Partilhar via

Pré-requisitos para o conector de certificados para Microsoft Intune

  • Artigo

Antes de instalar e configurar o Conector de Certificado para Microsoft Intune, reveja os pré-requisitos e os requisitos de infraestrutura, que podem variar dependendo das funcionalidades que irá configurar uma instância de conector para suportar.

Pré-requisitos gerais

Requisitos para o computador onde instala o software do conector:

PKCS

Requisitos para modelos de certificados PKCS:

  • Os modelos de certificado que utilizará para pedidos de PKCS devem ser configurados com permissões que permitem que a conta de serviço do conector de certificados registe automaticamente o certificado.
  • Os modelos de certificado devem ser adicionados à Autoridade de Certificação (CA).

Nota

Qualquer instância do conector que suporte PKCS pode ser usada para recuperar pedidos de PKCS pendentes da fila do Serviço Intune, processar certificados importados e lidar com pedidos de revogação. Não é possível definir que conector lida com cada pedido.

Por conseguinte, cada conector que suporte PKCS deve ter as mesmas permissões e poder conectar-se com todas as autoridades de certificação definidas posteriormente nos perfis do PKCS.

Certificados importados de PKCS

Para suportar certificados importados de PKCS, o servidor que acolhe o conector requer configurações adicionais, tais como configurar um fornecedor de armazenamento Chave para permitir ao Utilizador do Serviço de Conector recuperar chaves.

Para obter informações sobre o suporte aos certificados importados de PKCS, consulte a Configure e utilize certificados de PKCS importados com a Intune

Pré-requisitos de revogação

SCEP

O Windows Server que acolhe o conector deve cumprir os seguintes pré-requisitos que se juntam aos pré-requisitos gerais:

  • IIS 7 ou superior
  • Serviço de Inscrição de Dispositivos de Rede (NDES), que faz parte da função de Serviços de Certificação de Diretórios Ativos. O conector não é suportado no mesmo servidor que a Sua Autoridade de Certificação emissora (CA). Para obter mais informações,consulte a infraestrutura de configuração para apoiar o SCEP com a Intune

No Windows Server, configuure selecionar as seguintes funções e funcionalidades do servidor:

  • Funções do servidor:

    • Serviços de Certificados do Active Directory
    • Servidor Web (IIS)

  • Características:

    • .NET Framework 4.7 Características
      • .NET Framework 4.7
      • ASP.NET 4.7
      • Serviços WCF
        • Ativação HTTP

  • Serviços de > função da AD CS:

    • Serviço de Inscrição de Dispositivos de Rede - Para o conector SCEP quando utilizar um Microsoft CA, instale e configuure a função de servidor do Serviço de Registo de Dispositivos de Rede (NDES). Ao configurar NDES, terá de atribuir uma conta de utilizador para utilização pelo conjunto de aplicações NDES. O NDES também tem os seus próprios requisitos.

  • Web Server Role (IIS) > Role Services:

    • Segurança
      • Filtragem de Pedidos
    • Desenvolvimento de Aplicações
      • .EXTENSIBILIDADE LÍQUIDA 4.7
      • ASP.NET 4.7
    • Ferramentas de Gestão
      • Consola de Gestão do IIS
      • Compatibilidade de Gestão do IIS 6
        • Compatibilidade com Metabase do IIS 6
        • Compatibilidade com WMI do IIS 6

    Além disso, o NDES requer o quadro following.NET 3.5 Características:

    • .NET Framework 3.5
    • Ativação HTTP

Requisitos para modelos de certificados SCEP:

  • Os modelos de certificado que utilizará para pedidos SCEP devem ser configurados com permissões que permitem à conta de serviço do Certificado Connector inscrever automaticamente o certificado.
  • Os modelos de certificado devem ser adicionados à AC.

Contas

Prepare as seguintes contas antes de instalar o software de conector de certificados.

Conta de instalação

Pode utilizar qualquer conta de utilizador que tenha permissões administrativas locais no Windows Server para instalar o software do conector. Pode utilizar esta mesma conta para configurar o Windows Server com a função de servidor Windows NDES caso utilize o SCEP e um Microsoft CA.

Conta de serviço de conector de certificado

O conector do certificado requer que uma conta utilize como conta de serviço. Esta conta é utilizada pelo conector para aceder ao Servidor Windows, comunicar com a Intune e aceder à Autoridade de Certificação para atender os pedidos de PKI.

A conta de serviço do conector deve ter as seguintes permissões:

  • Logon como Serviço
  • Permissões de Certificados de Emissão e Gestão na Autoridade de Certificação (requerida apenas para cenários de revogação).
  • Leia e inscreva permissões em qualquer modelo de certificado que utilizará para emitir certificados.
  • Permissões para o Key Armazenamento Provider (KSP) que é usado pela PFX Import. Consulte certificados PFX de importação para Intune.

As seguintes opções são suportadas para utilização como conta de serviço de conector de certificado:

  • SISTEMA
  • Utilizador de domínio - Utilize qualquer conta de utilizador de domínio que seja um administrador no Windows Server.

Para obter mais informações, consulte instalar o conector de certificados para Microsoft Intune.

NdES application pool user

Para utilizar o SCEP com um Microsoft CA, terá de adicionar NDES ao servidor que hospeda o conector antes de instalar o conector. Ao configurar NDES, terá de especificar uma conta para utilização como utilizador do pool de aplicações, que também pode ser referida como a conta de serviço NDES. Esta conta pode ser uma conta de utilizador local ou de domínio e deve ter as seguintes permissões:

  • Leia e inscreva permissões em cada modelo de certificado SCEP que utilizará para emitir certificados.
  • Membro do grupo IIS_IUSRS.

Para obter orientações sobre a configuração da função do servidor NDES para o Conector de Certificados para Microsoft Intune, consulte Configurar NDES em infraestrutura de configuração para suportar o SCEP com Intune.

Passos seguintes

Instale o conector certificado para Microsoft Intune