Delen via

Certificaatconnector voor Microsoft Intune

  • Artikel

Als Microsoft Intune ondersteuning biedt voor het gebruik van certificaten voor verificatie en het ondertekenen en versleutelen van e-mail met behulp van S/MIME, kunt u de certificaatconnector voor Microsoft Intune gebruiken. De certificaatconnector is software die u op een on-premises server installeert om certificaten te leveren en te beheren voor uw Intune beheerde apparaten.

In dit artikel wordt de certificaatconnector voor Microsoft Intune, de levenscyclus ervan en hoe u deze up-to-date kunt houden.

Tip

Vanaf 29 juli 2021 vervangt de certificaatconnector voor Microsoft Intune het gebruik van PFX-certificaatconnector voor Microsoft Intune en Microsoft Intune Connector. De nieuwe connector bevat de functionaliteit van beide vorige connectors. Met de release van versie 6.2109.51.0 van de certificaatconnector voor Microsoft worden de vorige connectors niet meer ondersteund.

Overzicht van connector

Als u de certificaatconnector wilt gebruiken, downloadt u eerst software vanuit het Microsoft Intune-beheercentrum, dat u vervolgens installeert op een Windows Server.

Tijdens de installatie kunt u een of meer connectorfuncties installeren, waaronder ondersteuning voor:

  • PKCS-certificaten (Private and Public Key Pair)
  • Geïmporteerde PKCS-certificaten
  • Simple Certificate Enrollment Protocol (SCEP)
  • Certificaatintrekking

U wijst ook een serviceaccount toe om de connector uit te voeren. Dit account wordt gebruikt voor alle interacties met uw certificeringsinstantie en voor certificaatuitgifte, intrekking en verlenging. Ondersteunde opties voor het serviceaccount zijn onder andere het SYSTEM-account van de connectorservers of een domeinaccount.

Nadat de connector is geïnstalleerd, kunt u de configuratie van de connector op elk gewenst moment opnieuw uitvoeren om deze bij te werken of de functies te wijzigen die u hebt geïnstalleerd. Nadat deze is geïnstalleerd en geconfigureerd, kan de connector toekomstige updates automatisch installeren om uw connectors actueel te houden voor de meest recente release.

Intune ondersteunt het installeren van meerdere exemplaren van de connector in een tenant en elk exemplaar kan verschillende functies ondersteunen. Als u meerdere connectors gebruikt die verschillende functies ondersteunen, worden certificaataanvragen altijd doorgestuurd naar een relevante connector. Als u bijvoorbeeld twee connectors installeert die PKCS ondersteunen en nog twee connectors installeert die zowel PKCS als SCEP ondersteunen, kunnen certificaattaken voor PKCS worden beheerd door een van de vier connectors, maar worden taken voor SCEP alleen omgeleid naar de twee connectors die SCEP ondersteunen.

Elk exemplaar van de certificaatconnector heeft dezelfde netwerkvereisten als apparaten die worden beheerd door Intune. Zie Netwerkeindpunten voor Microsoft Intune en Intune netwerkconfiguratievereisten en bandbreedte voor meer informatie.

Mogelijkheden van de certificaatconnector

De certificaatconnector voor Microsoft Intune ondersteunt het volgende:

  • PKCS #12-certificaataanvragen.

  • PKCS-geïmporteerde certificaten (PFX-bestand) voor S/MIME-e-mailversleuteling voor een specifieke gebruiker.

  • Scep-certificaten (Simple Certificate Enrollment Protocol) uitgeven. Wanneer u een Active Directory Certificate Services-certificeringsinstantie (CA) gebruikt, ook wel een Microsoft-CA genoemd, moet u ook de Registratieservice voor netwerkapparaten (NDES) configureren op de server die als host fungeert voor de connector.

    Gebruik van SCEP met een externe certificeringsinstantie vereist geen gebruik van de certificaatconnector voor Microsoft Intune.

  • Certificaatintrekking.

  • Automatische updates naar nieuwe versies. Wanneer servers die als host fungeren voor de certificaatconnector toegang hebben tot internet, installeren ze automatisch nieuwe updates om up-to-date te blijven. Wanneer een connector niet automatisch kan worden bijgewerkt, kunt u de connector handmatig bijwerken.

  • Installatie van maximaal 100 exemplaren van de connector per Intune tenant, met elk exemplaar op een afzonderlijke Windows Server. Wanneer u meerdere connectors gebruikt:

    • Elk exemplaar van de connector moet toegang hebben tot de persoonlijke sleutel die wordt gebruikt voor het versleutelen van de wachtwoorden van elk geüpload PFX-bestand.

    • Elk exemplaar van de connector moet dezelfde versie hebben. Omdat de connector automatische updates naar de nieuwste versie ondersteunt, kunnen updates voor u worden beheerd door Intune.

    • Uw infrastructuur ondersteunt redundantie en taakverdeling, omdat elk beschikbaar connectorexemplaren die dezelfde connectorfuncties ondersteunen, uw certificaataanvragen kunnen verwerken.

    • U kunt een proxy configureren zodat de connector kan communiceren met Intune.

    • Certificaatconnector mag niet worden geïnstalleerd op dezelfde server als Intune Connector voor Active Directory.

      Opmerking

      Elk exemplaar van de connector dat PKCS ondersteunt, kan worden gebruikt om in behandeling zijnde PKCS-aanvragen op te halen uit de wachtrij Intune Service, geïmporteerde certificaten te verwerken en intrekkingsaanvragen te verwerken. Het is niet mogelijk om te definiëren welke connector elke aanvraag verwerkt.

      Daarom moet elke connector die PKCS ondersteunt dezelfde machtigingen hebben en verbinding kunnen maken met alle certificeringsinstanties die later in de PKCS-profielen zijn gedefinieerd.

Levenscyclus

Er worden regelmatig updates voor de certificaatconnector uitgebracht. Aankondigingen voor nieuwe connectorupdates, inclusief de versie en releasedatum voor elke update, worden weergegeven in de sectie Wat is er nieuw voor de certificaatconnector in dit artikel.

Elke nieuwe connectorrelease:

  • Wordt gedurende zes maanden na de release van een nieuwe versie ondersteund. Tijdens deze periode kunnen automatische updates een nieuwere connectorversie installeren. Bijgewerkte connectorversies kunnen oplossingen voor fouten en prestatie- en functieverbeteringen bevatten, maar zijn niet beperkt tot.

  • Als een connector niet meer wordt ondersteund, moet u bijwerken naar de nieuwste ondersteunde versie.

  • Als u de automatische update van de connector blokkeert, moet u de connector binnen zes maanden handmatig bijwerken voordat de ondersteuning voor de geïnstalleerde versie eindigt. Nadat de ondersteuning is beëindigd, moet u de connector bijwerken naar een versie die ondersteuning blijft bieden om ondersteuning te ontvangen voor problemen met de connector.

  • Connectors die niet worden ondersteund, blijven tot 18 maanden na de release van een nieuwe versie functioneren. Na 18 maanden kan de functionaliteit van een connector mislukken vanwege verbeteringen op serviceniveau, updates of bij het aanpakken van veelvoorkomende beveiligingsproblemen die in de toekomst kunnen optreden.

Wanneer de connectorversie 6.2203.12.0 die is uitgebracht op 4 mei 2022, wordt de vorige connectorversie 6.2202.38.0 op 4 november 2022 niet meer ondersteund. De vorige versie van de connector moet tot november 2023 blijven functioneren (maar wordt niet ondersteund). Na november 2023 communiceert de vorige versie van de connector mogelijk niet meer met Intune.

Automatisch bijwerken

Intune kunt de connector automatisch bijwerken naar de nieuwste versie kort nadat die connectorversie is uitgebracht.

