Requisitos previos de Certificate Connector para Microsoft Intune
Antes de instalar y configurar Certificate Connector para Microsoft Intune, revise los requisitos previos y de infraestructura, que pueden variar en función de las características que deba admitir la instancia del conector que va a configurar.
Requisitos previos generales
Requisitos para el equipo donde se instala el software del conector:
Windows Server 2012 R2 o posterior.
Nota:
La instalación del servidor debe incluir la Experiencia de escritorio y admitir el uso de un explorador. Para obtener más información, vea Instalación de servidor con Experiencia de escritorio en la documentación de Windows Server 2016.
.NET 4.7.2
Seguridad de la capa de transporte (TLS) 1.2. Para obtener más información, consulte Habilitación de la compatibilidad con TLS 1.2 en el entorno en la documentación de Microsoft Entra.
El servidor debe tener los mismos requisitos de red que los dispositivos administrados. Vea Puntos de conexión de red de Microsoft Intune y Ancho de banda y requisitos de configuración de red de Intune.
Para admitir las actualizaciones automáticas del software del conector, el servidor debe tener acceso al servicio de actualización de Azure:
- Puerto: 443
- Punto de conexión: autoupdate.msappproxy.net
La configuración de seguridad mejorada debe desactivarse.
PKCS
Requisitos para plantillas de certificado PKCS:
- Las plantillas de certificado que usará para las solicitudes PKCS se deben configurar con permisos que permitan que la cuenta de servicio del conector de certificados inscriba el certificado.
- Las plantillas de certificado se deben agregar a la entidad de certificación (CA).
Nota:
Cualquier instancia del conector que admita PKCS se puede usar para recuperar solicitudes PKCS pendientes de la cola del servicio Intune, procesar certificados importados y controlar las solicitudes de revocación. No es posible definir qué conector controla cada solicitud. Por lo tanto, cada conector que admita PKCS debe tener los mismos permisos y poder conectarse con todas las entidades de certificación definidas más adelante en los perfiles PKCS.
Certificados PKCS importados
Para admitir certificados PKCS importados, el servidor en el que se hospeda el conector necesita configuraciones adicionales, como un acceso del proveedor de almacenamiento de claves para permitir que el usuario del servicio del conector recupere las claves.
Para obtener información sobre la compatibilidad con certificados PKCS importados, vea Configuración y uso de certificados PKCS importados con Intune.
Requisitos previos de revocación
- La entidad de certificación se debe configurar para permitir que la cuenta de servicio del conector revoque los certificados.
SCEP
La instancia de Windows Server en la que se hospeda el conector debe cumplir los siguientes requisitos previos, además de los requisitos previos generales:
- IIS 7 o posterior
- Servicio de inscripción de dispositivos de red (NDES), que forma parte del rol Servicios de certificación de Active Directory. El conector no se admite en el mismo servidor que la entidad de certificación (CA) emisora. Para obtener más información, vea Configuración de la infraestructura para admitir SCEP con Intune.
En la instancia de Windows Server, configure los siguientes roles y características del servidor:
Roles del servidor:
- Servicios de certificados de Active Directory
- Servidor web (IIS)
Características:
- Características de .NET Framework 4.7
- .NET Framework 4.7
- ASP.NET 4.7
- Servicios de WCF
- Activación de HTTP
- Características de .NET Framework 4.7
AD CS > Servicios de rol:
- Servicio de inscripción de dispositivos de red: para el conector SCEP cuando se usa una CA de Microsoft, instale y configure el rol de servidor Servicio de inscripción de dispositivos de red (NDES). Al configurar NDES, tendrá que asignar una cuenta de usuario para que la utilice el grupo de aplicaciones de NDES. NDES también tiene requisitos propios.
Rol de servidor web (IIS) > Servicios de rol:
- Seguridad
- Filtrado de solicitudes
- Desarrollo de aplicaciones
- Extensibilidad de .NET 4.7
- ASP.NET 4.7
- Herramientas de administración
- Consola de administración de IIS
- Compatibilidad con la administración de IIS 6
- Compatibilidad con la metabase de IIS 6
- Compatibilidad con WMI de IIS 6
Además, para NDES se necesitan las características siguientes de .NET Framework 3.5:
- .NET Framework 3.5
- Activación de HTTP
- Seguridad
Requisitos para plantillas de certificado SCEP:
- Las plantillas de certificado que usará para las solicitudes SCEP se deben configurar con permisos que permitan que la cuenta de servicio de Certificate Connector inscriba automáticamente el certificado.
- Las plantillas de certificado se deben agregar a la CA.
Cuentas
Prepare las cuentas siguientes antes de instalar el software del conector de certificados.
Cuenta de instalación
Puede usar cualquier cuenta de usuario que tenga permisos administrativos locales en la instancia de Windows Server para instalar el software del conector. Puede usar esta misma cuenta para configurar la instancia de Windows Server con el rol de servidor de Windows NDES si usa SCEP y una entidad de certificación de Microsoft.
Cuenta de servicio del conector de certificados
El conector de certificados necesita una cuenta para usarla como una cuenta de servicio. El conector usa esta cuenta para acceder a la instancia de Windows Server, comunicarse con Intune y acceder a la entidad de certificación para dar servicio a las solicitudes PKI.
La cuenta de servicio del conector debe tener los permisos siguientes:
- Inicio de sesión como servicio
- Permisos Emitir y administrar certificados en la entidad de certificación (solo es necesario para escenarios de revocación).
- Permisos Leer e Inscribir en cualquier plantilla de certificado que se va a usar para emitir certificados.
- Permisos para el Proveedor de almacenamiento de claves (KSP) que usa la importación PFX. Vea Importación de certificados PFX en Intune.
Se admiten las siguientes opciones para su uso como cuenta de servicio del conector de certificados:
- SISTEMA
- Usuario de dominio: use cualquier cuenta de usuario de dominio que sea administrador en la instancia de Windows Server.
Para obtener más información, vea Instalación de Certificate Connector para Microsoft Intune.
Usuario del grupo de aplicaciones de NDES
Para usar SCEP con una CA de Microsoft, tendrá que agregar NDES al servidor en el que se hospeda el conector antes de instalarlo. Al configurar NDES, tendrá que especificar una cuenta para su uso como usuario del grupo de aplicaciones, a la que también se puede hacer referencia como cuenta de servicio NDES. Puede ser una cuenta de usuario local o de dominio, y debe tener los permisos siguientes:
- Permisos Leer e Inscribir en cualquier plantilla de certificado SCEP que se va a usar para emitir certificados.
- Miembro del grupo IIS_IUSRS.
Para obtener instrucciones sobre cómo configurar el rol de servidor NDES para Certificate Connector para Microsoft Intune, vea Configuración de NDES en Configuración de la infraestructura para admitir SCEP con Intune.
Microsoft Entra usuario
Al configurar el conector, deberá usar una cuenta de usuario que: es una Administración global o intune Administración y tiene asignada una licencia de Intune.
Pasos siguientes
Comentarios
Próximamente: A lo largo de 2024 iremos eliminando gradualmente las Cuestiones de GitHub como mecanismo de retroalimentación para el contenido y lo sustituiremos por un nuevo sistema de retroalimentación. Para más información, consulta: https://aka.ms/ContentUserFeedback.
Enviar y ver comentarios de