Предварительные требования для соединителя сертификатов для Microsoft Intune
Ознакомьтесь с предварительными требованиями и требованиями к инфраструктуре для соединителя сертификатов для Microsoft Intune. Некоторые предварительные требования и требования к инфраструктуре могут отличаться в зависимости от функций, которые вы настраиваете для поддержки экземпляра соединителя.
Общие предварительные требования
Требования к компьютеру, на котором устанавливается программное обеспечение соединителя
Windows Server 2012 R2 или более поздней версии.
Примечание.
Установка сервера должна включать возможности рабочего стола и поддерживать использование браузера. Дополнительные сведения см. в разделе Установка сервера с возможностями рабочего стола в документации по Windows Server 2016.
.NET 4.7.2
Протокол TLS 1.2. Дополнительные сведения см. в разделе Включение поддержки TLS 1.2 в вашей среде в документации по Microsoft Entra.
Сервер должен соответствовать тем же требованиям к сети, что и управляемые устройства. Сведения о Microsoft Intune и Intune требованиях к конфигурации сети и пропускной способности см. в разделе Сетевые конечные точки.
Для поддержки автоматических обновлений программного обеспечения соединителя сервер должен иметь доступ к службе обновления Azure.
- Порт: 443
- Конечная точка: autoupdate.msappproxy.net
Конфигурация усиленной безопасности должна быть отключена.
Стандарты шифрования с открытым ключом
Требования к шаблонам сертификатов для пар закрытого и открытого ключей (PKCS):
- Шаблоны сертификатов, используемые для запросов PKCS, должны быть настроены с разрешениями, позволяющими учетной записи службы соединителя сертификатов регистрировать сертификат.
- Шаблоны сертификатов должны быть добавлены в центр сертификации (ЦС).
Примечание.
Любой экземпляр соединителя, поддерживающий PKCS, можно использовать для получения ожидающих запросов PKCS из очереди службы Intune, обработки импортированных сертификатов и обработки запросов отзыва. Невозможно определить, какой конкретно соединитель обрабатывает каждый запрос.
Таким образом, каждый соединитель, поддерживающий PKCS, должен иметь одинаковые разрешения и иметь возможность подключения ко всем центрам сертификации, определенным далее в профилях PKCS.
Импортированные сертификаты PKCS
Для поддержки импортированных сертификатов PKCS сервер, на котором размещен соединитель, требует дополнительных настроек, таких как настройка доступа поставщика хранилища ключей с предоставлением пользователю службы соединителя разрешения получать ключи.
Сведения о поддержке импортированных сертификатов PKCS см. в статье Настройка и использование импортированных сертификатов PKCS с Intune.
Предварительные требования к отзыву
- Центр сертификации должен быть настроен для разрешения учетной записи службы соединителя выполнять отзыв сертификатов.
SCEP
Для поддержки сертификатов SCEP Windows Server, на котором размещен соединитель, должен соответствовать следующим предварительным требованиям в дополнение к общим предварительным требованиям:
- IIS 7 или более поздней версии
- Служба регистрации сертификатов для сетевых устройств (NDES), которая является частью роли служб сертификации Active Directory. Соединитель не поддерживается на том же сервере, где находится выдающий центр сертификации (ЦС). Дополнительные сведения см. в разделе Настройка инфраструктуры для поддержки SCEP с помощью Intune.
В Windows Server выберите, чтобы добавить следующие роли и компоненты сервера:
Роли сервера
- Службы сертификатов Active Directory
- Веб-сервер (IIS)
Компоненты:
- Компоненты .NET Framework 4.7
- .NET Framework 4.7
- ASP.NET 4.7
- службы WCF
- Активация по протоколам HTTP
- Компоненты .NET Framework 4.7
AD CS > Службы ролей:
- Служба регистрации сетевых устройств. Для соединителя SCEP при использовании ЦС Майкрософт установите и настройте роль сервера службы регистрации сетевых устройств (NDES). При настройке NDES необходимо назначить учетную запись пользователя для использования пулом приложений NDES. NDES также имеет собственные требования.
Роль веб-сервера (IIS) > Службы ролей:
- Безопасность
- Фильтрация запросов
- Разработка приложений
- Расширяемость .NET 4.7
- ASP.NET 4.7
- Средства управления
- Консоль управления IIS
- Совместимость управления IIS 6
- Совместимость метабазы IIS 6
- Совместимость WMI в IIS 6
Кроме того, для NDES требуются следующие возможности .NET Framework 3.5.
- .NET Framework 3.5
- Активация по протоколам HTTP
- Безопасность
Требования к шаблонам сертификатов SCEP
- Шаблоны сертификатов, используемые для запросов SCEP, должны быть настроены с разрешениями, позволяющими учетной записи службы соединителя сертификатов автоматически регистрировать сертификат.
- Шаблоны сертификатов должны быть добавлены в центр сертификации (ЦС).
Учетные записи
Перед установкой программного обеспечения соединителя сертификатов подготовьте следующие учетные записи.
Учетная запись для установки
Для установки программного обеспечения соединителя можно использовать любую учетную запись пользователя с правами локального администратора на сервере Windows Server. Эту же учетную запись можно использовать для настройки сервера Windows Server с ролью сервера Windows NDES, если используются SCEP и ЦС Майкрософт.
Учетная запись службы соединителя сертификатов
Для соединителя сертификатов требуется учетная запись для использования в качестве учетной записи службы. С помощью этой учетной записи соединитель получает доступ к серверу Windows Server, взаимодействует с Intune и обращается к центру сертификации для обслуживания запросов PKI.
Учетная запись службы соединителя должна иметь следующие разрешения.
- Вход в качестве службы.
- Выдача сертификатов и управление ими в центре сертификации (требуется только для сценариев отзыва).
- Разрешения на чтение и регистрация для любого шаблона сертификата, используемого для выдачи сертификатов.
- Разрешения для поставщика хранилища ключей (KSP), который используется при импорте PFX. См. статью Импорт сертификатов PFX в Intune.
Для использования в качестве учетной записи службы соединителя сертификатов поддерживаются следующие варианты.
- SYSTEM
- Пользователь домена — используйте любую учетную запись пользователя домена, который является администратором на сервере Windows Server.
Дополнительные сведения см. в статье Установка соединителя сертификатов для Microsoft Intune.
Пользователь пула приложений NDES
Чтобы использовать SCEP с ЦС Майкрософт, необходимо добавить NDES на сервер, на котором размещен соединитель, перед установкой соединителя. При настройке NDES необходимо указать учетную запись для использования в качестве пользователя пула приложений, которую также можно назвать учетной записью службы NDES. Эта учетная запись может быть локальной или учетной записью пользователя домена и должна иметь следующие разрешения.
- Разрешения на чтение и регистрация для каждого шаблона сертификата SCEP, используемого для выдачи сертификатов.
- Член группы IIS_IUSRS.
Инструкции по настройке роли сервера NDES для соединителя сертификатов для Microsoft Intune см. в разделе Настройка NDES статьи Настройка инфраструктуры для поддержки SCEP с помощью Intune.
Microsoft Entra пользователя
При настройке соединителя необходимо использовать учетную запись пользователя, которая: является глобальной Администратор или Intune Администратор с назначенной лицензией Intune.