Certificaatconnectors voor Microsoft Intune
Belangrijk
Vanaf 29 juli 2021 vervangt de certificaatconnector voor Microsoft Intune het gebruik van PFX-certificaatconnector voor Microsoft Intune en Microsoft Intune Connector. De nieuwe connector bevat de functionaliteit van beide vorige connectors. Ondersteuning voor de vorige connectors die in dit artikel worden beschreven, is beëindigd op 22-9-2021 met de release van versie 6.2109.51.0 van de certificaatconnector voor Microsoft.
Als u een nieuwe certificaatconnector wilt installeren of een connector opnieuw wilt installeren, installeert u de nieuwere certificaatconnector voor Microsoft Intune. Zie Certificaatconnector voor Microsoft Intune voor meer informatie.
Voor ondersteuning van het gebruik van certificaten voor verificatie en het ondertekenen en versleutelen van e-mail met behulp van S/MIME, is het gebruik van een certificaatconnector vereist. Een certificaatconnector is software die u op een on-premises server installeert. Met de connector kunnen in de cloud beheerde apparaten certificaten inrichten vanuit een on-premises infrastructuur, zoals een verlenende certificeringsinstantie.
Beschikbare connectors
Er zijn twee certificaatconnectors voor Intune. Elk heeft zijn eigen toepassingen en vereisten.
PFX-certificaatconnector voor Microsoft Intune
De PFX-certificaatconnector ondersteunt certificaatimplementatie voor PKCS #12-certificaataanvragen en verwerkt aanvragen voor PFX-bestanden die zijn geïmporteerd in Intune voor S/MIME-e-mailversleuteling voor een specifieke gebruiker.
Tip
Vóór de update van augustus voor deze connector (versie 6.2008.60.607) werden PKCS #12-certificaataanvragen verwerkt door de Intune Certificate Connector. Met de update van augustus is de functionaliteit voor alle PKCS-certificaataanvragen geconsolideerd in de PFX-certificaatconnector, die ondersteuning biedt voor automatisch bijwerken van de connector naar nieuwe versies en waarvoor .NET Framework versie 4.7.2 is vereist.
Deze connector ondersteunt ook de volgende drie platforms, die niet worden ondersteund via de Microsoft Intune-connector:
- Android Enterprise : volledig beheerd
- Android Enterprise : toegewezen
- Android Enterprise - Corporate-Owned-werkprofiel
De functionaliteit van de Microsoft Intune-connector is niet afgeschaft en u kunt deze blijven gebruiken met PKCS-certificaatprofielen voor sommige platforms. Als u echter geen SCEP gebruikt of anderszins het gebruik van NDES vereist, kunt u overschakelen naar de PFX-certificaatconnector en NDES van uw servers verwijderen.
De PFX-certificaatconnector:
Ondersteunt meerdere exemplaren van deze connector voor elke Intune-tenant. Elk exemplaar van de connector moet worden geïnstalleerd op een Windows-server en toegang hebben tot de persoonlijke sleutel die wordt gebruikt om de wachtwoorden van de geüploade PFX-bestanden te versleutelen.
Opmerking
Alle connectors moeten dezelfde machtigingen hebben en verbinding kunnen maken met alle certificeringsinstanties die later in de PKCS-profielen zijn gedefinieerd.
Elk exemplaar van deze connector kan in behandeling zijnde PKCS-aanvragen ophalen uit de Intune-servicewachtrij. Als zodanig is het niet mogelijk om te definiëren welke connector elke aanvraag verwerkt.
Hetzelfde geldt voor certificaatintrekking.
Kan worden geïnstalleerd op dezelfde server die als host fungeert voor een exemplaar van de Microsoft Intune Connector.
Ondersteunt maximaal 100 exemplaren van deze connector per tenant, waarbij elk exemplaar zich op een afzonderlijke Windows-server bevindt. Wanneer u meerdere connectors gebruikt:
- Alle exemplaren van de PFX-certificaatconnector in uw omgeving moeten dezelfde versie hebben.
- Uw infrastructuur ondersteunt redundantie en taakverdeling, omdat elk beschikbaar connectorexemplaren uw certificaataanvragen kan verwerken.
Ondersteunt automatische updates naar nieuwe versies. Als u automatisch nieuwe versies wilt installeren, moet de computer waarop de connector wordt gehost contact opnemen met autoupdate.msappproxy.net op poort 443. Als de connector niet automatisch kan worden bijgewerkt, kunt u de connector handmatig bijwerken.
Ondersteunt certificaatintrekking (vereist versie 6.2008.60.607 of hoger van de connector)
Heeft dezelfde netwerkvereisten als beheerde apparaten
Zie Netwerkeindpunten voor Microsoft Intune en Netwerkconfiguratievereisten en bandbreedte voor Intune voor meer informatie.
De Windows-server waarop de connector wordt geïnstalleerd:
- Moet Windows Server 2012 R2 of hoger uitvoeren.
- Voer het .NET 4.7.2 Framework uit.
De PFX-certificaatconnector installeren:
Zie De PFX-certificaatconnector downloaden, installeren en configureren voor hulp bij het installeren van deze connector.
Microsoft Intune-connector
De Microsoft Intune-connector wordt ook wel de Microsoft Intune-certificaatconnector genoemd. Deze connector ondersteunt de implementatie van certificaten wanneer u SCEP (Simple Certificate Enrollment Protocol ) gebruikt en een Active Directory Certificate Services-certificeringsinstantie (CA) hebt. Dit type CA wordt ook wel een Microsoft-CA genoemd.
Wanneer u SCEP gebruikt met een Microsoft-CA, moet u ook de Registratieservice voor netwerkapparaten (NDES) configureren. Daarom wordt deze connector vaak de NDES-certificaatconnector genoemd.
Als u een externe certificeringsinstantie gebruikt, hoeft u deze connector niet te gebruiken en is NDES niet vereist.
De Microsoft Intune-connector:
Ondersteunt het uitgeven van SCEP-certificaten
Kan worden gebruikt om PKCS-certificaten uit te geven aan de meeste apparaatplatforms, maar niet aan alle. Deze connector biedt geen ondersteuning voor het uitgeven van PKCS-certificaten voor:
- Android Enterprise : volledig beheerd
- Android Enterprise : toegewezen
- Android Enterprise - Corporate-Owned-werkprofiel
Als u deze platforms wilt ondersteunen, gebruikt u de PFX-certificaatconnector, die ondersteuning biedt voor het uitgeven van PKCS-certificaten aan alle apparaatplatforms. Als u scep niet gebruikt, kunt u deze connector verwijderen en alleen de PFX-certificaatconnector gebruiken.
Opmerking
Met PKCS moeten alle connectors dezelfde machtigingen hebben en verbinding kunnen maken met alle certificeringsinstanties die later in de PKCS-profielen zijn gedefinieerd.
Elk exemplaar van deze connector kan in behandeling zijnde PKCS-aanvragen ophalen uit de Intune-servicewachtrij. Als zodanig is het niet mogelijk om te definiëren welke connector elke aanvraag verwerkt.
Hetzelfde geldt voor certificaatintrekking.
Wordt geïnstalleerd op een Windows-server, die ook een exemplaar van de PFX-certificaatconnector kan hosten.
Ondersteunt maximaal 100 exemplaren van deze connector per tenant, waarbij elk exemplaar zich op een afzonderlijke Windows-server bevindt. Wanneer u meerdere connectors gebruikt:
- Alle exemplaren van de Microsoft Intune-connector in uw omgeving moeten dezelfde versie hebben.
- Uw infrastructuur ondersteunt redundantie en taakverdeling, omdat elk beschikbaar connectorexemplaren uw certificaataanvragen kan verwerken.
Vereist een handmatige update om de nieuwe versie van de connector te installeren. Voor handmatige update moet u de huidige connector verwijderen en vervolgens de nieuwe versie van de connector installeren. Aanvullende acties zijn niet vereist.
Ondersteunt de MODUS Federal Information Processing Standard (FIPS). FIPS is niet vereist. Wanneer FIPS is ingeschakeld, kunt u certificaten uitgeven en intrekken.
Heeft dezelfde netwerkvereisten als beheerde apparaten.
Zie Netwerkeindpunten voor Microsoft Intune en Netwerkconfiguratievereisten en bandbreedte voor Intune voor meer informatie.
De Windows-server waarop de connector wordt geïnstalleerd:
- Moet Windows Server 2012 R2 of hoger uitvoeren.
- Voer het .NET 4.5 Framework uit. Wanneer deze connector op dezelfde server wordt geïnstalleerd als de PFX-certificaatconnector, moet u .NET 4.7.2 Framework gebruiken. Dit is vereist voor de PFX-connector.
- Kan niet dezelfde server zijn die als host fungeert voor uw verlenende certificeringsinstantie (CA).
- Wanneer gebruikt voor SCEP met een Microsoft CA, vereist toegang tot een server waarop NDES wordt uitgevoerd. NDES wordt uitgevoerd op een Windows-server en kan worden uitgevoerd op dezelfde server als deze connector.
Wanneer NDES is vereist:
Verbeterde beveiliging van Internet Explorer moet zijn uitgeschakeld op de server die als host fungeert voor NDES en de server die als host fungeert voor de Microsoft Intune-connector.
De connector vereist aanvullende configuraties om te communiceren met NDES. U vindt procedures voor het installeren en configureren van NDES met de procedures voor het installeren van de Microsoft Intune-connector.
Zie Servicerichtlijnen voor registratie van netwerkapparaten voor meer informatie over NDES.
De Microsoft Intune-connector installeren:
Zie Infrastructuur configureren voor ondersteuning van SCEP met Intune voor hulp bij de installatie van deze connector.
Connectorlevenscyclus
Belangrijk
Vanaf 29 juli 2021 vervangt de certificaatconnector voor Microsoft Intune het gebruik van PFX-certificaatconnector voor Microsoft Intune en Microsoft Intune Connector. De nieuwe connector bevat de functionaliteit van beide vorige connectors.
Er worden regelmatig bijgewerkte versies van certificaatconnectors uitgebracht. Aankondigingen voor nieuwe connectorreleases worden weergegeven in het artikel Wat is er nieuw voor Intune en in de sectie Nieuw voor connectors aan het einde van dit artikel.
Wanneer een nieuwe versie wordt uitgebracht, wordt ondersteuning voor de vorige versie afgeschaft met een beperkte respijtperiode voor het voortgezette gebruik. Nadat de respijtperiode is verstreken, wordt de ondersteuning voor die afgeschafte versie beëindigd en kan deze op elk gewenst moment niet meer werken. De respijtperiode is zes maanden.
Plan bij de eerste gelegenheid een connector bij te werken naar de nieuwste versie. Elke connector heeft een ander updatepad:
- PFX-certificaatconnector voor Microsoft Intune : ondersteunt automatische updates.
- Microsoft Intune Connector : hiervoor is handmatige update vereist.
Automatisch bijwerken
Wanneer dit wordt ondersteund door het connectortype en uw omgeving, kan Intune de connector automatisch bijwerken naar de nieuwste versie kort nadat die connectorversie is uitgebracht.
Als u automatisch wilt bijwerken, moet de server die als host fungeert voor de connector toegang hebben tot de Azure-updateservice:
- Poort: 443
- Eindpunt: autoupdate.msappproxy.net
Wanneer firewalls, infrastructuur of netwerkconfiguraties de toegang voor automatische updates beperken, kunt u de blokkeringsproblemen oplossen of de connector handmatig bijwerken naar de nieuwe versie.
Handmatig bijwerken
Het proces voor het handmatig bijwerken van een certificaatconnector is hetzelfde voor het opnieuw installeren van een connector.
U kunt een certificaatconnector handmatig bijwerken, zelfs wanneer deze automatische updates ondersteunt. U kunt de connector bijvoorbeeld handmatig bijwerken wanneer uw netwerkconfiguratie een automatische update blokkeert.
Een certificaatconnector opnieuw installeren
Op de Windows-server waarop de connector wordt gehost, gebruikt u Windows-apps en -onderdelen om de connector te verwijderen.
Als u de nieuwe versie wilt installeren, gebruikt u de procedure om een nieuwe versie van de connector te installeren. Controleer op nieuwe of bijgewerkte vereisten bij het installeren van een nieuwere versie van een connector:
Connectorstatus
In het Microsoft Intune-beheercentrum kunt u een certificaatconnector selecteren om informatie over de status ervan weer te geven:
Aanmelden bij het Microsoft Intune-beheercentrum
Ga naar Tenantbeheer>Connectors en tokens>Certificaatconnectors.
Selecteer een connector om de status ervan weer te geven.
Bij het weergeven van de connectorstatus:
- Afgeschafte connectors worden weergegeven met een waarschuwing. Na de respijtperiode van zes maanden verandert de waarschuwing in een fout.
- Connectors die zich buiten de respijtperiode bevinden, geven een fout weer. Deze connectors worden niet meer ondersteund en kunnen op elk gewenst moment niet meer werken.
Logboekregistratie
De volgende logboekgegevens zijn beschikbaar vanaf connectorversie 6.2101.13.0.
Logboeken voor de PFX-certificaatconnector zijn beschikbaar als gebeurtenislogboeken op de server waarop de connector is geïnstalleerd:
- Logboeken>Toepassings- en servicelogboeken>Microsoft>Intune>Certificaatconnectors
De volgende logboeken zijn beschikbaar en zijn standaard 50 MB, met automatische archivering ingeschakeld:
- Beheerderslogboek : dit logboek bevat één logboekgebeurtenis per aanvraag voor de connector. Gebeurtenissen omvatten een geslaagde informatie over de aanvraag of een fout met informatie over de aanvraag en de fout.
- Operationeel logboek : dit logboek bevat meer informatie dan in het beheerderslogboek wordt aangetroffen en kan van pas komen bij foutopsporingsproblemen. In dit logboek worden ook lopende bewerkingen voor de PFX-certificaatconnector weergegeven in plaats van enkele gebeurtenissen.
Gebeurtenis-id's
Alle gebeurtenissen hebben een van de volgende id's:
- 0001-0999 - Niet gekoppeld aan een specifiek scenario
- 1000-1999 - PKCS
- 2000-2999 - PKCS Import
- 3000-3999 - Intrekken
Taakcategorieën
Alle gebeurtenissen worden gelabeld met een taakcategorie om te helpen bij het filteren. Taakcategorieën bevatten, maar zijn niet beperkt tot de volgende lijst:
PKCS
-
Beheerder
- PkcsRequestSuccess : een PKCS-aanvraag is voltooid en geüpload naar Intune.
- PkcsRequestFailure - Kan een PKCS-aanvraag niet uitvoeren of uploaden naar Intune.
-
Operationele
- PkcsDownloadSuccess - PKCS-aanvragen zijn gedownload van Intune
- PkcsDownloadFailure - Er is een fout opgetreden bij het downloaden van PKCS-aanvragen van Intune
- PkcsDownloadedRequest - Details van één gedownloade aanvraag van Intune
- PkcsIssuedSuccess - Een certificaat uitgegeven voor een aanvraag
- PkcsIssuedFailedAttempt - Er is een fout opgetreden tijdens het uitgeven van een certificaat voor een aanvraag
- PkcsIssuedFailure - Kan geen certificaat uitgeven voor een aanvraag
- PkcsUploadSuccess - Details van geslaagde aanvraag die is geüpload naar Intune
- PkcsUploadFailure - Er is een fout opgetreden bij het uploaden van aanvragen naar Intune
- PkcsUploadedRequest - Details van een geüploade aanvraag naar Intune
PKCS-import
-
Beheerder
- PkcsImportRequestSuccess - PKCS-importaanvragen uit Intune gedownload
- PkcsImportRequestFailure - Er is een fout opgetreden bij het downloaden van PKCS-importaanvragen uit Intune
-
Operationele
- PkcsImportDownloadSuccess - PKCS-importaanvragen uit Intune zijn gedownload
- PkcsImportDownloadFailure - Er is een fout opgetreden bij het downloaden van PKCS-importaanvragen uit Intune
- PkcsImportDownloadedRequest - Details van één gedownloade aanvraag van Intune
- PkcsImportReencryptSuccess - Een geïmporteerd certificaat opnieuw versleuteld
- PkcsImportReencryptFailedAttempt - Er is een fout opgetreden tijdens het opnieuw versleutelen van een geïmporteerd certificaat
- PkcsImportReencryptFailure - Kan een geïmporteerd certificaat niet opnieuw versleutelen
- PkcsImportUploadFailure - Er is een fout opgetreden bij het uploaden van aanvragen naar Intune
- PkcsImportUploadedRequest - Details van een geüploade aanvraag naar Intune
Intrekking
-
Beheerder
- RevokeRequestSuccess - Intrekkingsaanvragen zijn gedownload van Intune
- RevokeRequestFailure - Er is een fout opgetreden bij het downloaden van intrekkingsaanvragen van Intune
-
Operationele
- RevokeDownloadSuccess - Intrekkingsaanvragen van Intune zijn gedownload
- RevokeDownloadFailure - Er is een fout opgetreden bij het downloaden van intrekkingsaanvragen van Intune
- RevokeDownloadedRequest - Details van één gedownloade aanvraag van Intune
- RevokeSuccess - Certificaat is ingetrokken
- RevokeFailure - Er is een fout opgetreden tijdens het intrekken van een certificaat
- RevokeFailedAttempt - Kan een certificaat niet intrekken
- RevokeUploadSuccess - Details van geslaagde aanvraag die is geüpload naar Intune
- RevokeUploadFailure - Er is een fout opgetreden bij het uploaden van aanvragen naar Intune
- RevokeUploadedRequest - Details van een geüploade aanvraag naar Intune
Wat is er nieuw voor connectors?
Updates voor de twee certificaatconnectors worden periodiek uitgebracht. Wanneer we een connector bijwerken, kunt u hier meer lezen over de wijzigingen.
Belangrijk
Vanaf april 2022 worden certificaatconnectors ouder dan versie 6.2101.13.0 afgeschaft en wordt de status Fout weergegeven. Deze status heeft geen invloed op de functionaliteit. Vanaf juni 2022 kunnen dergelijke connectors geen certificaten meer uitgeven. Zie de opmerking aan het begin van dit artikel voor meer informatie over het overstappen op de nieuwe certificaatconnector voor Microsoft.
Releasegeschiedenis van PFX-certificaatconnector
De PFX-certificaatconnector voor Microsoft Intuneondersteunt automatische updates.
dinsdag 10 maart 2021
Versie 6.2101.16.0. - Wijzigingen in deze release:
- Verbeteringen in de PFX-stroom maken om duplicatie van certificaataanvraagbestanden te voorkomen op on-premises servers die de connector hosten.
woensdag 24 februari 2021
Versie 6.2101.13.0. Deze nieuwe connectorversie voegt verbeteringen toe voor logboekregistratie bij de PFX-connector:
- Nieuwe locatie voor gebeurtenislogboeken, met logboeken onderverdeeld in Beheerder, Operationeel & Foutopsporing
- Beheerder & Operationele logboeken standaard 50 MB - met automatische archivering ingeschakeld.
- Gebeurtenis-ID's voor PKCS-import, PKCS maken en intrekken.
dinsdag 26 januari 2021
Versie 6.2009.2.0 - Wijzigingen in deze release:
- Hiermee wordt de upgrade van de connector verbeterd om accounts te behouden waarop Connector Services wordt uitgevoerd.
dinsdag 15 januari 2021
Versie 6.2009.1.9 - Wijzigingen in deze release:
- Verbeteringen in de verlenging van het connectorcertificaat.
dinsdag 2 oktober 2020
Versie 6.2008.60.612 - Wijzigingen in deze release:
- Er is een probleem opgelost met de levering van PKCS-certificaten aan volledig beheerde Android Enterprise-apparaten. Het probleem vereist dat de Cryptografie Key Storage Provider (KSP) een verouderde provider is. U kunt nu ook een CNG-sleutelopslagprovider (Cryptographic Next Generation) gebruiken.
- Wijzigingen in het tabblad CA-account van de PFX-certificaatconnector: de gebruikersnaam en het wachtwoord (referenties) die u opgeeft, worden nu gebruikt om certificaten uit te geven en certificaten in te trekken. Voorheen werden deze referenties alleen gebruikt voor het intrekken van certificaten.
Releasegeschiedenis van Microsoft Intune Connector
dinsdag 2 april 2019
Versie 6.1904.1.0 - Wijzigingen in deze release:
- Er is een probleem opgelost waarbij de connector mogelijk niet kan worden ingeschreven bij Intune na aanmelding bij de connector met een globale beheerdersaccount.
- Bevat betrouwbaarheidscorrecties voor certificaatintrekking.
- Bevat prestatiecorrecties om te vergroten hoe snel PKCS-certificaataanvragen worden verwerkt.
Volgende stappen
Maak geïmporteerde SCEP-, PKCS- of PKCS-certificaatprofielen voor elk platform dat u wilt gebruiken. Zie de volgende artikelen om door te gaan: