Dela via


Certifikatanslutningsapp för Microsoft Intune

För Microsoft Intune för att stödja användning av certifikat för autentisering och signering och kryptering av e-post med hjälp av S/MIME kan du använda certifikatanslutningsappen för Microsoft Intune. Certifikatanslutningsappen är programvara som du installerar på en lokal server för att leverera och hantera certifikat för dina Intune hanterade enheter.

Den här artikeln beskriver certifikatanslutningsappen för Microsoft Intune, dess livscykel och hur du håller den uppdaterad.

Tips

Från och med den 29 juli 2021 ersätter Certifikatanslutningsappen för Microsoft Intune användningen av PFX-certifikatanslutningsappen för Microsoft Intune och Microsoft Intune Connector. Den nya anslutningsappen innehåller funktionerna i båda tidigare anslutningsappar. Med versionen av version 6.2109.51.0 av Certifikatanslutningsappen för Microsoft stöds inte längre tidigare anslutningsappar.

Översikt över anslutningsprogram

Om du vill använda certifikatanslutningsappen laddar du först ned programvara från Microsoft Intune administrationscenter, som du sedan installerar på en Windows Server.

Under installationen kan du installera en eller flera anslutningsfunktioner, inklusive stöd för:

  • PKCS-certifikat (Private and Public Key Pair)
  • PKCS-importerade certifikat
  • Simple Certificate Enrollment Protocol (SCEP)
  • Återkallande av certifikat

Du tilldelar också ett tjänstkonto för att köra anslutningsappen. Det här kontot används för alla interaktioner med din certifikatutfärdare och för certifikatutfärdare, återkallande och förnyelse. Alternativ som stöds för tjänstkontot är systemkontot för anslutningsservrar eller ett domänkonto.

När anslutningsappen har installerats kan du köra konfigurationen av anslutningsappen igen när som helst för att uppdatera den eller ändra de funktioner som du har installerat. När den har installerats och konfigurerats kan anslutningsappen automatiskt installera framtida uppdateringar för att hålla dina anslutningsappar aktuella för den senaste versionen.

Intune stöder installation av flera instanser av anslutningsappen i en klientorganisation, och varje instans har stöd för olika funktioner. Om du använder flera anslutningsappar som stöder olika funktioner dirigeras certifikatbegäranden alltid till en relevant anslutningsapp. Om du till exempel installerar två anslutningsappar som stöder PKCS och installerar ytterligare två som stöder både PKCS och SCEP, kan certifikatuppgifter för PKCS hanteras av någon av de fyra anslutningsapparna, men uppgifter för SCEP dirigeras bara till de två anslutningsapparna som stöder SCEP.

Varje instans av certifikatanslutningsappen har samma nätverkskrav som enheter som hanteras av Intune. Mer information finns i Nätverksslutpunkter för Microsoft Intune och Intune krav på nätverkskonfiguration och bandbredd.

Funktioner i certifikatanslutningsappen

Certifikatanslutningsappen för Microsoft Intune stöder:

  • PKCS #12-certifikatbegäranden.

  • PKCS-importerade certifikat (PFX-fil) för S/MIME-e-postkryptering för en viss användare.

  • Utfärda SCEP-certifikat (Simple Certificate Enrollment Protocol). När du använder en Certifikatutfärdare för Active Directory Certificate Services (CA), även kallad Microsoft CA, måste du också konfigurera registreringstjänsten för nätverksenheter (NDES) på den server som är värd för anslutningsappen.

    Användning av SCEP med en tredjepartscertifikatutfärdare kräver inte användning av certifikatanslutningsappen för Microsoft Intune.

  • Återkallande av certifikat.

  • Automatiska uppdateringar av nya versioner. När servrar som är värdar för certifikatanslutningsappen kan komma åt Internet installerar de automatiskt nya uppdateringar för att hålla sig aktuella. När en anslutningsapp inte uppdateras automatiskt kan du uppdatera anslutningsappen manuellt.

  • Installation av upp till 100 instanser av anslutningsappen per Intune klientorganisation, med varje instans på en separat Windows Server. När du använder flera anslutningsappar:

    • Varje instans av anslutningsappen måste ha åtkomst till den privata nyckel som används för att kryptera lösenorden för varje uppladdad PFX-fil.

    • Varje instans av anslutningsappen ska ha samma version. Eftersom anslutningsappen stöder automatiska uppdateringar av den senaste versionen kan uppdateringar hanteras åt dig av Intune.

    • Din infrastruktur stöder redundans och belastningsutjämning eftersom alla tillgängliga anslutningsinstanser som stöder samma anslutningsfunktioner kan bearbeta dina certifikatbegäranden.

    • Du kan konfigurera en proxy så att anslutningsappen kan kommunicera med Intune.

    • Certifikatanslutningsappen ska inte installeras på samma server som Intune Connector för Active Directory.

      Obs!

      Alla instanser av anslutningsappen som stöder PKCS kan användas för att hämta väntande PKCS-begäranden från Intune Service-kön, bearbeta importerade certifikat och hantera begäranden om återkallande. Det går inte att definiera vilken anslutningsapp som hanterar varje begäran.

      Därför måste varje anslutningsapp som stöder PKCS ha samma behörigheter och kunna ansluta till alla certifikatutfärdare som definierats senare i PKCS-profilerna.

Livscykel

Uppdateringar av certifikatanslutningsappen släpps regelbundet. Meddelanden om nya uppdateringar av anslutningsappen, inklusive version och utgivningsdatum för varje uppdatering, visas i avsnittet Nyheter för certifikatanslutningsappen i den här artikeln.

Varje ny version av anslutningsappen:

  • Stöds i sex månader efter lanseringen av en ny version. Under den här perioden kan automatiska uppdateringar installera en nyare version av anslutningsappen. Uppdaterade anslutningsversioner kan innehålla men är inte begränsade till felkorrigeringar och prestanda- och funktionsförbättringar.

  • Om ett anslutningsprogram som inte stöds misslyckas måste du uppdatera till den senaste versionen som stöds.

  • Om du blockerar den automatiska uppdateringen av anslutningsappen planerar du att uppdatera anslutningsappen manuellt inom sex månader innan stödet för den installerade versionen upphör. När supporten har upphört måste du uppdatera anslutningsappen till en version som fortfarande har stöd för att få stöd för problem med anslutningsappen.

  • Anslutningsappar som inte har stöd fortsätter att fungera i upp till 18 månader efter lanseringen av en ny version. Efter 18 månader kan en anslutningsfunktion misslyckas på grund av förbättringar, uppdateringar på servicenivå eller i hanteringen av vanliga säkerhetsproblem som kan uppstå i framtiden.

Till exempel när anslutningsappen version 6.2203.12.0 som släpptes den 4 maj 2022 kommer anslutningsappens tidigare version 6.2202.38.0 att tas bort från supporten den 4 november 2022. Den tidigare versionen av anslutningsappen bör fortsätta att fungera (men stöds inte) förrän i november 2023. Efter november 2023 kan den tidigare versionen sluta kommunicera med Intune.

Automatisk uppdatering

Intune kan automatiskt uppdatera anslutningsappen till den senaste versionen kort efter att anslutningsversionen har släppts.

Om du vill uppdatera automatiskt måste servern som är värd för anslutningsappen komma åt Azure Update-tjänsten:

  • Port: 443
  • Slutpunkt: autoupdate.msappproxy.net

När brandväggar, infrastruktur eller nätverkskonfigurationer begränsar åtkomsten för automatisk uppdatering löser du blockeringsproblemen eller uppdaterar anslutningsappen manuellt till den nya versionen.

Manuell uppdatering

Processen för att manuellt uppdatera en certifikatanslutning är densamma för att installera om en anslutningsapp.

Du kan uppdatera en certifikatanslutningsapp manuellt även om den stöder automatiska uppdateringar. Du kan till exempel uppdatera anslutningsappen manuellt när nätverkskonfigurationen blockerar en automatisk uppdatering.

Installera om en certifikatanslutning

  1. På den Windows Server som är värd för anslutningsappen kör du anslutningsprogrammet för att avinstallera anslutningsappen.

  2. Om du vill installera den nya versionen använder du proceduren för att installera en ny version av anslutningsappen. Kontrollera om det finns nya eller uppdaterade krav när du installerar en nyare version av en anslutningsapp.

Status för anslutningsappen

I Microsoft Intune administrationscenter kan du välja en certifikatanslutningsapp för att visa information om dess status:

  1. Logga in på administrationscentret för Microsoft Intune

  2. Gå till Anslutningsapparför innehavaradministration>> ochtokencertifikatanslutningsprogram.

  3. Välj en anslutningsapp för att visa dess status.

När du visar status för anslutningsappen:

  • Inaktuella anslutningsappar visar en varning. Efter respitperioden på sex månader ändras varningen till ett fel.
  • Anslutningsappar som ligger utanför respitperioden visar ett fel. Dessa anslutningsappar stöds inte längre och kan sluta fungera när som helst.

Loggning

Loggar för certifikatanslutningsappen för Microsoft Intune är tillgängliga som händelseloggar på servern där anslutningsappen är installerad:

  • > Loggboken Program- och tjänstloggar>Microsoft>Intune>Certifikatanslutningsprogram

Följande loggar är tillgängliga och är som standard 50 MB och automatisk arkivering är aktiverat:

  • Admin Logg – Den här loggen innehåller en logghändelse per begäran till anslutningsappen. Händelser inkluderar antingen ett lyckat resultat med information om begäran eller ett fel med information om begäran och felet.
  • Driftlogg – Den här loggen visar ytterligare information som finns i Admin loggen och kan användas i felsökningsproblem. Den här loggen visar även pågående åtgärder i stället för enskilda händelser.

Förutom standardloggnivån kan du aktivera felsökningsloggning för varje logg för att få mer information.

Händelse-ID:t

Alla händelser har något av följande ID:t:

  • 0001-0999 – Inte associerat med något specifikt scenario
  • 1000-1999 – PKCS
  • 2000-2999 – PKCS-import
  • 3000-3999 – Återkalla
  • 4000-4999 – SCEP
  • 5000-5999 – Hälsotillstånd för anslutningsprogram

Uppgiftskategorier

Alla händelser taggas med en aktivitetskategori för att underlätta filtreringen. Uppgiftskategorier innehåller men är inte begränsade till följande lista:

PKCS

  • Administratör

    • Händelse-ID: 1000 - PkcsRequestSuccess
      En PKCS-begäran har laddats upp till Intune.

    • Händelse-ID: 1001 - PkcsRequestFailure
      Det gick inte att uppfylla eller ladda upp en PKCS-begäran till Intune.

    • Händelse-ID: 1200 - PkcsRecryptRequestSuccess
      PKCS Reencrypt-begäran har bearbetats.

    • Händelse-ID: 1201 - PkcsRecryptRequestFailure
      Det gick inte att bearbeta PKCS Reencrypt-begäran.

  • Operativ

    • Händelse-ID: 1002 - PkcsDownloadSuccess
      PKCS-begäranden från Intune har laddats ned.

    • Händelse-ID: 1003 - PkcsDownloadFailure
      Det gick inte att ladda ned PKCS-begäranden från Intune.

    • Händelse-ID: 1020 - PkcsDownloadedRequest
      PKCS-begäran har laddats ned från Intune

    • Händelse-ID: 1032 - PkcsDigiCertRequest
      En PKCS-begäran för DigiCert CA har laddats ned från Intune.

    • Händelse-ID: 1050 - PkcsIssuedSuccess
      Ett PKCS-certifikat har utfärdats.

    • Händelse-ID: 1051 - PkcsIssuedFailedAttempt
      Det gick inte att utfärda ett PKCS-certifikat, kommer att försöka igen.

    • Händelse-ID: 1052 - PkcsIssuedFailure
      Det gick inte att utfärda ett PKCS-certifikat.

    • Händelse-ID: 1100 - PkcsUploadSuccess
      PKCS-begäranderesultat har laddats upp till Intune.

    • Händelse-ID: 1101 - PkcsUploadFailure
      Det gick inte att ladda upp PKCS-begäranderesultat till Intune.

    • Händelse-ID: 1102 - PkcsUploadedRequest
      PKCS-begäran har laddats upp till Intune.

    • Händelse-ID: 1202 - PkcsRecryptDownloadSuccess
      PKCS-omkrypteringsbegäranden har laddats ned.

    • Händelse-ID: 1203 - PkcsRecryptDownloadFailure
      Det gick inte att ladda ned PKCS Reencrypt-begäranden.

    • Händelse-ID: 1220 - PkcsRecryptDownloadedRequest
      En PKCS Reencrypt-begäran har laddats ned.

    • Händelse-ID: 1250 - PkcsRecryptReencryptSuccess
      PKCS-certifikatets nyttolast har krypterats om.

    • Händelse-ID: 1251 - PkcsRecryptDecryptSuccess
      PKCS-certifikatets nyttolast har dekrypterats.

    • Händelse-ID: 1252 - PkcsRecryptDecryptFailure
      Det gick inte att dekryptera nyttolasten för PKCS-certifikat.

    • Händelse-ID: 1253 - PkcsRecryptReencryptFailure
      Det gick inte att kryptera om nyttolasten för PKCS-certifikatet.

    • Händelse-ID: 1300 - PkcsRecryptUploadSuccess
      PKCS-begäranderesultatet har laddats upp på nytt för att Intune.

    • Händelse-ID: 1301 - PkcsRecryptUploadFailure
      Det gick inte att ladda upp PKCS Reencrypt-begäranderesultat till Intune.

    • Händelse-ID: 1302 - PkcsRecryptUploadedRequest
      En PKCS-omkrypteringsbegäran har laddats upp till Intune.

PKCS-import

  • Administratör

    • Händelse-ID: 2000 - PkcsImportRequestSuccess
      PKCS-importbegäranden från Intune har laddats ned.

    • Händelse-ID: 2001 - PkcsImportRequestFailure
      Det gick inte att bearbeta en PKCS-importbegäran från Intune.

  • Operativ

    • Händelse-ID: 2202 - PkcsImportDownloadSuccess
      PKCS-importbegäranden från Intune har laddats ned.

    • Händelse-ID: 2203 - PkcsImportDownloadFailure
      Det gick inte att ladda ned PKCS-importbegäranden från Intune.

    • Händelse-ID: 2020 - PkcsImportDownloadedRequest
      En PKCS-importbegäran har laddats ned från Intune.

    • Händelse-ID: 2050 - PkcsImportReencryptSuccess
      Ett PKCS-importcertifikat har krypterats om.

    • Händelse-ID: 2051 - PkcsImportReencryptFailedAttempt
      Det gick inte att kryptera om ett PKCS-importcertifikat, försöker igen.

    • Händelse-ID: 2052 - PkcsImportReencryptFailure
      Det gick inte att kryptera om ett importerat certifikat.

    • Händelse-ID: 2100 - PkcsImportUploadSuccess
      PKCS-importbegäranderesultat har laddats upp till Intune.

    • Händelse-ID: 2101 - PkcsImportUploadFailure
      Det gick inte att ladda upp PKCS-begäranderesultat till Intune.

    • Händelse-ID: 2102 - PkcsImportUploadedRequest
      En PKCS-importbegäran har laddats upp till Intune.

Återkallning

  • Administratör

    • Händelse-ID: 3000 - RevokeRequestSuccess
      Återkallningsbegäranden från Intune har laddats ned.

    • Händelse-ID: 3001 - RevokeRequestFailure
      Ett fel uppstod vid nedladdning av begäranden om återkallande från Intune.

  • Operativ

    • Händelse-ID: 3002 - RevokeDownloadSuccess
      Återkallningsbegäranden från Intune har laddats ned.

    • Händelse-ID: 3003 - RevokeDownloadFailure
      Ett fel uppstod vid nedladdning av begäranden om återkallande från Intune.

    • Händelse-ID: 3020 - RevokeDownloadedRequest
      Information om en enda nedladdad begäran från Intune

    • Händelse-ID: 3032 - RevokeDigicertRequest
      Tog emot begäran om återkallande från Intune och vidarebefordringsbegäran till Digicert för att uppfylla begäran.

    • Händelse-ID: 3050 - RevokeSuccess
      Certifikatet har återkallats.

    • Händelse-ID: 3051 - RevokeFailure
      Ett fel uppstod när ett certifikat skulle återkallas.

    • Händelse-ID: 3052 - RevokeFailedAttempt
      Det gick inte att återkalla ett certifikat, kommer att försöka igen.

    • Händelse-ID: 3100 - RevokeUploadSuccess
      Resultatet av begäran om återkallning har laddats upp till Intune.

    • Händelse-ID: 3101 - RevokeUploadFailure
      Det gick inte att ladda upp resultatet av begäran om återkallande till Intune.

    • Händelse-ID: 3102 - RevokeUploadedRequest
      Begäran om återkallning har laddats upp till Intune.

SCEP

  • Administratör

    • Händelse-ID: 4000 - ScrepRequestSuccess
      Har bearbetat en SCEP-begäran och meddelat Intune.

    • Händelse-ID: 4001 - ScepRequestIssuedFailure
      Det gick inte att bearbeta en SCEP-begäran och meddelade Intune.

    • Händelse-ID: 4002 - ScepRequestUploadFailure
      SCEP-begäran har bearbetats men det gick inte att meddela Intune.

  • Operativ

    • Händelse-ID: 4003 - ScepRequestReceived
      En SCEP-begäran har tagits emot från en enhet.

    • Händelse-ID: 4004 - ScepVerifySuccess
      En SCEP-begäran har verifierats med Intune.

    • Händelse-ID: 4005 - ScepVerifyFailure
      Det gick inte att verifiera en SCEP-begäran med Intune.

    • Händelse-ID: 4006 - ScepIssuedSuccess
      Certifikatet har utfärdats för en SCEP-begäran.

    • Händelse-ID: 4007 - ScepIssuedFailure
      Det gick inte att utfärda certifikat för SCEP-begäran.

    • Händelse-ID: 4008 - ScepNotifySuccess
      Meddelas Intune om resultatet för en SCEP-begäran.

    • Händelse-ID: 4009 - ScepNotifyAttemptFailed
      Det gick inte att meddela Intune om resultatet av en SCEP-begäran, kommer att försöka igen.

    • Händelse-ID: 4010 - ScepNotifySaveToDiskFailed
      Det gick inte att skriva ett meddelande till disken och kan inte meddela Intune om begärandestatusen.

Hälsotillstånd för anslutningsapp

  • Operativ

    • Händelse-ID: 5000 - HealthMessageUploadSuccess Hälsomeddelanden har laddats upp till Intune.

    • Händelse-ID: 5001 - HealthMessageUploadFailedAttempt Det gick inte att ladda upp hälsomeddelanden till Intune, kommer att försöka igen.

    • Händelse-ID: 5002 - HealthMessageUploadFailure Det gick inte att ladda upp hälsomeddelanden till Intune.

Nyheter för certifikatanslutningsappen

Uppdateringar för certifikatanslutningsappen för Microsoft Intune släpps regelbundet och stöds sedan i sex månader. När vi uppdaterar anslutningsappen kan du läsa om ändringarna här.

Nya uppdateringar för anslutningsappen kan ta en vecka eller mer att bli tillgängliga för varje klientorganisation.

Viktigt

Från och med april 2022 kommer certifikatanslutningsprogram tidigare än version 6.2101.13.0 att bli inaktuella och visar statusen Fel. Från och med augusti 2022 kan dessa anslutningsversioner inte återkalla certifikat. Från och med september 2022 kan dessa anslutningsversioner inte utfärda certifikat. Detta inkluderar både PFX-certifikatanslutningsappen för Microsoft Intune och Microsoft Intune Connector, som den 29 juli 2021 ersattes av certifikatanslutningsappen för Microsoft Intune (enligt beskrivningen i den här artikeln).

den 19 september 2024

Version 6.2406.0.1001 – Ändringar i den här versionen:

  • Ändringar för att stödja KB5014754 krav
  • Förbättrad PKCS-loggning av import-pipeline
  • Buggfixar
  • Säkerhetsförbättringar

den 15 februari 2023

Version 6.2301.1.0 – Ändringar i den här versionen:

  • Loggningsinformation som korrelerar med Intune Service-loggar
  • Loggningsförbättringar i PFX-certifikatutfärdarflöde

den 21 september 2022

Version 6.2206.122.0 – Ändringar i den här versionen:

  • Förbättrad telemetri utöver felkorrigeringar och prestandaförbättringar

30 juni 2022

Version 6.2205.201.0 – Ändringar i den här versionen:

  • Telemetrikanalen har uppdaterats till Intune så att Intune-administratören kan samla in data i portalen

4 maj 2022

Version 6.2203.12.0 – Ändringar i den här versionen:

  • Stöd för CNG-leverantörer för klientautentiseringscertifikat
  • Förbättrat stöd för automatisk förnyelse av klientautentiseringscertifikat

Den 10 mars 2022

Version 6.2202.38.0. Den här uppdateringen innehåller:

  • Ändringar som stöder TLS 1.2 för automatisk uppdatering

Nästa steg

Granska kraven för certifikatanslutningsappen för Microsoft Intune