共用方式為


安裝適用於 Microsoft Intune的憑證連接器

若要支援您使用憑證搭配 Intune,您可以在符合連接器必要條件的任何 Windows Server 上安裝適用於 Microsoft Intune 的憑證連接器。 下列各節可協助您安裝並設定連接器。 本文也說明如何修改先前安裝的連接器,以及如何從伺服器移除連接器。

下載並安裝連接器軟體

  1. 登入 Microsoft Intune 系統管理中心

  2. 選取 [租用戶系統管理>連接器和令牌憑證>連接器>新增]

  3. 在 [ 安裝憑證連接器 ] 窗格上,選取 憑證連接器 連結以下載連接器軟體。 將檔案儲存至您要安裝連接器的伺服器可存取的位置。

    下載憑證連接器軟體。

  4. 登入將裝載憑證連接器的 Windows Server,並確認已安裝 憑證連接器的必要 條件。

    若要使用簡單憑證註冊通訊協定 (SCEP) 搭配 Microsoft Certification Authority (CA) ,請確認已安裝網路裝置註冊服務 (NDES) 角色。

  5. 使用具有伺服器系統管理員許可權的帳戶來執行安裝程式 (IntuneCertificateConnector.exe) 。 安裝程式也會安裝 NDES 的原則模組。 原則模組會在 IIS 中以應用程式的形式執行。

    注意事項

    IntuneCertificateConnector.exe 執行 以在 Windows 事件檢視器 開啟時安裝新的連接器或現有的連接器自動升級時,安裝程式會記錄類似下列的訊息,並從來源找到事件標識碼 1000 Microsoft-Intune-CertificateConnectors

    • 引發此事件的元件未安裝在本機計算機上,或安裝已損毀。 您可以在本機電腦上安裝或修復元件。

    您可以放心地忽略此訊息。 因為事件查看器開啟時無法載入連接器的事件查看器指令清單,所以會顯示此訊息。 在事件查看器關閉並重新開啟之後,會顯示正確的訊息。

  6. 檢閱並同意授權條款和條件,然後選取 [安裝 ] 以繼續。 選 取 [選項 ] 以選擇不同的安裝資料夾。

  7. 連接器安裝只需要一點時間。 安裝之後,安裝程式會顯示兩個選項:

    • 立即設定 – 選取此選項可關閉連接器安裝,並開啟 [適用於 Microsoft Intune 的憑證連接器精靈],您會使用此精靈在本地伺服器上設定憑證連接器

    • 關閉 - 此選項會關閉連接器安裝,而不需設定連接器。 如果您選擇此時關閉安裝,稍後您可以執行憑證連接器 Microsoft Intune 精靈來啟動連接器設定程式。 根據預設,精靈位於 C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Microsoft Intune

安裝連接器之後,您可以再次執行安裝程式來卸載連接器。

提示

安裝程式會嘗試安裝 .NET Framework 4.7.2。 如果您在此程式期間遇到問題,您可以選擇使用適用於 Windows 的 Microsoft .NET Framework 4.7.2 離線安裝程式預先安裝 .NET Framework

設定憑證連接器

若要設定憑證連接器,請使用憑證連接器進行 Microsoft Intune 精靈。 當 您在憑證 連接器安裝結束時選擇 [立即設定],或手動開啟提升許可權的命令提示字元並執行 C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe,即可自動啟動設定。 范例如下。 命令必須以系統管理員身分執行。

C:\Program Files\Microsoft Intune\PFXCertificateConnector\ConnectorUI\PFXCertificateConnectorUI.exe

每次伺服器上啟動適用於 Microsoft Intune 的憑證連接器時,您應該會看到下列歡迎頁面:

Microsoft Intune 憑證連接器精靈的歡迎頁面。

提示

當您執行 Certificate Connector for Microsoft Intune 修改先前設定的連接器時,您不會看到 [Microsoft Entra 登入] 頁面。 這是因為連接器已向您的 Microsoft Entra ID 驗證。

