Tanúsítvány-összekötők a Microsoft Intune-hoz
Fontos
2021. július 29-től a Microsoft Intune tanúsítvány-összekötője felváltja a PFX tanúsítvány-összekötő használatát a Microsoft Intune-hoz és a Microsoft Intune-összekötőhöz. Az új összekötő mindkét korábbi összekötő funkcióit tartalmazza. A cikkben ismertetett korábbi összekötők támogatása 2021. 09. 22-én megszűnt a Microsoft tanúsítvány-összekötőjének 6.2109.51.0-s verziójával.
Ha új tanúsítvány-összekötőt kell telepítenie, vagy újra kell telepítenie egy összekötőt, telepítse az újabb Tanúsítvány-összekötőt a Microsoft Intune-hoz. További információ: Tanúsítvány-összekötő a Microsoft Intune-hoz.
A tanúsítványok hitelesítéshez, valamint az e-mailek S/MIME-vel történő aláírásához és titkosításához az Intune tanúsítvány-összekötőt igényel. A tanúsítvány-összekötő egy helyszíni kiszolgálóra telepített szoftver. Az összekötő lehetővé teszi, hogy a felhőben felügyelt eszközök tanúsítványokat építsenek ki a helyszíni infrastruktúrából, például egy kiállító hitelesítésszolgáltatóból.
Elérhető összekötők
Az Intune-hoz két tanúsítvány-összekötő érhető el. Mindegyiknek saját felhasználási módjai és követelményei vannak.
PFX Tanúsítvány-összekötő a Microsoft Intune-hoz
A PFX tanúsítvány-összekötő támogatja a PKCS #12-tanúsítványkérelmek tanúsítványtelepítését, és kezeli az Intune-ba egy adott felhasználó S/MIME e-mail titkosításához importált PFX-fájlokra vonatkozó kérelmeket.
Tipp
Az összekötő augusztusi frissítése előtt (6.2008.60.607-es verzió) a PKCS #12 tanúsítványkérelmet az Intune Tanúsítvány-összekötő kezelte. Az augusztusi frissítéssel az összes PKCS-tanúsítványkérés funkciói összevonva lettek a PFX tanúsítvány-összekötőben, amely támogatja az összekötő új verziókra történő automatikus frissítését, és a .NET-keretrendszer 4.7.2-es verzióját igényli.
Ez az összekötő a következő három platformot is támogatja, amelyek nem támogatottak a Microsoft Intune-összekötőn keresztül:
- Android Enterprise – Teljes körűen felügyelt
- Android Enterprise – Dedikált
- Android Enterprise – Corporate-Owned munkahelyi profil
A Microsoft Intune-összekötő funkciói nem elavultak, és egyes platformokon továbbra is használhatja PKCS-tanúsítványprofilokkal. Ha azonban nem használja az SCEP-t, vagy más módon szeretné használni az NDES-t, átválthat a PFX tanúsítvány-összekötőre, és eltávolíthatja az NDES-t a kiszolgálókról.
A PFX-tanúsítvány-összekötő:
Az összekötő több példányát is támogatja minden Intune-bérlőhöz. Az összekötő minden példányának telepítenie kell egy Windows Servert, és hozzá kell férnie a feltöltött PFX-fájlok jelszavának titkosításához használt titkos kulcshoz.
Megjegyzés:
Minden összekötőnek ugyanazokkal az engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.
Az összekötő bármely példánya lekérheti a függőben lévő PKCS-kérelmeket az Intune szolgáltatás üzenetsorából, így nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket.
Ugyanez vonatkozik a tanúsítvány visszavonására is.
Telepíthető ugyanarra a kiszolgálóra, amely a Microsoft Intune Connector egy példányát üzemelteti.
Bérlőnként legfeljebb 100 ilyen összekötőpéldányt támogat, és mindegyik példány külön Windows-kiszolgálón található. Ha több összekötőt használ:
- A KÖRNYEZET PFX-tanúsítvány-összekötőjének minden példányának azonos verziójúnak kell lennie.
- Az infrastruktúra támogatja a redundanciát és a terheléselosztást, mivel bármely elérhető összekötőpéldány feldolgozhatja a tanúsítványkéréseket.
Támogatja az új verziók automatikus frissítését . Az új verziók automatikus telepítéséhez az összekötőt futtató számítógépnek kapcsolatba kell lépnie autoupdate.msappproxy.net a 443-as porton. Ha az összekötő nem frissül automatikusan, manuálisan frissítheti az összekötőt.
