Prérequis de Certificate Connector pour Microsoft Intune

Passez en revue les conditions préalables et les exigences d’infrastructure pour Certificate Connector pour Microsoft Intune. Certains prérequis et exigences d’infrastructure peuvent varier en fonction des fonctionnalités que vous configurez un connecteur instance à prendre en charge.

Conditions préalables générales

Spécifications pour l’ordinateur où est installé le logiciel du connecteur :

• Windows Server 2012 R2 ou ultérieure.

  Remarque

  L’installation du serveur doit inclure l’expérience Bureau et le support technique d’un navigateur. pour plus d’informations, consultez Installer un serveur avec expérience Bureau dans la documentation Windows Server 2016.

• .NET 4.7.2

• TLS (Transport Layer Security) 1.2. Pour plus d’informations, consultez Activer la prise en charge de TLS 1.2 dans votre environnement dans la documentation Microsoft Entra.

• Le serveur doit répondre aux mêmes exigences réseau que les appareils gérés. Consultez Points de terminaison réseau pour Microsoft Intune et Intune configuration réseau requise et bande passante.

• Pour prendre en charge les mises à jour automatiques du logiciel du connecteur, le serveur doit avoir accès au service des mises à jour Azure :

  • Port : 443
  • Point de terminaison : autoupdate.msappproxy.net

• La Configuration de sécurité renforcée doit être désactivée.

PKCS

Configuration requise pour les modèles de certificat de paire de clés privées et publiques (PKCS) :

• Les modèles de certificat que vous utilisez pour les demandes PKCS doivent être configurés avec des autorisations qui permettent au compte de service du connecteur de certificats d’inscrire le certificat.
• Les modèles de certificat doivent être ajoutés à l’autorité de certification.

Remarque

Toute instance du connecteur qui prend en charge PKCS peut être utilisée pour récupérer les demandes PKCS en attente auprès de la file d’attente du service Intune, traiter les certificats importés et gérer les demandes de révocation. Il n’est pas possible de définir le connecteur qui gère chaque requête.

Par conséquent, chaque connecteur qui prend en charge PKCS doit avoir les mêmes autorisations et être en mesure de se connecter à toutes les autorités de certification définies plus loin dans les profils PKCS.

Certificats PKCS importés

Pour prendre en charge les certificats PKCS importés, le serveur qui héberge le connecteur nécessite des configurations supplémentaires, comme la configuration d’un fournisseur de stockage de clés pour permettre à l’utilisateur du service du connecteur de récupérer des clés.

Pour plus d’informations sur la prise en charge des certificats importés PKCS, consultez Configurer et utiliser des certificats PKCS importés avec Intune.

Prérequis pour la révocation

• L’autorité de certification doit être configurée pour autoriser le compte de service du connecteur à révoquer des certificats.

SCEP

Pour prendre en charge les certificats SCEP (Simple Certificate Enrollment Protocol), le serveur Windows Server qui héberge le connecteur doit respecter les conditions préalables suivantes en plus des prérequis généraux :

• IIS 7 ou ultérieur
• Service d’inscription de périphérique réseau (NDES, Network Device Enrollment Service), qui fait partie du rôle Services de certificats Active Directory. Le connecteur n’est pas pris en charge sur le même serveur que celui de votre autorité de certification émettrice. Pour plus d’informations, consultez Configurer l’infrastructure pour prendre en charge SCEP avec Intune.

Sur windows Server, sélectionnez pour ajouter les rôles et fonctionnalités de serveur suivants :

• Rôles serveur :

  • Services de certificat Active Directory
  • Serveur Web (IIS)

• Fonctionnalités :

  • Fonctionnalités .NET Framework 4.7
    • .NET Framework 4.7
    • ASP.NET 4.7
    • WCF, services
      • Activation HTTP

• AD CS > Services de rôle :

  • Service d’inscription de périphérique réseau : pour le connecteur SCEP lorsque vous utilisez une autorité de certification Microsoft , installez et configurez le rôle serveur NDES ( Network Device Enrollment Service ). Lorsque vous configurez NDES, vous devez attribuer un compte d’utilisateur à utiliser par le pool d’applications NDES. NDES a également ses propres spécifications.

