分享方式:


適用於 Microsoft Intune的憑證連接器必要條件

檢閱憑證連接器的必要條件和基礎結構需求,以取得 Microsoft Intune。 某些必要條件和基礎結構需求可能會根據您設定連接器實例以支援的功能而有所不同。

一般必要條件

安裝連接器軟體的電腦需求:

  • Windows Server 2012 R2 或更新版本。

    注意事項

    伺服器安裝必須包含桌面體驗和支援瀏覽器的使用。 如需詳細資訊,請參閱 Windows Server 2016 檔中的安裝具有桌面體驗的伺服器

  • .NET 4.7.2

  • 傳輸層安全性 (TLS) 1.2。 如需詳細資訊,請參閱 Microsoft Entra 檔中的在您的環境中啟用 TLS 1.2 的支援

  • 伺服器必須符合與受控裝置相同的網路需求。 如需 Microsoft Intune,請參閱網路端點,Intune 網路設定需求和頻寬

  • 若要支援連接器軟體的自動更新,伺服器必須能夠存取 Azure 更新服務

    • 埠: 443
    • 端點: autoupdate.msappproxy.net
  • 必須停用 增強式安全 性設定。

PKCS

PKCS) 憑證範本 (私鑰和公鑰組的需求:

  • 您用於 PKCS 要求的憑證範本必須設定為允許憑證連接器服務帳戶註冊憑證的許可權。
  • 證書範本必須新增至證書頒發機構單位 (CA) 。

注意事項

支援 PKCS 的任何連接器實例都可以用來從 Intune 服務佇列擷取暫止的 PKCS 要求、處理匯入的憑證,以及處理撤銷要求。 您無法定義哪個連接器會處理每個要求。

因此,每個支援 PKCS 的連接器都必須具有相同的許可權,而且能夠與稍後在 PKCS 配置檔中定義的所有證書頒發機構單位連線。

PKCS 匯入的憑證

若要支援 PKCS 匯入的憑證,裝載連接器的伺服器需要額外的設定,例如設定金鑰儲存提供者存取權以允許連接器服務使用者擷取金鑰。

如需支援 PKCS 匯入憑證的相關信息,請參閱使用 Intune 設定和使用匯入的 PKCS 憑證

撤銷必要條件

SCEP

若要支持簡單憑證註冊通訊協定 (SCEP) 憑證,除了一 般必要條件以外,裝載連接器的 Windows Server 還必須符合下列必要條件:

  • IIS 7 或更高版本
  • 網路裝置註冊服務 (NDES) 服務,這是 Active Directory 認證服務角色的一部分。 與頒發證書頒發機構單位 (CA) 相同的伺服器上不支援連接器。 如需詳細資訊,請參閱使用 Intune 設定基礎結構以支援SCEP

在 Windows Server 上,選取以新增下列伺服器角色和功能:

  • 伺服器角色

    • Active Directory 憑證服務
    • Web Server (IIS)
  • 功能

    • .NET Framework 4.7 功能
      • .NET Framework 4.7
      • ASP.NET 4.7
      • WCF 服務
        • HTTP 啟用
  • AD CS > 角色服務

    • 網路裝置註冊服務 - 當您使用 Microsoft CA 時,針對連接器 SCEP,請安裝並設定網路裝置註冊服務 (NDES) 伺服器角色。 當您設定 NDES 時,您必須指派使用者帳戶供 NDES 應用程式集區使用。 NDES 也有自己的需求。
  • WEB 伺服器角色 (IIS) > 角色服務

    • 安全性
      • 要求篩選
    • 應用程式開發
      • .NET 擴充性 4.7
      • ASP.NET 4.7
    • 管理工具
      • IIS 管理主控台
      • IIS 6 管理相容性
        • IIS 6 Metabase 相容性
        • IIS 6 WMI 相容性

    此外,NDES 需要 following.NET Framework 3.5 功能:

    • .NET Framework 3.5
    • HTTP 啟用

SCEP 證書範本的需求:

  • 您用於 SCEP 要求的憑證範本必須設定為允許憑證連接器服務帳戶自動註冊憑證的許可權。
  • 證書範本必須新增至 CA。

帳戶

安裝憑證連接器軟體之前,請先準備下列帳戶。

安裝帳戶

您可以使用在 Windows Server 上具有本機系統管理許可權的任何使用者帳戶來安裝連接器軟體。 如果您使用 SCEP 和 Microsoft CA,您可以使用這個相同的帳戶來設定具有 NDES Windows 伺服器角色的 Windows Server。

憑證連接器服務帳戶

憑證連接器需要帳戶作為服務帳戶使用。 連接器會使用此帳戶來存取 Windows Server、與 Intune 通訊,以及存取證書頒發機構單位來服務 PKI 要求。

連接器服務帳戶必須具有下列許可權:

  • 以服務登入
  • 發出和管理 證書頒發機構單位的憑證許可權 (只有撤銷案例) 才需要。
  • 用來簽發憑證之任何證書範本的讀取和 註冊 許可權。
  • 鑰儲存提供者 (PFX 匯入所使用 KSP) 的許可權。 請參閱匯入 PFX 憑證以 Intune

支援使用下列選項作為憑證連接器服務帳戶:

  • 系統
  • 網域使用者 - 使用 Windows Server 上系統管理員的任何網域用戶帳戶。

如需詳細資訊,請參閱安裝適用於 Microsoft Intune 的憑證連接器

NDES 應用程式集區使用者

若要搭配使用 SCEP 與 Microsoft CA,您必須先將 NDES 新增至裝載連接器的伺服器,再安裝連接器。 當您設定 NDES 時,您必須指定要作為應用程式集區使用者使用的帳戶,這也稱為 NDES 服務帳戶。 此帳戶可以是本機或網域用戶帳戶,而且必須具有下列許可權:

  • 用來簽發憑證之每個 SCEP 證書範本的讀取和 註冊 許可權。
  • IIS_IUSRS群組的成員。

如需設定適用於 Microsoft Intune 之憑證連接器的 NDES 伺服器角色的指引,請參閱設定基礎結構中的設定 NDES以支援 SCEP 與 Intune

Microsoft Entra 使用者

設定連接器時,您必須使用用戶帳戶:為全域 管理員 或 Intune 管理員,且已指派 Intune 授權。

後續步驟

安裝適用於 Microsoft Intune的憑證連接器