Prerequisiti per i profili certificato in Configuration Manager
Si applica a: Configuration Manager (Current Branch)
I profili certificato in Configuration Manager hanno dipendenze esterne e dipendenze nel prodotto.
Importante
A partire dalla versione 2203, questa funzionalità di accesso alle risorse aziendali non è più supportata. Per altre informazioni, vedere Domande frequenti sulla deprecazione dell'accesso alle risorse.
Dipendenze esterne a Configuration Manager
Dipendenza | Ulteriori informazioni |
---|---|
Autorità di certificazione emittente (CA) dell'organizzazione che esegue Servizi certificati Active Directory. Per revocare i certificati, l'account computer del server del sito nella parte superiore della gerarchia richiede diritti di rilascio e gestione dei certificati per ogni modello di certificato usato da un profilo certificato in Configuration Manager. In alternativa, concedere le autorizzazioni di Gestione certificati per concedere le autorizzazioni per tutti i modelli di certificato usati da tale CA L'approvazione del manager per le richieste di certificato è supportata. Tuttavia, i modelli di certificato usati per rilasciare i certificati devono essere configurati per Specificare nella richiesta per l'oggetto del certificato in modo che Configuration Manager possa fornire automaticamente questo valore. |
Per altre informazioni su Servizi certificati Active Directory, vedere Panoramica di Servizi certificati Active Directory. |
Usare lo script di PowerShell per verificare e, se necessario, installare i prerequisiti per il servizio ruolo Servizio registrazione dispositivi di rete (NDES) e il punto di registrazione certificati Configuration Manager. |
Il file di istruzioni, readme_crp.txt, si trova in ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64. Lo script di PowerShell, Test-NDES-CRP-Prereqs.ps1, si trova nella stessa directory delle istruzioni. Lo script di PowerShell deve essere eseguito in locale nel server NDES. |
Servizio ruolo Servizio registrazione dispositivi di rete (NDES) per Servizi certificati Active Directory, in esecuzione in Windows Server 2012 R2. Inoltre: I numeri di porta diversi da TCP 443 (per HTTPS) o TCP 80 (per HTTP) non sono supportati per la comunicazione tra il client e il servizio Registrazione dispositivi di rete. Il server che esegue il servizio Registrazione dispositivi di rete deve trovarsi in un server diverso dalla CA emittente. |
Configuration Manager comunica con il servizio Registrazione dispositivi di rete in Windows Server 2012 R2 per generare e verificare le richieste SCEP (Simple Certificate Enrollment Protocol). Se si emettono certificati a utenti o dispositivi che si connettono da Internet, ad esempio i dispositivi mobili gestiti da Microsoft Intune, tali dispositivi devono essere in grado di accedere al server che esegue il servizio Registrazione dispositivi di rete da Internet. Ad esempio, installare il server in una rete perimetrale (nota anche come rete perimetrale, zona demilitarizzata e subnet schermata). Se si dispone di un firewall tra il server che esegue il servizio Registrazione dispositivi di rete e la CA emittente, è necessario configurare il firewall per consentire il traffico di comunicazione (DCOM) tra i due server. Questo requisito del firewall si applica anche al server che esegue il server del sito Configuration Manager e alla CA emittente, in modo che Configuration Manager possano revocare i certificati. Se il servizio Registrazione dispositivi di rete è configurato per richiedere SSL, è consigliabile assicurarsi che i dispositivi connessi possano accedere all'elenco di revoche di certificati (CRL) per convalidare il certificato del server. Per altre informazioni sul servizio Registrazione dispositivi di rete, vedere Uso di un modulo criteri con il servizio Registrazione dispositivi di rete. |
Certificato di autenticazione client PKI e certificato CA radice esportato. | Questo certificato autentica il server che esegue il servizio Registrazione dispositivi di rete per Configuration Manager. Per altre informazioni, vedere Requisiti del certificato PKI per Configuration Manager. |
Sistemi operativi del dispositivo supportati. | È possibile distribuire profili certificato nei dispositivi che eseguono Windows 8.1, Windows RT 8.1 e Windows 10. |
dipendenze Configuration Manager
Dipendenza | Ulteriori informazioni |
---|---|
Ruolo del sistema del sito del punto di registrazione certificati | Prima di poter usare i profili certificato, è necessario installare il ruolo del sistema del sito del punto di registrazione certificati. Questo ruolo comunica con il database Configuration Manager, il server del sito Configuration Manager e il modulo criteri Configuration Manager. Per altre informazioni sui requisiti di sistema per questo ruolo del sistema del sito e sulla posizione in cui installare il ruolo nella gerarchia, vedere la sezione Requisiti del sistema del sito nell'articolo Configurazioni supportate per Configuration Manager. Il punto di registrazione del certificato non deve essere installato nello stesso server che esegue il servizio Registrazione dispositivi di rete. |
Configuration Manager modulo criteri installato nel server che esegue il servizio ruolo Servizio registrazione dispositivi di rete per Servizi certificati Active Directory | Per distribuire i profili certificato, è necessario installare il modulo criteri di Configuration Manager. Questo modulo dei criteri è disponibile nel supporto di installazione Configuration Manager. |
Dati di individuazione | I valori per il soggetto del certificato e il nome alternativo del soggetto vengono forniti da Configuration Manager e recuperati dalle informazioni raccolte dall'individuazione: Per i certificati utente: Individuazione utente active directory Per i certificati computer: Individuazione sistema Active Directory e individuazione di rete |
Autorizzazioni di sicurezza specifiche per gestire i profili certificato | Per gestire le impostazioni di accesso alle risorse aziendali, ad esempio profili certificato, profili di Wi-Fi e profili VPN, è necessario disporre delle autorizzazioni di sicurezza seguenti: Per visualizzare e gestire avvisi e report per i profili certificato: creare, eliminare, modificare, modificare report, leggere ed eseguire report per l'oggetto Alerts . Per creare e gestire i profili certificato: criteri di creazione, modifica report, lettura ed esecuzione del report per l'oggetto Profilo certificato . Per gestire le distribuzioni di wi-fi, certificati e profili VPN: distribuire criteri di configurazione, modificare l'avviso di stato del client, leggere e leggere la risorsa per l'oggetto Collection . Per gestire tutti i criteri di configurazione: creare, eliminare, modificare, leggere e impostare l'ambito di sicurezza per l'oggetto Criteri di configurazione . Per eseguire query correlate ai profili certificato: autorizzazione di lettura per l'oggetto Query . Per visualizzare le informazioni sui profili certificato nella console di Configuration Manager: autorizzazione di lettura per l'oggetto Site. Per visualizzare i messaggi di stato per i profili certificato: autorizzazione di lettura per l'oggetto Messaggi di stato . Per creare e modificare il profilo certificato CA attendibile: Criteri di creazione, modifica report, lettura ed esecuzione del report per l'oggetto Profilo certificato CA attendibile . Per creare e gestire i profili VPN: criteri di creazione, modifica report, lettura ed esecuzione del report per l'oggetto Profilo VPN . Per creare e gestire i profili di Wi-Fi: Criteri di creazione, Modifica report, Lettura ed Esecuzione report per l'oggetto Profilo Wi-Fi . Il ruolo di sicurezza Company Resource Access Manager include queste autorizzazioni necessarie per gestire i profili certificato in Configuration Manager. Per altre informazioni, vedere la sezione Configurare l'amministrazione basata su ruoli nell'articolo Configurare la sicurezza . |