necesita una cuenta para usarla como una cuenta de servicio. El conector usa esta cuenta para acceder a la instancia de Windows Server, comunicarse con Intune y acceder a la entidad de certificación para dar servicio a las solicitudes PKI.

La cuenta de servicio del conector debe tener los permisos siguientes:

• Inicio de sesión como servicio
• Permisos Emitir y administrar certificados en la entidad de certificación (solo es necesario para escenarios de revocación).
• Permisos de lectura e inscripción en cualquier plantilla de certificado que use para emitir certificados.
• Permisos para el Proveedor de almacenamiento de claves (KSP) que usa la importación PFX. Vea Importación de certificados PFX en Intune.

Se admiten las siguientes opciones para su uso como cuenta de servicio del conector de certificados:

• SISTEMA
• Usuario de dominio: use cualquier cuenta de usuario de dominio que sea administrador en la instancia de Windows Server.

Para obtener más información, vea Instalación de Certificate Connector para Microsoft Intune.

Usuario del grupo de aplicaciones de NDES

Para usar SCEP con una CA de Microsoft, debe agregar NDES al servidor que hospeda el conector antes de instalar el conector. Al configurar NDES, debe especificar una cuenta para su uso como usuario del grupo de aplicaciones, a la que también se puede denominar cuenta de servicio NDES. Puede ser una cuenta de usuario local o de dominio, y debe tener los permisos siguientes:

• Permisos de lectura e inscripción en cada plantilla de certificado SCEP que use para emitir certificados.
• Miembro del grupo IIS_IUSRS.

Para obtener instrucciones sobre cómo configurar el rol de servidor NDES para Certificate Connector para Microsoft Intune, vea Configuración de NDES en Configuración de la infraestructura para admitir SCEP con Intune.

Microsoft Entra usuario

Al configurar el conector, debe usar una cuenta de usuario que: es una Administración global o Intune Administración y tiene asignada una licencia de Intune.

Pasos siguientes

Instalación de Certificate Connector para Microsoft Intune