A tanúsítványprofilok előfeltételei a Configuration Manager
A következőre vonatkozik: Configuration Manager (aktuális ág)
A Configuration Manager tanúsítványprofiljai külső függőségekkel és függőségekkel rendelkeznek a termékben.
Fontos
A 2203-es verziótól kezdődően ez a vállalati erőforrás-hozzáférési funkció már nem támogatott. További információ: Gyakori kérdések az erőforrás-hozzáférés elavulásáról.
A Configuration Manager kívüli függőségek
| Függőség | További információ |
|---|---|
| Az Active Directory Tanúsítványszolgáltatások (AD CS) szolgáltatást futtató vállalati kiállító hitelesítésszolgáltató (CA). A tanúsítványok visszavonásához a helykiszolgáló számítógépfiókjának a hierarchia tetején való használatához tanúsítványkibocsátó és -kezelési jogosultság szükséges a Configuration Manager tanúsítványprofilja által használt minden egyes tanúsítványsablonhoz. Azt is megteheti, hogy a Tanúsítványkezelőnek engedélyeket ad a hitelesítésszolgáltató által használt összes tanúsítványsablonhoz A tanúsítványkérelmek felettesi jóváhagyása támogatott. A tanúsítványok kiállításához használt tanúsítványsablonokat azonban úgy kell konfigurálni, hogy a tanúsítvány tulajdonosának kérésében adja meg az Supply értéket, hogy Configuration Manager automatikusan meg tudja adni ezt az értéket. |
Az Active Directory tanúsítványszolgáltatásokkal kapcsolatos további információkért lásd: Az Active Directory tanúsítványszolgáltatások áttekintése. |
| A PowerShell-szkripttel ellenőrizze és szükség esetén telepítse a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) szerepkör-szolgáltatás és a Configuration Manager tanúsítványregisztrációs pont előfeltételeit. |
A readme_crp.txt utasításfájl a ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64 mappában található. A PowerShell-szkript (Test-NDES-CRP-Prereqs.ps1) ugyanabban a könyvtárban található, mint az utasítások. A PowerShell-szkriptet helyileg kell futtatni az NDES-kiszolgálón. |
| A Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) szerepkör-szolgáltatása az Active Directory tanúsítványszolgáltatásokhoz, amely az Windows Server 2012 R2-n fut. Ráadásul: Az ügyfél és a hálózati eszközök tanúsítványigénylési szolgáltatása közötti kommunikáció nem támogatja a TCP 443-at (HTTPS esetén) vagy a TCP 80-at (HTTP esetén). A hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálónak a kiállító hitelesítésszolgáltatótól eltérő kiszolgálón kell lennie. |
Configuration Manager kommunikál a Hálózati eszközök tanúsítványigénylési szolgáltatásával Windows Server 2012 R2-ben az Egyszerű tanúsítványigénylési protokoll (SCEP) kéréseinek létrehozásához és ellenőrzéséhez. Ha tanúsítványokat fog kiadni az internetről csatlakozó felhasználóknak vagy eszközöknek, például a Microsoft Intune által felügyelt mobileszközöknek, ezeknek az eszközöknek hozzá kell tudniuk férni a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálóhoz az internetről. Telepítse például a kiszolgálót egy szegélyhálózaton (más néven DMZ-ben, demilitarizált zónában és szűrt alhálózatban). Ha tűzfal van a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgáló és a kiállító hitelesítésszolgáltató között, a tűzfalat úgy kell konfigurálnia, hogy engedélyezze a két kiszolgáló közötti kommunikációs forgalmat (DCOM). Ez a tűzfalkövetelmény a Configuration Manager helykiszolgálót és a kiállító hitelesítésszolgáltatót futtató kiszolgálóra is vonatkozik, hogy Configuration Manager visszavonhassa a tanúsítványokat. Ha a hálózati eszközök tanúsítványigénylési szolgáltatása úgy van konfigurálva, hogy SSL-t igényeljen, ajánlott biztonsági eljárás annak biztosítása, hogy a csatlakozó eszközök hozzáférhessenek a visszavont tanúsítványok listájához (CRL) a kiszolgálótanúsítvány érvényesítéséhez. További információ a hálózati eszközök tanúsítványigénylési szolgáltatásáról: Szabályzatmodul használata a hálózati eszközök tanúsítványigénylési szolgáltatásával. |
| PKI ügyfél-hitelesítési tanúsítvány és exportált legfelső szintű hitelesítésszolgáltatói tanúsítvány. | Ez a tanúsítvány hitelesíti a hálózati eszközök tanúsítványigénylési szolgáltatását futtató kiszolgálót a Configuration Manager. További információ: PKI-tanúsítványkövetelmények Configuration Manager. |
| Támogatott eszköz operációs rendszerek. | Tanúsítványprofilokat telepíthet Windows 8.1, Windows RT 8.1 és Windows 10 rendszerű eszközökre. |
Configuration Manager függőségek
| Függőség | További információ |
|---|---|
| Tanúsítványregisztrációs pont helyrendszerszerepkör | A tanúsítványprofilok használatához telepítenie kell a tanúsítványregisztrációs pont helyrendszerszerepkört. Ez a szerepkör kommunikál az Configuration Manager adatbázissal, a Configuration Manager helykiszolgálóval és a Configuration Manager házirendmodullal. A helyrendszerszerepkör rendszerkövetelményeiről és a szerepkör hierarchiában való telepítésének helyéről a Configuration Manager támogatott konfigurációi című cikk Helyrendszer-követelmények című szakaszában talál további információt. A tanúsítványregisztrációs pont nem telepíthető ugyanarra a kiszolgálóra, amelyen a hálózati eszközök tanúsítványigénylési szolgáltatása fut. |
| Configuration Manager Active Directory tanúsítványszolgáltatások hálózati eszközök tanúsítványigénylési szolgáltatásának szerepkör-szolgáltatását futtató kiszolgálóra telepített házirendmodul | A tanúsítványprofilok telepítéséhez telepítenie kell a Configuration Manager házirendmodult. Ezt a házirendmodult a Configuration Manager telepítési adathordozóján találja. |
| Felderítési adatok | A tanúsítvány tulajdonosának és a tulajdonos alternatív nevének értékeit a Configuration Manager adja meg, és a felderítésből gyűjtött információkból kéri le: Felhasználói tanúsítványok esetén: Active Directory felhasználófelderítés Számítógéptanúsítványok esetén: Active Directory rendszerfelderítés és hálózatfelderítés |
| A tanúsítványprofilok kezeléséhez szükséges konkrét biztonsági engedélyek | A vállalati erőforrás-hozzáférési beállítások, például tanúsítványprofilok, Wi-Fi profilok és VPN-profilok kezeléséhez a következő biztonsági engedélyekkel kell rendelkeznie: A tanúsítványprofilok riasztásainak és jelentéseinek megtekintéséhez és kezeléséhez: Létrehozás, Törlés, Módosítás, Jelentés módosítása, Olvasás és Jelentés futtatása a Riasztások objektumhoz. Tanúsítványprofilok létrehozásához és kezeléséhez: Szerzői szabályzat, Jelentés módosítása, Olvasás és Jelentés futtatása a Tanúsítványprofil objektumhoz. Wi-Fi-, tanúsítvány- és VPN-profiltelepítések kezelése: Konfigurációs szabályzatok telepítése, Ügyfélállapot-riasztás módosítása, Olvasás és Erőforrás olvasása a Gyűjtemény objektumhoz. Az összes konfigurációs szabályzat kezeléséhez: Létrehozás, Törlés, Módosítás, Olvasás és Biztonsági hatókör beállítása a konfigurációs szabályzat objektumhoz. Tanúsítványprofilokhoz kapcsolódó lekérdezések futtatása: Olvasási engedély a Query objektumhoz. A tanúsítványprofilok adatainak megtekintése a Configuration Manager konzolon: Olvasási engedély a Hely objektumhoz. A tanúsítványprofilok állapotüzeneteinek megtekintése: Olvasási engedély az Állapotüzenetek objektumhoz. A megbízható hitelesítésszolgáltatói tanúsítványprofil létrehozásához és módosításához: Szerzői házirend, Jelentés módosítása, Olvasás és Jelentés futtatása a megbízható hitelesítésszolgáltatói tanúsítványprofil objektumhoz. VPN-profilok létrehozása és kezelése: Szerzői szabályzat, Jelentés módosítása, Olvasás és Jelentés futtatása a VPN-profil objektumhoz. Wi-Fi profilok létrehozásához és kezeléséhez: Szerzői szabályzat, Jelentés módosítása, Olvasás és Jelentés futtatása a Wi-Fi-profil objektumhoz. A Vállalati erőforrás-hozzáférés-kezelő biztonsági szerepkör tartalmazza azokat az engedélyeket, amelyek a Configuration Manager tanúsítványprofiljainak kezeléséhez szükségesek. További információt a Biztonság konfigurálása című cikk Szerepköralapú felügyelet konfigurálása című szakaszában talál. |