Установка соединителя сертификатов для Microsoft Intune

  • Статья

Для поддержки использования сертификатов в Intune можно установить соединитель сертификатов для Microsoft Intune на любом сервере Windows Server, соответствующем предварительным требованиям к соединителю. В следующих разделах приводятся сведения об установке и последующей настройке соединителя. В этой статье также объясняется, как изменить ранее установленный соединитель и как удалить соединитель с сервера.

Скачивание соединителя сертификатов и его установка

  1. Войдите в Центр администрирования Microsoft Intune.

  2. Выберите Администрирование клиента>Соединители и токены>Соединители сертификатов>Добавить.

  3. На панели Установка соединителя сертификатов выберите ссылку соединитель сертификатов , чтобы скачать программное обеспечение соединителя. Сохраните файл в расположении, доступном с сервера, на который вы собираетесь установить соединитель.

    Скачивание ПО соединителя сертификатов.

  4. Войдите на сервер Windows Server, на котором будет размещен соединитель сертификатов, и убедитесь, что установлены необходимые компоненты для соединителя сертификатов.

    Если вы будете использовать SCEP с центром сертификации Майкрософт (ЦС), убедитесь, что установлена роль службы регистрации сертификатов для сетевых устройств (NDES).

  5. Используйте учетную запись с правами администратора на сервере, чтобы запустить установщик (IntuneCertificateConnector.exe). Также будет установлен модуль политики для NDES. Модуль политики выполняется как приложение в службах IIS.

    Примечание.

    Когда IntuneCertificateConnector.exe запускается для установки нового соединителя или происходит автоматическое обновление существующего соединителя при открытом средстве просмотра событий Windows, процесс установки регистрирует в журнале сообщение, аналогичное приведенному ниже, с идентификатором события 1000 из источника Не удается найти соединители сертификатов для Microsoft Intune.

    • Либо компонент, вызывающий это событие, не установлен на локальном компьютере, либо установка повреждена. Вы можете установить или восстановить компонент на локальном компьютере.

    Это сообщение можно игнорировать. Оно отображается, так как в открытом средстве просмотра событий не удалось загрузить манифест средства просмотра событий для соединителя. После закрытия и повторного открытия средства просмотра событий будут выводиться правильные сообщения.

  6. Просмотрите и примите условия лицензии, а затем нажмите кнопку Установить, чтобы продолжить. Выберите Параметры, чтобы выбрать другую папку установки.

  7. Установка соединителя занимает всего несколько минут. После установки программа установки предлагает два варианта.

    • Настроить сейчас. Выберите этот параметр, чтобы закрыть установку соединителя и открыть мастер соединителя сертификатов для Microsoft Intune, который используется для настройки соединителя сертификатов на локальном сервере.

    • Закрыть. Выберите этот параметр, чтобы закрыть установку соединителя без настройки соединителя. Если вы решили закрыть установку сейчас, то позже можно будет запустить мастер соединителя сертификатов для Microsoft Intune, чтобы запустить программу настройки соединителя. По умолчанию мастер находится в папке C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Intune.

После установки соединителя можно повторно запустить программу установки, чтобы удалить соединитель.

Совет

Установщик попытается установить платформу .NET Framework 4.7.2. Если во время этого процесса у вас возникнут проблемы, вы можете предварительно установить платформу .NET Framework с помощью автономного установщика Microsoft .NET Framework 4.7.2 для Windows

Настройка соединителя сертификатов

Чтобы настроить соединитель сертификатов, используйте мастер соединителя сертификатов для Microsoft Intune. Конфигурация может запускаться автоматически при выборе параметра Настроить сейчас в конце установки соединителя сертификатов или вручную путем открытия командной строки с повышенными привилегиями и запуска программы C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe. Пример представлен ниже. Команда должна выполняться от имени администратора.

C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe

При каждом запуске соединителя сертификатов для Microsoft Intune на сервере будет отображаться следующая страница приветствия.

Страница приветствия мастера соединителя сертификатов для Microsoft Intune

Совет

При запуске соединителя сертификатов для Microsoft Intune, чтобы изменить ранее настроенный соединитель, вы не увидите страницу Microsoft Entra входа. Это связано с тем, что соединитель уже прошел проверку подлинности по идентификатору Microsoft Entra.

Используйте приведенную ниже процедуру, чтобы настроить новый соединитель и изменить ранее настроенный.

  1. На странице приветствиясоединителя сертификатов для Microsoft Intune нажмите кнопку Далее.

  2. На странице Компоненты установите флажок для каждого компонента соединителя, который необходимо установить на этом сервере, а затем нажмите кнопку Далее. Варианты:

    • SCEP. Выберите этот параметр, чтобы включить доставку сертификатов на устройства из центра сертификации Microsoft Active Directory с помощью протокола SCEP. Устройства, отправляющие запрос сертификата, создадут пару закрытого и открытого ключей и передадут в рамках этого запроса только открытый ключ.

    • PKCS. Выберите этот параметр, чтобы включить доставку сертификатов на устройства из центра сертификации Microsoft Active Directory в формате PKCS #12. Убедитесь, что настроены все необходимые компоненты.

    • Импортированные сертификаты PKCS. Выберите этот параметр, чтобы включить доставку сертификатов на устройства для сертификатов PFX, импортированных в Intune. Убедитесь, что настроены все необходимые компоненты.

    • Отзыв сертификата. Выберите этот параметр, чтобы включить автоматический отзыв сертификатов для сертификатов, выданных центром сертификации Microsoft Active Directory.

  3. В поле Учетная запись службы выберите тип учетной записи, которая будет использоваться для учетной записи службы этого соединителя. Выбранная учетная запись должна иметь разрешения, описанные в разделе предварительных требований для учетной записи службы соединителя сертификатов.

    Варианты:

    • SYSTEM
    • Учетная запись пользователя домена — используйте любую учетную запись пользователя домена, которая является администратором на сервере Windows Server.

  4. На странице Прокси-сервер добавьте сведения для прокси-сервера, если он требуется для доступа к Интернету. Например, http://proxy.contoso.com.

    Важно!

    Обязательно включите префикс HTTP или HTTPS. Это изменение конфигурации прокси-сервера для предыдущих версий соединителя.

  5. На странице Предварительные требования мастер выполняет несколько проверок на сервере, прежде чем можно будет начать настройку. Прежде чем продолжить, проверьте и устраните все ошибки или предупреждения.

  6. На странице входа Microsoft Entra выберите среду, в которой размещен идентификатор Microsoft Entra, а затем выберите Войти. Вам будет предложено проверить подлинность прав доступа. Для учетной записи, с помощью которой вы входите, требуется лицензия Intune, которая может быть глобальным администратором или администратором Intune.

    Если вы не работаете с облаком для государственных организаций, используйте для параметра Среда заданное по умолчанию значение Общедоступное коммерческое облако.

    Выполните проверку подлинности по идентификатору Microsoft Entra.

    После успешной проверки подлинности для идентификатора Microsoft Entra нажмите кнопку Далее, чтобы продолжить:

    Вход в Microsoft Entra идентификатор успешно выполнен.

  7. На странице Настройка служба Intune применяет параметры к соединителю. В случае успеха программа направит вас на страницу Завершение, где нужно щелкнуть Выход, чтобы завершить настройку соединителя.

    Успешная настройка соединителя сертификатов

    Если настройка не выполнена, мастер выводит сведения об ошибках, которые помогут устранить проблему.

После успешного завершения настройки и закрытия мастера соединитель сертификатов для Microsoft Intune будет готов к использованию.

Совет

Вы можете переименовать соединитель для указания сервера, на котором установлен соединитель.

Чтобы переименовать соединитель, в центре администрирования Microsoft Intune выберите администрирование> клиентаСоединители и маркеры>Соединители сертификатов. Выберите соединитель, который нужно переименовать. В поле Имя введите имя, которое нужно использовать, а затем выберите Сохранить.

Изменение конфигурации соединителя

После настройки соединителя сертификатов для Microsoft Intune на сервере можно запустить мастер настройки на этом сервере, чтобы изменить конфигурацию соединителей.

Удаление соединителя

Чтобы удалить соединитель сертификатов для Microsoft Intune с сервера Windows Server, запустите на сервере программу IntuneCertificateConnector.exe, которая использовалась для установки соединителя. Если программа запускается на сервере с установленным соединителем, единственным доступным вариантом является удаление текущей установки соединителя.

Дальнейшие действия

Развертывание: