Megosztás a következőn keresztül:

Tanúsítvány-összekötő a Microsoft Intune-hoz

  • Cikk

Ahhoz, hogy a Microsoft Intune támogassa a tanúsítványok használatát a hitelesítéshez, valamint az e-mailek S/MIME-vel történő aláírásához és titkosításához, használhatja a Microsoft Intune tanúsítvány-összekötőjét. A tanúsítvány-összekötő egy helyszíni kiszolgálóra telepített szoftver, amely segít az Intune által felügyelt eszközök tanúsítványainak kézbesítésében és kezelésében.

Ez a cikk bemutatja a Microsoft Intune tanúsítvány-összekötőjét, életciklusát és naprakészen tartását.

Tipp

2021. július 29-től a Microsoft Intune tanúsítvány-összekötője felváltja a PFX tanúsítvány-összekötő használatát a Microsoft Intune-hoz és a Microsoft Intune-összekötőhöz. Az új összekötő mindkét korábbi összekötő funkcióit tartalmazza. A Microsoft tanúsítvány-összekötőjének 6.2109.51.0-s verziójával a korábbi összekötők már nem támogatottak.

Összekötő áttekintése

A tanúsítvány-összekötő használatához először le kell töltenie a szoftvert a Microsoft Intune Felügyeleti központból, amelyet aztán telepíteni fog egy Windows Serverre.

A telepítés során egy vagy több összekötő-funkciót is telepíthet, beleértve a következőket:

  • Privát és nyilvános kulcspár (PKCS) tanúsítványai
  • PKCS importált tanúsítványok
  • Simple Certificate Enrollment Protocol (SCEP)
  • Tanúsítvány visszavonása

Egy szolgáltatásfiókot is hozzárendel az összekötő futtatásához. Ez a fiók a hitelesítésszolgáltatóval folytatott összes interakcióhoz, valamint a tanúsítványok kiállításához, visszavonásához és megújításához használatos. A szolgáltatásfiók támogatott lehetőségei közé tartozik az összekötő-kiszolgálók SYSTEM-fiókja vagy egy tartományi fiók.

Az összekötő telepítése után bármikor újra futtathatja az összekötő konfigurációját a frissítéséhez vagy a telepített funkciók módosításához. A telepítés és a konfigurálás után az összekötő automatikusan telepítheti a jövőbeli frissítéseket, hogy az összekötők naprakészek maradjanak a legújabb kiadásig.

Az Intune támogatja az összekötő több példányának telepítését egy bérlőben, és mindegyik példány különböző funkciókat támogat. Ha több összekötőt használ, amelyek különböző funkciókat támogatnak, a tanúsítványkérelmek mindig egy megfelelő összekötőhöz lesznek irányítva. Ha például két olyan összekötőt telepít, amelyek támogatják a PKCS-t, és további két olyan összekötőt telepít, amelyek támogatják a PKCS-t és az SCEP-t is, a PKCS tanúsítványfeladatait a négy összekötő bármelyike felügyelheti, az SCEP-feladatok azonban csak az SCEP-t támogató két összekötőre lesznek irányítva.

A tanúsítvány-összekötő minden példánya ugyanazokat a hálózati követelményeket támasztja, mint az Intune által felügyelt eszközök. További információ: A Microsoft Intune hálózati végpontjai, valamint az Intune hálózati konfigurációs követelményei és sávszélessége.

A tanúsítvány-összekötő képességei

A Microsoft Intune tanúsítvány-összekötője a következőket támogatja:

  • PKCS #12 tanúsítványkérelmek.

  • PKCS importált tanúsítványok (PFX-fájl) egy adott felhasználó S/MIME e-mail titkosításához.

  • SCEP-tanúsítványok kiállítása. Ha Active Directory tanúsítványszolgáltatás-hitelesítésszolgáltatót (CA) használ, más néven Microsoft hitelesítésszolgáltatót, konfigurálnia kell a Hálózati eszközök tanúsítványigénylési szolgáltatását (NDES) is az összekötőt üzemeltető kiszolgálón.

