Configuration Manager中憑證設定檔的必要條件
適用於:Configuration Manager (目前的分支)
Configuration Manager中的憑證設定檔在產品中具有外部相依性和相依性。
重要事項
從 2203 版開始,不再支援此公司資源存取功能。 如需詳細資訊,請 參閱資源存取淘汰的常見問題。
外部與Configuration Manager的相依性
| 依賴 | 其他相關資訊 |
|---|---|
| 執行 Active Directory 憑證服務 (AD CS) 的企業發行憑證授權單位單位 (CA) 。 若要撤銷憑證,階層頂端月臺伺服器的電腦帳戶需要針對Configuration Manager中憑證設定檔所使用的每個憑證範本發出和管理憑證許可權。 或者,授與憑證管理員許可權,以授與該 CA 所使用之所有憑證範本的許可權 支援憑證要求的管理員核准。 不過,在憑證主體的要求中,必須針對 [提供] 設定用來簽發憑證的憑證範本,Configuration Manager才能自動提供此值。 |
如需 Active Directory 憑證服務的詳細資訊,請參閱 Active Directory 憑證服務概觀。 |
| 使用 PowerShell 腳本來驗證網路裝置註冊服務的必要條件,並視需要安裝網路裝置註冊服務 (NDES) 角色服務和Configuration Manager憑證登錄點。 |
指令檔readme_crp.txt位於 ConfigMgrInstallDir\cd.latest\SMSSETUP\POLICYMODULE\X64。 PowerShell 腳本Test-NDES-CRP-Prereqs.ps1與指示位於相同的目錄中。 PowerShell 腳本必須在 NDES 伺服器本機上執行。 |
| 在 Windows Server 2012 R2 上執行的 Active Directory 憑證服務,網路裝置註冊服務 (NDES) 角色服務。 此外: 用戶端與網路裝置註冊服務之間的通訊不支援 HTTPS) TCP 443 (或 HTTP) TCP 80 (以外的埠號碼。 執行網路裝置註冊服務的伺服器必須位於與發行 CA 不同的伺服器上。 |
Configuration Manager在 Windows Server 2012 R2 中與網路裝置註冊服務通訊,以產生並驗證簡單憑證註冊通訊協定 (SCEP) 要求。 如果您要將憑證簽發給從網際網路連線的使用者或裝置,例如由Microsoft Intune管理的行動裝置,這些裝置必須能夠從網際網路存取執行網路裝置註冊服務的伺服器。 例如,將伺服器安裝在周邊網路 (也稱為 DMZ、非目的地區域和已篩選的子網) 。 如果您在執行網路裝置註冊服務的伺服器與發行 CA 之間有防火牆,您必須設定防火牆,以允許在兩部伺服器之間 (DCOM) 通訊流量。 此防火牆需求也適用于執行Configuration Manager月臺伺服器和發行 CA 的伺服器,讓Configuration Manager可以撤銷憑證。 如果網路裝置註冊服務設定為需要 SSL,安全性最佳做法是確定連線裝置可以存取憑證撤銷清單, (CRL) 來驗證伺服器憑證。 如需網路裝置註冊服務的詳細資訊,請 參閱搭配網路裝置註冊服務使用原則模組。 |
| PKI 用戶端驗證憑證和匯出的根 CA 憑證。 | 此憑證會驗證執行網路裝置註冊服務以Configuration Manager的伺服器。 如需詳細資訊,請參閱Configuration Manager 的 PKI 憑證需求。 |
| 支援的裝置作業系統。 | 您可以將憑證設定檔部署到執行 Windows 8.1、Windows RT 8.1 和 Windows 10 的裝置。 |
Configuration Manager相依性
| 依賴 | 其他相關資訊 |
|---|---|
| 憑證登錄點月臺系統角色 | 您必須先安裝憑證登錄點月臺系統角色,才能使用憑證設定檔。 此角色會與Configuration Manager資料庫、Configuration Manager月臺伺服器和Configuration Manager原則模組通訊。 如需有關此月臺系統角色的系統需求,以及在階層中安裝角色的位置的詳細資訊,請參閱支援Configuration Manager組態一文中的站台系統需求一節。 憑證註冊點不能安裝在執行網路裝置註冊服務的相同伺服器上。 |
| Configuration Manager在執行 Active Directory 憑證服務之網路裝置註冊服務角色服務的伺服器上安裝的原則模組 | 若要部署憑證設定檔,您必須安裝Configuration Manager原則模組。 您可以在Configuration Manager安裝媒體上找到此原則模組。 |
| 探索資料 | 憑證主體和主體別名的值是由Configuration Manager提供,並從從探索收集的資訊中擷取: 針對使用者憑證:Active Directory 使用者探索 電腦憑證:Active Directory 系統探索和網路探索 |
| 管理憑證設定檔的特定安全性許可權 | 您必須具有下列安全性許可權,才能管理公司資源存取設定,例如憑證設定檔、Wi-Fi設定檔和 VPN 設定檔: 檢視和管理憑證設定檔的警示和報告:建立、刪除、修改、修改報告、讀取和執行警示物件的報表。 若要建立和管理憑證設定檔:針對憑證設定檔物件撰寫原則、修改報表、讀取和執行報表。 若要管理 Wi-Fi、憑證和 VPN 設定檔部署:部署設定原則、修改集合物件的用戶端狀態警示、讀取和讀取資源。 若要管理所有設定原則:建立、刪除、修改、讀取和設定設定原則物件的安全性範圍。 若要執行與憑證設定檔相關的查詢:Query物件的讀取許可權。 若要在 Configuration Manager 主控台中檢視憑證設定檔資訊:Site物件的讀取許可權。 若要檢視憑證設定檔的狀態訊息:狀態訊息物件的讀取許可權。 若要建立和修改受信任的 CA 憑證設定檔:針對受信任的 CA 憑證設定檔物件,撰寫原則、修改報表、讀取和執行報表。 若要建立和管理 VPN 設定檔:針對VPN 設定檔物件撰寫原則、修改報表、讀取和執行報表。 若要建立和管理Wi-Fi設定檔:撰寫Wi-Fi 設定檔物件的原則、修改報表、讀取和執行報表。 公司資源存取管理員安全性角色包含在Configuration Manager中管理憑證設定檔所需的許可權。 For more information, see the Configure role-based administration section in the Configure security article. |
意見反映
即將推出:我們會在 2024 年淘汰 GitHub 問題,並以全新的意見反應系統取代並作為內容意見反應的渠道。 如需更多資訊,請參閱:https://aka.ms/ContentUserFeedback。
提交及檢視以下的意見反映: