Installare il connettore di certificati per Microsoft Intune

  • Articolo

Per supportare l'uso dei certificati con Intune, è possibile installare il connettore di certificati per Microsoft Intune in qualsiasi windows server che soddisfi i prerequisiti del connettore. Le sezioni seguenti consentono di installare e configurare il connettore. Questo articolo illustra anche come modificare un connettore installato in precedenza e come rimuovere il connettore da un server.

Scaricare e installare il software del connettore

  1. Accedere all'interfaccia di amministrazione Microsoft Intune.

  2. Selezionare Connettori di amministrazione> tenante token Connettori>di> certificatiAggiungi.

  3. Nel riquadro Installa connettore di certificati selezionare il collegamento connettore di certificati per scaricare il software del connettore. Salvare il file in un percorso accessibile dal server in cui si intende installare il connettore.

    Scaricare il software del connettore di certificati.

  4. Accedere a Windows Server che ospiterà il connettore di certificati e verificare che siano installati i prerequisiti per il connettore di certificati .

    Se si userà SCEP con un'autorità di certificazione (CA) Microsoft, verificare che sia installato il ruolo Servizio registrazione dispositivi di rete (NDES).

  5. Usare un account con autorizzazioni di amministratore per il server per eseguire il programma di installazione (IntuneCertificateConnector.exe). Il programma di installazione installa anche il modulo dei criteri per NDES. Il modulo dei criteri viene eseguito come applicazione in IIS.

    Nota

    Quando IntuneCertificateConnector.exe viene eseguito per installare un nuovo connettore o un connettore esistente aggiorna automaticamente mentre windows Visualizzatore eventi è aperto, il processo di installazione registra un messaggio simile al seguente con un ID evento 1000 dall'origine Microsoft-Intune-CertificateConnectors non è possibile trovare:

    • Il componente che genera questo evento non è installato nel computer locale oppure l'installazione è danneggiata. È possibile installare o riparare il componente sul computer locale.

    È possibile ignorare questo messaggio in modo sicuro. Questo messaggio viene visualizzato perché il manifesto del visualizzatore eventi per il connettore non è stato caricato mentre il Visualizzatore eventi è aperto. Dopo la chiusura e la riapertura del Visualizzatore eventi, vengono visualizzati i messaggi corretti.

  6. Esaminare e accettare le condizioni di licenza e quindi selezionare Installa per continuare. Selezionare Opzioni per scegliere una cartella di installazione diversa.

  7. L'installazione del connettore richiede solo un attimo. Dopo l'installazione, la configurazione presenta due opzioni:

    • Configura ora: selezionare questa opzione per chiudere l'installazione del connettore e aprire la procedura guidata Connettore di certificati per Microsoft Intune, usata per configurare il connettore di certificati nel server locale.

    • Chiudi : questa opzione chiude l'installazione del connettore senza configurare il connettore. Se si sceglie di chiudere l'installazione in questo momento, in un secondo momento sarà possibile eseguire il connettore di certificati per Microsoft Intune procedura guidata per avviare il programma di configurazione del connettore. Per impostazione predefinita, la procedura guidata si trova in C:\ProgramData\Microsoft\Windows\Menu Start\Programs\Microsoft Intune.

Dopo l'installazione di un connettore, è possibile eseguire di nuovo il programma di installazione per disinstallare il connettore.

Consiglio

Il programma di installazione tenterà di installare .NET Framework 4.7.2. Se si verificano problemi durante questo processo, è possibile scegliere di preinstallare .NET Framework usando il programma di installazione offline di Microsoft .NET Framework 4.7.2 per Windows

Configurare il connettore di certificati

Per configurare il connettore di certificati, usare la procedura guidata Connettore di certificati per Microsoft Intune. La configurazione può essere avviata automaticamente quando si sceglie Configura ora alla fine dell'installazione di un connettore di certificati o manualmente aprendo un prompt dei comandi con privilegi elevati ed eseguendo C:\Programmi\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe. Di seguito è riportato un esempio. Il comando deve essere eseguito come amministratore.

C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe

Ogni volta che il connettore di certificati per Microsoft Intune viene avviato in un server, verrà visualizzata la pagina di benvenuto seguente:

Pagina iniziale della procedura guidata Connettore di certificati per Microsoft Intune.

Consiglio

Quando si esegue Connettore di certificati per Microsoft Intune per modificare un connettore configurato in precedenza, non verrà visualizzata la pagina di accesso Microsoft Entra. Questo perché il connettore è già stato autenticato nell'ID Microsoft Entra.

Usare la procedura seguente per configurare un nuovo connettore e modificare un connettore configurato in precedenza.

  1. Nella pagina iniziale di Microsoft Intune Connettore di certificati selezionare Avanti.

  2. In Funzionalità selezionare la casella di controllo per ogni funzionalità del connettore da installare nel server e quindi selezionare Avanti. Le opzioni disponibili sono:

    • SCEP: selezionare questa opzione per abilitare il recapito dei certificati ai dispositivi da un'autorità di certificazione Microsoft Active Directory usando il protocollo SCEP. I dispositivi che inviano una richiesta di certificato genereranno una coppia di chiavi privata/pubblica e invieranno solo la chiave pubblica come parte di tale richiesta.

    • PKCS: selezionare questa opzione per abilitare il recapito dei certificati ai dispositivi da un'autorità di certificazione Microsoft Active Directory in formato PKCS #12. Assicurarsi di aver configurato tutti i prerequisiti necessari.

    • Certificati importati PKCS: selezionare questa opzione per abilitare il recapito dei certificati ai dispositivi per i certificati pfx importati in Intune. Assicurarsi di aver configurato tutti i prerequisiti necessari.

    • Revoca del certificato: selezionare questa opzione per abilitare la revoca automatica del certificato per i certificati rilasciati da un'autorità di certificazione Microsoft Active Directory.

  3. In Account del servizio selezionare il tipo di account da usare per l'account del servizio di questo connettore. L'account selezionato deve disporre delle autorizzazioni descritte nei prerequisiti per l'account del servizio connettore di certificati.

    Le opzioni disponibili sono:

    • SISTEMA
    • Account utente di dominio : usare qualsiasi account utente di dominio che sia un amministratore in Windows Server.

  4. Nella pagina Proxy aggiungere i dettagli per il server proxy se è necessario un proxy per l'accesso a Internet. Ad esempio, http://proxy.contoso.com.

    Importante

    Assicurarsi di includere il prefisso HTTP o HTTPS. Si tratta di una modifica rispetto alla configurazione del proxy per le versioni precedenti del connettore.

  5. Nella pagina Prerequisiti la procedura guidata esegue diversi controlli sul server prima che la configurazione possa iniziare. Esaminare e risolvere eventuali errori o avvisi prima di continuare.

  6. Nella pagina di accesso Microsoft Entra selezionare l'ambiente che ospita l'ID Microsoft Entra e quindi selezionare Accedi. Verrà quindi richiesto di autenticare l'accesso. È necessaria una licenza di Intune per l'account con cui si accede, che può essere un amministratore globale o un amministratore di Intune.

    A meno che non si usi un cloud per enti pubblici, usare l'impostazione predefinita Cloud commerciale pubblico per l'ambiente.

    Eseguire l'autenticazione con l'ID Microsoft Entra.

    Dopo aver eseguito correttamente l'autenticazione all'ID Microsoft Entra, selezionare Avanti per continuare:

    Accesso riuscito all Microsoft Entra ID.

  7. Nella pagina Configura Intune applica le selezioni al connettore. In caso di esito positivo, l'utilità continua fino alla pagina Fine in cui si seleziona Esci per completare la configurazione del connettore.

    Configurazione corretta del connettore di certificati.

    Se la configurazione non riesce, la procedura guidata visualizza i dettagli sugli errori per risolvere il problema.

Dopo il completamento della configurazione e la chiusura della procedura guidata, il connettore di certificati per Microsoft Intune è ora pronto per l'uso.

Consiglio

Potrebbe essere utile rinominare il connettore per fare riferimento al server in cui è installato il connettore.

Per rinominare il connettore, nell'interfaccia di amministrazione Microsoft Intune selezionare Connettori di amministrazione> tenante token Connettori> di certificati. Selezionare il connettore da rinominare. In Nome immettere il nome che si vuole usare e quindi selezionare Salva.

Modificare la configurazione del connettore

Dopo aver configurato un connettore di certificati per Microsoft Intune in un server, è possibile eseguire la configurazione guidata in tale server per modificare la configurazione dei connettori.

Rimuovere il connettore

Per disinstallare il connettore di certificati per Microsoft Intune da windows server, nel server eseguire IntuneCertificateConnector.exe, che è lo stesso software usato per installare il connettore. Quando viene eseguito in un server in cui è installato il connettore, l'unica opzione disponibile consiste nel rimuovere l'installazione corrente del connettore.

Passaggi successivi

Schierare: