Vereisten voor de certificaatconnector voor Microsoft Intune

Bekijk de vereisten en infrastructuurvereisten voor de certificaatconnector voor Microsoft Intune. Sommige vereisten en infrastructuurvereisten kunnen variëren, afhankelijk van de functies die u configureert voor ondersteuning van een connectorexemplaren.

Algemene vereisten

Vereisten voor de computer waarop u de connectorsoftware installeert:

• Windows Server 2012 R2 of hoger.

  Opmerking

  De serverinstallatie moet de bureaubladervaring en het ondersteuningsgebruik van een browser omvatten. Zie Server installeren met bureaubladervaring in de documentatie voor Windows Server 2016 voor meer informatie.

• .NET 4.7.2

• Transport Layer Security (TLS) 1.2. Zie Ondersteuning voor TLS 1.2 inschakelen in uw omgeving in de documentatie Microsoft Entra voor meer informatie.

• De server moet voldoen aan dezelfde netwerkvereisten als beheerde apparaten. Zie Netwerkeindpunten voor Microsoft Intune en Intune netwerkconfiguratievereisten en bandbreedte.

• Voor de ondersteuning van automatische updates van de connectorsoftware moet de server toegang hebben tot de Azure-updateservice:

  • Poort: 443
  • Eindpunt: autoupdate.msappproxy.net

• De verbeterde beveiligingsconfiguratie moet worden gedeactiveerd.

PKCS

Vereisten voor PKCS-certificaatsjablonen (private and public key pair):

• Certificaatsjablonen die u gebruikt voor PKCS-aanvragen moeten worden geconfigureerd met machtigingen waarmee het serviceaccount van de certificaatconnector het certificaat kan registreren.
• De certificaatsjablonen moeten worden toegevoegd aan de certificeringsinstantie (CA).

Opmerking

Elk exemplaar van de connector dat PKCS ondersteunt, kan worden gebruikt om in behandeling zijnde PKCS-aanvragen op te halen uit de wachtrij Intune Service, geïmporteerde certificaten te verwerken en intrekkingsaanvragen te verwerken. Het is niet mogelijk om te definiëren welke connector elke aanvraag verwerkt.

Daarom moet elke connector die PKCS ondersteunt dezelfde machtigingen hebben en verbinding kunnen maken met alle certificeringsinstanties die later in de PKCS-profielen zijn gedefinieerd.

Geïmporteerde PKCS-certificaten

Ter ondersteuning van geïmporteerde PKCS-certificaten vereist de server die als host fungeert voor de connector aanvullende configuraties, zoals het configureren van toegang tot een sleutelopslagprovider, zodat de gebruiker van de connectorservice sleutels kan ophalen.

Zie Geïmporteerde PKCS-certificaten configureren en gebruiken met Intune voor meer informatie over ondersteuning voor geïmporteerde PKCS-certificaten.

Intrekkingsvereisten

• De certificeringsinstantie moet zodanig worden geconfigureerd dat het serviceaccount van de connector certificaten kan intrekken.

SCEP

Ter ondersteuning van SCEP-certificaten (Simple Certificate Enrollment Protocol) moet de Windows-server die als host fungeert voor de connector, naast de algemene vereisten voldoen aan de volgende vereisten:

• IIS 7 of hoger
• NDES-service (Network Device Enrollment Service), die deel uitmaakt van de rol Active Directory Certification Services. De connector wordt niet ondersteund op dezelfde server als uw verlenende certificeringsinstantie (CA). Zie Infrastructuur configureren voor ondersteuning van SCEP met Intune voor meer informatie.

Selecteer op de Windows Server om de volgende serverfuncties en -onderdelen toe te voegen:

• Serverfuncties:

  • Active Directory Certificate Services
  • Webserver (IIS)

• Functies:

  • .NET Framework 4.7-functies
    • .NET Framework 4.7
    • ASP.NET 4.7
    • WCF-services
      • HTTP-activering

• AD CS > Functieservices:

  • Registratieservice voor netwerkapparaten: voor de connector SCEP wanneer u een Microsoft-CA gebruikt , installeert en configureert u de NDES-serverfunctie ( Network Device Enrollment Service ). Wanneer u NDES configureert, moet u een gebruikersaccount toewijzen voor gebruik door de groep van NDES-toepassingen. NDES heeft ook zijn eigen vereisten.

• Webserverfunctie (IIS) > Functieservices:

  • Beveiliging
    • Aanvraagfiltering
  • Toepassingsontwikkeling
    • .NET-uitbreidbaarheid 4.7
    • ASP.NET 4.7
  • Beheerhulpprogramma's
    • IIS-beheerconsole
    • IIS 6-beheercompatibiliteit
      • Compatibiliteit met IIS 6-metabase
      • IIS 6 WMI-compatibiliteit

  Daarnaast is voor NDES de following.NET Framework 3.5-functies vereist:

  • .NET Framework 3.5
  • HTTP-activering

Vereisten voor SCEP-certificaatsjablonen:

• Certificaatsjablonen die u gebruikt voor SCEP-aanvragen moeten worden geconfigureerd met machtigingen waarmee het serviceaccount van de Certificaatconnector het certificaat automatisch kan inschrijven.
• De certificaatsjablonen moeten worden toegevoegd aan de CA.

Accounts

Bereid de volgende accounts voor voordat u de certificaatconnectorsoftware installeert.

Installatieaccount

U kunt elk gebruikersaccount met lokale beheerdersmachtigingen op de Windows Server gebruiken om de connectorsoftware te installeren. U kunt hetzelfde account gebruiken om de Windows Server te configureren met de NDES Windows-serverfunctie als u SCEP en een Microsoft CA gebruikt.

Serviceaccount voor certificaatconnector

Voor de certificaatconnector moet een account worden gebruikt als serviceaccount. Dit account wordt door de connector gebruikt om toegang te krijgen tot de Windows-server, te communiceren met Intune en toegang te krijgen tot de certificeringsinstantie om PKI-aanvragen te verwerken.

Het connectorserviceaccount moet de volgende machtigingen hebben:

• Aanmelden als service
• Certificaten verlenen en beheren voor de certificeringsinstantie (alleen vereist voor intrekkingsscenario's).
• Lees- en inschrijvingsmachtigingen voor een certificaatsjabloon die u gebruikt om certificaten uit te geven.
• Machtigingen voor de Key Storage Provider (KSP) die wordt gebruikt door PFX Import. Zie PFX-certificaten importeren in Intune.

De volgende opties worden ondersteund voor gebruik als het serviceaccount van de certificaatconnector:

• SYSTEEM
• Domeingebruiker : gebruik een domeingebruikersaccount dat een beheerder is op de Windows Server.

Zie De certificaatconnector voor Microsoft Intune installeren voor meer informatie.

Gebruiker van NDES-toepassingsgroep

Als u SCEP wilt gebruiken met een Microsoft-CA, moet u NDES toevoegen aan de server die als host fungeert voor de connector voordat u de connector installeert. Wanneer u NDES configureert, moet u een account opgeven voor gebruik als de gebruiker van de groep van toepassingen. Dit account kan ook worden aangeduid als het NDES-serviceaccount. Dit account kan een lokaal of domeingebruikersaccount zijn en moet de volgende machtigingen hebben:

• Lees- en inschrijvingsmachtigingen voor elke SCEP-certificaatsjabloon die u gebruikt om certificaten uit te geven.
• Lid van de groep IIS_IUSRS .

Zie NDES instellen in Infrastructuur configureren voor ondersteuning van SCEP met Intune voor hulp bij het configureren van de NDES-serverfunctie voor de certificaatconnector voor Microsoft Intune.

Microsoft Entra gebruiker

Wanneer u de connector configureert, moet u een gebruikersaccount gebruiken dat: een globale Beheer of een Intune Beheer is en waaraan een Intune licentie is toegewezen.

Volgende stappen

De certificaatconnector voor Microsoft Intune installeren