Udostępnij za pośrednictwem

Łącznik certyfikatów dla Microsoft Intune

  • Artykuł

Aby Microsoft Intune do obsługi używania certyfikatów do uwierzytelniania oraz podpisywania i szyfrowania poczty e-mail przy użyciu protokołu S/MIME, możesz użyć łącznika certyfikatów do Microsoft Intune. Łącznik certyfikatów to oprogramowanie instalowane na serwerze lokalnym, które ułatwia dostarczanie certyfikatów dla urządzeń zarządzanych Intune i zarządzanie nimi.

W tym artykule przedstawiono łącznik certyfikatów dla Microsoft Intune, jego cykl życia i sposób jego aktualności.

Porada

Od 29 lipca 2021 r. łącznik certyfikatów dla Microsoft Intune zastępuje użycie łącznika certyfikatów PFX dla łącznika Microsoft Intune i łącznika Microsoft Intune. Nowy łącznik zawiera funkcje obu poprzednich łączników. W wersji 6.2109.51.0 łącznika certyfikatów dla firmy Microsoft poprzednie łączniki nie są już obsługiwane.

Omówienie łącznika

Aby korzystać z łącznika certyfikatów, najpierw pobierzesz oprogramowanie z centrum administracyjnego Microsoft Intune, które następnie zainstalujesz w systemie Windows Server.

Podczas instalacji można zainstalować co najmniej jedną funkcję łącznika, w tym obsługę następujących elementów:

  • Certyfikaty par kluczy prywatnych i publicznych (PKCS)
  • Zaimportowane certyfikaty PKCS
  • Prosty protokół rejestracji certyfikatów (SCEP)
  • Odwołanie certyfikatu

Przypiszesz również konto usługi do uruchomienia łącznika. To konto jest używane do wszystkich interakcji z urzędem certyfikacji oraz do wystawiania, odwoływania i odnawiania certyfikatów. Obsługiwane opcje dla konta usługi obejmują konto systemowe serwerów łączników lub konto domeny.

Po zainstalowaniu łącznika można uruchomić konfigurację łącznika ponownie w dowolnym momencie, aby go zaktualizować lub zmienić zainstalowane funkcje. Po zainstalowaniu i skonfigurowaniu łącznik może automatycznie instalować przyszłe aktualizacje, aby zachować aktualną wersję łączników.

Intune obsługuje instalowanie wielu wystąpień łącznika w dzierżawie, a każde wystąpienie może obsługiwać różne funkcje. Jeśli używasz wielu łączników, które obsługują różne funkcje, żądania certyfikatów są zawsze kierowane do odpowiedniego łącznika. Jeśli na przykład zainstalujesz dwa łączniki obsługujące PKCS i zainstalujesz dwa kolejne, które obsługują zarówno protokół PKCS, jak i SCEP, zadania certyfikatów dla PKCS mogą być zarządzane przez dowolny z czterech łączników, ale zadania dla protokołu SCEP są kierowane tylko do dwóch łączników, które obsługują protokół SCEP.

Każde wystąpienie łącznika certyfikatów ma takie same wymagania sieciowe jak urządzenia zarządzane przez Intune. Aby uzyskać więcej informacji, zobacz Network endpoints for Microsoft Intune, and Intune network configuration requirements and bandwidth (Punkty końcowe sieci dla Microsoft Intune i Intune wymagania dotyczące konfiguracji sieci i przepustowości).

Możliwości łącznika certyfikatów

Łącznik certyfikatów dla Microsoft Intune obsługuje:

  • Żądania certyfikatów PKCS #12.

  • Zaimportowane certyfikaty PKCS (plik PFX) na potrzeby szyfrowania wiadomości e-mail S/MIME dla określonego użytkownika.

  • Wystawianie certyfikatów protokołu SCEP (Simple Certificate Enrollment Protocol). W przypadku korzystania z urzędu certyfikacji usług certyfikatów Active Directory (CA), nazywanego również urzędem certyfikacji firmy Microsoft, należy również skonfigurować usługę rejestracji urządzeń sieciowych (NDES) na serwerze hostującym łącznik.

    Użycie protokołu SCEP z urzędem certyfikacji innej firmy nie wymaga użycia łącznika certyfikatów dla Microsoft Intune.

  • Odwołanie certyfikatu.

  • Automatyczne aktualizacje nowych wersji. Gdy serwery hostujące łącznik certyfikatów mogą uzyskiwać dostęp do Internetu, automatycznie instalują nowe aktualizacje, aby zachować aktualność. Jeśli automatyczne aktualizowanie łącznika nie powiedzie się, można ręcznie zaktualizować łącznik.

  • Instalacja maksymalnie 100 wystąpień łącznika na dzierżawę Intune z każdym wystąpieniem w osobnym systemie Windows Server. W przypadku korzystania z wielu łączników:

    • Każde wystąpienie łącznika musi mieć dostęp do klucza prywatnego używanego do szyfrowania haseł każdego przekazanego pliku PFX.

    • Każde wystąpienie łącznika powinno mieć tę samą wersję. Ponieważ łącznik obsługuje automatyczne aktualizacje najnowszej wersji, aktualizacje mogą być zarządzane przez Intune.

    • Infrastruktura obsługuje nadmiarowość i równoważenie obciążenia, ponieważ każde dostępne wystąpienie łącznika obsługujące te same funkcje łącznika może przetwarzać żądania certyfikatów.

    • Serwer proxy można skonfigurować tak, aby łącznik mógł komunikować się z Intune.

    • Łącznik certyfikatów nie powinien być instalowany na tym samym serwerze co łącznik Intune dla usługi Active Directory.

      Uwaga

      Każde wystąpienie łącznika obsługujące PKCS może służyć do pobierania oczekujących żądań PKCS z kolejki usługi Intune, przetwarzania zaimportowanych certyfikatów i obsługi żądań odwołania. Nie można zdefiniować, który łącznik obsługuje każde żądanie.

      W związku z tym każdy łącznik obsługujący PKCS musi mieć te same uprawnienia i mieć możliwość nawiązywania połączenia ze wszystkimi urzędami certyfikacji zdefiniowanymi później w profilach PKCS.

Cykl życia

Okresowo są wydawane aktualizacje łącznika certyfikatów. Anonsy dotyczące nowych aktualizacji łączników, w tym wersji i daty wydania każdej aktualizacji, są wyświetlane w sekcji Co nowego dla łącznika certyfikatów w tym artykule.

Każda nowa wersja łącznika:

  • Jest obsługiwana przez sześć miesięcy po wydaniu nowej wersji. W tym okresie aktualizacje automatyczne mogą zainstalować nowszą wersję łącznika. Zaktualizowane wersje łączników mogą obejmować poprawki błędów oraz ulepszenia wydajności i funkcji, ale nie są ograniczone.

  • Jeśli brak łącznika pomocy technicznej nie powiedzie się, należy zaktualizować go do najnowszej obsługiwanej wersji.

  • Jeśli zablokujesz automatyczną aktualizację łącznika, zaplanuj ręczną aktualizację łącznika w ciągu sześciu miesięcy, zanim zakończy się obsługa zainstalowanej wersji. Po zakończeniu pomocy technicznej należy zaktualizować łącznik do wersji, która pozostaje w pomocy technicznej, aby uzyskać pomoc techniczną dotyczącą problemów z łącznikiem.

  • Łączniki, które nie są obsługiwane, będą nadal działać przez maksymalnie 18 miesięcy po wydaniu nowej wersji. Po upływie 18 miesięcy działanie łączników może zakończyć się niepowodzeniem z powodu ulepszeń, aktualizacji lub rozwiązywania typowych luk w zabezpieczeniach, które mogą pojawić się w przyszłości.

Jeśli na przykład łącznik w wersji 6.2203.12.0 wydany 4 maja 2022 r., poprzednia wersja łącznika 6.2202.38.0 spadnie z obsługi 4 listopada 2022 r. Poprzednia wersja łącznika powinna działać (choć nie jest obsługiwana) do listopada 2023 r. Po listopadzie 2023 r. poprzednia wersja łącznika może przestać komunikować się z Intune.

Aktualizacja automatyczna

Intune może automatycznie zaktualizować łącznik do najnowszej wersji wkrótce po wydaniu tej wersji łącznika.

Aby zaktualizować automatycznie, serwer hostujący łącznik musi uzyskać dostęp do usługi aktualizacji platformy Azure:

  • Port: 443
  • Punkt końcowy: autoupdate.msappproxy.net

Gdy zapory, infrastruktura lub konfiguracje sieci ograniczają dostęp do automatycznej aktualizacji, rozwiąż problemy z blokowaniem lub ręcznie zaktualizuj łącznik do nowej wersji.

Ręczna aktualizacja

Proces ręcznej aktualizacji łącznika certyfikatów jest taki sam w przypadku ponownej instalacji łącznika.

Łącznik certyfikatów można ręcznie zaktualizować nawet wtedy, gdy obsługuje on aktualizacje automatyczne. Na przykład można ręcznie zaktualizować łącznik, gdy konfiguracja sieci blokuje automatyczną aktualizację.

Ponowne instalowanie łącznika certyfikatów

  1. W systemie Windows Server hostującym łącznik uruchom program instalacyjny łącznika, aby odinstalować łącznik.

  2. Aby zainstalować nową wersję, użyj procedury, aby zainstalować nową wersję łącznika. Upewnij się, że podczas instalowania nowszej wersji łącznika nie zostały spełnione żadne nowe lub zaktualizowane wymagania wstępne .

Stan łącznika

W centrum administracyjnym Microsoft Intune możesz wybrać łącznik certyfikatów, aby wyświetlić informacje o jego stanie:

  1. Zaloguj się do centrum administracyjnego Microsoft Intune

  2. Przejdź do pozycji Łączniki administracji>dzierżawy i tokeny Łączniki certyfikatów>.

  3. Wybierz łącznik, aby wyświetlić jego stan.

Podczas wyświetlania stanu łącznika:

  • Przestarzałe łączniki pokazują ostrzeżenie. Po sześciomiesięcznym okresie prolongaty ostrzeżenie zmieni się na Błąd.
  • Łączniki, które wykraczają poza okres prolongaty, pokazują błąd. Te łączniki nie są już obsługiwane i mogą przestać działać w dowolnym momencie.

Rejestrowanie

Dzienniki łącznika certyfikatów dla Microsoft Intune są dostępne jako dzienniki zdarzeń na serwerze, na którym zainstalowano łącznik:

  • > Podgląd zdarzeń Aplikacje i dzienniki> usługMicrosoft>Intune>Łączniki certyfikatów

Następujące dzienniki są dostępne i domyślnie 50 MB i mają włączoną automatyczną archiwizowanie:

  • Administracja Dziennik — ten dziennik zawiera jedno zdarzenie dziennika na żądanie do łącznika. Zdarzenia obejmują powodzenie z informacjami o żądaniu lub błąd z informacjami o żądaniu i błędzie.
  • Dziennik operacyjny — ten dziennik zawiera dodatkowe informacje o tym, które znajdują się w dzienniku Administracja i mogą być używane podczas debugowania problemów. Ten dziennik wyświetla również bieżące operacje zamiast pojedynczych zdarzeń.

Oprócz domyślnego poziomu dziennika można włączyć rejestrowanie debugowania dla każdego dziennika, aby uzyskać więcej szczegółów.

Identyfikatory zdarzeń

Wszystkie zdarzenia mają jeden z następujących identyfikatorów:

  • 0001-0999 — nie jest skojarzony z żadnym konkretnym scenariuszem
  • 1000-1999 - PKCS
  • 2000-2999 — Importowanie PKCS
  • 3000-3999 — Odwoływanie
  • 4000-4999 — SCEP
  • 5000-5999 — Kondycja łącznika

Kategorie zadań

Wszystkie zdarzenia są oznaczone etykietą Kategoria zadań, aby ułatwić filtrowanie. Kategorie zadań zawierają, ale nie są ograniczone do następującej listy:

PKCS

  • Administrator

    • Identyfikator zdarzenia: 1000 - PkcsRequestSuccess
      Pomyślnie przekazano żądanie PKCS do Intune.

    • Identyfikator zdarzenia: 1001 - PkcsRequestFailure
      Nie można wykonać lub przekazać żądania PKCS do Intune.

    • Identyfikator zdarzenia: 1200 - PkcsRecryptRequestSuccess
      Pomyślnie przetworzono żądanie ponownego szyfrowania PKCS.

    • Identyfikator zdarzenia: 1201 - PkcsRecryptRequestFailure
      Nie można przetworzyć żądania ponownego szyfrowania PKCS.

  • Operacyjne

    • Identyfikator zdarzenia: 1002 - PkcsDownloadSuccess
      Pomyślnie pobrano żądania PKCS z Intune.

    • Identyfikator zdarzenia: 1003 - PkcsDownloadFailure
      Nie można pobrać żądań PKCS z Intune.

    • Identyfikator zdarzenia: 1020 - PkcsDownloadedRequest
      Pomyślnie pobrano żądanie PKCS z Intune

    • Identyfikator zdarzenia: 1032 - PkcsDigiCertRequest
      Pomyślnie pobrano żądanie PKCS dla urzędu certyfikacji Firmy DigiCert z Intune.

    • Identyfikator zdarzenia: 1050 - PkcsIssuedSuccess
      Pomyślnie wystawiono certyfikat PKCS.

    • Identyfikator zdarzenia: 1051 - PkcsIssuedFailedAttempt
      Nie można wystawić certyfikatu PKCS. Spróbuj ponownie.

    • Identyfikator zdarzenia: 1052 - PkcsIssuedFailure
      Nie można wystawić certyfikatu PKCS.

    • Identyfikator zdarzenia: 1100 - PkcsUploadSuccess
      Pomyślnie przekazano wyniki żądania PKCS do Intune.

    • Identyfikator zdarzenia: 1101 - PkcsUploadFailure
      Nie można przekazać wyników żądania PKCS do Intune.

    • Identyfikator zdarzenia: 1102 - PkcsUploadedRequest
      Pomyślnie przekazano żądanie PKCS do Intune.

    • Identyfikator zdarzenia: 1202 - PkcsRecryptDownloadSuccess
      Pomyślnie pobrano żądania ponownego szyfrowania PKCS.

    • Identyfikator zdarzenia: 1203 - PkcsRecryptDownloadFailure
      Nie można pobrać żądań ponownego szyfrowania PKCS.

    • Identyfikator zdarzenia: 1220 - PkcsRecryptDownloadedRequest
      Pomyślnie pobrano żądanie ponownego szyfrowania PKCS.

    • Identyfikator zdarzenia: 1250 - PkcsRecryptReencryptSuccess
      Pomyślnie ponownie zaszyfrowano ładunek certyfikatu PKCS.

    • Identyfikator zdarzenia: 1251 - PkcsRecryptDecryptSuccess
      Pomyślnie odszyfrowano ładunek certyfikatu PKCS.

    • Identyfikator zdarzenia: 1252 - PkcsRecryptDecryptFailure
      Nie można odszyfrować ładunku certyfikatu PKCS.

    • Identyfikator zdarzenia: 1253 - PkcsRecryptReencryptFailure
      Nie można ponownie zaszyfrować ładunku certyfikatu PKCS.

    • Identyfikator zdarzenia: 1300 - PkcsRecryptUploadSuccess
      Pomyślnie przekazano wyniki żądania ponownego szyfrowania PKCS do Intune.

    • Identyfikator zdarzenia: 1301 - PkcsRecryptUploadFailure
      Nie można przekazać wyników żądania ponownego szyfrowania PKCS do Intune.

    • Identyfikator zdarzenia: 1302 - PkcsRecryptUploadedRequest
      Pomyślnie przekazano żądanie ponownego szyfrowania PKCS do Intune.

Importowanie PKCS

  • Administrator

    • Identyfikator zdarzenia: 2000 - PkcsImportRequestSuccess
      Pomyślnie pobrano żądania importu PKCS z Intune.

    • Identyfikator zdarzenia: 2001 - PkcsImportRequestFailure
      Nie można przetworzyć żądania importu PKCS z Intune.

  • Operacyjne

    • Identyfikator zdarzenia: 2202 - PkcsImportDownloadSuccess
      Pomyślnie pobrano żądania importu PKCS z Intune.

    • Identyfikator zdarzenia: 2203 - PkcsImportDownloadFailure
      Nie można pobrać żądań importu PKCS z Intune.

    • Identyfikator zdarzenia: 2020 - r.PkcsImportDownloadedRequest
      Pomyślnie pobrano żądanie importu PKCS z Intune.

    • Identyfikator zdarzenia: 2050 - PkcsImportReencryptSuccess
      Pomyślnie ponownie zaszyfrowano certyfikat importu PKCS.

    • Identyfikator zdarzenia: 2051 - PkcsImportReencryptFailedAttempt
      Nie można ponownie zaszyfrować certyfikatu importu PKCS, ponów próbę.

    • Identyfikator zdarzenia: 2052 - PkcsImportReencryptFailure
      Nie można ponownie zaszyfrować zaimportowanego certyfikatu.

    • Identyfikator zdarzenia: 2100 - PkcsImportUploadSuccess
      Pomyślnie przekazano wyniki żądania importu PKCS do Intune.

    • Identyfikator zdarzenia: 2101 - PkcsImportUploadFailure
      Nie można przekazać wyników żądania PKCS do Intune.

    • Identyfikator zdarzenia: 2102 - PkcsImportUploadedRequest
      Pomyślnie przekazano żądanie importu PKCS do Intune.

Odwołania

  • Administrator

    • Identyfikator zdarzenia: 3000 - RevokeRequestSuccess
      Pomyślnie pobrano żądania odwołania z Intune.

    • Identyfikator zdarzenia: 3001 - RevokeRequestFailure
      Wystąpił błąd podczas pobierania żądań odwołania z Intune.

  • Operacyjne

    • Identyfikator zdarzenia: 3002 - RevokeDownloadSuccess
      Pomyślnie pobrano żądania odwołania z Intune.

    • Identyfikator zdarzenia: 3003 - RevokeDownloadFailure
      Wystąpił błąd podczas pobierania żądań odwołania z Intune.

    • Identyfikator zdarzenia: 3020 - RevokeDownloadedRequest
      Szczegóły pojedynczego pobranego żądania z Intune

    • Identyfikator zdarzenia: 3032 - RevokeDigicertRequest
      Odebrano żądanie odwołania z Intune i przekazania żądania do firmy Digicert w celu spełnienia żądania.

    • Identyfikator zdarzenia: 3050 - RevokeSuccess
      Pomyślnie odwołano certyfikat.

    • Identyfikator zdarzenia: 3051 - RevokeFailure
      Wystąpił błąd podczas odwoływania certyfikatu.

    • Identyfikator zdarzenia: 3052 - RevokeFailedAttempt
      Nie można odwołać certyfikatu. Spróbuj ponownie.

    • Identyfikator zdarzenia: 3100 - RevokeUploadSuccess
      Pomyślnie przekazano wyniki żądania odwołania do Intune.

    • Identyfikator zdarzenia: 3101 - RevokeUploadFailure
      Nie można przekazać wyników żądania odwołania do Intune.

    • Identyfikator zdarzenia: 3102 - RevokeUploadedRequest
      Pomyślnie przekazano żądanie odwołania do Intune.

Protokół SCEP

  • Administrator

    • Identyfikator zdarzenia: 4000 - ScrepRequestSuccess
      Pomyślnie przetworzono żądanie SCEP i powiadomiliśmy Intune.

    • Identyfikator zdarzenia: 4001 - ScepRequestIssuedFailure
      Nie można przetworzyć żądania SCEP i powiadomić Intune.

    • Identyfikator zdarzenia: 4002 - ScepRequestUploadFailure
      Pomyślnie przetworzono żądanie protokołu SCEP, ale nie można powiadomić Intune.

  • Operacyjne

    • Identyfikator zdarzenia: 4003 - ScepRequestReceived
      Pomyślnie odebrano żądanie SCEP z urządzenia.

    • Identyfikator zdarzenia: 4004 - ScepVerifySuccess
      Pomyślnie zweryfikowano żądanie protokołu SCEP przy użyciu Intune.

    • Identyfikator zdarzenia: 4005 - ScepVerifyFailure
      Nie można zweryfikować żądania SCEP z Intune.

    • Identyfikator zdarzenia: 4006 - ScepIssuedSuccess
      Pomyślnie wystawiono certyfikat dla żądania SCEP.

    • Identyfikator zdarzenia: 4007 - ScepIssuedFailure
      Nie można wystawić certyfikatu dla żądania SCEP.

    • Identyfikator zdarzenia: 4008 - ScepNotifySuccess
      Pomyślnie powiadomiliśmy Intune wyniku dla żądania SCEP.

    • Identyfikator zdarzenia: 4009 - ScepNotifyAttemptFailed
      Nie można powiadomić Intune o wyniku żądania SCEP, spróbuj ponownie.

    • Identyfikator zdarzenia: 4010 - ScepNotifySaveToDiskFailed
      Nie można zapisać powiadomienia na dysku i nie można powiadomić Intune o stanie żądania.

Kondycja łącznika

  • Operacyjne

    • Identyfikator zdarzenia: 5000 - HealthMessageUploadSuccess Pomyślnie przekazano komunikaty o kondycji do Intune.

    • Identyfikator zdarzenia: 5001 - HealthMessageUploadFailedAttempt Nie można przekazać komunikatów o kondycji do Intune. Spróbuj ponownie.

    • Identyfikator zdarzenia: 5002 - HealthMessageUploadFailure Nie można przekazać komunikatów o kondycji do Intune.

Co nowego w łączniku certyfikatów

Aktualizacje łącznika certyfikatów dla Microsoft Intune są okresowo zwalniane, a następnie obsługiwane przez sześć miesięcy. Po zaktualizowaniu łącznika możesz przeczytać o zmianach tutaj.

Dostępność nowych aktualizacji łącznika może potrwać co najmniej tydzień dla każdej dzierżawy.

Ważna

Od kwietnia 2022 r. łączniki certyfikatów starsze niż wersja 6.2101.13.0 będą przestarzałe i będą pokazywać stan Błąd. Od sierpnia 2022 r. te wersje łączników nie będą mogły odwoływać certyfikatów. Od września 2022 r. te wersje łączników nie będą mogły wystawiać certyfikatów. Obejmuje to zarówno łącznik certyfikatów PFX dla łącznika Microsoft Intune, jak i łącznika Microsoft Intune, który 29 lipca 2021 r. został zastąpiony łącznikiem certyfikatów dla Microsoft Intune (jak opisano w tym artykule).

19 września 2024 r.

Wersja 6.2406.0.1001 — zmiany w tej wersji:

  • Zmiany dotyczące obsługi wymagań KB5014754
  • Ulepszone rejestrowanie import-potoku PKCS
  • Poprawki błędów
  • Ulepszenia zabezpieczeń

15 lutego 2023 r.

Wersja 6.2301.1.0 — zmiany w tej wersji:

  • Rejestrowanie informacji w celu skorelowania z dziennikami usługi Intune
  • Ulepszenia rejestrowania w przepływie wystawiania certyfikatów PFX

21 września 2022 r.

Wersja 6.2206.122.0 — zmiany w tej wersji:

  • Ulepszona telemetria oprócz poprawek błędów i ulepszeń wydajności

czwartek, 30 czerwca 2022 r.

Wersja 6.2205.201.0 — zmiany w tej wersji:

  • Zaktualizowano kanał telemetrii do Intune, aby umożliwić administratorowi Intune zbieranie danych w portalu

4 maja 2022 r.

Wersja 6.2203.12.0 — zmiany w tej wersji:

  • Obsługa dostawców CNG dla certyfikatów uwierzytelniania klienta
  • Ulepszona obsługa automatycznego odnawiania certyfikatów uwierzytelniania klienta

10 marca 2022 r.

Wersja 6.2202.38.0. Ta aktualizacja obejmuje:

  • Zmiany dotyczące obsługi protokołu TLS 1.2 na potrzeby automatycznej aktualizacji

Następne kroki

Przejrzyj wymagania wstępne łącznika certyfikatów dla Microsoft Intune