Megosztás a következőn keresztül:

Tanúsítvány-összekötők a Microsoft Intune-hoz

  • Cikk

Fontos

2021. július 29-től a Microsoft Intune tanúsítvány-összekötője felváltja a PFX tanúsítvány-összekötő használatát a Microsoft Intune-hoz és a Microsoft Intune-összekötőhöz. Az új összekötő mindkét korábbi összekötő funkcióit tartalmazza. A cikkben ismertetett korábbi összekötők támogatása 2021. 09. 22-én megszűnt a Microsoft tanúsítvány-összekötőjének 6.2109.51.0-s verziójával.

Ha új tanúsítvány-összekötőt kell telepítenie, vagy újra kell telepítenie egy összekötőt, telepítse az újabb Tanúsítvány-összekötőt a Microsoft Intune-hoz. További információ: Tanúsítvány-összekötő a Microsoft Intune-hoz.

A tanúsítványok hitelesítéshez, valamint az e-mailek S/MIME-vel történő aláírásához és titkosításához az Intune tanúsítvány-összekötőt igényel. A tanúsítvány-összekötő egy helyszíni kiszolgálóra telepített szoftver. Az összekötő lehetővé teszi, hogy a felhőben felügyelt eszközök tanúsítványokat építsenek ki a helyszíni infrastruktúrából, például egy kiállító hitelesítésszolgáltatóból.

Elérhető összekötők

Az Intune-hoz két tanúsítvány-összekötő érhető el. Mindegyiknek saját felhasználási módjai és követelményei vannak.

PFX Tanúsítvány-összekötő a Microsoft Intune-hoz

A PFX tanúsítvány-összekötő támogatja a PKCS #12-tanúsítványkérelmek tanúsítványtelepítését, és kezeli az Intune-ba egy adott felhasználó S/MIME e-mail titkosításához importált PFX-fájlokra vonatkozó kérelmeket.

Tipp

Az összekötő augusztusi frissítése előtt (6.2008.60.607-es verzió) a PKCS #12 tanúsítványkérelmet az Intune Tanúsítvány-összekötő kezelte. Az augusztusi frissítéssel az összes PKCS-tanúsítványkérés funkciói összevonva lettek a PFX tanúsítvány-összekötőben, amely támogatja az összekötő új verziókra történő automatikus frissítését, és a .NET-keretrendszer 4.7.2-es verzióját igényli.

Ez az összekötő a következő három platformot is támogatja, amelyek nem támogatottak a Microsoft Intune-összekötőn keresztül:

  • Android Enterprise – Teljes körűen felügyelt
  • Android Enterprise – Dedikált
  • Android Enterprise – Corporate-Owned munkahelyi profil

A Microsoft Intune-összekötő funkciói nem elavultak, és egyes platformokon továbbra is használhatja PKCS-tanúsítványprofilokkal. Ha azonban nem használja az SCEP-t, vagy más módon szeretné használni az NDES-t, átválthat a PFX tanúsítvány-összekötőre, és eltávolíthatja az NDES-t a kiszolgálókról.

A PFX-tanúsítvány-összekötő:

  • Az összekötő több példányát is támogatja minden Intune-bérlőhöz. Az összekötő minden példányának telepítenie kell egy Windows Servert, és hozzá kell férnie a feltöltött PFX-fájlok jelszavának titkosításához használt titkos kulcshoz.

    Megjegyzés:

    Minden összekötőnek ugyanazokkal az engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.

    Az összekötő bármely példánya lekérheti a függőben lévő PKCS-kérelmeket az Intune szolgáltatás üzenetsorából, így nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket.

    Ugyanez vonatkozik a tanúsítvány visszavonására is.

  • Telepíthető ugyanarra a kiszolgálóra, amely a Microsoft Intune Connector egy példányát üzemelteti.

  • Bérlőnként legfeljebb 100 ilyen összekötőpéldányt támogat, és mindegyik példány külön Windows-kiszolgálón található. Ha több összekötőt használ:

    • A KÖRNYEZET PFX-tanúsítvány-összekötőjének minden példányának azonos verziójúnak kell lennie.
    • Az infrastruktúra támogatja a redundanciát és a terheléselosztást, mivel bármely elérhető összekötőpéldány feldolgozhatja a tanúsítványkéréseket.

  • Támogatja az új verziók automatikus frissítését . Az új verziók automatikus telepítéséhez az összekötőt futtató számítógépnek kapcsolatba kell lépnie autoupdate.msappproxy.net a 443-as porton. Ha az összekötő nem frissül automatikusan, manuálisan frissítheti az összekötőt.

  • Támogatja a tanúsítványok visszavonását (az összekötő 6.2008.60.607-es vagy újabb verzióját igényli)

  • Ugyanazokkal a hálózati követelményekkel rendelkezik, mint a felügyelt eszközök

    További információ: A Microsoft Intune hálózati végpontjai, valamint az Intune hálózati konfigurációs követelményei és sávszélessége.

Az a Windows-kiszolgáló, amelyen az összekötő telepítve van:

  • Windows Server 2012 R2 vagy újabb rendszert kell futtatnia.
  • Futtassa a .NET 4.7.2-keretrendszert.

A PFX-tanúsítvány-összekötő telepítése:

Az összekötő telepítésével kapcsolatos útmutatásért lásd : A PFX tanúsítvány-összekötő letöltése, telepítése és konfigurálása.

Microsoft Intune-összekötő

A Microsoft Intune-összekötőt néha Microsoft Intune Tanúsítvány-összekötőnek is nevezik. Ez az összekötő támogatja a tanúsítványok üzembe helyezését, ha SCEP protokollt ( Simple Certificate Enrollment Protocol ) használ, és rendelkezik Active Directory tanúsítványszolgáltatás-hitelesítésszolgáltatóval (CA). Az ilyen típusú hitelesítésszolgáltatót Microsoft hitelesítésszolgáltatónak is nevezik.

Ha az SCEP-t microsoftos hitelesítésszolgáltatóval használja, a hálózati eszközök tanúsítványigénylési szolgáltatását (NDES) is konfigurálnia kell. Ezért ezt az összekötőt gyakran NDES tanúsítvány-összekötőnek is nevezik.

Ha külső hitelesítésszolgáltatót használ, nem kell használnia ezt az összekötőt, és nincs szükség NDES-re.

A Microsoft Intune-összekötő:

  • Támogatja az SCEP-tanúsítványok kiállítását

  • A PKCS-tanúsítványok a legtöbb eszközplatformon kibocsáthatók, de nem mindegyiknek. Ez az összekötő nem támogatja A PKCS-tanúsítványok kiállítását a következőre:

    • Android Enterprise – Teljes körűen felügyelt
    • Android Enterprise – Dedikált
    • Android Enterprise – Corporate-Owned munkahelyi profil

    Ezen platformok támogatásához használja a PFX tanúsítvány-összekötőt, amely támogatja a PKCS-tanúsítványok kiadását az összes eszközplatformon. Ha nem használja az SCEP-t, eltávolíthatja ezt az összekötőt, és csak a PFX tanúsítvány-összekötőt használhatja.

    Megjegyzés:

    A PKCS esetében minden összekötőnek azonos engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.

    Az összekötő bármely példánya lekérheti a függőben lévő PKCS-kérelmeket az Intune szolgáltatás üzenetsorából, így nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket.

    Ugyanez vonatkozik a tanúsítvány visszavonására is.

  • Windows-kiszolgálóra települ, amely a PFX tanúsítvány-összekötő egy példányát is üzemeltetheti.

  • Bérlőnként legfeljebb 100 ilyen összekötőpéldányt támogat, és mindegyik példány külön Windows-kiszolgálón található. Ha több összekötőt használ:

    • A Microsoft Intune-összekötő minden példányának azonos verziójúnak kell lennie a környezetben.
    • Az infrastruktúra támogatja a redundanciát és a terheléselosztást, mivel bármely elérhető összekötőpéldány feldolgozhatja a tanúsítványkéréseket.

  • Az összekötő új verziójának telepítéséhez manuális frissítés szükséges. A manuális frissítéshez el kell távolítania az aktuális összekötőt, majd telepítenie kell az összekötő új verzióját. További műveletekre nincs szükség.

  • Támogatja a Federal Information Processing Standard (FIPS) módot. A FIPS nem szükséges. Ha a FIPS engedélyezve van, kiadhatja és visszavonhatja a tanúsítványokat.

  • Ugyanazokkal a hálózati követelményekkel rendelkezik, mint a felügyelt eszközök.

    További információ: A Microsoft Intune hálózati végpontjai, valamint az Intune hálózati konfigurációs követelményei és sávszélessége.

