Поделиться через

Соединители сертификатов для Microsoft Intune

  • Статья

Важно!

С 29 июля 2021 г. соединитель сертификатов для Microsoft Intune заменяет использование соединителя сертификатов PFX для Microsoft Intune и соединителя Microsoft Intune. В новом соединителе объединены функциональные возможности обоих предыдущих соединителей. Поддержка предыдущих соединителей, описанных в этой статье, закончилась 22 сентября 2021 г. при выпуске соединителя сертификатов для Майкрософт версии 6.2109.51.0.

Если необходимо установить новый соединитель или переустановить имеющийся, установите новый соединитель сертификатов для Microsoft Intune. Дополнительные сведения см. в статье Соединитель сертификатов для Microsoft Intune.

Для поддержки использования сертификатов для проверки подлинности и подписывания и шифрования электронной почты с помощью S/MIME в Intune требуется использовать соединитель сертификатов. Соединитель сертификатов — это программное обеспечение, устанавливаемое на локальном сервере. Соединитель позволяет устройствам, управляемым с помощью облака, подготавливать сертификаты из локальной инфраструктуры, например из центра сертификации.

Доступные соединители

Существует два соединителя сертификатов для Intune. Каждый из них имеет свои собственные требования.

Соединитель сертификатов PFX для Microsoft Intune

Соединитель сертификатов PFX поддерживает развертывание сертификатов для запросов сертификатов PCKS #12 и обрабатывает запросы для PFX-файлов, импортированных в Intune, для шифрования электронной почты с помощью S/MIME для конкретного пользователя.

Совет

До августовского обновления этого соединителя (версия 6.2008.60.607) запросы сертификатов PKCS #12 обрабатывались Соединителем сертификатов Intune. После августовского обновления функции всех запросов сертификатов PKCS были объединены в соединителе сертификатов PFX, который поддерживает автоматическое обновление соединителя для новых версий и требует использования .NET Framework версии 4.7.2.

Этот соединитель также поддерживает следующие три платформы, которые не поддерживаются соединителем Microsoft Intune Connector:

  • Android Enterprise — полностью управляемая среда
  • Android Enterprise — выделенные устройства
  • Android Enterprise — корпоративный рабочий профиль

Функциональные возможности соединителя Microsoft Intune не являются устаревшими, и вы можете продолжать его использовать с профилями сертификатов PKCS для некоторых платформ. Однако если вы не используете SCEP или не требуете использования NDES, вы можете переключиться на соединитель сертификатов PFX и удалить NDES с серверов.

Соединитель сертификатов PFX:

  • Каждый клиент Intune поддерживает несколько экземпляров этого соединителя. Каждый экземпляр соединителя должен быть установлен на сервере Windows Server и иметь доступ к закрытому ключу, используемому для шифрования паролей отправленных PFX-файлов.

    Примечание.

    Все соединители должны иметь одинаковые разрешения и возможность подключаться ко всем центрам сертификации, определенным далее в профилях PKCS.

    Любой экземпляр этого соединителя может получать ожидающие запросы PKCS из очереди службы Intune, поэтому невозможно определить, какой конкретно соединитель обрабатывает каждый запрос.

    Это относится и к отзыву сертификатов.

  • Может устанавливаться на том же сервере, на котором размещен экземпляр соединителя Microsoft Intune.

  • Поддерживает до 100 экземпляров такого соединителя для каждого клиента, при этом каждый экземпляр находится на отдельном сервере Windows. При использовании нескольких соединителей:

    • Все экземпляры соединителя сертификатов PFX в вашей среде должны иметь одну и ту же версию.
    • Инфраструктура поддерживает избыточность и балансировку нагрузки, так как любой доступный экземпляр соединителя может обрабатывать запросы на сертификаты.

  • Поддерживает автоматическое обновление до новых версий. Чтобы автоматически установить новые версии, компьютер, на котором размещен соединитель, должен связаться с сайтом autoupdate.msappproxy.net через порт 443. Если соединитель не удается обновить автоматически, его можно обновить вручную.

  • Поддерживает отзыв сертификатов (требуется запуск соединителя версии 6.2008.60.607 или более поздней).

  • Предъявляет такие же требования к сети, что и управляемые устройства.

    Дополнительные сведения см. в статьях Конечные точки сети для Microsoft Intune и Требования к конфигурации сети Intune и ее пропускная способность.

Windows Server, на котором устанавливается соединитель:

  • Должен работать под управлением Windows Server 2012 R2 или более поздней версии.
  • На нем должна быть запущена платформа .NET Framework 4.7.2.