Támogatja a tanúsítványok visszavonását (az összekötő 6.2008.60.607-es vagy újabb verzióját igényli)
Ugyanazokkal a hálózati követelményekkel rendelkezik, mint a felügyelt eszközök
További információ: A Microsoft Intune hálózati végpontjai, valamint az Intune hálózati konfigurációs követelményei és sávszélessége.
Az a Windows-kiszolgáló, amelyen az összekötő telepítve van:
- Windows Server 2012 R2 vagy újabb rendszert kell futtatnia.
- Futtassa a .NET 4.7.2-keretrendszert.
A PFX-tanúsítvány-összekötő telepítése:
Az összekötő telepítésével kapcsolatos útmutatásért lásd : A PFX tanúsítvány-összekötő letöltése, telepítése és konfigurálása.
Microsoft Intune-összekötő
A Microsoft Intune-összekötőt néha Microsoft Intune Tanúsítvány-összekötőnek is nevezik. Ez az összekötő támogatja a tanúsítványok üzembe helyezését, ha SCEP protokollt ( Simple Certificate Enrollment Protocol ) használ, és rendelkezik Active Directory tanúsítványszolgáltatás-hitelesítésszolgáltatóval (CA). Az ilyen típusú hitelesítésszolgáltatót Microsoft hitelesítésszolgáltatónak is nevezik.
Ha az SCEP-t microsoftos hitelesítésszolgáltatóval használja, a hálózati eszközök tanúsítványigénylési szolgáltatását (NDES) is konfigurálnia kell. Ezért ezt az összekötőt gyakran NDES tanúsítvány-összekötőnek is nevezik.
Ha külső hitelesítésszolgáltatót használ, nem kell használnia ezt az összekötőt, és nincs szükség NDES-re.
A Microsoft Intune-összekötő:
Támogatja az SCEP-tanúsítványok kiállítását
A PKCS-tanúsítványok a legtöbb eszközplatformon kibocsáthatók, de nem mindegyiknek. Ez az összekötő nem támogatja A PKCS-tanúsítványok kiállítását a következőre:
- Android Enterprise – Teljes körűen felügyelt
- Android Enterprise – Dedikált
- Android Enterprise – Corporate-Owned munkahelyi profil
Ezen platformok támogatásához használja a PFX tanúsítvány-összekötőt, amely támogatja a PKCS-tanúsítványok kiadását az összes eszközplatformon. Ha nem használja az SCEP-t, eltávolíthatja ezt az összekötőt, és csak a PFX tanúsítvány-összekötőt használhatja.
Megjegyzés:
A PKCS esetében minden összekötőnek azonos engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.
Az összekötő bármely példánya lekérheti a függőben lévő PKCS-kérelmeket az Intune szolgáltatás üzenetsorából, így nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket.
Ugyanez vonatkozik a tanúsítvány visszavonására is.
Windows-kiszolgálóra települ, amely a PFX tanúsítvány-összekötő egy példányát is üzemeltetheti.
Bérlőnként legfeljebb 100 ilyen összekötőpéldányt támogat, és mindegyik példány külön Windows-kiszolgálón található. Ha több összekötőt használ:
- A Microsoft Intune-összekötő minden példányának azonos verziójúnak kell lennie a környezetben.
- Az infrastruktúra támogatja a redundanciát és a terheléselosztást, mivel bármely elérhető összekötőpéldány feldolgozhatja a tanúsítványkéréseket.
Az összekötő új verziójának telepítéséhez manuális frissítés szükséges. A manuális frissítéshez el kell távolítania az aktuális összekötőt, majd telepítenie kell az összekötő új verzióját. További műveletekre nincs szükség.
Támogatja a Federal Information Processing Standard (FIPS) módot. A FIPS nem szükséges. Ha a FIPS engedélyezve van, kiadhatja és visszavonhatja a tanúsítványokat.
Ugyanazokkal a hálózati követelményekkel rendelkezik, mint a felügyelt eszközök.
További információ: A Microsoft Intune hálózati végpontjai, valamint az Intune hálózati konfigurációs követelményei és sávszélessége.
Az a Windows-kiszolgáló, amelyen az összekötő telepítve van:
- Windows Server 2012 R2 vagy újabb rendszert kell futtatnia.
- Futtassa a .NET 4.5-keretrendszert. Ha ez az összekötő a PFX tanúsítvány-összekötővel azonos kiszolgálóra van telepítve, a PFX-összekötő által igényelt .NET 4.7.2-keretrendszert kell használnia.
- Nem lehet ugyanaz a kiszolgáló, amely a kiállító hitelesítésszolgáltatót (CA) üzemelteti.
- Ha microsoftos hitelesítésszolgáltatóval használja az SCEP-hez, az NDES-t futtató kiszolgálóhoz való hozzáférésre van szükség. Az NDES windowsos kiszolgálón fut, és ugyanazon a kiszolgálón futhat, mint ez az összekötő.
Ha NDES szükséges:
Az Internet Explorer fokozott biztonsági konfigurációját le kell tiltani az NDES-t futtató kiszolgálón és a Microsoft Intune-összekötőt futtató kiszolgálón.
Az összekötő további konfigurációkat igényel az NDES-sel való kommunikációhoz. Az NDES telepítésének és konfigurálásának eljárásait a Microsoft Intune-összekötő telepítésével kapcsolatos eljárásokkal találja meg.
Az NDES-sel kapcsolatos további információkért lásd: Hálózati eszközök tanúsítványigénylési szolgáltatásának útmutatója.
A Microsoft Intune Connector telepítése:
Az összekötő telepítésével kapcsolatos útmutatásért lásd: Infrastruktúra konfigurálása az SCEP intune-nal való támogatásához.
Összekötő életciklusa
Fontos
2021. július 29-től a Microsoft Intune tanúsítvány-összekötője felváltja a PFX tanúsítvány-összekötő használatát a Microsoft Intune-hoz és a Microsoft Intune-összekötőhöz. Az új összekötő mindkét korábbi összekötő funkcióit tartalmazza.
A tanúsítvány-összekötők frissített verziói rendszeres időközönként megjelennek. Az új összekötők kiadásáról szóló közlemények az Intune újdonságai című cikkben és a cikk végén, az Összekötők újdonságai szakaszban jelennek meg.
Új verzió megjelenésekor az előző verzió támogatása korlátozott türelmi időszakkal elavult a folyamatos használathoz. A türelmi időszak lejárta után az elavult verzió támogatása megszűnik, és bármikor leállhat. A türelmi időszak hat hónap.
Tervezze meg, hogy az első lehetőségnél frissíti az összekötőt a legújabb verzióra. Minden összekötőnek más frissítési útvonala van:
- PFX Tanúsítvány-összekötő a Microsoft Intune-hoz – Támogatja az automatikus frissítéseket.
- Microsoft Intune Connector – Manuális frissítést igényel.
Automatikus frissítés
Ha az összekötő típusa és a környezet támogatja, az Intune röviddel az összekötő-verzió kiadása után automatikusan a legújabb verzióra frissítheti az összekötőt.
Az automatikus frissítéshez az összekötőt futtató kiszolgálónak hozzá kell férnie az Azure update szolgáltatáshoz:
- Port: 443
- Végpont: autoupdate.msappproxy.net
Ha a tűzfalak, az infrastruktúra vagy a hálózati konfigurációk korlátozzák az automatikus frissítéshez való hozzáférést, oldja meg a blokkolási problémákat, vagy frissítse manuálisan az összekötőt az új verzióra.
Manuális frissítés
A tanúsítvány-összekötő manuális frissítésének folyamata megegyezik az összekötő újratelepítésével.
A tanúsítvány-összekötők akkor is frissíthetők manuálisan, ha az támogatja az automatikus frissítéseket. Például manuálisan frissítheti az összekötőt, ha a hálózati konfiguráció letilt egy automatikus frissítést.
Tanúsítvány-összekötő újratelepítése
Az összekötőt futtató Windows-kiszolgálón a Windows-alkalmazások és -szolgáltatások használatával távolítsa el az összekötőt.
Az új verzió telepítéséhez használja az eljárást az összekötő új verziójának telepítéséhez. Ellenőrizze, hogy vannak-e új vagy frissített előfeltételek az összekötő újabb verziójának telepítésekor:
Összekötő állapota
A Microsoft Intune Felügyeleti központban kiválaszthat egy tanúsítvány-összekötőt az állapotával kapcsolatos információk megtekintéséhez:
Bejelentkezés a Microsoft Intune Felügyeleti központba
Lépjen a Bérlőfelügyeleti>összekötők és jogkivonatok>Tanúsítvány-összekötők elemre.
Válasszon ki egy összekötőt az állapotának megtekintéséhez.
