Wymagania wstępne łącznika certyfikatów dla Microsoft Intune
Przed zainstalowaniem i skonfigurowaniem łącznika certyfikatów dla Microsoft Intune zapoznaj się z wymaganiami wstępnymi i wymaganiami dotyczącymi infrastruktury, które mogą się różnić w zależności od funkcji, które skonfigurujesz do obsługi wystąpienia łącznika.
Ogólne wymagania wstępne
Wymagania dotyczące komputera, na którym jest instalowane oprogramowanie łącznika:
Windows Server 2012 R2 lub nowszym.
Uwaga
Instalacja serwera musi zawierać środowisko pulpitu i obsługiwać korzystanie z przeglądarki. Aby uzyskać więcej informacji, zobacz Install Server with Desktop Experience (Instalowanie serwera za pomocą środowiska pulpitu) w dokumentacji Windows Server 2016.
.NET 4.7.2
Transport Layer Security (TLS) 1.2. Aby uzyskać więcej informacji, zobacz Włączanie obsługi protokołu TLS 1.2 w środowisku w dokumentacji Microsoft Entra.
Serwer musi spełniać te same wymagania dotyczące sieci co urządzenia zarządzane. Zobacz Network endpoints for Microsoft Intune, and Intune network configuration requirements and bandwidth (Wymagania dotyczące konfiguracji sieci i przepustowości usługi Intune)
Aby obsługiwać automatyczne aktualizacje oprogramowania łącznika, serwer musi mieć dostęp do usługi aktualizacji platformy Azure:
- Port: 443
- Punkt końcowy: autoupdate.msappproxy.net
Konfiguracja rozszerzonych zabezpieczeń musi zostać dezaktywowana.
PKCS
Wymagania dotyczące szablonów certyfikatów PKCS:
- Szablony certyfikatów, których będziesz używać w przypadku żądań PKCS, muszą być skonfigurowane z uprawnieniami umożliwiającymi rejestrowanie certyfikatu przez konto usługi łącznika certyfikatów.
- Szablony certyfikatów muszą zostać dodane do urzędu certyfikacji.
Uwaga
Każde wystąpienie łącznika obsługujące PKCS może służyć do pobierania oczekujących żądań PKCS z kolejki usługi Intune, przetwarzania zaimportowanych certyfikatów i obsługi żądań odwołania. Nie można zdefiniować, który łącznik obsługuje każde żądanie. W związku z tym każdy łącznik obsługujący PKCS musi mieć te same uprawnienia i mieć możliwość nawiązywania połączenia ze wszystkimi urzędami certyfikacji zdefiniowanymi później w profilach PKCS.
Zaimportowane certyfikaty PKCS
Aby obsługiwać zaimportowane certyfikaty PKCS, serwer hostujący łącznik wymaga dodatkowych konfiguracji, takich jak skonfigurowanie dostępu dostawcy magazynu kluczy w celu umożliwienia użytkownikowi usługi łącznika pobierania kluczy.
Aby uzyskać informacje o obsłudze zaimportowanych certyfikatów PKCS, zobacz Konfigurowanie i używanie zaimportowanych certyfikatów PKCS w usłudze Intune
Wymagania wstępne dotyczące odwołania
- Urząd certyfikacji musi być skonfigurowany tak, aby zezwolić kontu usługi łącznika na odwoływanie certyfikatów.
SCEP
System Windows Server hostujący łącznik musi spełniać następujące wymagania wstępne oprócz ogólnych wymagań wstępnych:
- Usługi IIS 7 lub nowsze
- Usługa rejestracji urządzeń sieciowych (NDES), która jest częścią roli usług certyfikacji Active Directory. Łącznik nie jest obsługiwany na tym samym serwerze co urząd wystawiający certyfikaty (CA). Aby uzyskać więcej informacji, zobacz Konfigurowanie infrastruktury do obsługi protokołu SCEP w usłudze Intune
W systemie Windows Server skonfiguruj wybierz następujące role i funkcje serwera:
Role serwera:
- Usługi certyfikatów Active Directory
- Serwer sieci Web (IIS)
Funkcje:
- funkcje .NET Framework 4.7
- .NET Framework 4.7
- ASP.NET 4.7
- Usługi WCF
- Aktywacja HTTP
- funkcje .NET Framework 4.7
AD CS > Usługi ról:
- Usługa rejestracji urządzeń sieciowych — w przypadku protokołu SCEP łącznika podczas korzystania z urzędu certyfikacji firmy Microsoft zainstaluj i skonfiguruj rolę serwera usługi rejestracji urządzeń sieciowych (NDES). Podczas konfigurowania usługi NDES należy przypisać konto użytkownika do użycia przez pulę aplikacji usługi NDES. Usługa NDES ma również własne wymagania.
Rola serwera sieci Web (IIS) > Usługi ról:
- Bezpieczeństwo
- Filtrowanie żądań
- Tworzenie aplikacji
- Rozszerzalność platformy .NET 4.7
- ASP.NET 4.7
- Narzędzia do zarządzania
- Konsola zarządzania usługami IIS
- Zgodność zarządzania usługami IIS 6
- Zgodność metabazy usług IIS 6
- Zgodność usług IIS 6 WMI
Ponadto usługa NDES wymaga funkcji following.NET Framework 3.5:
- .NET Framework 3.5
- Aktywacja HTTP
- Bezpieczeństwo
Wymagania dotyczące szablonów certyfikatów SCEP:
- Szablony certyfikatów, których będziesz używać w przypadku żądań protokołu SCEP, muszą być skonfigurowane z uprawnieniami, które umożliwiają kontu usługi łącznika certyfikatów automatyczne rejestrowanie certyfikatu.
- Szablony certyfikatów muszą zostać dodane do urzędu certyfikacji.
Konta
Przed zainstalowaniem oprogramowania łącznika certyfikatów przygotuj następujące konta.
Konto instalacji
Do zainstalowania oprogramowania łącznika można użyć dowolnego konta użytkownika z lokalnymi uprawnieniami administracyjnymi w systemie Windows Server. Tego samego konta można użyć do skonfigurowania systemu Windows Server z rolą serwera systemu Windows usługi NDES, jeśli używasz protokołu SCEP i urzędu certyfikacji firmy Microsoft.
Konto usługi łącznika certyfikatów
Łącznik certyfikatów wymaga, aby konto było używane jako konto usługi. To konto jest używane przez łącznik do uzyskiwania dostępu do systemu Windows Server, komunikowania się z usługą Intune i uzyskiwania dostępu do urzędu certyfikacji w celu obsługi żądań infrastruktury kluczy publicznych.
Konto usługi łącznika musi mieć następujące uprawnienia:
- Logowanie jako usługa
- Wystawianie uprawnień certyfikatów i zarządzanie nimi w urzędzie certyfikacji (wymagane tylko w scenariuszach odwołania).
- Uprawnienia odczytu i rejestrowania dla dowolnego szablonu certyfikatu, który będzie używany do wystawiania certyfikatów.
- Uprawnienia do dostawcy magazynu kluczy (KSP) używanego przez usługę PFX Import. Zobacz Importowanie certyfikatów PFX do usługi Intune.
Następujące opcje są obsługiwane do użycia jako konto usługi łącznika certyfikatów:
- SYSTEM
- Użytkownik domeny — użyj dowolnego konta użytkownika domeny, które jest administratorem systemu Windows Server.
Aby uzyskać więcej informacji, zobacz Instalowanie łącznika certyfikatów dla Microsoft Intune.
Użytkownik puli aplikacji usługi NDES
Aby używać protokołu SCEP z urzędem certyfikacji firmy Microsoft, należy dodać usługę NDES do serwera hostującego łącznik przed zainstalowaniem łącznika. Podczas konfigurowania usługi NDES należy określić konto do użycia jako użytkownik puli aplikacji, które może być również nazywane kontem usługi NDES. To konto może być kontem użytkownika lokalnego lub domeny i musi mieć następujące uprawnienia:
- Uprawnienia odczytu i rejestrowania dla każdego szablonu certyfikatu protokołu SCEP, którego użyjesz do wystawiania certyfikatów.
- Członek grupy IIS_IUSRS .
Aby uzyskać wskazówki dotyczące konfigurowania roli serwera usługi NDES dla łącznika certyfikatów dla Microsoft Intune, zobacz Konfigurowanie usługi NDES w temacie Konfigurowanie infrastruktury do obsługi protokołu SCEP w usłudze Intune.
użytkownik Microsoft Entra
Podczas konfigurowania łącznika należy użyć konta użytkownika, które: jest Administracja globalnym lub Administracja usługi Intune i ma przypisaną licencję usługi Intune.
Następne kroki
Opinia
https://aka.ms/ContentUserFeedback.
Dostępne już wkrótce: W 2024 r. będziemy stopniowo wycofywać zgłoszenia z serwisu GitHub jako mechanizm przesyłania opinii na temat zawartości i zastępować go nowym systemem opinii. Aby uzyskać więcej informacji, sprawdź:Prześlij i wyświetl opinię dla