Prerequisiti per il connettore di certificati per Microsoft Intune

Esaminare i prerequisiti e i requisiti dell'infrastruttura per il connettore di certificati per Microsoft Intune. Alcuni prerequisiti e requisiti dell'infrastruttura possono variare a seconda delle funzionalità configurate per supportare un'istanza del connettore.

Prerequisiti generali

Requisiti per il computer in cui si installa il software del connettore:

• Windows Server 2012 R2 o versioni successive.

  Nota

  L'installazione del server deve includere l'esperienza desktop e il supporto dell'uso di un browser. Per altre informazioni, vedere Installare server con Esperienza desktop nella documentazione di Windows Server 2016.

• .NET 4.7.2

• Transport Layer Security (TLS) 1.2. Per altre informazioni, vedere Abilitare il supporto per TLS 1.2 nell'ambiente nella documentazione Microsoft Entra.

• Il server deve soddisfare gli stessi requisiti di rete dei dispositivi gestiti. Vedere Endpoint di rete per Microsoft Intune e Intune i requisiti di configurazione della rete e la larghezza di banda.

• Per supportare gli aggiornamenti automatici del software del connettore, il server deve avere accesso al servizio di aggiornamento di Azure:

  • Porta: 443
  • Endpoint: autoupdate.msappproxy.net

• La configurazione di sicurezza avanzata deve essere disattivata.

PKCS

Requisiti per i modelli di certificato PKCS (Private and Public Key Pair):

• I modelli di certificato usati per le richieste PKCS devono essere configurati con autorizzazioni che consentano all'account del servizio connettore di certificati di registrare il certificato.
• I modelli di certificato devono essere aggiunti all'Autorità di certificazione (CA).

Nota

Qualsiasi istanza del connettore che supporta PKCS può essere usata per recuperare le richieste PKCS in sospeso dalla coda del servizio Intune, elaborare certificati importati e gestire le richieste di revoca. Non è possibile definire quale connettore gestisce ogni richiesta.

Pertanto, ogni connettore che supporta PKCS deve avere le stesse autorizzazioni ed essere in grado di connettersi a tutte le autorità di certificazione definite più avanti nei profili PKCS.

Certificati PKCS importati

Per supportare i certificati importati PKCS, il server che ospita il connettore richiede configurazioni aggiuntive, ad esempio la configurazione dell'accesso di un provider di archiviazione delle chiavi per consentire all'utente del servizio connettore di recuperare le chiavi.

Per informazioni sul supporto per i certificati importati PKCS, vedere Configurare e usare certificati PKCS importati con Intune.

Prerequisiti di revoca

• L'Autorità di certificazione deve essere configurata per consentire all'account del servizio connettore di revocare i certificati.

SCEP

Per supportare i certificati SCEP (Simple Certificate Enrollment Protocol), windows server che ospita il connettore deve soddisfare i prerequisiti seguenti oltre ai prerequisiti generali:

• IIS 7 o versione successiva
• Servizio Registrazione dispositivi di rete, che fa parte del ruolo Servizi di certificazione Active Directory. Il connettore non è supportato nello stesso server dell'autorità di certificazione emittente. Per altre informazioni, vedere Configurare l'infrastruttura per supportare SCEP con Intune.

In Windows Server selezionare per aggiungere i ruoli e le funzionalità del server seguenti:

• Ruoli server:

  • Servizi certificati Active Directory
  • Web Server (IIS)

• Funzionalità:

  • Funzionalità di .NET Framework 4.7
    • .NET Framework 4.7
    • ASP.NET 4.7
    • Servizi WCF
      • Attivazione HTTP

• Servizi certificati Active Directory > Servizi ruolo:

  • Servizio Registrazione dispositivi di rete: per il connettore SCEP quando si usa una CA Microsoft, installare e configurare il ruolo del server Network Device Enrollment Service (NDES). Quando si configura NDES, è necessario assegnare un account utente per l'uso da parte del pool di applicazioni NDES. NDES ha anche i propri requisiti.

• Ruolo server Web (IIS) > Servizi ruolo:

  • Sicurezza
    • Filtro richieste
  • Sviluppo di applicazioni
    • Estendibilità .NET 4.7
    • ASP.NET 4.7
  • Strumenti di gestione
    • Console di gestione IIS
    • Compatibilità gestione IIS 6
      • Compatibilità metabase IIS 6
      • Compatibilità WMI con IIS 6

  NDES richiede inoltre le funzionalità di following.NET Framework 3.5:

  • .NET Framework 3.5
  • Attivazione HTTP

Requisiti per i modelli di certificato SCEP:

• I modelli di certificato usati per le richieste SCEP devono essere configurati con autorizzazioni che consentano all'account del servizio Connettore di certificati di registrare automaticamente il certificato.
• I modelli di certificato devono essere aggiunti alla CA.

Account

Preparare gli account seguenti prima di installare il software del connettore di certificati.

Account di installazione

È possibile usare qualsiasi account utente con autorizzazioni amministrative locali in Windows Server per installare il software del connettore. È possibile usare questo stesso account per configurare Windows Server con il ruolo server Windows NDES se si usa SCEP e una CA Microsoft.

Account del servizio connettore di certificati

Il connettore di certificati richiede un account da usare come account del servizio. Questo account viene usato dal connettore per accedere a Windows Server, comunicare con Intune e accedere all'Autorità di certificazione per gestire le richieste PKI.

L'account del servizio connettore deve disporre delle autorizzazioni seguenti:

• Accesso come servizio
• Rilasciare e gestire le autorizzazioni dei certificati nell'autorità di certificazione (obbligatorio solo per gli scenari di revoca).
• Leggere e registrare le autorizzazioni per qualsiasi modello di certificato usato per rilasciare certificati.
• Autorizzazioni per il provider di archiviazione chiavi (KSP) usato dall'importazione PFX. Vedere Importare certificati PFX in Intune.

Le opzioni seguenti sono supportate per l'uso come account del servizio connettore di certificati:

• SYSTEM
• Utente di dominio : usare qualsiasi account utente di dominio amministratore in Windows Server.

Per altre informazioni, vedere Installare il connettore di certificati per Microsoft Intune.

Utente del pool di applicazioni del servizio registrazione dispositivi di rete

Per usare SCEP con una CA Microsoft, è necessario aggiungere NDES al server che ospita il connettore prima di installare il connettore. Quando si configura NDES, è necessario specificare un account da usare come utente del pool di applicazioni, che può anche essere definito account del servizio NDES. Questo account può essere un account utente locale o di dominio e deve disporre delle autorizzazioni seguenti:

• Leggere e registrare le autorizzazioni per ogni modello di certificato SCEP usato per rilasciare certificati.
• Membro del gruppo IIS_IUSRS .

Per indicazioni sulla configurazione del ruolo del server NDES per il connettore di certificati per Microsoft Intune, vedere Configurare il servizio Registrazione dispositivi di rete in Configurare l'infrastruttura per supportare SCEP con Intune.

Microsoft Entra utente

Quando si configura il connettore, è necessario usare un account utente che: è un Amministrazione globale o Intune Amministrazione e ha una licenza Intune assegnata.

Passaggi successivi

Installare il connettore di certificati per Microsoft Intune