Udostępnij za pośrednictwem


Wymagania wstępne dotyczące profilów certyfikatów w Configuration Manager

Dotyczy: programu Configuration Manager (bieżąca gałąź)

Profile certyfikatów w Configuration Manager mają zewnętrzne zależności i zależności w produkcie.

Ważna

Począwszy od wersji 2203, ta funkcja dostępu do zasobów firmy nie jest już obsługiwana. Aby uzyskać więcej informacji, zobacz Często zadawane pytania dotyczące wycofywania dostępu do zasobów.

Zależności zewnętrzne do Configuration Manager

Zależności Więcej informacji
Urząd certyfikacji wystawiający certyfikaty przedsiębiorstwa z uruchomionymi usługami certyfikatów Active Directory (AD CS).

Aby odwołać certyfikaty, konto komputera serwera lokacji w górnej części hierarchii wymaga praw wystawiania certyfikatów i zarządzania nimi dla każdego szablonu certyfikatu używanego przez profil certyfikatu w Configuration Manager. Alternatywnie przyznaj menedżerowi certyfikatów uprawnienia do udzielania uprawnień do wszystkich szablonów certyfikatów używanych przez ten urząd certyfikacji

Zatwierdzanie przez menedżera żądań certyfikatów jest obsługiwane. Jednak szablony certyfikatów używane do wystawiania certyfikatów muszą być skonfigurowane dla pozycji Podaj w żądaniu podmiotu certyfikatu, aby Configuration Manager mógł automatycznie podać tę wartość.
Aby uzyskać więcej informacji na temat usług certyfikatów Active Directory, zobacz Active Directory Certificate Services Overview (Omówienie usług certyfikatów Active Directory).
Użyj skryptu programu PowerShell, aby zweryfikować i w razie potrzeby zainstalować wymagania wstępne usługi roli usługi rejestracji urządzeń sieciowych (NDES) i punktu rejestracji certyfikatów Configuration Manager.

Plik instrukcji readme_crp.txt znajduje się w folderze ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64.

Skrypt programu PowerShell, Test-NDES-CRP-Prereqs.ps1, znajduje się w tym samym katalogu co instrukcje.

Skrypt programu PowerShell musi być uruchamiany lokalnie na serwerze usługi NDES.
Usługa roli usługi rejestracji urządzeń sieciowych (NDES) dla usług certyfikatów Active Directory uruchomiona w Windows Server 2012 R2.

W dodatku:

Numery portów inne niż TCP 443 (dla protokołu HTTPS) lub TCP 80 (dla protokołu HTTP) nie są obsługiwane w przypadku komunikacji między klientem a usługą rejestracji urządzeń sieciowych.

Serwer z uruchomioną usługą rejestracji urządzeń sieciowych musi znajdować się na innym serwerze niż urząd wystawiający certyfikaty.
Configuration Manager komunikuje się z usługą rejestracji urządzeń sieciowych w Windows Server 2012 R2 w celu generowania i weryfikowania żądań protokołu SCEP (Simple Certificate Enrollment Protocol).

Jeśli wystawisz certyfikaty użytkownikom lub urządzeniom łączącym się z Internetu, takim jak urządzenia przenośne zarządzane przez Microsoft Intune, te urządzenia muszą mieć dostęp do serwera z uruchomioną usługą rejestracji urządzeń sieciowych z Internetu. Na przykład zainstaluj serwer w sieci obwodowej (znanej również jako strefa DMZ, strefa zdemilitaryzowana i podsieć ekranowana).

Jeśli masz zaporę między serwerem z uruchomioną usługą rejestracji urządzeń sieciowych a urzędem wystawiającym certyfikaty, musisz skonfigurować zaporę tak, aby zezwalała na ruch komunikacyjny (DCOM) między dwoma serwerami. To wymaganie zapory ma również zastosowanie do serwera z uruchomionym serwerem lokacji Configuration Manager i urzędem wystawiającym certyfikaty, dzięki czemu Configuration Manager może odwoływać certyfikaty.

Jeśli usługa rejestracji urządzeń sieciowych jest skonfigurowana tak, aby wymagała protokołu SSL, najlepszym rozwiązaniem w zakresie zabezpieczeń jest upewnienie się, że urządzenia łączące mogą uzyskać dostęp do listy odwołania certyfikatów (CRL) w celu zweryfikowania certyfikatu serwera.

Aby uzyskać więcej informacji na temat usługi rejestracji urządzeń sieciowych, zobacz Using a Policy Module with the Network Device Enrollment Service (Korzystanie z modułu zasad z usługą rejestracji urządzeń sieciowych).
Certyfikat uwierzytelniania klienta infrastruktury kluczy publicznych i wyeksportowany certyfikat głównego urzędu certyfikacji. Ten certyfikat uwierzytelnia serwer z uruchomioną usługą rejestracji urządzeń sieciowych w celu Configuration Manager.

Aby uzyskać więcej informacji, zobacz PKI certificate requirements for Configuration Manager (Wymagania dotyczące certyfikatów infrastruktury kluczy publicznych dla Configuration Manager).
Obsługiwane systemy operacyjne urządzeń. Profile certyfikatów można wdrażać na urządzeniach z systemem Windows 8.1, Windows RT 8.1 i Windows 10.

zależności Configuration Manager

Zależności Więcej informacji
Rola systemu lokacji punktu rejestracji certyfikatu Przed użyciem profilów certyfikatów należy zainstalować rolę systemu lokacji punktu rejestracji certyfikatu. Ta rola komunikuje się z bazą danych Configuration Manager, serwerem lokacji Configuration Manager i modułem zasad Configuration Manager.

Aby uzyskać więcej informacji o wymaganiach systemowych dla tej roli systemu lokacji i o tym, gdzie zainstalować rolę w hierarchii, zobacz sekcję Wymagania dotyczące systemu lokacji w artykule Obsługiwane konfiguracje dla Configuration Manager.

Punktu rejestracji certyfikatu nie można zainstalować na tym samym serwerze, na którym działa usługa rejestracji urządzeń sieciowych.
Configuration Manager modułu zasad zainstalowanego na serwerze z uruchomioną usługą roli Usługi rejestracji urządzeń sieciowych dla usług certyfikatów Active Directory Aby wdrożyć profile certyfikatów, należy zainstalować moduł zasad Configuration Manager. Ten moduł zasad można znaleźć na nośniku instalacyjnym Configuration Manager.
Dane odnajdywania Wartości podmiotu certyfikatu i alternatywnej nazwy podmiotu są dostarczane przez Configuration Manager i pobierane z informacji zebranych z odnajdywania:

W przypadku certyfikatów użytkownika: odnajdywanie użytkowników usługi Active Directory

W przypadku certyfikatów komputerów: odnajdywanie systemu usługi Active Directory i odnajdywanie sieci
Określone uprawnienia zabezpieczeń do zarządzania profilami certyfikatów Aby zarządzać ustawieniami dostępu do zasobów firmy, takimi jak profile certyfikatów, profile Wi-Fi i profile sieci VPN, musisz mieć następujące uprawnienia zabezpieczeń:

Aby wyświetlić alerty i raporty dla profilów certyfikatów oraz zarządzać nimi: Tworzenie, usuwanie, modyfikowanie, modyfikowanie raportu, odczytywanie i uruchamianie raportu dla obiektu Alerty .

Aby utworzyć profile certyfikatów i zarządzać nimi: Tworzenie zasad, Modyfikowanie raportu, Odczyt i Uruchamianie raportu dla obiektu Profil certyfikatu .

Aby zarządzać wdrożeniami sieci Wi-Fi, certyfikatów i profilów sieci VPN: wdrażanie zasad konfiguracji, modyfikowanie alertu stanu klienta, odczyt i odczyt zasobu dla obiektu kolekcji .

Aby zarządzać wszystkimi zasadami konfiguracji: Tworzenie, usuwanie, modyfikowanie, odczytywanie i ustawianie zakresu zabezpieczeń dla obiektu zasady konfiguracji .

Aby uruchomić zapytania związane z profilami certyfikatów: uprawnienie odczytu dla obiektu Zapytanie .

Aby wyświetlić informacje o profilach certyfikatów w konsoli Configuration Manager: uprawnienie odczytu dla obiektu lokacji.

Aby wyświetlić komunikaty o stanie dla profilów certyfikatów: uprawnienie odczytu dla obiektu Komunikaty o stanie .

Aby utworzyć i zmodyfikować profil zaufanego certyfikatu urzędu certyfikacji: Utwórz zasady, Modyfikuj raport, Odczyt i Uruchom raport dla obiektu Profil zaufanego certyfikatu urzędu certyfikacji .

Aby utworzyć profile sieci VPN i zarządzać nimi: Tworzenie zasad, Modyfikowanie raportu, Odczyt i Uruchamianie raportu dla obiektu Profil sieci VPN .

Aby tworzyć profile Wi-Fi i zarządzać nimi: tworzenie zasad, modyfikowanie raportu, odczyt i uruchamianie raportu dla obiektu profilu sieci Wi-Fi .

Rola zabezpieczeń menedżera dostępu do zasobów firmy obejmuje te uprawnienia, które są wymagane do zarządzania profilami certyfikatów w Configuration Manager. Aby uzyskać więcej informacji, zobacz sekcję Konfigurowanie administracji opartej na rolach w artykule Konfigurowanie zabezpieczeń .