Установка соединителя сертификатов PFX:

Инструкции по установке этого соединителя см. в разделе Скачивание, установка и настройка соединителя сертификатов PFX.

Соединитель Microsoft Intune

Соединитель Microsoft Intune иногда называют соединителем Microsoft Intune Certificate Connector. Этот соединитель поддерживает развертывание сертификатов при использовании SCEP и центра сертификации (ЦС) служб сертификации Active Directory. Этот тип ЦС также называется центром сертификации Майкрософт.

При использовании SCEP с ЦС Майкрософт необходимо также настроить службы регистрации сертификатов для сетевых устройств (NDES). По этой причине этот соединитель часто называют соединителем сертификатов NDES.

Если вы используете сторонний центр сертификации, вам не нужно использовать этот соединитель, и NDES не требуется.

Соединитель Microsoft Intune:

  • поддерживает выдачу сертификатов SCEP;

  • может использоваться для выдачи сертификатов PKCS на большинстве платформ устройств, но не на всех. Этот соединитель не поддерживает выдачу сертификатов PKCS для следующих платформ:

    • Android Enterprise — полностью управляемая среда
    • Android Enterprise — выделенные устройства
    • Android Enterprise — корпоративный рабочий профиль

    Для поддержки этих платформ используйте соединитель сертификатов PFX, который поддерживает выдачу сертификатов PKCS на всех платформах устройств. Если вы не используете SCEP, то можете удалить этот соединитель и использовать только соединитель сертификатов PFX.

    Примечание.

    При использовании PKCS все соединители должны иметь одинаковые разрешения и возможность подключаться ко всем центрам сертификации, определенным далее в профилях PKCS.

    Любой экземпляр этого соединителя может получать ожидающие запросы PKCS из очереди службы Intune, поэтому невозможно определить, какой конкретно соединитель обрабатывает каждый запрос.

    Это относится и к отзыву сертификатов.

  • Устанавливается на сервере Windows Server, на котором также может размещаться экземпляр соединителя сертификатов PFX.

  • Поддерживает до 100 экземпляров такого соединителя для каждого клиента, при этом каждый экземпляр находится на отдельном сервере Windows. При использовании нескольких соединителей:

    • Все экземпляры соединителя Microsoft Intune в вашей среде должны иметь одну и ту же версию.
    • Инфраструктура поддерживает избыточность и балансировку нагрузки, так как любой доступный экземпляр соединителя может обрабатывать запросы на сертификаты.

  • Для установки новой версии соединителя требуетсяобновление вручную. Для обновления вручную необходимо удалить текущий соединитель, а затем установить новую версию соединителя. Дополнительные действия не должны быть обязательными.

  • Поддерживает режим федерального стандарта обработки информации (FIPS). FIPS не требуется. Если включен FIPS, можно выдавать и отзывать сертификаты.

  • Предъявляет такие же требования к сети, что и управляемые устройства.

    Дополнительные сведения см. в статьях Конечные точки сети для Microsoft Intune и Требования к конфигурации сети Intune и ее пропускная способность.

Windows Server, на котором устанавливается соединитель:

  • Должен работать под управлением Windows Server 2012 R2 или более поздней версии.
  • На нем должна быть запущена платформа .NET Framework 4.5. Если этот соединитель устанавливается на том же сервере, что и соединитель сертификатов PFX, необходимо использовать платформу .NET 4.7.2 Framework, которая необходима соединителю PFX.
  • Не может совпадать с сервером, на котором размещается выдающий центр сертификации (ЦС).
  • При использовании SCEP с центром сертификации Майкрософт требуется доступ к серверу, на котором запущена служба NDES. Служба NDES работает на сервере Windows Server и может работать на том же сервере, что и этот соединитель.

Когда требуется NDES:

Чтобы установить соединитель Microsoft Intune:

Рекомендации по установке этого соединителя см. в статье Настройка инфраструктуры для поддержки SCEP с Intune.

Жизненный цикл соединителя

Важно!

Начиная с 29 июля 2021 г. соединитель сертификатов для Microsoft Intune заменяет использование соединителя сертификатов PFX для Microsoft Intune и Соединителя Microsoft Intune. В новом соединителе объединены функциональные возможности обоих предыдущих соединителей.

Периодически выпускаются обновления для соединителей сертификатов. Объявления о новых выпусках соединителей представлены в статье Новые возможности для Intune и в разделе Новые возможности для соединителей в конце этой статьи.

При выпуске новых версий поддержка предыдущей версии устаревает и применяется ограниченный период отсрочки для продолжения использования. По истечении этого периода поддержка этой устаревшей версии прекращается, и она может перестать работать в любое время. Период отсрочки — 6 месяцев.

Запланируйте обновление соединителя до последней версии при первой возможности. Каждый соединитель имеет собственный путь обновления:

  • Соединитель сертификатов PFX для Microsoft Intune — поддерживает автоматическое обновление.
  • Соединитель Microsoft Intune — требует обновления вручную.

Автоматическое обновление

При поддержке типом соединителя и средой Intune может автоматически обновить соединитель до последней версии после выпуска этой версии соединителя.

Для автоматического обновления сервер, на котором размещен соединитель, должен получить доступ к службе обновления Azure:

  • Порт: 443
  • Конечная точка: autoupdate.msappproxy.net

Если брандмауэры, инфраструктура или конфигурации сети ограничивают доступ для автоматического обновления, устраните блокирующие проблемы или вручную обновите соединитель до новой версии.

Обновление вручную

Процесс обновления соединителя сертификатов вручную аналогичен процессу переустановки соединителя.

Соединитель сертификатов можно обновить вручную, даже если он поддерживает автоматические обновления. Например, можно вручную обновить соединитель, если конфигурация сети блокирует автоматическое обновление.

Повторная установка соединителя сертификатов

  1. На сервере Windows, на котором размещен соединитель, используйте компонент Приложения и функции Windows для удаления соединителя.

  2. Чтобы установить новую версию, используйте процедуру установки новой версии соединителя. Обязательно проверьте наличие новых или обновленных необходимых компонентов при установке новой версии соединителя.

Состояние соединителя

В Центре администрирования Microsoft Intune можно выбрать соединитель сертификатов, чтобы просмотреть сведения о его состоянии:

  1. Вход в Центр администрирования Microsoft Intune

  2. Выберите Администрирование клиента>Соединители и токены>Соединители сертификатов.

  3. Выберите соединитель, чтобы просмотреть его состояние.

При просмотре состояния соединителя:

  • Устаревшие соединители отображаются с предупреждениями. По истечении 6-месячного периода отсрочки предупреждение изменится на ошибку.
  • Для соединителей, для которых истек период отсрочки, отображается ошибка. Эти соединители больше не поддерживаются и могут перестать работать в любое время.

Ведение журнала

Следующие сведения о ведении журнала доступны начиная с соединителя версии 6.2101.13.0.

Журналы для соединителя сертификатов PFX доступны в виде журналов событий на сервере, где установлен соединитель:

  • Просмотр событий>Журналы приложений и служб>Microsoft>Intune>Соединители сертификатов

Доступны следующие журналы (размер по умолчанию 50 МБ, автоматическое архивирование включено):

  • Журнал администратора — этот журнал содержит по одному событию журнала на запрос к соединителю. События включают либо success с информацией о запросе, либо error с информацией о запросе и ошибке.
  • Операционный журнал — этот журнал отображает дополнительные сведения, которые присутствуют в журнале администратора, и может использоваться при отладке. В этом журнале также отображаются текущие операции для соединителя сертификатов PFX, а не отдельные события.

ИД событий

Все события имеют один из следующих идентификаторов:

  • 0001-0999 — событие не связано ни с одним конкретным сценарием
  • 1000-1999 — PKCS
  • 2000-2999 — импорт PKCS
  • 3000-3999 — отмена

Категории задач

Все события помечаются категорией задач для удобства фильтрования. Категории задач:

Стандарты шифрования с открытым ключом

  • Admin
    • PkcsRequestSuccess — запрос PKCS в Intune успешно выполнен и отправлен.
    • PkcsRequestFailure — не удалось выполнить или отправить запрос PKCS в Intune.
  • Операционные
    • PkcsDownloadSuccess — запросы PKCS из Intune успешно загружены
    • PkcsDownloadFailure — произошла ошибка при загрузке запросов PKCS из Intune
    • PkcsDownloadedRequest — сведения об одном загруженном запросе из Intune
    • PkcsIssuedSuccess — выдан сертификат для запроса
    • PkcsIssuedFailedAttempt — ошибка при выдаче сертификата для запроса
    • PkcsIssuedFailedAttempt — не удалось выдать сертификат для запроса
    • PkcsUploadSuccess — сведения об успешном запросе, отправленном в Intune
    • PkcsUploadFailure — произошел сбой при отправке запросов в Intune.
    • PkcsUploadedRequest — сведения о запросе, отправленном в Intune

Импорт PKCS

  • Admin
    • PkcsImportRequestSuccess — запросы импорта PKCS успешно загружены из Intune
    • PkcsImportRequestFailure — ошибка при загрузке запросов импорта PKCS из Intune
  • Операционные
    • PkcsImportDownloadSuccess — запросы импорта PKCS успешно загружены из Intune
    • PkcsImportDownloadFailure — ошибка при загрузке запросов импорта PKCS из Intune
    • PkcsImportDownloadedRequest — сведения об одном загруженном запросе из Intune
    • PkcsImportReencryptSuccess — повторное шифрование импортированного сертификата
    • PkcsImportReencryptFailedAttempt — ошибка при повторном шифровании импортированного сертификата
    • PkcsImportReencryptFailure — не удалось повторно зашифровать импортированный сертификат
    • PkcsImportUploadFailure — ошибка при отправке запросов в Intune
    • PkcsImportUploadedRequest — сведения о запросе, отправленном в Intune

Отзыв

  • Admin
    • RevokeRequestSuccess — успешная загрузка запросов отзыва из Intune
    • RevokeRequestFailure — ошибка при загрузке запросов отзыва из Intune
  • Операционные
    • RevokeRequestFailure — успешная загрузка запросов отзыва из Intune
    • RevokeDownloadFailure — ошибка при загрузке запросов отзыва из Intune
    • RevokeDownloadedRequest — сведения об одном загруженном запросе из Intune
    • RevokeSuccess — сертификат успешно отозван
    • RevokeFailure — ошибка при отзыве сертификата
    • RevokeFailedAttempt — не удалось отозвать сертификат
    • RevokeUploadSuccess — сведения об успешном запросе, отправленном в Intune
    • RevokeUploadFailure — ошибка при отправке запросов в Intune
    • RevokeUploadedRequest — сведения о запросе, отправленном в Intune

Новые возможности для соединителей

Периодически выпускаются обновления для обоих соединителей сертификатов. При обновлении соединителя вы можете ознакомиться с изменениями здесь.

Важно!

Начиная с апреля 2022 г. соединители сертификатов, предшествующие версии 6.2101.13.0, станут нерекомендуемыми и будут отображать состояние ошибки. Это состояние не влияет на функциональность. Начиная с июня 2022 г. такие соединители не смогут выпускать сертификаты. Подробнее о переходе на новый соединитель сертификатов для корпорации Майкрософт см. в примечании в начале этой статьи.

Журнал выпусков соединителя сертификатов PFX

Соединитель сертификатов PFX для Microsoft Intuneподдерживает автоматическое обновление.

10 марта 2021 г.

Версия 6.2101.16.0. Изменения в этом выпуске:

  • Улучшен поток создания PFX и предотвращается дублирование файлов запросов сертификатов на локальных серверах, где размещается соединитель.

24 февраля 2021 г.

Версия 6.2101.13.0. Эта новая версия соединителя добавляет улучшения в ведении журналов в соединитель PFX:

  • Новое расположение журналов событий, в котором журналы разбиты на административные, операционные и отладочные
  • Административные и операционные журналы по умолчанию вмещают 50 МБ с включенной автоматической архивацией.
  • Идентификаторы EventID для импорта PKCS, а также создания и отзыва PKCS.

26 января 2021 г.

Версия 6.2009.2.0 — изменения в этом выпуске:

  • улучшено обновление соединителя для сохранения учетных записей, в которых выполняются службы соединителя.

15 января 2021 г.

Версия 6.2009.1.9 — изменения в этом выпуске:

  • Улучшения в возобновлении действия сертификата соединителя.

2 октября 2020 г.

Версия 6.2008.60.612 — изменения в этом выпуске:

  • Исправлена проблема с доставкой сертификатов PKCS на полностью управляемые устройства Android Enterprise. При возникновении этой ошибки требовалось, чтобы вместо поставщика хранилища ключей (KSP) использовался старый поставщик. Теперь вы можете использовать поставщик хранилища ключей шифрования следующего поколения (CNG).
  • Изменена вкладка Учетная запись ЦС в соединителе сертификатов PFX: указанные вами имя пользователя и пароль (учетные данные) теперь используются для выдачи сертификатов и отзыва сертификатов. Ранее эти учетные данные использовались только для отзыва сертификатов.

Журнал выпусков соединителя Microsoft Intune

2 апреля 2019 г.

Версия 6.1904.1.0 — изменения в этом выпуске:

  • Устранена проблема, при которой соединитель не может зарегистрироваться в Intune после входа в соединитель с учетной записью глобального администратора.
  • Включает в себя исправления надежности отзыва сертификатов.
  • Включает в себя исправления производительности, чтобы увеличить скорость обработки запросов на сертификат PKCS.

Дальнейшие действия

Создайте профили сертификатов SCEP, PKCS или импортированных сертификатов PKCS для каждой платформы, которую хотите использовать. Дополнительные сведения см. в следующих статьях: