Krav för certifikatanslutningsappen för Microsoft Intune
Innan du installerar och konfigurerar certifikatanslutningsappen för Microsoft Intune bör du granska kraven för krav och infrastruktur, som kan variera beroende på vilka funktioner du konfigurerar en anslutningsinstans för att stödja.
Allmänna krav
Krav för den dator där du installerar anslutningsprogrammet:
Windows Server 2012 R2 eller senare.
Obs!
Serverinstallationen måste innehålla Skrivbordsmiljö och stöd för användning av en webbläsare. Mer information finns i Installera server med skrivbordsmiljö i Windows Server 2016-dokumentationen.
.NET 4.7.2
Transport Layer Security (TLS) 1.2. Mer information finns i Aktivera stöd för TLS 1.2 i din miljö i Microsoft Entra-dokumentationen.
Servern måste uppfylla samma nätverkskrav som hanterade enheter. Se Nätverksslutpunkter för Microsoft Intune och krav och bandbredd för Intune-nätverkskonfiguration
För att stödja automatiska uppdateringar av anslutningsprogrammet måste servern ha åtkomst till Azure Update-tjänsten:
- Port: 443
- Slutpunkt: autoupdate.msappproxy.net
Förbättrad säkerhetskonfiguration måste inaktiveras.
PKCS
Krav för PKCS-certifikatmallar:
- Certifikatmallar som du ska använda för PKCS-begäranden måste konfigureras med behörigheter som gör att certifikatanslutningstjänstkontot kan registrera certifikatet.
- Certifikatmallarna måste läggas till i certifikatutfärdare (CA).
Obs!
Alla instanser av anslutningsappen som stöder PKCS kan användas för att hämta väntande PKCS-begäranden från Intune Service-kön, bearbeta importerade certifikat och hantera begäranden om återkallning. Det går inte att definiera vilken anslutningsapp som hanterar varje begäran. Därför måste varje anslutningsapp som stöder PKCS ha samma behörigheter och kunna ansluta till alla certifikatutfärdare som definierats senare i PKCS-profilerna.
PKCS-importerade certifikat
För att stödja PKCS-importerade certifikat kräver servern som är värd för anslutningsappen ytterligare konfigurationer, till exempel att konfigurera en åtkomst för nyckellagringsprovidern så att anslutningstjänstens användare kan hämta nycklar.
Information om stöd för PKCS-importerade certifikat finns i Konfigurera och använda importerade PKCS-certifikat med Intune
Krav för återkallning
- Certifikatutfärdare måste konfigureras för att anslutningstjänstens konto ska kunna återkalla certifikat.
SCEP
Windows Server som är värd för anslutningsappen måste uppfylla följande krav utöver de allmänna förutsättningarna:
- IIS 7 eller senare
- NDES-tjänsten (Network Device Enrollment Service), som ingår i rollen Active Directory Certification Services. Anslutningsappen stöds inte på samma server som den utfärdande certifikatutfärdare (CA). Mer information finns i Konfigurera infrastruktur för att stödja SCEP med Intune
På Windows Server konfigurerar du välj följande serverroller och funktioner:
Serverroller:
- Active Directory Certificate Services
- Webbserver (IIS)
Funktioner:
- .NET Framework 4.7-funktioner
- .NET Framework 4,7
- ASP.NET 4.7
- WCF-tjänster
- HTTP-aktivering
- .NET Framework 4.7-funktioner
AD CS > Rolltjänster:
- Registreringstjänst för nätverksenheter – För anslutningstjänsten SCEP när du använder en Microsoft CA installerar och konfigurerar du serverrollen Registreringstjänst för nätverksenheter (NDES). När du konfigurerar NDES måste du tilldela ett användarkonto för användning av NDES-programpoolen. NDES har också sina egna krav.
Webbserverroll (IIS) > Rolltjänster:
- Säkerhet
- Begärandefiltrering
- Programutveckling
- .NET-utökningsbarhet 4.7
- ASP.NET 4.7
- Hanteringsverktyg
- IIS-hanteringskonsol
- IIS 6-hanteringskompatibilitet
- IIS 6-metabaskompatibilitet
- IIS 6 WMI-kompatibilitet
Dessutom kräver NDES following.NET Framework 3.5-funktioner:
- .NET Framework 3.5
- HTTP-aktivering
- Säkerhet
Krav för SCEP-certifikatmallar:
- Certifikatmallar som du ska använda för SCEP-begäranden måste konfigureras med behörigheter som gör att certifikatanslutningstjänstens konto kan registrera certifikatet automatiskt.
- Certifikatmallarna måste läggas till i certifikatutfärdare.
Konton
Förbered följande konton innan du installerar programmet för certifikatanslutningsappen.
Installationskonto
Du kan använda alla användarkonton som har lokal administratörsbehörighet på Windows Server för att installera anslutningsprogrammet. Du kan använda samma konto för att konfigurera Windows Server med NDES Windows-serverrollen om du använder SCEP och en Microsoft CA.
Tjänstkonto för certifikatanslutningsprogram
Certifikatanslutningsappen kräver att ett konto används som ett tjänstkonto. Det här kontot används av anslutningsappen för att komma åt Windows Server, kommunicera med Intune och få åtkomst till certifikatutfärdare för att hantera PKI-begäranden.
Anslutningstjänstkontot måste ha följande behörigheter:
- Logga in som tjänst
- Utfärda och hantera certifikatbehörigheter på certifikatutfärdare (krävs endast för återkallningsscenarier).
- Läs och registrera behörigheter för alla certifikatmallar som du ska använda för att utfärda certifikat.
- Behörigheter till nyckellagringsprovidern (KSP) som används av PFX-import. Se Importera PFX-certifikat till Intune.
Följande alternativ stöds för användning som certifikatanslutningstjänstkonto:
- System
- Domänanvändare – Använd alla domänanvändarkonton som är administratör på Windows Server.
Mer information finns i Installera certifikatanslutningsappen för Microsoft Intune.
Användare av NDES-programpool
Om du vill använda SCEP med en Microsoft CA måste du lägga till NDES på servern som är värd för anslutningsappen innan du installerar anslutningsappen. När du konfigurerar NDES måste du ange ett konto som ska användas som programpoolsanvändare, vilket även kan kallas NDES-tjänstkontot. Det här kontot kan vara ett lokalt användarkonto eller domänanvändarkonto och måste ha följande behörigheter:
- Läsa och registrera behörigheter för varje SCEP-certifikatmall som du använder för att utfärda certifikat.
- Medlem i gruppen IIS_IUSRS .
Information om hur du konfigurerar NDES-serverrollen för certifikatanslutningsappen för Microsoft Intune finns i Konfigurera NDES i Konfigurera infrastruktur för att stödja SCEP med Intune.
Microsoft Entra användare
När du konfigurerar anslutningsappen måste du använda ett användarkonto som: antingen är en global Admin eller Intune-Admin och har en Tilldelad Intune-licens.
Nästa steg
Feedback
https://aka.ms/ContentUserFeedback.
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i:Skicka och visa feedback för