Pré-requisitos do Certificate Connector para Microsoft Intune
Antes de instalar e configurar o Certificate Connector para Microsoft Intune, examine os pré-requisitos e os requisitos de infraestrutura, que podem variar dependendo dos recursos aos quais você vai configurar uma instância do conector para dar suporte.
Pré-requisitos gerais
Requisitos do computador em que o software do conector será instalado:
Windows Server 2012 R2 ou versões posteriores.
Observação
A instalação do servidor deve incluir a Experiência Desktop e dar suporte ao uso de um navegador. Para obter mais informações, confira Instalar o Servidor com a Experiência Desktop na documentação do Windows Server 2016.
.NET 4.7.2
TLS (protocolo TLS) 1.2. Para obter mais informações, consulte Ativar o suporte para o TLS 1.2 no seu ambiente na documentação do Microsoft Entra.
O conector precisa atender aos mesmos requisitos de rede dos dispositivos gerenciados. Confira Pontos de extremidade de rede do Microsoft Intune e Requisitos e largura de banda da configuração da rede do Intune
Para dar suporte a atualizações automáticas do software do conector, o servidor precisa ter acesso ao serviço de atualização do Azure:
- Porta: 443
- Ponto de extremidade: autoupdate.msappproxy.net
A Configuração de Segurança Avançada deve ser desativada.
PKCS
Requisitos dos modelos de certificado PKCS:
- Os modelos de certificado que você usará para solicitações PKCS devem ser configurados com permissões que permitem que a conta de serviço do conector de certificado registre o certificado.
- Os modelos de certificado precisam ser adicionados à AC (autoridade de certificação).
Observação
Qualquer instância do conector que dê suporte ao PKCS pode ser usada para recuperar as solicitações PKCS pendentes da fila de serviço do Intune, processar os certificados importados e processar as solicitações de revogação. Não é possível definir qual conector processará cada solicitação. Por conseguinte, cada conector que suporte PKCS tem de ter as mesmas permissões e conseguir ligar-se a todas as autoridades de certificação definidas posteriormente nos perfis PKCS.
Certificados PKCS importados
Para dar suporte a certificados PKCS importados, o servidor que hospeda o conector exige configurações adicionais, como a configuração do acesso de um provedor de armazenamento de chaves para permitir que o usuário do serviço de conector recupere as chaves.
Para obter informações sobre o suporte aos certificados PKCS importados, confira Configurar e usar certificados PKCS importados com o Intune
Pré-requisitos de revogação
- A autoridade de certificação precisa ser configurada para permitir que a conta de serviço do conector revogue certificados.
SCEP
O Windows Server que hospeda o conector precisa atender aos seguintes pré-requisitos, além dos pré-requisitos gerais:
- IIS 7 ou versão superior
- Serviço NDES (Serviço de Registro de Dispositivo de Rede), que faz parte da função dos Serviços de Certificação do Active Directory. O conector não é compatível com o mesmo servidor da AC (autoridade de certificação) emissora. Para obter mais informações, confira Configurar a infraestrutura para dar suporte ao SCEP com o Intune
No Windows Server, configure e selecione as seguintes funções de servidor e os seguintes recursos:
Funções de servidor:
- Serviços de Certificados do Active Directory
- Web Server (IIS)
Recursos:
- Recursos do .NET Framework 4.7
- .NET Framework 4.7
- ASP.NET 4.7
- Serviços do WCF
- Ativação HTTP
- Recursos do .NET Framework 4.7
AD CS > Serviços de Função:
- Serviço de Registro de Dispositivo de Rede: para o conector SCEP, quando você usa uma AC da Microsoft, instale e configure a função de servidor NDES (Serviço de Registro de Dispositivo de Rede). Ao configurar o NDES, você precisará atribuir uma conta de usuário para uso pelo pool de aplicativos NDES. O NDES também tem requisitos próprios.
Função de Servidor Web (IIS) > Serviços de Função:
- Segurança
- Filtragem de Solicitações
- Desenvolvimento de aplicativo
- Extensibilidade 4.7 do .NET
- ASP.NET 4.7
- Ferramentas de gerenciamento
- Console de gerenciamento do IIS
- Compatibilidade de gerenciamento do IIS 6
- Compatibilidade de metabase do IIS 6
- Compatibilidade com WMI do IIS 6
Além disso, o NDES exige os seguintes recursos do .NET Framework 3.5:
- .NET Framework 3.5
- Ativação HTTP
- Segurança
Requisitos dos modelos de certificado SCEP:
- Os modelos de certificado que você usará para as solicitações SCEP precisam ser configurados com permissões que permitam que a conta de serviço do Certificate Connector registre o certificado automaticamente.
- Os modelos de certificado precisam ser adicionados à AC.
Contas
Prepare as contas a seguir antes de instalar o software do conector de certificado.
Conta de instalação
Você pode usar qualquer conta de usuário que tenha permissões administrativas locais no Windows Server para instalar o software do conector. Use essa mesma conta para configurar o Windows Server com a função de servidor NDES Windows caso use o SCEP e uma AC da Microsoft.
Conta de serviço do conector de certificado
O conector de certificado exige uma conta para uso como uma conta de serviço. Essa conta é usada pelo conector para acessar o Windows Server, comunicar-se com o Intune e acessar a autoridade de certificação para atender às solicitações de PKI.
A conta de serviço do conector precisa ter as seguintes permissões:
- Fazer Logon como Serviço
- Permissões Emitir e Gerenciar Certificados na autoridade de certificação (necessário apenas para os cenários de revogação).
- Permissões Ler e Registrar em qualquer modelo de certificado que você usará para emitir certificados.
- Permissões no KSP (Provedor de Armazenamento de Chaves) usado pela Importação de PFX. Confira Importar Certificados PFX para o Intune.
Há suporte para as seguintes opções para uso como a conta de serviço do conector de certificado:
- SISTEMA
- Usuário de domínio – Use qualquer conta de usuário de domínio que seja um administrador no Windows Server.
Para obter mais informações, confira Instalar o Certificate Connector para Microsoft Intune.
Usuário do pool de aplicativos NDES
Para usar o SCEP com uma AC da Microsoft, adicione o NDES ao servidor que hospeda o conector antes de instalar o conector. Ao configurar o NDES, você precisará especificar uma conta para uso como o usuário do pool de aplicativos, que também pode ser chamado de conta de serviço do NDES. Essa conta pode ser uma conta de usuário local ou de domínio e precisa ter as seguintes permissões:
- Permissões Ler e Registrar em cada modelo de certificado SCEP que você usará para emitir certificados.
- Membro do grupo IIS_IUSRS.
Para obter diretrizes sobre como configurar a função de servidor NDES para o Certificate Connector para Microsoft Intune, confira Configurar o NDES em Configurar a infraestrutura para dar suporte ao SCEP com o Intune.
Utilizador do Microsoft Entra
Ao configurar o conector, terá de utilizar uma conta de utilizador que: é um Administrador Global ou Administrador do Intune e tem uma licença do Intune atribuída.
Próximas etapas
Comentários
Brevemente: Ao longo de 2024, vamos descontinuar progressivamente o GitHub Issues como mecanismo de feedback para conteúdos e substituí-lo por um novo sistema de feedback. Para obter mais informações, veja: https://aka.ms/ContentUserFeedback.
Submeter e ver comentários