適用于 Microsoft Intune 的憑證連接器必要條件

安裝及設定適用于Microsoft Intune的憑證連接器之前，請檢閱必要條件和基礎結構需求，這些需求可能會因您將設定連接器實例以支援的功能而有所不同。

一般必要條件

安裝連接器軟體的電腦需求：

• Windows Server 2012 R2 或更新版本。

  注意事項

  伺服器安裝必須包含桌面體驗和支援瀏覽器的使用。 如需詳細資訊，請參閱 Windows Server 2016 檔中的安裝具有桌面體驗的伺服器。

• .NET 4.7.2

• 傳輸層安全性 (TLS) 1.2。 如需詳細資訊，請參閱 Microsoft Entra 檔中的在您的環境中啟用 TLS 1.2 的支援。

• 伺服器必須符合與受控裝置相同的網路需求。 如需Microsoft Intune，請參閱網路端點，以及Intune 網路設定需求和頻寬

• 若要支援連接器軟體的自動更新，伺服器必須能夠存取 Azure 更新服務：

  • 埠： 443
  • 端點： autoupdate.msappproxy.net

• 必須停用 增強式安全 性設定。

PKCS

PKCS 憑證範本的需求：

• 您將用於 PKCS 要求的憑證範本必須設定為允許憑證連接器服務帳戶註冊憑證的許可權。
• 憑證範本必須新增至憑證授權單位單位 (CA) 。

注意事項

支援 PKCS 的任何連接器實例都可以用來從 Intune 服務佇列擷取擱置中的 PKCS 要求、處理匯入的憑證，以及處理撤銷要求。 您無法定義哪個連接器會處理每個要求。

因此，每個支援 PKCS 的連接器都必須具有相同的許可權，而且能夠與稍後在 PKCS 設定檔中定義的所有憑證授權單位單位連線。

PKCS 匯入的憑證

若要支援 PKCS 匯入的憑證，裝載連接器的伺服器需要額外的設定，例如設定金鑰儲存提供者存取權以允許連接器服務使用者擷取金鑰。

如需 PKCS 匯入憑證支援的資訊，請參閱使用 Intune 設定和使用匯入的 PKCS 憑證

撤銷必要條件

• 憑證授權單位單位必須設定為允許 連接器服務帳戶 撤銷憑證。

SCEP

裝載連接器的 Windows Server 除了一般必要條件之外，還必須符合下列必要條件：

• IIS 7 或更高版本
• 網路裝置註冊服務 (NDES) 服務，這是 Active Directory 認證服務角色的一部分。 與頒發憑證授權單位單位 (CA) 相同的伺服器上不支援連接器。 如需詳細資訊， 請參閱設定基礎結構以支援搭配 Intune 的 SCEP

在 Windows Server 上，設定選取下列伺服器角色和功能：

• 伺服器角色：

  • Active Directory 憑證服務
  • Web Server (IIS)

• 功能：

  • .NET Framework 4.7 功能
    • .NET Framework 4.7
    • ASP.NET 4.7
    • WCF 服務
      • HTTP 啟用

• AD CS > 角色服務：

  • 網路裝置註冊服務 - 針對使用 Microsoft CA 時的連接器 SCEP， 請安裝並 設定 網路裝置註冊服務 (NDES) 伺服器角色。 當您設定 NDES 時，您必須指派使用者帳戶供 NDES 應用程式集區使用。 NDES 也有自己的需求。

• WEB 伺服器角色 (IIS) > 角色服務：

  • 安全性
    • 要求篩選
  • 應用程式開發
    • .NET 擴充性 4.7
    • ASP.NET 4.7
  • 管理工具
    • IIS 管理主控台
    • IIS 6 管理相容性
      • IIS 6 Metabase 相容性
      • IIS 6 WMI 相容性

  此外，NDES 需要 following.NET Framework 3.5 功能：

  • .NET Framework 3.5
  • HTTP 啟用

SCEP 憑證範本的需求：

• 您將用於 SCEP 要求的憑證範本必須設定為允許憑證連接器服務帳戶自動註冊憑證的許可權。
• 憑證範本必須新增至 CA。

帳戶

安裝憑證連接器軟體之前，請先準備下列帳戶。

安裝帳戶

您可以使用在 Windows Server 上具有本機系統管理許可權的任何使用者帳戶來安裝連接器軟體。 如果您使用 SCEP 和 Microsoft CA，您可以使用這個相同的帳戶來設定具有 NDES Windows 伺服器角色的 Windows Server。

憑證連接器服務帳戶

憑證連接器需要帳戶作為服務帳戶使用。 連接器會使用此帳戶來存取 Windows Server、與 Intune 通訊，以及存取憑證授權單位單位來服務 PKI 要求。

連接器服務帳戶必須具有下列許可權：

• 以服務登入
• 發出和管理 憑證授權單位單位的憑證許可權 (只有撤銷案例) 才需要。
• 您 將用來簽發憑證之任何憑證範本的讀取和 註冊 許可權。
• 密 鑰儲存提供者 (PFX 匯入所使用 KSP) 的許可權。 請參閱 將 PFX 憑證匯入 Intune。

支援使用下列選項作為憑證連接器服務帳戶：

• SYSTEM
• 網域使用者 - 使用 Windows Server 上系統管理員的任何網域使用者帳戶。

如需詳細資訊，請參閱安裝適用于 Microsoft Intune 的憑證連接器。

NDES 應用程式集區使用者

若要搭配 Microsoft CA 使用 SCEP，您必須先將 NDES 新增至裝載連接器的伺服器，再安裝連接器。 當您設定 NDES 時，您必須指定要作為應用程式集區使用者使用的帳戶，這也稱為 NDES 服務帳戶。 此帳戶可以是本機或網域使用者帳戶，而且必須具有下列許可權：

• 您將用來簽發憑證之每個 SCEP 憑證範本的讀取和註冊許可權。
• IIS_IUSRS群組的成員。

如需設定適用于 Microsoft Intune 之憑證連接器的 NDES 伺服器角色的指引，請參閱設定基礎結構以支援 SCEP 與 Intune 中的設定NDES。

Microsoft Entra使用者

設定連接器時，您必須使用下列使用者帳戶：為全域管理員或 Intune 管理員，且已指派 Intune 授權。

後續步驟

安裝適用于 Microsoft Intune 的憑證連接器