使用下列程式來設定新的連接器,並修改先前設定的連接器。

  1. 在 [Microsoft Intune 憑證連接器] 的 [歡迎使用] 頁面上,選取 [下一步]

  2. 在 [ 功能] 上,選取您要安裝在此伺服器上之每個連接器功能的複選框,然後選取 [ 下一步]。 選項包括:

    • SCEP:選取此選項可讓您使用 SCEP 通訊協定,從 Microsoft Active Directory 證書頒發機構單位將憑證傳遞至裝置。 提交憑證要求的裝置會產生私密/公鑰組,並只提交公鑰作為該要求的一部分。

    • PKCS:選取此選項可讓您從 PKCS #12 格式Microsoft Active Directory 證書頒發機構單位將憑證傳遞至裝置。 請確定您已設定所有必要的必要條件。

    • PKCS 匯入的憑證:選取此選項可針對您匯入至 Intune 的 pfx 憑證啟用憑證傳遞至裝置。 請確定您已設定所有必要的必要條件。

    • 證書吊銷:選取此選項可針對從 Microsoft Active Directory 證書頒發機構單位發出的憑證啟用自動證書吊銷。

  3. [服務帳戶] 上,選取要用於此連接器之服務帳戶的帳戶類型。 您選取的帳戶必須具有 憑證連接器服務帳戶的必要條件中所述的許可權。

    選項包括:

    • 系統
    • 網域用戶帳戶 – 使用 Windows Server 上系統管理員的任何網域用戶帳戶。
  4. 如果您需要 Proxy 才能存取因特網,請在 [ Proxy ] 頁面上新增 Proxy 伺服器的詳細數據。 例如,http://proxy.contoso.com

    重要事項

    請務必包含 HTTP 或 HTTPS 前置詞。 這與舊版連接器的 Proxy 組態不同。

  5. 在 [ 必要條件] 頁面上,精靈會先在伺服器上執行數次檢查,才能開始設定。 繼續之前,請先檢閱並解決任何錯誤或警告。

  6. [Microsoft Entra 登入] 頁面上, (顯示為 [Azure AD 登入) ],選取裝載您 Microsoft Entra ID 的環境,然後選取 [登入]。 然後在出現提示時,驗證您的存取權。 您用來登入的帳戶需要 Intune 授權,該帳戶可以是全域管理員或 Intune 系統管理員。

    除非您使用政府雲端,否則請使用 Public Commercial Cloud for Environment 的預設

    向您的 Microsoft Entra ID 進行驗證。

    在您成功向 Microsoft Entra ID 驗證之後,請選取 [下一步] 以繼續:

    成功登入 Microsoft Entra ID。

  7. 在 [設定] 頁面上,Intune 將您的選取專案套用至連接器。 如果成功,此公用程式會繼續執行 [ 完成 ] 頁面,您會在其中選取 [結束 ] 以完成連接器的設定。

    成功設定憑證連接器。

    如果設定不成功,精靈會顯示錯誤的詳細數據,以協助您解決問題。

在設定成功完成且精靈關閉之後,適用於 Microsoft Intune的憑證連接器現在已可供使用。

提示

重新命名連接器以參考連接器安裝所在的伺服器可能會很有説明。

若要重新命名連接器,請在 Microsoft Intune 系統管理中心中,選取 [租用戶系統管理>連接器和令牌>憑證連接器]。 選取您要重新命名的連接器。 在 [ 名稱] 中,輸入您要使用的名稱,然後選取 [ 儲存]

修改連接器設定

在伺服器上設定適用於 Microsoft Intune 的憑證連接器之後,您可以在該伺服器上執行設定精靈來修改連接器設定。

拿掉連接器

若要從 Windows Server 卸載適用於 Microsoft Intune 的憑證連接器,請在伺服器上執行 IntuneCertificateConnector.exe,這是您用來安裝連接器的相同軟體。 在已安裝連接器的伺服器上執行時,唯一可用的選項是移除目前的連接器安裝。