Az a Windows-kiszolgáló, amelyen az összekötő telepítve van:

  • Windows Server 2012 R2 vagy újabb rendszert kell futtatnia.
  • Futtassa a .NET 4.5-keretrendszert. Ha ez az összekötő a PFX tanúsítvány-összekötővel azonos kiszolgálóra van telepítve, a PFX-összekötő által igényelt .NET 4.7.2-keretrendszert kell használnia.
  • Nem lehet ugyanaz a kiszolgáló, amely a kiállító hitelesítésszolgáltatót (CA) üzemelteti.
  • Ha microsoftos hitelesítésszolgáltatóval használja az SCEP-hez, az NDES-t futtató kiszolgálóhoz való hozzáférésre van szükség. Az NDES windowsos kiszolgálón fut, és ugyanazon a kiszolgálón futhat, mint ez az összekötő.

Ha NDES szükséges:

A Microsoft Intune Connector telepítése:

Az összekötő telepítésével kapcsolatos útmutatásért lásd: Infrastruktúra konfigurálása az SCEP intune-nal való támogatásához.

Összekötő életciklusa

Fontos

2021. július 29-től a Microsoft Intune tanúsítvány-összekötője felváltja a PFX tanúsítvány-összekötő használatát a Microsoft Intune-hoz és a Microsoft Intune-összekötőhöz. Az új összekötő mindkét korábbi összekötő funkcióit tartalmazza.

A tanúsítvány-összekötők frissített verziói rendszeres időközönként megjelennek. Az új összekötők kiadásáról szóló közlemények az Intune újdonságai című cikkben és a cikk végén, az Összekötők újdonságai szakaszban jelennek meg.

Új verzió megjelenésekor az előző verzió támogatása korlátozott türelmi időszakkal elavult a folyamatos használathoz. A türelmi időszak lejárta után az elavult verzió támogatása megszűnik, és bármikor leállhat. A türelmi időszak hat hónap.

Tervezze meg, hogy az első lehetőségnél frissíti az összekötőt a legújabb verzióra. Minden összekötőnek más frissítési útvonala van:

  • PFX Tanúsítvány-összekötő a Microsoft Intune-hoz – Támogatja az automatikus frissítéseket.
  • Microsoft Intune Connector – Manuális frissítést igényel.

Automatikus frissítés

Ha az összekötő típusa és a környezet támogatja, az Intune röviddel az összekötő-verzió kiadása után automatikusan a legújabb verzióra frissítheti az összekötőt.

Az automatikus frissítéshez az összekötőt futtató kiszolgálónak hozzá kell férnie az Azure update szolgáltatáshoz:

  • Port: 443
  • Végpont: autoupdate.msappproxy.net

Ha a tűzfalak, az infrastruktúra vagy a hálózati konfigurációk korlátozzák az automatikus frissítéshez való hozzáférést, oldja meg a blokkolási problémákat, vagy frissítse manuálisan az összekötőt az új verzióra.

Manuális frissítés

A tanúsítvány-összekötő manuális frissítésének folyamata megegyezik az összekötő újratelepítésével.

A tanúsítvány-összekötők akkor is frissíthetők manuálisan, ha az támogatja az automatikus frissítéseket. Például manuálisan frissítheti az összekötőt, ha a hálózati konfiguráció letilt egy automatikus frissítést.

Tanúsítvány-összekötő újratelepítése

  1. Az összekötőt futtató Windows-kiszolgálón a Windows-alkalmazások és -szolgáltatások használatával távolítsa el az összekötőt.

  2. Az új verzió telepítéséhez használja az eljárást az összekötő új verziójának telepítéséhez. Ellenőrizze, hogy vannak-e új vagy frissített előfeltételek az összekötő újabb verziójának telepítésekor:

Összekötő állapota

A Microsoft Intune Felügyeleti központban kiválaszthat egy tanúsítvány-összekötőt az állapotával kapcsolatos információk megtekintéséhez:

  1. Bejelentkezés a Microsoft Intune Felügyeleti központba

  2. Lépjen a Bérlőfelügyeleti>összekötők és jogkivonatok>Tanúsítvány-összekötők elemre.

  3. Válasszon ki egy összekötőt az állapotának megtekintéséhez.

Az összekötő állapotának megtekintésekor:

  • Az elavult összekötők figyelmeztetéssel jelennek meg. A hat hónapos türelmi időszak után a figyelmeztetés hibára változik.
  • A türelmi időszakon túli összekötők hibát jeleznek. Ezek az összekötők már nem támogatottak, és bármikor leállhatnak.