Az összekötő állapotának megtekintésekor:
- Az elavult összekötők figyelmeztetéssel jelennek meg. A hat hónapos türelmi időszak után a figyelmeztetés hibára változik.
- A türelmi időszakon túli összekötők hibát jeleznek. Ezek az összekötők már nem támogatottak, és bármikor leállhatnak.
Fakitermelés
Az alábbi naplózási adatok az összekötő 6.2101.13.0-s verziójától kezdve érhetők el.
A PFX-tanúsítvány-összekötő naplói eseménynaplóként érhetők el azon a kiszolgálón, amelyen az összekötő telepítve van:
- Eseménynapló>Alkalmazás- és szolgáltatásnaplók>Microsoft>Intune>Tanúsítvány-összekötők
A következő naplók érhetők el, és alapértelmezés szerint 50 MB-ra vannak állítva, és engedélyezve van az automatikus archiválás:
- Rendszergazdai napló – Ez a napló az összekötőnek küldött kérésenként egy naplóeseményt tartalmaz. Az események magukban foglalják a kéréssel kapcsolatos információk sikerességét , vagy a kéréssel és a hibával kapcsolatos információkat tartalmazó hibát .
- Működési napló – Ez a napló a rendszergazdai naplóban találhatónál további információkat jelenít meg, és hibakeresési problémákhoz használható. Ez a napló a PFX-tanúsítvány-összekötő folyamatban lévő műveleteit is megjeleníti egyetlen esemény helyett.
Eseményazonosítók
Minden esemény a következő azonosítók egyikével rendelkezik:
- 0001-0999 – Nincs társítva egyetlen konkrét forgatókönyvhöz sem
- 1000-1999 - PKCS
- 2000–2999 – PKCS-importálás
- 3000-3999 - Visszavonás
Tevékenységkategóriák
A rendszer minden eseményt tevékenységkategóriával címkéz, hogy segítse a szűrést. A tevékenységkategóriák a következő listákat tartalmazzák, de nem korlátozódnak a következőkre:
PKCS
-
Rendszergazda
- PkcsRequestSuccess – Sikeresen teljesítette és feltöltötte a PKCS-kérelmet az Intune-ba.
- PkcsRequestFailure – Nem sikerült teljesíteni vagy feltölteni egy PKCS-kérést az Intune-ba.
-
Működési
- PkcsDownloadSuccess – A PKCS-kérelmek sikeresen letöltve az Intune-ból
- PkcsDownloadFailure – Hiba történt a PKCS-kérelmek Intune-ból való letöltésekor
- PkcsDownloadedRequest – Az Intune-ból letöltött egyetlen kérelem részletei
- PkcsIssuedSuccess – Tanúsítványt adott ki egy kéréshez
- PkcsIssuedFailedAttempt – Hiba történt egy kérelem tanúsítványának kiállítása közben
- PkcsIssuedFailure – Nem sikerült tanúsítványt kibocsátani egy kérelemhez
- PkcsUploadSuccess – Az Intune-ba feltöltött sikeres kérés részletei
- PkcsUploadFailure – Hiba történt, amikor kéréseket töltött fel az Intune-ba
- PkcsUploadedRequest – Az Intune-ba feltöltött kérelem részletei
PKCS-importálás
-
Rendszergazda
- PkcsImportRequestSuccess – A PKCS importálási kérelmei sikeresen letöltve az Intune-ból
- PkcsImportRequestFailure – Hiba történt a PKCS Importálási kérelmek letöltésekor az Intune-ból
-
Működési
- PkcsImportDownloadSuccess – Sikeresen letöltött PKCS importálási kérelmek az Intune-ból
- PkcsImportDownloadFailure – Hiba történt a PKCS Importálási kérelmek letöltésekor az Intune-ból
- PkcsImportDownloadedRequest – Az Intune-ból letöltött egyetlen kérelem részletei
- PkcsImportReencryptSuccess – Importált tanúsítvány újratitkosítása
- PkcsImportReencryptFailedAttempt – Hiba történt egy importált tanúsítvány újratitkosítása közben
- PkcsImportReencryptFailure – Nem sikerült újratitkosítani egy importált tanúsítványt
- PkcsImportUploadFailure – Hiba történt, amikor kéréseket töltött fel az Intune-ba
- PkcsImportUploadedRequest – Az Intune-ba feltöltött kérés részletei
Visszavonás
-
Rendszergazda
- RevokeRequestSuccess – A visszavonási kérelmek sikeresen letöltve az Intune-ból
- RevokeRequestFailure – Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor
-
Működési
- RevokeDownloadSuccess – A visszavonási kérelmek sikeresen letöltve az Intune-ból
- RevokeDownloadFailure – Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor
- RevokeDownloadedRequest – Az Intune-ból letöltött egyetlen kérelem részletei
- RevokeSuccess – A tanúsítvány visszavonása sikerült
- RevokeFailure – Hiba történt egy tanúsítvány visszavonása közben
- RevokeFailedAttempt – Nem sikerült visszavonni egy tanúsítványt
- RevokeUploadSuccess – Az Intune-ba feltöltött sikeres kérés részletei
- RevokeUploadFailure – Hiba történt a kérések Intune-ba való feltöltésekor
- RevokeUploadedRequest – Az Intune-ba feltöltött kérelem részletei
Az összekötők újdonságai
A két tanúsítvány-összekötő frissítései rendszeres időközönként jelennek meg. Amikor frissítünk egy összekötőt, itt olvashat a változásokról.
Fontos
2022 áprilisától a 6.2101.13.0-s verziónál korábbi tanúsítvány-összekötők elavultak lesznek, és Hiba állapotot fognak mutatni. Ez az állapot nincs hatással a funkciókra. 2022 júniusától az ilyen összekötők nem fognak tudni tanúsítványokat kiadni. Az új Microsoft tanúsítvány-összekötőre való áttérés részleteiért tekintse meg a cikk elejére vonatkozó megjegyzést.
PFX-tanúsítványösszekötő kiadási előzményei
A Microsoft Intune PFX tanúsítvány-összekötőjetámogatja az automatikus frissítéseket.
2021. március 10.
6.2101.16.0-s verzió. - Változások ebben a kiadásban:
- A PFX létrehozási folyamatának fejlesztései, amelyek megakadályozzák a tanúsítványkérelem-fájlok duplikálását az összekötőt futtató helyszíni kiszolgálókon.
2021. február 24.
6.2101.13.0-s verzió. Ez az új összekötő-verzió továbbfejleszti a PFX-összekötő naplózását :
- Új hely az eseménynaplókhoz, a naplók rendszergazdai, műveleti & hibakeresésre lebontva
- A rendszergazda & működési naplók alapértelmezett értéke 50 MB – az automatikus archiválás engedélyezve van.
- EventID-k A PKCS importálásához, PKCS-létrehozáshoz és -visszavonáshoz.
2021. január 26., kedd
6.2009.2.0-s verzió – Változások ebben a kiadásban:
- Javítja az összekötő frissítését az Összekötő-szolgáltatásokat futtató fiókok megőrzéséhez.
2021. január 15.
6.2009.1.9-es verzió – A jelen kiadás változásai:
- Az összekötőtanúsítvány megújításának fejlesztései.
2020. október 2.
6.2008.60.612-es verzió – Változások ebben a kiadásban:
- Kijavítottunk egy hibát, amely a PKCS-tanúsítvány androidos nagyvállalati teljes körűen felügyelt eszközökre való kézbesítésével kapcsolatos. A probléma miatt a titkosítási kulcstároló-szolgáltató (KSP) örökölt szolgáltatónak kellett lennie. Most már használhat titkosítási következő generációs (CNG) kulcstároló-szolgáltatót is.
- A PFX tanúsítvány-összekötő hitelesítésszolgáltatói fiók lapjának változásai: A megadott felhasználónév és jelszó (hitelesítő adatok) mostantól a tanúsítványok kiállítására és a tanúsítványok visszavonására szolgálnak. Ezeket a hitelesítő adatokat korábban csak a tanúsítvány visszavonásához használták.
A Microsoft Intune Connector kiadási előzményei
2019. április 2.
6.1904.1.0-s verzió – Változások ebben a kiadásban:
- Kijavítottunk egy hibát, amely miatt előfordulhatott, hogy az összekötő nem tudott regisztrálni az Intune-ba, miután globális rendszergazdai fiókkal bejelentkezett az összekötőbe.
- Megbízhatósági javításokat tartalmaz a tanúsítványok visszavonásához.
- Teljesítményjavításokat tartalmaz a PKCS-tanúsítványkérelmek feldolgozásának gyorsabbá javítására.
Következő lépések
Hozzon létre importált SCEP-, PKCS- vagy PKCS-tanúsítványprofilokat minden használni kívánt platformhoz. A folytatáshoz tekintse meg a következő cikkeket:
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: