Az Microsoft Intune tanúsítvány-összekötőjének előfeltételei

Tekintse át az Microsoft Intune tanúsítvány-összekötőjének előfeltételeit és infrastrukturális követelményeit. Egyes előfeltételek és infrastruktúrakövetelmények az összekötőpéldányok támogatásához konfigurált funkcióktól függően változhatnak.

Általános előfeltételek

Azon számítógép követelményei, amelyen az összekötőszoftvert telepíti:

• R2 vagy újabb Windows Server 2012.

  Megjegyzés:

  A kiszolgáló telepítésének tartalmaznia kell az asztali felületet, és támogatnia kell a böngésző használatát. További információ: Kiszolgáló telepítése asztali felülettel a Windows Server 2016 dokumentációjában.

• .NET 4.7.2

• Transport Layer Security (TLS) 1.2. További információ: A TLS 1.2 támogatásának engedélyezése a környezetben a Microsoft Entra dokumentációjában.

• A kiszolgálónak ugyanazokat a hálózati követelményeket kell teljesítenie, mint a felügyelt eszközöknek. Lásd: Hálózati végpontok a Microsoft Intune, valamint Intune hálózati konfigurációs követelmények és sávszélesség.

• Az összekötő szoftver automatikus frissítéseinek támogatásához a kiszolgálónak hozzáféréssel kell rendelkeznie az Azure frissítési szolgáltatásához:

  • Port: 443
  • Végpont: autoupdate.msappproxy.net

• A fokozott biztonsági konfigurációt inaktiválni kell.

PKCS

A privát és nyilvános kulcspárok (PKCS) tanúsítványsablonjainak követelményei:

• A PKCS-kérelmekhez használt tanúsítványsablonokat olyan engedélyekkel kell konfigurálni, amelyek lehetővé teszik, hogy a tanúsítvány-összekötő szolgáltatásfiókja regisztrálja a tanúsítványt.
• A tanúsítványsablonokat hozzá kell adni a hitelesítésszolgáltatóhoz (CA).

Megjegyzés:

A PKCS-t támogató összekötő bármely példánya használható a függőben lévő PKCS-kérések lekérésére a Intune szolgáltatás várólistájáról, az importált tanúsítványok feldolgozására és a visszavonási kérelmek kezelésére. Nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket.

Ezért minden olyan összekötőnek, amely támogatja a PKCS-t, ugyanazokkal az engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.

PKCS importált tanúsítványok

Az importált PKCS-tanúsítványok támogatásához az összekötőt üzemeltető kiszolgálónak további konfigurációkra van szüksége, például kulcstároló-szolgáltatói hozzáférés konfigurálására, hogy az összekötő szolgáltatás felhasználója lekérhesse a kulcsokat.

További információ az importált PKCS-tanúsítványok támogatásáról: Importált PKCS-tanúsítványok konfigurálása és használata Intune.

Visszavonási előfeltételek

• A hitelesítésszolgáltatót úgy kell konfigurálni, hogy az összekötő szolgáltatásfiókja visszavonhassa a tanúsítványokat.

SCEP

Az SCEP-tanúsítványok támogatásához az összekötőt futtató Windows Servernek az általános előfeltételek mellett a következő előfeltételeknek is meg kell felelnie:

• IIS 7 vagy újabb
• Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES), amely az Active Directory tanúsítványszolgáltatás szerepkör része. Az összekötő nem támogatott ugyanazon a kiszolgálón, mint a kiállító hitelesítésszolgáltató. További információ: Infrastruktúra konfigurálása az SCEP Intune való támogatásához.

A Windows Serveren válassza a következő kiszolgálói szerepkörök és szolgáltatások hozzáadását:

• Kiszolgálói szerepkörök:

  • Active Directory tanúsítványszolgáltatások
  • Webkiszolgáló (IIS)

• Szolgáltatások:

  • .NET-keretrendszer 4.7 funkciói
    • .NET-keretrendszer 4,7
    • ASP.NET 4,7
    • WCF-szolgáltatások
      • HTTP-aktiválás

• AD CS > Szerepkör-szolgáltatások:

  • Hálózati eszközök tanúsítványigénylési szolgáltatása – Az SCEP összekötőhöz a Microsoft hitelesítésszolgáltató használatakor telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) kiszolgálói szerepkört. Az NDES konfigurálásakor hozzá kell rendelnie egy felhasználói fiókot az NDES-alkalmazáskészlet számára. Az NDES saját követelményekkel is rendelkezik.

• Webkiszolgálói szerepkör (IIS) > Szerepkör-szolgáltatások:

  • Biztonság
    • Kérelemszűrés
  • Alkalmazásfejlesztés
    • .NET-bővíthetőség 4.7
    • ASP.NET 4,7
  • Felügyeleti eszközök
    • IIS felügyeleti konzol
    • IIS 6 felügyeleti kompatibilitás
      • IIS 6 metabázis-kompatibilitás
      • IIS 6 WMI-kompatibilitás

  Emellett az NDES-nek szüksége van a following.NET Framework 3.5 funkcióira:

  • .NET-keretrendszer 3,5
  • HTTP-aktiválás

Az SCEP-tanúsítványsablonokra vonatkozó követelmények:

• Az SCEP-kérelmekhez használt tanúsítványsablonokat olyan engedélyekkel kell konfigurálni, amelyek lehetővé teszik, hogy a Tanúsítvány-összekötő szolgáltatásfiók automatikusan regisztrálja a tanúsítványt.
• A tanúsítványsablonokat hozzá kell adni a hitelesítésszolgáltatóhoz.

Fiókok

A tanúsítvány-összekötő szoftver telepítése előtt készítse elő a következő fiókokat.

Telepítési fiók

Az összekötő szoftver telepítéséhez bármely olyan felhasználói fiókot használhat, amely helyi rendszergazdai engedélyekkel rendelkezik a Windows Serveren. Ugyanezzel a fiókkal konfigurálhatja a Windows Servert az NDES Windows-kiszolgálói szerepkörrel, ha az SCEP-t és a Microsoft hitelesítésszolgáltatót használja.

Tanúsítvány-összekötő szolgáltatásfiókja

A tanúsítvány-összekötőhöz szolgáltatásfiókként kell használni egy fiókot. Az összekötő ezt a fiókot használja a Windows Server eléréséhez, a Intune való kommunikációhoz, valamint a hitelesítésszolgáltatóhoz való hozzáféréshez a PKI-kérelmek kiszolgálásához.

Az összekötő szolgáltatásfiókjának a következő engedélyekkel kell rendelkeznie:

• Bejelentkezés szolgáltatásként
• Tanúsítványengedélyek kiállítása és kezelése a hitelesítésszolgáltatónál (csak visszavonási forgatókönyvekhez szükséges).
• Olvassa el és regisztrálja a tanúsítványkibocsátó tanúsítványsablonokra vonatkozó engedélyeket.
• A PFX-importálás által használt kulcstároló-szolgáltató (KSP) engedélyei. Lásd: PFX-tanúsítványok importálása Intune.

A tanúsítvány-összekötő szolgáltatásfiókjaként a következő lehetőségek támogatottak:

• RENDSZER
• Tartományi felhasználó – Bármely olyan tartományi felhasználói fiókot használjon, amely rendszergazda a Windows Serveren.

További információ: Az Microsoft Intune tanúsítvány-összekötőjének telepítése.

NDES-alkalmazáskészlet felhasználója

Az SCEP Microsoft hitelesítésszolgáltatóval való használatához az összekötő telepítése előtt hozzá kell adnia az NDES-t az összekötőt üzemeltető kiszolgálóhoz. Az NDES konfigurálásakor meg kell adnia egy fiókot az alkalmazáskészlet-felhasználóként való használathoz, amelyet NDES-szolgáltatásfióknak is nevezhetünk. Ez a fiók lehet helyi vagy tartományi felhasználói fiók, és a következő engedélyekkel kell rendelkeznie:

• Olvassa el és regisztrálja a tanúsítványok kiállításához használt összes SCEP-tanúsítványsablonra vonatkozó engedélyeket.
• A IIS_IUSRS csoport tagja.

Az NDES-kiszolgálói szerepkör Microsoft Intune tanúsítvány-összekötőhöz való konfigurálásával kapcsolatos útmutatásért lásd: Az NDES beállítása az infrastruktúra konfigurálása az SCEP támogatásához Intune.

Microsoft Entra felhasználó

Az összekötő konfigurálásakor olyan felhasználói fiókot kell használnia, amely globális Rendszergazda vagy Intune Rendszergazda, és Intune licenc van hozzárendelve.

Következő lépések

A tanúsítvány-összekötő telepítése Microsoft Intune