• Rôle de serveur web (IIS) > Services de rôle :

  • Sécurité
    • Filtrage des demandes
  • Développement d’applications
    • Extensibilité .NET 4.7
    • ASP.NET 4.7
  • Outils de gestion
    • Console de gestion IIS
    • Compatibilité de gestion IIS 6
      • Compatibilité de métabase IIS 6
      • Compatibilité avec le service WMI IIS 6

  NDES nécessite aussi les fonctionnalités .NET Framework 3.5 suivantes :

  • .NET Framework 3.5
  • Activation HTTP

Spécifications pour les modèles de certificat SCEP :

• Les modèles de certificat que vous utilisez pour les demandes SCEP doivent être configurés avec des autorisations qui permettent au compte de service Certificate Connector d’inscrire automatiquement le certificat.
• Les modèles de certificat doivent être ajoutés à l’autorité de certification.

Comptes

Préparez les comptes suivants avant d’installer le logiciel Certificate Connector.

Compte d’installation

Vous pouvez utiliser n’importe quel compte d’utilisateur disposant des autorisations d’administrateur local sur le serveur Windows Server pour installer le logiciel du connecteur. Vous pouvez utiliser ce même compte pour configurer le serveur Windows Server avec le rôle serveur NDES Windows si vous utilisez SCEP et une autorité de certification Microsoft.

Compte de service Certificate Connector

Certificate Connector nécessite un compte à utiliser comme compte de service. Ce compte est utilisé par le connecteur pour accéder au serveur Windows Server, pour communiquer avec Intune et pour accéder à l’autorité de certification pour traiter les demandes PKI.

Le compte de service du connecteur doit disposer des autorisations suivantes :

• Ouvrir une session en tant que service
• Les autorisations Émettre et gérer des certificats sur l’autorité de certification (nécessaires seulement pour les scénarios de révocation).
• Lire et inscrire des autorisations sur n’importe quel modèle de certificat que vous utilisez pour émettre des certificats.
• Autorisations sur le fournisseur de stockage de clés (KSP) utilisé par l’importation PFX. Consultez Importer des certificats PFX dans Intune.

Les options suivantes sont prises en charge pour une utilisation en tant que compte de service Certificate Connector :

• SYSTÈME
• Utilisateur de domaine : utilisez n’importe quel compte d’utilisateur de domaine ayant la qualité d’administrateur sur le serveur Windows Server.

Pour plus d’informations, consultez Installer Certificate Connector pour Microsoft Intune.

Utilisateur du pool d’applications NDES

Pour utiliser SCEP avec une autorité de certification Microsoft, vous devez ajouter NDES au serveur qui héberge le connecteur avant d’installer le connecteur. Lorsque vous configurez NDES, vous devez spécifier un compte à utiliser comme utilisateur du pool d’applications, qui peut également être appelé compte de service NDES. Ce compte peut être un compte d’utilisateur local ou de domaine, et il doit disposer des autorisations suivantes :

• Lire et inscrire des autorisations sur chaque modèle de certificat SCEP que vous utilisez pour émettre des certificats.
• Membre du groupe IIS_IUSRS.

Pour obtenir des conseils sur la configuration du rôle serveur NDES pour Certificate Connector pour Microsoft Intune, consultez configurer NDES dans Configurer l’infrastructure pour prendre en charge SCEP avec Intune.

utilisateur Microsoft Entra

Lors de la configuration du connecteur, vous devez utiliser un compte d’utilisateur qui est un Administration global ou Intune Administration et qui a une licence Intune affectée.

Étapes suivantes

Installer Certificate Connector pour Microsoft Intune