Als u automatisch wilt bijwerken, moet de server die als host fungeert voor de connector toegang hebben tot de Azure-updateservice:

  • Poort: 443
  • Eindpunt: autoupdate.msappproxy.net

Wanneer firewalls, infrastructuur of netwerkconfiguraties de toegang voor automatische updates beperken, kunt u de blokkeringsproblemen oplossen of de connector handmatig bijwerken naar de nieuwe versie.

Handmatig bijwerken

Het proces voor het handmatig bijwerken van een certificaatconnector is hetzelfde voor het opnieuw installeren van een connector.

U kunt een certificaatconnector handmatig bijwerken, zelfs wanneer deze automatische updates ondersteunt. U kunt de connector bijvoorbeeld handmatig bijwerken wanneer uw netwerkconfiguratie een automatische update blokkeert.

Een certificaatconnector opnieuw installeren

  1. Voer op de Windows Server die als host fungeert voor de connector het connectorinstallatieprogramma uit om de connector te verwijderen.

  2. Als u de nieuwe versie wilt installeren, gebruikt u de procedure om een nieuwe versie van de connector te installeren. Controleer op nieuwe of bijgewerkte vereisten bij het installeren van een nieuwere versie van een connector.

Connectorstatus

In het Microsoft Intune-beheercentrum kunt u een certificaatconnector selecteren om informatie over de status ervan weer te geven:

  1. Meld u aan bij het Microsoft Intune-beheercentrum

  2. Ga naar Tenantbeheer>Connectors en tokens>Certificaatconnectors.

  3. Selecteer een connector om de status ervan weer te geven.

Bij het weergeven van de connectorstatus:

  • Afgeschafte connectors geven een waarschuwing weer. Na de respijtperiode van zes maanden verandert de waarschuwing in een fout.
  • Connectors die zich buiten de respijtperiode bevinden, geven een fout weer. Deze connectors worden niet meer ondersteund en kunnen op elk gewenst moment niet meer werken.

Logboekregistratie

Logboeken voor de certificaatconnector voor Microsoft Intune zijn beschikbaar als gebeurtenislogboeken op de server waarop de connector is geïnstalleerd:

  • > Logboeken Toepassings- en servicelogboeken>Microsoft>Intune>Certificaatconnectors

De volgende logboeken zijn beschikbaar en zijn standaard 50 MB en automatische archivering is ingeschakeld:

  • Beheer logboek: dit logboek bevat één logboekgebeurtenis per aanvraag voor de connector. Gebeurtenissen omvatten een geslaagde informatie over de aanvraag of een fout met informatie over de aanvraag en de fout.
  • Operationeel logboek: dit logboek bevat aanvullende informatie over de gegevens in het Beheer logboek en kan van pas komen bij foutopsporingsproblemen. In dit logboek worden ook lopende bewerkingen weergegeven in plaats van enkele gebeurtenissen.

Naast het standaardlogboekniveau kunt u logboekregistratie voor foutopsporing voor elk logboek inschakelen om meer details te verkrijgen.

Gebeurtenis-id's

Alle gebeurtenissen hebben een van de volgende id's:

  • 0001-0999 - Niet gekoppeld aan een specifiek scenario
  • 1000-1999 - PKCS
  • 2000-2999 - PKCS Import
  • 3000-3999 - Intrekken
  • 4000-4999 - SCEP
  • 5000-5999 - Connectorstatus

Taakcategorieën

Alle gebeurtenissen worden gelabeld met een taakcategorie om te helpen bij het filteren. Taakcategorieën bevatten, maar zijn niet beperkt tot de volgende lijst:

PKCS

  • Beheerder

    • Gebeurtenis-id: 1000 - PkcsRequestSuccess
      Een PKCS-aanvraag is geüpload naar Intune.

    • Gebeurtenis-id: 1001 - PkcsRequestFailure
      Kan een PKCS-aanvraag niet uitvoeren of uploaden naar Intune.

    • Gebeurtenis-id: 1200 - PkcsRecryptRequestSuccess
      De AANVRAAG voor opnieuw versleutelen van PKCS is verwerkt.

