Pré-requisitos para o conector de certificados para Microsoft Intune
Antes de instalar e configurar o Conector de Certificado para Microsoft Intune, reveja os pré-requisitos e os requisitos de infraestrutura, que podem variar dependendo das funcionalidades que irá configurar uma instância de conector para suportar.
Pré-requisitos gerais
Requisitos para o computador onde instala o software do conector:
Windows Server 2012 R2 ou posterior.
Nota
A instalação do Servidor deve incluir a Experiência do Ambiente de Trabalho e o uso de suporte de um navegador. Para obter mais informações, consulte instalar o Servidor com experiência de ambiente de trabalho na documentação Windows Server 2016.
.NET 4.7.2
Segurança da camada de transporte (TLS) 1.2. Para obter mais informações, consulte Ativar o suporte para TLS 1.2 no seu ambiente na documentação Azure Ative Directory.
O servidor deve satisfazer os mesmos requisitos de rede que os dispositivos geridos. Consulte os pontos finais da rede para Microsoft Intune, e requisitos de configuração da rede Intune e largura de banda
Para suportar atualizações automáticas do software do conector, o servidor deve ter acesso ao serviço de atualização Azure:
- Porto: 443
- Ponto final: autoupdate.msappproxy.net
PKCS
Requisitos para modelos de certificados PKCS:
- Os modelos de certificado que utilizará para pedidos de PKCS devem ser configurados com permissões que permitem que a conta de serviço do conector de certificados registe automaticamente o certificado.
- Os modelos de certificado devem ser adicionados à Autoridade de Certificação (CA).
Nota
Qualquer instância do conector que suporte PKCS pode ser usada para recuperar pedidos de PKCS pendentes da fila do Serviço Intune, processar certificados importados e lidar com pedidos de revogação. Não é possível definir que conector lida com cada pedido. Por conseguinte, cada conector que suporte PKCS deve ter as mesmas permissões e poder conectar-se com todas as autoridades de certificação definidas posteriormente nos perfis do PKCS.
Certificados importados de PKCS
Para suportar certificados importados de PKCS, o servidor que acolhe o conector requer configurações adicionais, tais como configurar um fornecedor de armazenamento Chave para permitir ao Utilizador do Serviço de Conector recuperar chaves.
Para obter informações sobre o suporte aos certificados importados de PKCS, consulte a Configure e utilize certificados de PKCS importados com a Intune
Pré-requisitos de revogação
- A Autoridade de Certificação deve ser configurada para permitir que a conta de serviço de conector revogue os certificados.
SCEP
O Windows Server que acolhe o conector deve cumprir os seguintes pré-requisitos que se juntam aos pré-requisitos gerais:
- IIS 7 ou superior
- Serviço de Inscrição de Dispositivos de Rede (NDES), que faz parte da função de Serviços de Certificação de Diretórios Ativos. O conector não é suportado no mesmo servidor que a Sua Autoridade de Certificação emissora (CA). Para obter mais informações,consulte a infraestrutura de configuração para apoiar o SCEP com a Intune
No Windows Server, configuure selecionar as seguintes funções e funcionalidades do servidor:
Funções do servidor:
- Serviços de Certificados do Active Directory
- Servidor Web (IIS)
Características:
- .NET Framework 4.7 Características
- .NET Framework 4.7
- ASP.NET 4.7
- Serviços WCF
- Ativação HTTP
- .NET Framework 4.7 Características
Serviços de > função da AD CS:
- Serviço de Inscrição de Dispositivos de Rede - Para o conector SCEP quando utilizar um Microsoft CA, instale e configuure a função de servidor do Serviço de Registo de Dispositivos de Rede (NDES). Ao configurar NDES, terá de atribuir uma conta de utilizador para utilização pelo conjunto de aplicações NDES. O NDES também tem os seus próprios requisitos.
Web Server Role (IIS) > Role Services:
- Segurança
- Filtragem de Pedidos
- Desenvolvimento de Aplicações
- .EXTENSIBILIDADE LÍQUIDA 4.7
- ASP.NET 4.7
- Ferramentas de Gestão
- Consola de Gestão do IIS
- Compatibilidade de Gestão do IIS 6
- Compatibilidade com Metabase do IIS 6
- Compatibilidade com WMI do IIS 6
Além disso, o NDES requer o quadro following.NET 3.5 Características:
- .NET Framework 3.5
- Ativação HTTP
- Segurança
Requisitos para modelos de certificados SCEP:
- Os modelos de certificado que utilizará para pedidos SCEP devem ser configurados com permissões que permitem à conta de serviço do Certificado Connector inscrever automaticamente o certificado.
- Os modelos de certificado devem ser adicionados à AC.
Contas
Prepare as seguintes contas antes de instalar o software de conector de certificados.
Conta de instalação
Pode utilizar qualquer conta de utilizador que tenha permissões administrativas locais no Windows Server para instalar o software do conector. Pode utilizar esta mesma conta para configurar o Windows Server com a função de servidor Windows NDES caso utilize o SCEP e um Microsoft CA.
Conta de serviço de conector de certificado
O conector do certificado requer que uma conta utilize como conta de serviço. Esta conta é utilizada pelo conector para aceder ao Servidor Windows, comunicar com a Intune e aceder à Autoridade de Certificação para atender os pedidos de PKI.
A conta de serviço do conector deve ter as seguintes permissões:
- Logon como Serviço
- Permissões de Certificados de Emissão e Gestão na Autoridade de Certificação (requerida apenas para cenários de revogação).
- Leia e inscreva permissões em qualquer modelo de certificado que utilizará para emitir certificados.
- Permissões para o Key Armazenamento Provider (KSP) que é usado pela PFX Import. Consulte certificados PFX de importação para Intune.
As seguintes opções são suportadas para utilização como conta de serviço de conector de certificado:
- SISTEMA
- Utilizador de domínio - Utilize qualquer conta de utilizador de domínio que seja um administrador no Windows Server.
Para obter mais informações, consulte instalar o conector de certificados para Microsoft Intune.
NdES application pool user
Para utilizar o SCEP com um Microsoft CA, terá de adicionar NDES ao servidor que hospeda o conector antes de instalar o conector. Ao configurar NDES, terá de especificar uma conta para utilização como utilizador do pool de aplicações, que também pode ser referida como a conta de serviço NDES. Esta conta pode ser uma conta de utilizador local ou de domínio e deve ter as seguintes permissões:
- Leia e inscreva permissões em cada modelo de certificado SCEP que utilizará para emitir certificados.
- Membro do grupo IIS_IUSRS.
Para obter orientações sobre a configuração da função do servidor NDES para o Conector de Certificados para Microsoft Intune, consulte Configurar NDES em infraestrutura de configuração para suportar o SCEP com Intune.