    Az SCEP külső hitelesítésszolgáltatóval való használatához nincs szükség a Microsoft Intune tanúsítvány-összekötőjének használatára.

  • Tanúsítvány visszavonása.

  • Automatikus frissítések az új verziókhoz. Amikor a tanúsítvány-összekötőt futtató kiszolgálók hozzáférhetnek az internethez, automatikusan új frissítéseket telepítenek, hogy naprakészek maradjanak. Ha egy összekötő nem frissül automatikusan, manuálisan frissítheti az összekötőt.

  • Intune-bérlőnként legfeljebb 100 összekötőpéldány telepítése, mindegyik példány külön Windows Serveren. Ha több összekötőt használ:

    • Az összekötő minden példányának hozzáféréssel kell rendelkeznie az egyes feltöltött PFX-fájlok jelszavának titkosításához használt titkos kulcshoz.

    • Az összekötő minden példányának azonos verziójúnak kell lennie. Mivel az összekötő támogatja a legújabb verzió automatikus frissítéseit, a frissítéseket az Intune felügyelheti.

    • Az infrastruktúra támogatja a redundanciát és a terheléselosztást, mivel minden olyan elérhető összekötőpéldány, amely ugyanazokat az összekötő-funkciókat támogatja, feldolgozhatja a tanúsítványkérelmeket.

    • Konfigurálhat proxyt úgy, hogy az összekötő kommunikálhasson az Intune-nal.

    • A tanúsítvány-összekötő nem telepíthető ugyanarra a kiszolgálóra, mint az Active Directoryhoz készült Intune-összekötő.

      Megjegyzés:

      A PKCS-t támogató összekötő bármely példányával lekérhetők a függőben lévő PKCS-kérelmek az Intune szolgáltatás üzenetsorából, feldolgozhatók az importált tanúsítványok, és kezelhetők a visszavonási kérelmek. Nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket.

      Ezért minden olyan összekötőnek, amely támogatja a PKCS-t, ugyanazokkal az engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.

Életciklus

A rendszer rendszeresen frissíti a tanúsítvány-összekötőt. Az új összekötő-frissítésekről szóló közlemények, beleértve az egyes frissítések verzióját és kiadási dátumát, a jelen cikk Újdonságok a tanúsítvány-összekötőhöz című szakaszában jelennek meg.

Minden új összekötő kiadása:

  • Az új verzió megjelenése után hat hónapig támogatott. Ebben az időszakban az automatikus frissítések újabb összekötőverziót telepíthetnek. Az összekötők frissített verziói tartalmazhatnak hibajavításokat, valamint teljesítmény- és funkciófejlesztéseket, de nem korlátozódnak rá.

  • Ha egy nem támogatott összekötő meghibásodik, frissítenie kell a legújabb támogatott verzióra.

  • Ha letiltja az összekötő automatikus frissítését, tervezze meg az összekötő manuális frissítését hat hónapon belül, mielőtt véget ér a telepített verzió támogatása. A támogatás megszűnése után frissítenie kell az összekötőt egy olyan verzióra, amely továbbra is támogatott az összekötővel kapcsolatos problémák támogatásához.

  • A támogatáson kívüli összekötők az új verzió megjelenése után akár 18 hónapig is működni fognak. 18 hónap elteltével előfordulhat, hogy az összekötők működése szolgáltatásszint-fejlesztések, frissítések vagy a jövőbeli gyakori biztonsági rések kezelése miatt hiúsul meg.

Ha például az összekötő 6.2203.12.0-s verziója 2022. május 4-én jelent meg, az összekötő korábbi, 6.2202.38.0-s verziója 2022. november 4-én megszűnik a támogatásból. Az összekötő előző verziójának továbbra is működnie kell (bár nem támogatott) 2023 novemberéig. 2023 novembere után előfordulhat, hogy az összekötő előző verziója nem kommunikál az Intune-nal.

Automatikus frissítés

Az Intune röviddel az összekötő kiadása után automatikusan a legújabb verzióra tudja frissíteni az összekötőt.

Az automatikus frissítéshez az összekötőt futtató kiszolgálónak hozzá kell férnie az Azure update szolgáltatáshoz:

  • Port: 443
  • Végpont: autoupdate.msappproxy.net

Ha a tűzfalak, az infrastruktúra vagy a hálózati konfigurációk korlátozzák az automatikus frissítéshez való hozzáférést, oldja meg a blokkolási problémákat, vagy frissítse manuálisan az összekötőt az új verzióra.

Manuális frissítés

A tanúsítvány-összekötő manuális frissítésének folyamata megegyezik az összekötő újratelepítésével.

A tanúsítvány-összekötők akkor is frissíthetők manuálisan, ha az támogatja az automatikus frissítéseket. Például manuálisan frissítheti az összekötőt, ha a hálózati konfiguráció letilt egy automatikus frissítést.

Tanúsítvány-összekötő újratelepítése

  1. Az összekötőt futtató Windows Serveren futtassa az összekötő telepítőprogramját az összekötő eltávolításához.

  2. Az új verzió telepítéséhez használja az eljárást az összekötő új verziójának telepítéséhez. Az összekötő újabb verziójának telepítésekor mindenképpen ellenőrizze, hogy vannak-e új vagy frissített előfeltételek .

Összekötő állapota

A Microsoft Intune Felügyeleti központban kiválaszthat egy tanúsítvány-összekötőt az állapotával kapcsolatos információk megtekintéséhez:

  1. Bejelentkezés a Microsoft Intune Felügyeleti központba

  2. Lépjen a Bérlőfelügyeleti>összekötők és jogkivonatok>Tanúsítvány-összekötők elemre.

  3. Válasszon ki egy összekötőt az állapotának megtekintéséhez.

Az összekötő állapotának megtekintésekor:

  • Az elavult összekötők figyelmeztetést jelennek meg. A hat hónapos türelmi időszak után a figyelmeztetés hibára változik.
  • A türelmi időszakon túli összekötők hibát jeleznek. Ezek az összekötők már nem támogatottak, és bármikor leállhatnak.

Fakitermelés

A Microsoft Intune tanúsítvány-összekötőjének naplói eseménynaplókként érhetők el azon a kiszolgálón, amelyen az összekötő telepítve van:

  • Eseménynapló>Alkalmazás- és szolgáltatásnaplók>Microsoft>Intune>Tanúsítvány-összekötők

Az alábbi naplók érhetők el, alapértelmezett értéke 50 MB, és engedélyezve van az automatikus archiválás:

  • Rendszergazdai napló – Ez a napló az összekötőnek küldött kérésenként egy naplóeseményt tartalmaz. Az események magukban foglalják a kéréssel kapcsolatos információk sikerességét , vagy a kéréssel és a hibával kapcsolatos információkat tartalmazó hibát .
  • Működési napló – Ez a napló a felügyeleti naplóban található további információkat jeleníti meg, amelyek hibakeresési problémákhoz használhatók. Ez a napló a folyamatban lévő műveleteket is megjeleníti egyetlen esemény helyett.

Az alapértelmezett naplózási szint mellett az egyes naplók hibakeresési naplózását is engedélyezheti, hogy további részletekhez jusson.

Eseményazonosítók

Minden esemény a következő azonosítók egyikével rendelkezik:

  • 0001-0999 – Nincs társítva egyetlen konkrét forgatókönyvhöz sem
  • 1000-1999 - PKCS
  • 2000–2999 – PKCS-importálás
  • 3000-3999 - Visszavonás
  • 4000-4999 - SCEP
  • 5000–5999 – Összekötő állapota

Tevékenységkategóriák

A rendszer minden eseményt tevékenységkategóriával címkéz, hogy segítse a szűrést. A tevékenységkategóriák tartalmazzák, de nem korlátozódnak a következő listára:

PKCS

  • Rendszergazda

    • Eseményazonosító: 1000 - PkcsRequestSuccess
      Sikeresen feltöltött egy PKCS-kérelmet az Intune-ba.

    • Eseményazonosító: 1001 - PkcsRequestFailure
      Nem sikerült teljesíteni vagy feltölteni egy PKCS-kérést az Intune-ba.

    • Eseményazonosító: 1200 - PkcsRecryptRequestSuccess
      A PKCS újrafejtési kérésének feldolgozása sikerült.

    • Eseményazonosító: 1201 - PkcsRecryptRequestFailure
      Nem sikerült feldolgozni a PKCS reencrypt kérését.

  • Működési

    • Eseményazonosító: 1002 - PkcsDownloadSuccess
      Sikerült letölteni a PKCS-kérelmeket az Intune-ból.

    • Eseményazonosító: 1003 - PkcsDownloadFailure
      Nem sikerült letölteni a PKCS-kérelmeket az Intune-ból.

    • Eseményazonosító: 1020 - PkcsDownloadedRequest
      A PKCS-kérelem letöltése sikerült az Intune-ból

    • Eseményazonosító: 1032 - PkcsDigiCertRequest
      Sikeresen letöltött egy PKCS-kérelmet a DigiCert hitelesítésszolgáltatóhoz az Intune-ból.

    • Eseményazonosító: 1050 - PkcsIssuedSuccess
      Sikeresen kibocsátott egy PKCS-tanúsítványt.

    • Eseményazonosító: 1051 - PkcsIssuedFailedAttempt
      Nem sikerült kibocsátani egy PKCS-tanúsítványt. A program újrapróbálkozott.

    • Eseményazonosító: 1052 - PkcsIssuedFailure
      Nem sikerült kibocsátani egy PKCS-tanúsítványt.

    • Eseményazonosító: 1100 - PkcsUploadSuccess
      A PKCS-kérelmek eredményei sikeresen feltöltődtek az Intune-ba.

    • Eseményazonosító: 1101 - PkcsUploadFailure
      Nem sikerült feltölteni a PKCS-kérelmek eredményeit az Intune-ba.

    • Eseményazonosító: 1102 - PkcsUploadedRequest
      Sikerült feltölteni a PKCS-kérelmet az Intune-ba.

    • Eseményazonosító: 1202 - PkcsRecryptDownloadSuccess
      Sikerült letölteni a PKCS-hez a visszafejtési kérelmeket.

    • Eseményazonosító: 1203 - PkcsRecryptDownloadFailure
      Nem sikerült letölteni a PKCS újratitkosítási kéréseit.

    • Eseményazonosító: 1220 - PkcsRecryptDownloadedRequest
      Sikeresen letöltött egy PKCS-visszafejtési kérést.

    • Eseményazonosító: 1250 - PkcsRecryptReencryptSuccess
      A PKCS-tanúsítvány hasznos adatainak újbóli titkosítása sikerült.

    • Eseményazonosító: 1251 - PkcsRecryptDecryptSuccess
      A PKCS-tanúsítvány hasznos adatainak visszafejtése sikerült.

    • Eseményazonosító: 1252 - PkcsRecryptDecryptFailure
      Nem sikerült visszafejteni a PKCS-tanúsítvány hasznos adatait.

    • Eseményazonosító: 1253 - PkcsRecryptReencryptFailure
      Nem sikerült újratitkosítani a PKCS-tanúsítvány hasznos adatait.

    • Eseményazonosító: 1300 - PkcsRecryptUploadSuccess
      A PKCS sikeresen feltöltötte a kérések eredményeinek újbóli titkosítását az Intune-ba.

    • Eseményazonosító: 1301 - PkcsRecryptUploadFailure
      Nem sikerült feltölteni a PKCS-nek a kérések eredményeinek újbóli titkosítását az Intune-ba.

    • Eseményazonosító: 1302 - PkcsRecryptUploadedRequest
      Sikeresen feltöltött egy PKCS-visszafejtési kérést az Intune-ba.

PKCS-importálás

  • Rendszergazda

    • Eseményazonosító: 2000 - PkcsImportRequestSuccess
      A PKCS importálási kérelmei sikeresen letöltődnek az Intune-ból.

    • Eseményazonosító: 2001 - PkcsImportRequestFailure
      Nem sikerült feldolgozni egy PKCS-importálási kérelmet az Intune-ból.

  • Működési

    • Eseményazonosító: 2202 - PkcsImportDownloadSuccess
      A PKCS importálási kérelmei sikeresen letöltődnek az Intune-ból.

    • Eseményazonosító: 2203 - PkcsImportDownloadFailure
      Nem sikerült letölteni a PKCS importálási kéréseit az Intune-ból.

    • Eseményazonosító: 2020 - PkcsImportDownloadedRequest
      Sikeresen letöltött egy PKCS importálási kérelmet az Intune-ból.

    • Eseményazonosító: 2050 - PkcsImportReencryptSuccess
      A PKCS importálási tanúsítványának ismételt titkosítása sikerült.

    • Eseményazonosító: 2051 - PkcsImportReencryptFailedAttempt
      Nem sikerült újratitkosítani a PKCS importálási tanúsítványát. A program újrapróbálkozott.

    • Eseményazonosító: 2052 - PkcsImportReencryptFailure
      Nem sikerült újratitkosítani egy importált tanúsítványt.

    • Eseményazonosító: 2100 - PkcsImportUploadSuccess
      Sikerült feltölteni a PKCS importálási kérésének eredményeit az Intune-ba.

    • Eseményazonosító: 2101 - PkcsImportUploadFailure
      Nem sikerült feltölteni a PKCS-kérelmek eredményeit az Intune-ba.

    • Eseményazonosító: 2102 - PkcsImportUploadedRequest
      Sikeresen feltöltött egy PKCS importálási kérelmet az Intune-ba.

Visszavonás

  • Rendszergazda

    • Eseményazonosító: 3000 - RevokeRequestSuccess
      Sikerült letölteni a visszavonási kérelmeket az Intune-ból.

    • Eseményazonosító: 3001 - RevokeRequestFailure
      Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor.

  • Működési

    • Eseményazonosító: 3002 - RevokeDownloadSuccess
      Sikerült letölteni a visszavonási kérelmeket az Intune-ból.

    • Eseményazonosító: 3003 - RevokeDownloadFailure
      Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor.

    • Eseményazonosító: 3020 - RevokeDownloadedRequest
      Az Intune-ból letöltött egyetlen kérelem részletei

    • Eseményazonosító: 3032 - RevokeDigicertRequest
      Visszavont kérés érkezett az Intune-tól, és továbbította a kérelmet a Digicertnek a kérés teljesítéséhez.

    • Eseményazonosító: 3050 - RevokeSuccess
      A tanúsítvány visszavonása sikerült.

    • Eseményazonosító: 3051 - RevokeFailure
      Hiba történt egy tanúsítvány visszavonása közben.

    • Eseményazonosító: 3052 - RevokeFailedAttempt
      Nem sikerült visszavonni a tanúsítványt. A program újrapróbálkozott.

    • Eseményazonosító: 3100 - RevokeUploadSuccess
      Sikerült feltölteni a visszavonási kérelem eredményeit az Intune-ba.

    • Eseményazonosító: 3101 - RevokeUploadFailure
      Nem sikerült feltölteni a visszavonási kérelem eredményeit az Intune-ba.

    • Eseményazonosító: 3102 - RevokeUploadedRequest
      Sikerült feltölteni a visszavonási kérelmet az Intune-ba.

SCEP

  • Rendszergazda

    • Eseményazonosító: 4000 - ScrepRequestSuccess
      Sikerült feldolgozni egy SCEP-kérést, és értesítettük az Intune-t.

    • Eseményazonosító: 4001 - ScepRequestIssuedFailure
      Nem sikerült feldolgozni egy SCEP-kérést, és értesítette az Intune-t.

    • Eseményazonosító: 4002 - ScepRequestUploadFailure
      Sikerült feldolgozni az SCEP-kérést, de nem sikerült értesíteni az Intune-t.

  • Működési

    • Eseményazonosító: 4003 - ScepRequestReceived
      Sikerült SCEP-kérést fogadni egy eszközről.

    • Eseményazonosító: 4004 - ScepVerifySuccess
      Sikerült ellenőrizni egy SCEP-kérést az Intune-nal.

    • Eseményazonosító: 4005 - ScepVerifyFailure
      Nem sikerült ellenőrizni egy SCEP-kérést az Intune-nal.

    • Eseményazonosító: 4006 - ScepIssuedSuccess
      Az SCEP-kéréshez sikeresen kibocsátott tanúsítvány.

    • Eseményazonosító: 4007 - ScepIssuedFailure
      Nem sikerült tanúsítványt kibocsátani az SCEP-kérelemhez.

    • Eseményazonosító: 4008 - ScepNotifySuccess
      Sikerült értesíteni az Intune-t egy SCEP-kérés eredményéről.

    • Eseményazonosító: 4009 - ScepNotifyAttemptFailed
      Nem sikerült értesíteni az Intune-t egy SCEP-kérés eredményéről, újrapróbálkozhat.

    • Eseményazonosító: 4010 - ScepNotifySaveToDiskFailed
      Nem sikerült az értesítés írása a lemezre, és nem tudja értesíteni az Intune-t a kérés állapotáról.

Összekötő állapota

  • Működési

    • Eseményazonosító: 5000 - HealthMessageUploadSuccess Az állapotüzenetek sikeresen feltöltődtek az Intune-ba.

    • Eseményazonosító: 5001 - HealthMessageUploadFailedAttempt Nem sikerült feltölteni az állapotüzeneteket az Intune-ba, a rendszer újra megpróbálja.

    • Eseményazonosító: 5002 - HealthMessageUploadFailure Nem sikerült állapotüzeneteket feltölteni az Intune-ba.

A tanúsítvány-összekötő újdonságai

A Microsoft Intune tanúsítvány-összekötőjének frissítései rendszeres időközönként jelennek meg, majd hat hónapig támogatottak. Amikor frissítjük az összekötőt, itt olvashat a változásokról.

Az összekötő új frissítései egy vagy több hetet is igénybe vehetnek, hogy elérhetővé váljanak az egyes bérlők számára.

Fontos

2022 áprilisától a 6.2101.13.0-s verziónál korábbi tanúsítvány-összekötők elavultak lesznek, és Hiba állapotot fognak mutatni. 2022 augusztusától ezek az összekötőverziók nem fogják tudni visszavonni a tanúsítványokat. 2022 szeptemberétől ezek az összekötőverziók nem fognak tudni tanúsítványokat kiadni. Ez magában foglalja a Microsoft Intune-hoz készült PFX tanúsítvány-összekötőt és a Microsoft Intune-összekötőt is, amelyet 2021. július 29-én a Microsoft Intune tanúsítvány-összekötője váltott fel (a jelen cikkben leírtak szerint).

2023. február 15.

6.2301.1.0-s verzió – Változások ebben a kiadásban:

  • Naplózási információk az Intune-szolgáltatás naplóival való korrelációhoz
  • A PFX-tanúsítványok kiállítási folyamatának naplózási fejlesztései

2022. szeptember 21., kedd

6.2206.122.0-s verzió – Változások ebben a kiadásban:

  • Továbbfejlesztett telemetria a hibajavítások és a teljesítmény javítása mellett

2022. június 30., csütörtök

6.2205.201.0-s verzió – Változások ebben a kiadásban:

  • Frissítettük a telemetriai csatornát az Intune-ra, hogy az Intune-rendszergazda adatokat gyűjtsön a portálon

2022. május 4.

6.2203.12.0-s verzió – Változások ebben a kiadásban:

  • CNG-szolgáltatók támogatása ügyfél-hitelesítési tanúsítványokhoz
  • Továbbfejlesztett támogatás az ügyfél-hitelesítési tanúsítványok automatikus megújításához

2022. március 10.

6.2202.38.0-s verzió. Ez a frissítés a következőket tartalmazza:

  • A TLS 1.2 támogatásának változásai az automatikus frissítéshez

Következő lépések

A Microsoft Intune tanúsítvány-összekötőjének előfeltételeinek áttekintése