    • Gebeurtenis-id: 1201 - PkcsRecryptRequestFailure
      Kan pkcs-aanvraag voor opnieuw versleutelen niet verwerken.

  • Operationele

    • Gebeurtenis-id: 1002 - PkcsDownloadSuccess
      PKCS-aanvragen zijn gedownload van Intune.

    • Gebeurtenis-id: 1003 - PkcsDownloadFailure
      Kan PKCS-aanvragen van Intune niet downloaden.

    • Gebeurtenis-id: 1020 - PkcsDownloadedRequest
      PKCS-aanvraag is gedownload van Intune

    • Gebeurtenis-id: 1032 - PkcsDigiCertRequest
      Er is een PKCS-aanvraag voor DigiCert CA gedownload van Intune.

    • Gebeurtenis-id: 1050 - PkcsIssuedSuccess
      Er is een PKCS-certificaat uitgegeven.

    • Gebeurtenis-id: 1051 - PkcsIssuedFailedAttempt
      Kan geen PKCS-certificaat uitgeven. Probeer het opnieuw.

    • Gebeurtenis-id: 1052 - PkcsIssuedFailure
      Kan geen PKCS-certificaat uitgeven.

    • Gebeurtenis-id: 1100 - PkcsUploadSuccess
      De resultaten van de PKCS-aanvraag zijn geüpload naar Intune.

    • Gebeurtenis-id: 1101 - PkcsUploadFailure
      Kan pkcs-aanvraagresultaten niet uploaden naar Intune.

    • Gebeurtenis-id: 1102 - PkcsUploadedRequest
      De PKCS-aanvraag is geüpload naar Intune.

    • Gebeurtenis-id: 1202 - PkcsRecryptDownloadSuccess
      PKCS-aanvragen voor opnieuw versleutelen zijn gedownload.

    • Gebeurtenis-id: 1203 - PkcsRecryptDownloadFailure
      Kan PKCS-aanvragen niet opnieuw downloaden.

    • Gebeurtenis-id: 1220 - PkcsRecryptDownloadedRequest
      Er is een PKCS-aanvraag voor opnieuw versleutelen gedownload.

    • Gebeurtenis-id: 1250 - PkcsRecryptReencryptSuccess
      De nettolading van het PKCS-certificaat is opnieuw versleuteld.

    • Gebeurtenis-id: 1251 - PkcsRecryptDecryptSuccess
      De nettolading van het PKCS-certificaat is ontsleuteld.

    • Gebeurtenis-id: 1252 - PkcsRecryptDecryptFailure
      Kan de nettolading van het PKCS-certificaat niet ontsleutelen.

    • Gebeurtenis-id: 1253 - PkcsReencryptFailure
      Kan de nettolading van het PKCS-certificaat niet opnieuw versleutelen.

    • Gebeurtenis-id: 1300 - PkcsRecryptUploadSuccess
      De aanvraagresultaten van PKCS zijn opnieuw versleuteld naar Intune.

    • Gebeurtenis-id: 1301 - PkcsRecryptUploadFailure
      Kan de resultaten van PKCS-aanvragen niet opnieuw uploaden naar Intune.

    • Gebeurtenis-id: 1302 - PkcsRecryptUploadedRequest
      Er is een PKCS-aanvraag voor opnieuw versleutelen geüpload naar Intune.

PKCS-import

  • Beheerder

    • Gebeurtenis-id: 2000 - PkcsImportRequestSuccess
      PKCS-importaanvragen zijn gedownload van Intune.

    • Gebeurtenis-id: 2001 - PkcsImportRequestFailure
      Kan een PKCS-importaanvraag van Intune niet verwerken.

  • Operationele

    • Gebeurtenis-id: 2202 - PkcsImportDownloadSuccess
      PKCS-importaanvragen zijn gedownload van Intune.

    • Gebeurtenis-id: 2203 - PkcsImportDownloadFailure
      Kan GEEN PKCS-importaanvragen downloaden van Intune.

    • Gebeurtenis-id: 2020 - PkcsImportDownloadedRequest
      Er is een PKCS-importaanvraag gedownload van Intune.

    • Gebeurtenis-id: 2050 - PkcsImportReencryptSuccess
      Een PKCS-importcertificaat is opnieuw versleuteld.

    • Gebeurtenis-id: 2051 - PkcsImportReencryptFailedAttempt
      Kan een PKCS-importcertificaat niet opnieuw versleutelen. Probeer het opnieuw.

    • Gebeurtenis-id: 2052 - PkcsImportReencryptFailure
      Kan een geïmporteerd certificaat niet opnieuw versleutelen.

    • Gebeurtenis-id: 2100 - PkcsImportUploadSuccess
      De resultaten van de PKCS-importaanvraag zijn geüpload naar Intune.

    • Gebeurtenis-id: 2101 - PkcsImportUploadFailure
      Kan pkcs-aanvraagresultaten niet uploaden naar Intune.

    • Gebeurtenis-id: 2102 - PkcsImportUploadedRequest
      Een PKCS-importaanvraag is geüpload naar Intune.

Intrekking

  • Beheerder

    • Gebeurtenis-id: 3000 - RevokeRequestSuccess
      Intrekkingsaanvragen zijn gedownload van Intune.

    • Gebeurtenis-id: 3001 - RevokeRequestFailure
      Er is een fout opgetreden bij het downloaden van intrekkingsaanvragen van Intune.

  • Operationele

    • Gebeurtenis-id: 3002 - RevokeDownloadSuccess
      Intrekkingsaanvragen zijn gedownload van Intune.

    • Gebeurtenis-id: 3003 - RevokeDownloadFailure
      Er is een fout opgetreden bij het downloaden van intrekkingsaanvragen van Intune.

    • Gebeurtenis-id: 3020 - RevokeDownloadedRequest
      Details van één gedownloade aanvraag van Intune

    • Gebeurtenis-id: 3032 - RevokeDigicertRequest
      Ontvangen intrekkingsaanvraag van Intune en doorsturen van aanvraag naar Digicert voor afhandeling van aanvraag.

    • Gebeurtenis-id: 3050 - RevokeSuccess
      Het certificaat is ingetrokken.

    • Gebeurtenis-id: 3051 - RevokeFailure
      Er is een fout opgetreden tijdens het intrekken van een certificaat.

    • Gebeurtenis-id: 3052 - RevokeFailedAttempt
      Kan een certificaat niet intrekken. Probeer het opnieuw.

    • Gebeurtenis-id: 3100 - RevokeUploadSuccess
      De resultaten van de intrekkingsaanvraag zijn geüpload naar Intune.

    • Gebeurtenis-id: 3101 - RevokeUploadFailure
      Kan de resultaten van de intrekkingsaanvraag niet uploaden naar Intune.

    • Gebeurtenis-id: 3102 - RevokeUploadedRequest
      De intrekkingsaanvraag is geüpload naar Intune.

SCEP

  • Beheerder

    • Gebeurtenis-id: 4000 - ScrepRequestSuccess
      Een SCEP-aanvraag is verwerkt en Intune op de hoogte gebracht.

    • Gebeurtenis-id: 4001 - ScepRequestIssuedFailure
      Kan een SCEP-aanvraag niet verwerken en heeft Intune op de hoogte gesteld.

    • Gebeurtenis-id: 4002 - ScepRequestUploadFailure
      Scep-aanvraag is verwerkt, maar kan Intune niet op de hoogte stellen.

  • Operationele

    • Gebeurtenis-id: 4003 - ScepRequestReceived
      Er is een SCEP-aanvraag van een apparaat ontvangen.

    • Gebeurtenis-id: 4004 - ScepVerifySuccess
      Een SCEP-aanvraag is geverifieerd met Intune.

    • Gebeurtenis-id: 4005 - ScepVerifyFailure
      Kan een SCEP-aanvraag niet verifiëren met Intune.

    • Gebeurtenis-id: 4006 - ScepIssuedSuccess
      Het certificaat voor een SCEP-aanvraag is uitgegeven.

    • Gebeurtenis-id: 4007 - ScepIssuedFailure
      Kan certificaat voor SCEP-aanvraag niet uitgeven.

    • Gebeurtenis-id: 4008 - ScepNotifySuccess
      Er is Intune op de hoogte gesteld van het resultaat voor een SCEP-aanvraag.

    • Gebeurtenis-id: 4009 - ScepNotifyAttemptFailed
      Kan Intune niet op de hoogte stellen van het resultaat van een SCEP-aanvraag, probeert het opnieuw.

    • Gebeurtenis-id: 4010 - ScepNotifySaveToDiskFailed
      Kan de melding niet naar de schijf schrijven en kan Intune niet op de hoogte stellen van de aanvraagstatus.

Connectorstatus

  • Operationele

    • Gebeurtenis-id: 5000 - HealthMessageUploadSuccess Statusberichten zijn geüpload naar Intune.

    • Gebeurtenis-id: 5001 - HealthMessageUploadFailedAttempt Kan statusberichten niet uploaden naar Intune. Probeer het opnieuw.

    • Gebeurtenis-id: 5002 - HealthMessageUploadFailure Kan statusberichten niet uploaden naar Intune.

Wat is er nieuw voor de certificaatconnector?

Updates voor de certificaatconnector voor Microsoft Intune worden periodiek uitgebracht en vervolgens gedurende zes maanden ondersteund. Wanneer we de connector bijwerken, kunt u hier meer lezen over de wijzigingen.

Het kan een week of langer duren voordat nieuwe updates voor de connector beschikbaar zijn voor elke tenant.

Belangrijk

Vanaf april 2022 worden certificaatconnectors ouder dan versie 6.2101.13.0 afgeschaft en wordt de status Fout weergegeven. Vanaf augustus 2022 kunnen deze connectorversies geen certificaten intrekken. Vanaf september 2022 kunnen deze connectorversies geen certificaten meer uitgeven. Dit omvat zowel de PFX-certificaatconnector voor Microsoft Intune als Microsoft Intune Connector, die op 29 juli 2021 zijn vervangen door de certificaatconnector voor Microsoft Intune (zoals beschreven in dit artikel).

dinsdag 19 september 2024

Versie 6.2406.0.1001 - Wijzigingen in deze release:

  • Wijzigingen ter ondersteuning van vereisten voor KB5014754
  • Verbeterde PKCS import-pipeline-logboekregistratie
  • Bugfixes
  • Beveiligingsverbeteringen

dinsdag 15 februari 2023

Versie 6.2301.1.0 - Wijzigingen in deze release:

  • Logboekgegevens om te correleren met Intune Service-logboeken
  • Verbeteringen in logboekregistratie in de uitgiftestroom van PFX-certificaten

dinsdag 21 september 2022

Versie 6.2206.122.0 - Wijzigingen in deze release:

  • Verbeterde telemetrie naast bugfixes en prestatieverbeteringen

donderdag 30 juni 2022

Versie 6.2205.201.0 - Wijzigingen in deze release:

  • Telemetriekanaal bijgewerkt naar Intune zodat Intune beheerder gegevens kan verzamelen in de portal

dinsdag 4 mei 2022

Versie 6.2203.12.0 - Wijzigingen in deze release:

  • CNG-providers ondersteunen voor clientverificatiecertificaten
  • Verbeterde ondersteuning voor automatische verlenging van clientverificatiecertificaten

dinsdag 10 maart 2022

Versie 6.2202.38.0. Deze update omvat:

  • Wijzigingen in de ondersteuning van TLS 1.2 voor automatisch bijwerken

Volgende stappen

Controleer de vereisten voor de certificaatconnector voor Microsoft Intune