Fakitermelés

Az alábbi naplózási adatok az összekötő 6.2101.13.0-s verziójától kezdve érhetők el.

A PFX-tanúsítvány-összekötő naplói eseménynaplóként érhetők el azon a kiszolgálón, amelyen az összekötő telepítve van:

  • Eseménynapló>Alkalmazás- és szolgáltatásnaplók>Microsoft>Intune>Tanúsítvány-összekötők

A következő naplók érhetők el, és alapértelmezés szerint 50 MB-ra vannak állítva, és engedélyezve van az automatikus archiválás:

  • Rendszergazdai napló – Ez a napló az összekötőnek küldött kérésenként egy naplóeseményt tartalmaz. Az események magukban foglalják a kéréssel kapcsolatos információk sikerességét , vagy a kéréssel és a hibával kapcsolatos információkat tartalmazó hibát .
  • Működési napló – Ez a napló a rendszergazdai naplóban találhatónál további információkat jelenít meg, és hibakeresési problémákhoz használható. Ez a napló a PFX-tanúsítvány-összekötő folyamatban lévő műveleteit is megjeleníti egyetlen esemény helyett.

Eseményazonosítók

Minden esemény a következő azonosítók egyikével rendelkezik:

  • 0001-0999 – Nincs társítva egyetlen konkrét forgatókönyvhöz sem
  • 1000-1999 - PKCS
  • 2000–2999 – PKCS-importálás
  • 3000-3999 - Visszavonás

Tevékenységkategóriák

A rendszer minden eseményt tevékenységkategóriával címkéz, hogy segítse a szűrést. A tevékenységkategóriák a következő listákat tartalmazzák, de nem korlátozódnak a következőkre:

PKCS

  • Rendszergazda
    • PkcsRequestSuccess – Sikeresen teljesítette és feltöltötte a PKCS-kérelmet az Intune-ba.
    • PkcsRequestFailure – Nem sikerült teljesíteni vagy feltölteni egy PKCS-kérést az Intune-ba.
  • Működési
    • PkcsDownloadSuccess – A PKCS-kérelmek sikeresen letöltve az Intune-ból
    • PkcsDownloadFailure – Hiba történt a PKCS-kérelmek Intune-ból való letöltésekor
    • PkcsDownloadedRequest – Az Intune-ból letöltött egyetlen kérelem részletei
    • PkcsIssuedSuccess – Tanúsítványt adott ki egy kéréshez
    • PkcsIssuedFailedAttempt – Hiba történt egy kérelem tanúsítványának kiállítása közben
    • PkcsIssuedFailure – Nem sikerült tanúsítványt kibocsátani egy kérelemhez
    • PkcsUploadSuccess – Az Intune-ba feltöltött sikeres kérés részletei
    • PkcsUploadFailure – Hiba történt, amikor kéréseket töltött fel az Intune-ba
    • PkcsUploadedRequest – Az Intune-ba feltöltött kérelem részletei

PKCS-importálás

  • Rendszergazda
    • PkcsImportRequestSuccess – A PKCS importálási kérelmei sikeresen letöltve az Intune-ból
    • PkcsImportRequestFailure – Hiba történt a PKCS Importálási kérelmek letöltésekor az Intune-ból
  • Működési
    • PkcsImportDownloadSuccess – Sikeresen letöltött PKCS importálási kérelmek az Intune-ból
    • PkcsImportDownloadFailure – Hiba történt a PKCS Importálási kérelmek letöltésekor az Intune-ból
    • PkcsImportDownloadedRequest – Az Intune-ból letöltött egyetlen kérelem részletei
    • PkcsImportReencryptSuccess – Importált tanúsítvány újratitkosítása
    • PkcsImportReencryptFailedAttempt – Hiba történt egy importált tanúsítvány újratitkosítása közben
    • PkcsImportReencryptFailure – Nem sikerült újratitkosítani egy importált tanúsítványt
    • PkcsImportUploadFailure – Hiba történt, amikor kéréseket töltött fel az Intune-ba
    • PkcsImportUploadedRequest – Az Intune-ba feltöltött kérés részletei

Visszavonás

  • Rendszergazda
    • RevokeRequestSuccess – A visszavonási kérelmek sikeresen letöltve az Intune-ból
    • RevokeRequestFailure – Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor
  • Működési
    • RevokeDownloadSuccess – A visszavonási kérelmek sikeresen letöltve az Intune-ból
    • RevokeDownloadFailure – Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor
    • RevokeDownloadedRequest – Az Intune-ból letöltött egyetlen kérelem részletei
    • RevokeSuccess – A tanúsítvány visszavonása sikerült
    • RevokeFailure – Hiba történt egy tanúsítvány visszavonása közben
    • RevokeFailedAttempt – Nem sikerült visszavonni egy tanúsítványt
    • RevokeUploadSuccess – Az Intune-ba feltöltött sikeres kérés részletei
    • RevokeUploadFailure – Hiba történt a kérések Intune-ba való feltöltésekor
    • RevokeUploadedRequest – Az Intune-ba feltöltött kérelem részletei

Az összekötők újdonságai

A két tanúsítvány-összekötő frissítései rendszeres időközönként jelennek meg. Amikor frissítünk egy összekötőt, itt olvashat a változásokról.

Fontos

2022 áprilisától a 6.2101.13.0-s verziónál korábbi tanúsítvány-összekötők elavultak lesznek, és Hiba állapotot fognak mutatni. Ez az állapot nincs hatással a funkciókra. 2022 júniusától az ilyen összekötők nem fognak tudni tanúsítványokat kiadni. Az új Microsoft tanúsítvány-összekötőre való áttérés részleteiért tekintse meg a cikk elejére vonatkozó megjegyzést.

PFX-tanúsítványösszekötő kiadási előzményei

A Microsoft Intune PFX tanúsítvány-összekötőjetámogatja az automatikus frissítéseket.

2021. március 10.

6.2101.16.0-s verzió. - Változások ebben a kiadásban:

  • A PFX létrehozási folyamatának fejlesztései, amelyek megakadályozzák a tanúsítványkérelem-fájlok duplikálását az összekötőt futtató helyszíni kiszolgálókon.

2021. február 24.

6.2101.13.0-s verzió. Ez az új összekötő-verzió továbbfejleszti a PFX-összekötő naplózását :

  • Új hely az eseménynaplókhoz, a naplók rendszergazdai, műveleti & hibakeresésre lebontva
  • A rendszergazda & működési naplók alapértelmezett értéke 50 MB – az automatikus archiválás engedélyezve van.
  • EventID-k A PKCS importálásához, PKCS-létrehozáshoz és -visszavonáshoz.

2021. január 26., kedd

6.2009.2.0-s verzió – Változások ebben a kiadásban:

  • Javítja az összekötő frissítését az Összekötő-szolgáltatásokat futtató fiókok megőrzéséhez.

2021. január 15.

6.2009.1.9-es verzió – A jelen kiadás változásai:

  • Az összekötőtanúsítvány megújításának fejlesztései.

2020. október 2.

6.2008.60.612-es verzió – Változások ebben a kiadásban:

  • Kijavítottunk egy hibát, amely a PKCS-tanúsítvány androidos nagyvállalati teljes körűen felügyelt eszközökre való kézbesítésével kapcsolatos. A probléma miatt a titkosítási kulcstároló-szolgáltató (KSP) örökölt szolgáltatónak kellett lennie. Most már használhat titkosítási következő generációs (CNG) kulcstároló-szolgáltatót is.
  • A PFX tanúsítvány-összekötő hitelesítésszolgáltatói fiók lapjának változásai: A megadott felhasználónév és jelszó (hitelesítő adatok) mostantól a tanúsítványok kiállítására és a tanúsítványok visszavonására szolgálnak. Ezeket a hitelesítő adatokat korábban csak a tanúsítvány visszavonásához használták.

A Microsoft Intune Connector kiadási előzményei

2019. április 2.

6.1904.1.0-s verzió – Változások ebben a kiadásban:

  • Kijavítottunk egy hibát, amely miatt előfordulhatott, hogy az összekötő nem tudott regisztrálni az Intune-ba, miután globális rendszergazdai fiókkal bejelentkezett az összekötőbe.
  • Megbízhatósági javításokat tartalmaz a tanúsítványok visszavonásához.
  • Teljesítményjavításokat tartalmaz a PKCS-tanúsítványkérelmek feldolgozásának gyorsabbá javítására.

Következő lépések

Hozzon létre importált SCEP-, PKCS- vagy PKCS-tanúsítványprofilokat minden használni kívánt platformhoz. A folytatáshoz tekintse meg a következő cikkeket: