Certifikatanslutningsprogram för Microsoft Intune

Viktigt

Från och med den 29 juli 2021 ersätter Certifikatanslutningsappen för Microsoft Intune användningen av PFX Certificate Connector för Microsoft Intune och Microsoft Intune Connector. Den nya anslutningsappen innehåller funktionerna i båda tidigare anslutningsappar. Stöd för tidigare anslutningsappar som beskrivs i den här artikeln avslutades 2021-09-22 med version 6.2109.51.0 av Certifikatanslutningsappen för Microsoft.

Om du behöver installera en ny certifikatanslutning eller installera om en anslutningsapp installerar du den nyare certifikatanslutningsappen för Microsoft Intune. Mer information finns i Certifikatanslutningsapp för Microsoft Intune.

För att stödja användning av certifikat för autentisering och signering och kryptering av e-post med hjälp av S/MIME kräver Intune att en certifikatanslutning används. Ett certifikatanslutningsprogram är programvara som du installerar på en lokal server. Anslutningsappen gör det möjligt för molnhanterade enheter att etablera certifikat från lokal infrastruktur, till exempel en utfärdande certifikatutfärdare.

Tillgängliga anslutningsappar

Det finns två certifikatanslutningsprogram för Intune. Var och en har sina egna användningsområden och krav.

PFX-certifikatanslutningsprogram för Microsoft Intune

PFX Certificate Connector stöder certifikatdistribution för PKCS #12-certifikatbegäranden och hanterar begäranden för PFX-filer som importerats till Intune för S/MIME-e-postkryptering för en viss användare.

Tips

Före augustiuppdateringen för den här anslutningsappen (version 6.2008.60.607) hanterades PKCS #12-certifikatbegäranden av Intune Certificate Connector. Med augustiuppdateringen konsoliderades funktionerna för alla PKCS-certifikatbegäranden i PFX Certificate Connector, som stöder automatisk uppdatering av anslutningsappen till nya versioner och kräver användning av .NET Framework version 4.7.2.

Den här anslutningsappen stöder även följande tre plattformar som inte stöds via Microsoft Intune Connector:

• Android Enterprise – fullständigt hanterad
• Android Enterprise – dedikerad
• Android Enterprise – Corporate-Owned arbetsprofil

Funktionerna i Microsoft Intune Connector är inte inaktuella och du kan fortsätta använda det med PKCS-certifikatprofiler för vissa plattformar. Men om du inte använder SCEP eller på annat sätt kräver användning av NDES kan du växla till PFX-certifikatanslutningsappen och ta bort NDES från dina servrar.

PFX-certifikatanslutningsappen:

• Stöder flera instanser av den här anslutningsappen för varje Intune-klientorganisation. Varje instans av anslutningsappen måste installeras på en Windows Server och ha åtkomst till den privata nyckel som används för att kryptera lösenorden för de uppladdade PFX-filerna.

  Obs!

  Alla anslutningsappar måste ha samma behörigheter och kunna ansluta till alla certifikatutfärdare som definierats senare i PKCS-profilerna.

  Alla instanser av den här anslutningsappen kan hämta väntande PKCS-begäranden från Intune Service-kön. Därför går det inte att definiera vilken anslutningsapp som hanterar varje begäran.

  Samma sak gäller för återkallande av certifikat.

• Kan installeras på samma server som är värd för en instans av Microsoft Intune Connector.

• Stöder upp till 100 instanser av den här anslutningsappen per klientorganisation, med varje instans på en separat Windows-server. När du använder flera anslutningsappar:

  • Alla instanser av PFX Certificate Connector i din miljö bör ha samma version.
  • Din infrastruktur stöder redundans och belastningsutjämning eftersom alla tillgängliga anslutningsinstanser kan bearbeta dina certifikatbegäranden.

• Stöder automatiska uppdateringar av nya versioner. Om du vill installera nya versioner automatiskt måste datorn som är värd för anslutningsprogrammet kontakta autoupdate.msappproxy.net på port 443. Om anslutningsappen inte uppdateras automatiskt kan du uppdatera anslutningsappen manuellt.

• Stöder återkallande av certifikat (kräver att anslutningsappen kör version 6.2008.60.607 eller senare)

• Har samma nätverkskrav som hanterade enheter

  Mer information finns i Nätverksslutpunkter för Microsoft Intune och Krav och bandbredd för Intune-nätverkskonfiguration.

Den Windows-server där anslutningsappen installeras:

• Måste köra Windows Server 2012 R2 eller senare.
• Kör .NET 4.7.2 Framework.

Så här installerar du PFX-certifikatanslutningsappen:

Vägledningsinstallation av den här anslutningsappen finns i Ladda ned, installera och konfigurera PFX-certifikatanslutningsappen.

Microsoft Intune Connector

Microsoft Intune Connector kallas ibland för Microsoft Intune Certificate Connector. Den här anslutningsappen stöder certifikatdistribution när du använder SCEP (Simple Certificate Enrollment Protocol ) och har en Certifikatutfärdare för Active Directory Certificate Services (CA). Den här typen av ca kallas även för en Microsoft CA.

När du använder SCEP med en Microsoft CA måste du även konfigurera registreringstjänsten för nätverksenheter (NDES). Därför kallas den här anslutningsappen ofta för NDES Certificate Connector.

Om du använder en tredjepartscertifikatutfärdare behöver du inte använda den här anslutningsappen och NDES krävs inte.

Microsoft Intune Connector:

• Stöder utfärdande av SCEP-certifikat

• Kan användas för att utfärda PKCS-certifikat till de flesta enhetsplattformar, men inte alla. Den här anslutningsappen stöder inte utfärdande av PKCS-certifikat för att:

  • Android Enterprise – fullständigt hanterad
  • Android Enterprise – dedikerad
  • Android Enterprise – Corporate-Owned arbetsprofil

  För att stödja dessa plattformar använder du PFX Certificate Connector, som stöder utfärdande av PKCS-certifikat till alla enhetsplattformar. Om du inte använder SCEP kan du avinstallera den här anslutningsappen och endast använda PFX-certifikatanslutningsappen.

  Obs!

  Med PKCS måste alla anslutningsappar ha samma behörigheter och kunna ansluta till alla certifikatutfärdare som definierats senare i PKCS-profilerna.

  Alla instanser av den här anslutningsappen kan hämta väntande PKCS-begäranden från Intune Service-kön. Därför går det inte att definiera vilken anslutningsapp som hanterar varje begäran.

  Samma sak gäller för återkallande av certifikat.

• Installeras på en Windows-server, som även kan vara värd för en instans av PFX-certifikatanslutningsappen.

• Stöder upp till 100 instanser av den här anslutningsappen per klientorganisation, med varje instans på en separat Windows-server. När du använder flera anslutningsappar:

  • Alla instanser av Microsoft Intune Connector i din miljö bör ha samma version.
  • Din infrastruktur stöder redundans och belastningsutjämning eftersom alla tillgängliga anslutningsinstanser kan bearbeta dina certifikatbegäranden.

• Kräver en manuell uppdatering för att installera den nya versionen av anslutningsappen. Manuell uppdatering kräver att du avinstallerar den aktuella anslutningsappen och sedan installerar den nya versionen av anslutningsappen. Ytterligare åtgärder bör inte krävas.

• Stöder FIPS-läge ( Federal Information Processing Standard ). FIPS krävs inte. När FIPS är aktiverat kan du utfärda och återkalla certifikat.

• Har samma nätverkskrav som hanterade enheter.

  Mer information finns i Nätverksslutpunkter för Microsoft Intune och Krav och bandbredd för Intune-nätverkskonfiguration.

Den Windows-server där anslutningsappen installeras:

• Måste köra Windows Server 2012 R2 eller senare.
• Kör .NET 4.5 Framework. När den här anslutningsappen installeras på samma server som PFX-certifikatanslutningsappen måste du använda .NET 4.7.2 Framework, vilket krävs av PFX-anslutningsappen.
• Det kan inte vara samma server som är värd för den utfärdande certifikatutfärdare (CA).
• När det används för SCEP med en Microsoft CA måste du ha åtkomst till en server som kör NDES. NDES körs på en Windows-server och kan köras på samma server som den här anslutningsappen.

När NDES krävs:

• Internet Explorer Enhanced Security Configuration måste vara inaktiverat på den server som är värd för NDES och den server som är värd för Microsoft Intune Connector.

• Anslutningsappen kräver ytterligare konfigurationer för att kommunicera med NDES. Du hittar procedurer för att installera och konfigurera NDES med procedurerna för att installera Microsoft Intune Connector.

  Mer information om NDES finns i Vägledning för registreringstjänsten för nätverksenheter.

Så här installerar du Microsoft Intune Connector:

Information om hur du installerar den här anslutningsappen finns i Konfigurera infrastruktur för att stödja SCEP med Intune.

Livscykel för anslutningsprogram

Viktigt

Från och med den 29 juli 2021 ersätter Certifikatanslutningsappen för Microsoft Intune användningen av PFX Certificate Connector för Microsoft Intune och Microsoft Intune Connector. Den nya anslutningsappen innehåller funktionerna i båda tidigare anslutningsappar.

Med jämna mellanrum släpps uppdaterade versioner av certifikatanslutningsprogram. Meddelanden för nya versioner av anslutningsappar visas i artikeln Nyheter för Intune och i avsnittet Nyheter för anslutningsappar i slutet av den här artikeln.

När en ny version släpps är stödet för den tidigare versionen inaktuellt med en begränsad respitperiod för fortsatt användning. När respitperioden har löpt ut upphör stödet för den inaktuella versionen och kan sluta fungera när som helst. Respitperioden är sex månader.

Planera att uppdatera en anslutningsapp till den senaste versionen vid första tillfället. Varje anslutningsapp har en annan uppdateringssökväg:

• PFX Certificate Connector för Microsoft Intune – Stöder automatiska uppdateringar.
• Microsoft Intune Connector – kräver manuell uppdatering.

Automatisk uppdatering

När det stöds av anslutningstypen och din miljö kan Intune automatiskt uppdatera anslutningsappen till den senaste versionen kort efter att anslutningsversionen har släppts.

Om du vill uppdatera automatiskt måste servern som är värd för anslutningsappen komma åt Azure Update-tjänsten:

• Port: 443
• Slutpunkt: autoupdate.msappproxy.net

När brandväggar, infrastruktur eller nätverkskonfigurationer begränsar åtkomsten för automatisk uppdatering löser du blockeringsproblemen eller uppdaterar anslutningsappen manuellt till den nya versionen.

Manuell uppdatering

Processen för att manuellt uppdatera en certifikatanslutning är densamma för att installera om en anslutningsapp.

Du kan uppdatera en certifikatanslutningsapp manuellt även om den stöder automatiska uppdateringar. Du kan till exempel uppdatera anslutningsappen manuellt när nätverkskonfigurationen blockerar en automatisk uppdatering.

Installera om en certifikatanslutningsapp

1. På Den Windows-server som är värd för anslutningsappen använder du Windows-appar och -funktioner för att avinstallera anslutningsappen.

2. Om du vill installera den nya versionen använder du proceduren för att installera en ny version av anslutningsappen. Kontrollera om det finns nya eller uppdaterade krav när du installerar en nyare version av en anslutningsapp:

   • SCEP: Konfigurera infrastruktur för att stödja SCEP med Intune
   • PKCS: Ladda ned, installera och konfigurera PFX-certifikatanslutningsappen för Microsoft Intune

Status för anslutningsappen

I administrationscentret för Microsoft Intune kan du välja en certifikatanslutningsapp för att visa information om dess status:

1. Logga in på administrationscentret för Microsoft Intune

2. Gå till Anslutningsapparför innehavaradministration>> ochtokencertifikatanslutningsprogram.

3. Välj en anslutningsapp för att visa dess status.

När du visar status för anslutningsappen:

• Inaktuella anslutningsappar visas med en varning. Efter respitperioden på sex månader ändras varningen till ett fel.
• Anslutningsappar som ligger utanför respitperioden visar ett fel. Dessa anslutningsappar stöds inte längre och kan sluta fungera när som helst.

Loggning

Följande loggningsinformation är tillgänglig från och med anslutningsversionen 6.2101.13.0.

Loggar för PFX-certifikatanslutningsappen är tillgängliga som händelseloggar på servern där anslutningsappen är installerad:

• Loggboken>Program- och tjänstloggar>Microsoft>Intune>Certifikatanslutningsprogram

Följande loggar är tillgängliga och är som standard 50 MB, med automatisk arkivering aktiverat:

• Administratörslogg – Den här loggen innehåller en logghändelse per begäran till anslutningsappen. Händelser inkluderar antingen ett lyckat resultat med information om begäran eller ett fel med information om begäran och felet.
• Driftlogg – Den här loggen visar ytterligare information än vad som finns i administratörsloggen och kan användas i felsökningsproblem. Den här loggen visar även pågående åtgärder för PFX-certifikatanslutningsappen i stället för enskilda händelser.

Händelse-ID:t

Alla händelser har något av följande ID:t:

• 0001-0999 – Inte associerat med något specifikt scenario
• 1000-1999 – PKCS
• 2000-2999 – PKCS-import
• 3000-3999 – Återkalla

Uppgiftskategorier

Alla händelser taggas med en aktivitetskategori för att underlätta filtreringen. Uppgiftskategorier innehåller men är inte begränsade till följande lista:

PKCS

• Administratör
  • PkcsRequestSuccess – har uppfyllt och laddat upp en PKCS-begäran till Intune.
  • PkcsRequestFailure – Det gick inte att uppfylla eller ladda upp en PKCS-begäran till Intune.
• Operativ
  • PkcsDownloadSuccess – PKCS-begäranden har laddats ned från Intune
  • PkcsDownloadFailure – Ett fel uppstod vid nedladdning av PKCS-begäranden från Intune
  • PkcsDownloadedRequest – Information om en enda nedladdad begäran från Intune
  • PkcsIssuedSuccess – Utfärdat ett certifikat för en begäran
  • PkcsIssuedFailedAttempt – Ett fel uppstod när ett certifikat utfärdades för en begäran
  • PkcsIssuedFailure – Det gick inte att utfärda ett certifikat för en begäran
  • PkcsUploadSuccess – Information om lyckad begäran som laddades upp till Intune
  • PkcsUploadFailure – Ett fel uppstod vid uppladdning av begäranden till Intune
  • PkcsUploadedRequest – information om en uppladdad begäran till Intune

PKCS-import

• Administratör
  • PkcsImportRequestSuccess – PKCS-importbegäranden har laddats ned från Intune
  • PkcsImportRequestFailure – ett fel uppstod vid nedladdning av PKCS-importbegäranden från Intune
• Operativ
  • PkcsImportDownloadSuccess – PKCS-importbegäranden har laddats ned från Intune
  • PkcsImportDownloadFailure – ett fel uppstod vid nedladdning av PKCS-importbegäranden från Intune
  • PkcsImportDownloadedRequest – information om en enda nedladdad begäran från Intune
  • PkcsImportReencryptSuccess – Kryptera om ett importerat certifikat
  • PkcsImportReencryptFailedAttempt – Ett fel uppstod vid omkryptering av ett importerat certifikat
  • PkcsImportReencryptFailure – Det gick inte att kryptera om ett importerat certifikat
  • PkcsImportUploadFailure – Ett fel uppstod när begäranden laddades upp till Intune
  • PkcsImportUploadedRequest – information om en uppladdad begäran till Intune

Återkallning

• Administratör
  • RevokeRequestSuccess – har laddat ned begäranden om återkallande från Intune
  • RevokeRequestFailure – Ett fel uppstod vid nedladdning av begäranden om återkallande från Intune
• Operativ
  • RevokeDownloadSuccess – har laddat ned begäranden om återkallande från Intune
  • RevokeDownloadFailure – Ett fel uppstod vid nedladdning av begäranden om återkallande från Intune
  • RevokeDownloadedRequest – Information om en enda nedladdad begäran från Intune
  • RevokeSuccess – certifikatet har återkallats
  • RevokeFailure – Ett fel uppstod när ett certifikat återkallades
  • RevokeFailedAttempt – Det gick inte att återkalla ett certifikat
  • RevokeUploadSuccess – Information om lyckad begäran som laddades upp till Intune
  • RevokeUploadFailure – Ett fel uppstod när begäranden laddades upp till Intune
  • RevokeUploadedRequest – information om en uppladdad begäran till Intune

Nyheter för anslutningsappar

Uppdateringar för de två certifikatanslutningsprogrammen släpps regelbundet. När vi uppdaterar en anslutningsapp kan du läsa om ändringarna här.

Viktigt

Från och med april 2022 kommer certifikatanslutningsprogram tidigare än version 6.2101.13.0 att bli inaktuella och visar statusen Fel. Den här statusen påverkar inte funktionaliteten. Från och med juni 2022 kommer sådana anslutningsappar inte att kunna utfärda certifikat. Mer information om hur du flyttar till den nya certifikatanslutningsappen för Microsoft finns i anteckningen i början av den här artikeln.

Versionshistorik för PFX Certificate Connector

PFX Certificate Connector för Microsoft Intunestöder automatiska uppdateringar.

Den 10 mars 2021

Version 6.2101.16.0. – Ändringar i den här versionen:

• Förbättringar av PFX-flödet Skapa för att förhindra duplicering av certifikatbegärandefiler på lokala servrar som är värdar för anslutningsappen.

24 februari 2021

Version 6.2101.13.0. Den här nya versionen av anslutningsappen lägger till förbättringar för loggning till PFX-anslutningsappen:

• Ny plats för händelseloggar, med loggar uppdelade i Admin, Operational & Debug
• Administratör & Driftloggar är som standard 50 MB – med automatisk arkivering aktiverat.
• EventID:er för PKCS Import, PKCS Create och Revocation.

26 januari 2021

Version 6.2009.2.0 – Ändringar i den här versionen:

• Förbättrar uppgraderingen av anslutningsappen för att bevara konton som kör Connector Services.

Den 15 januari 2021

Version 6.2009.1.9 – Ändringar i den här versionen:

• Förbättringar av förnyelsen av anslutningscertifikatet.

2 oktober 2020

Version 6.2008.60.612 – Ändringar i den här versionen:

• Ett problem med PKCS-certifikatleverans till fullständigt hanterade Android Enterprise-enheter har åtgärdats. Problemet krävde att kryptografinyckellagringsprovidern (KSP) var en äldre provider. Nu kan du även använda en CNG-nyckellagringsprovider (Cryptographic Next Generation).
• Ändringar av fliken CA-konto i PFX-certifikatanslutningsappen: Användarnamn och lösenord (autentiseringsuppgifter) som du anger används nu för att utfärda certifikat och återkalla certifikat. Tidigare användes dessa autentiseringsuppgifter endast för återkallande av certifikat.

Versionshistorik för Microsoft Intune Connector

2 april 2019

Version 6.1904.1.0 – Ändringar i den här versionen:

• Åtgärdade ett problem där anslutningsappen kanske inte kunde registreras i Intune efter att ha loggat in på anslutningsappen med ett globalt administratörskonto.
• Innehåller tillförlitlighetskorrigeringar för återkallande av certifikat.
• Innehåller prestandakorrigeringar för att öka hur snabbt PKCS-certifikatbegäranden bearbetas.

Nästa steg

Skapa SCEP-, PKCS- eller PKCS-importerade certifikatprofiler för varje plattform som du vill använda. Om du vill fortsätta kan du läsa följande artiklar:

• Konfigurera infrastruktur för att stödja SCEP-certifikat med Intune
• Konfigurera och hantera PKCS-certifikat med Intune
• Skapa en PKCS-importerad certifikatprofil
• Felsöka problem med Microsoft Intune Connector