適用於 Microsoft Intune的憑證連接器
若要 Microsoft Intune 支援使用憑證進行驗證,以及使用 S/MIME 簽署和加密電子郵件,您可以使用憑證連接器進行 Microsoft Intune。 憑證連接器是您在內部部署伺服器上安裝的軟體,可協助傳遞和管理 Intune 管理裝置的憑證。
本文介紹適用於 Microsoft Intune的憑證連接器、其生命週期,以及如何讓它保持在最新狀態。
提示
從 2021 年 7 月 29 日開始,適用於 Microsoft Intune 的憑證連接器會取代適用於 Microsoft Intune 和 Microsoft Intune 連接器的 PFX 憑證連接器使用。 新的連接器包含前兩個連接器的功能。 隨著適用於 Microsoft 的憑證連接器 6.2109.51.0 版發行,不再支援先前的連接器。
連接器概觀
若要使用憑證連接器,您必須先從 Microsoft Intune 系統管理中心內下載軟體,然後再安裝在 Windows Server 上。
在安裝期間,您可以安裝一或多個連接器功能,包括支援:
- PKCS) 憑證 (私鑰和公鑰組
- PKCS 匯入的憑證
- 簡單的憑證註冊通訊協定 (SCEP)
- 證書撤銷
您也會指派服務帳戶來執行連接器。 此帳戶用於與您的證書頒發機構單位的所有互動,以及憑證發行、撤銷和更新。 服務帳戶支援的選項包括連接器伺服器 SYSTEM 帳戶或網域帳戶。
安裝連接器之後,您可以隨時再次執行連接器組態,以更新或變更您已安裝的功能。 安裝並設定之後,連接器可以自動安裝未來的更新,讓您的連接器保持最新版本。
Intune 支援在租用戶中安裝多個連接器實例,而且每個實例都可以支援不同的功能。 如果您使用多個支援不同功能的連接器,憑證要求一律會路由傳送至相關的連接器。 例如,如果您安裝兩個支援 PKCS 的連接器,再安裝兩個支援 PKCS 和 SCEP 的連接器,PKCS 的憑證工作可以由四個連接器中的任何一個管理,但 SCEP 的工作只會導向到支援 SCEP 的兩個連接器。
憑證連接器的每個實例與 Intune 所管理的裝置具有相同的網路需求。 如需詳細資訊,請參閱適用於 Microsoft Intune的網路端點,以及 Intune 網路設定需求和頻寬。
憑證連接器的功能
適用於 Microsoft Intune 的憑證連接器支援:
PKCS #12 憑證要求。
PKCS 匯入的憑證 (特定使用者的 S/MIME 電子郵件加密的 PFX 檔案) 。
發出簡單的憑證註冊通訊協定 (SCEP) 憑證。 當您使用 Active Directory 憑證服務證書頒發機構單位 (CA) ,也稱為 Microsoft CA 時,您也必須在裝載連接器的伺服器上設定網路裝置註冊服務 (NDES) 。
搭配第三方證書頒發機構單位使用 SCEP,不需要使用憑證連接器來進行 Microsoft Intune。
憑證撤銷。
自動更新 新版本。 當裝載憑證連接器的伺服器可以存取因特網時,它們會自動安裝新的更新以維持最新狀態。 當連接器無法自動更新時,您可以手動更新連接器。
每個 Intune 租使用者最多安裝 100 個連接器實例,每個實例都位於不同的 Windows Server 上。 當您使用多個連接器時:
連接器的每個實例都必須能夠存取用來加密每個已上傳 PFX 檔案密碼的私鑰。
連接器的每個實例都應該是相同的版本。 因為連接器支援最新版本的自動更新,所以 Intune 可以為您管理更新。
您的基礎結構支援備援和負載平衡,因為任何支援相同連接器功能的可用連接器實例都可以處理您的憑證要求。
您可以設定 Proxy 以允許連接器與 Intune 通訊。
憑證連接器不應該安裝在與 Intune Connector for Active Directory 相同的伺服器上。
注意事項
支援 PKCS 的任何連接器實例都可以用來從 Intune 服務佇列擷取擱置中的 PKCS 要求、處理匯入的憑證,以及處理撤銷要求。 您無法定義哪個連接器會處理每個要求。
因此,每個支援 PKCS 的連接器都必須具有相同的許可權,而且能夠與稍後在 PKCS 配置檔中定義的所有證書頒發機構單位連線。
生命週期
系統會定期發行憑證連接器的更新。 新連接器更新的公告,包括每個更新的版本和發行日期,會出現在本文中 憑證連接器的新 功能一節中。
每個新的連接器版本:
在新版本發行后,支援六個月。 在此期間,自動更新可以安裝較新的連接器版本。 更新的連接器版本可以包含但不限於錯誤修正、效能和功能改善。
如果支援中斷連接器失敗,您必須更新為最新支援的版本。
如果您封鎖連接器的自動更新,請規劃在六個月內手動更新連接器,然後才終止對已安裝版本的支援。 支援結束之後,您必須將連接器更新為仍受支援的版本,以接收連接器問題的支援。
不支援的連接器在新版本發行後,會繼續運作長達18個月。 18 個月後,連接器功能可能會因為服務等級改善、更新或解決未來可能出現的常見安全性弱點而失敗。
例如,當連接器版本 6.2203.12.0 於 2022 年 5 月 4 日發行時,連接器舊版 6.2202.38.0 將會在 2022 年 11 月 4 日從支援中卸除。 雖然在 2023 年 11 月之前不支援) ,但舊版連接器應該會繼續運作 (。 在 2023 年 11 月之後,連接器舊版可能會停止與 Intune 通訊。
自動更新
Intune 可以在該連接器版本發行后,於稍後自動將連接器更新為最新版本。
若要自動更新,裝載連接器的伺服器必須存取 Azure 更新服務:
- 埠: 443
- 端點: autoupdate.msappproxy.net
當防火牆、基礎結構或網路組態限制自動更新的存取時,請解決封鎖問題,或手動將連接器更新為新版本。
手動更新
手動更新憑證連接器的程式與重新安裝連接器的程式相同。
即使憑證連接器支援自動更新,您還是可以手動更新憑證連接器。 例如,當網路設定封鎖自動更新時,您可以手動更新連接器。
重新安裝憑證連接器
在裝載連接器的 Windows Server 上,執行連接器安裝程式以卸載連接器。
若要安裝新版本,請使用 程式來安裝新版本的連接器。 安裝較新版本的連接器時,請務必檢查是否有任何新的或更新的 必要條件 。
連接器狀態
在 Microsoft Intune 系統管理中心,您可以選取憑證連接器來檢視其狀態的相關信息:
移至 租使用者管理>連接器和令牌憑證>連接器。
選取連接器以檢視其狀態。
檢視連接器狀態時:
- 已淘汰的連接器會顯示 警告。 在六個月的寬限期之後,警告會變更為錯誤。
- 超過寬限期的連接器會顯示錯誤。 不再支援這些連接器,而且可以隨時停止運作。
記錄
適用於 Microsoft Intune 的憑證連接器記錄可作為安裝連接器之伺服器上的事件記錄檔:
- >事件檢視器 應用程式和服務記錄>Microsoft>Intune>憑證連接器
下列記錄可供使用且預設為 50 MB,且已啟用自動封存:
- 管理員 記錄檔 - 此記錄檔會針對連接器的每個要求包含一個記錄事件。 事件包括 成功 與要求相關信息,或包含要求和錯誤相關信息 的錯誤 。
- 作業記錄 - 此記錄會顯示在 管理員 記錄中找到的其他資訊,而且可用於偵錯問題。 此記錄也會顯示進行中的作業,而不是單一事件。
除了默認記錄層級之外,您還可以為每個記錄啟用偵錯記錄,以取得更多詳細數據。
事件標識碼
所有事件都有下列其中一個識別碼:
- 0001-0999 - 未與任何特定案例相關聯
- 1000-1999 - PKCS
- 2000-2999 - PKCS 匯入
- 3000-3999 - 撤銷
- 4000-4999 - SCEP
- 5000-5999 - 連接器健康情況
工作類別
所有事件都會標記為工作類別目錄,以協助篩選。 工作類別包含但不限於下列清單:
PKCS
Admin
事件標識碼:1000 - PkcsRequestSuccess
已成功將 PKCS 要求上傳至 Intune。事件標識碼:1001 - PkcsRequestFailure
無法完成或上傳 PKCS 要求以 Intune。事件標識碼:1200 - PkcsRecryptRequestSuccess
已成功處理 PKCS 重新加密要求。事件標識碼:1201 - PkcsRecryptRequestFailure
無法處理 PKCS 重新加密要求。
作業
事件標識碼:1002 - PkcsDownloadSuccess
已成功從 Intune 下載 PKCS 要求。事件標識碼:1003 - PkcsDownloadFailure
無法從 Intune 下載 PKCS 要求。事件標識碼:1020 - PkcsDownloadedRequest
已成功從 Intune 下載 PKCS 要求事件標識碼:1032 - PkcsDigiCertRequest
已成功從 Intune 下載 DigiCert CA 的 PKCS 要求。事件標識碼:1050 - PkcsIssuedSuccess
成功發行 PKCS 憑證。事件標識碼:1051 - PkcsIssuedFailedAttempt
無法發行 PKCS 憑證, 會再試一次。事件標識碼:1052 - PkcsIssuedFailure
無法發行 PKCS 憑證。事件標識碼:1100 - PkcsUploadSuccess
已成功將 PKCS 要求結果上傳至 Intune。事件標識碼:1101 - PkcsUploadFailure
無法將 PKCS 要求結果上傳至 Intune。事件標識碼:1102 - PkcsUploadedRequest
已成功將 PKCS 要求上傳至 Intune。事件標識碼:1202 - PkcsRecryptDownloadSuccess
已成功下載 PKCS 重新加密要求。事件標識碼:1203 - PkcsRecryptDownloadFailure
無法下載 PKCS 重新加密要求。事件標識碼:1220 - PkcsRecryptDownloadedRequest
已成功下載 PKCS 重新加密要求。事件標識碼:1250 - PkcsRecryptReencryptSuccess
成功重新加密的 PKCS 憑證承載。事件標識碼:1251 - PkcsRecryptDecryptSuccess
已成功解密 PKCS 憑證承載。事件標識碼:1252 - PkcsRecryptDecryptFailure
無法解密 PKCS 憑證承載。事件標識碼:1253 - PkcsRecryptReencryptFailure
無法重新加密 PKCS 憑證承載。事件標識碼:1300 - PkcsRecryptUploadSuccess
已成功將 PKCS 重新加密要求結果上傳至 Intune。事件標識碼:1301 - PkcsRecryptUploadFailure
無法將 PKCS 重新加密要求結果上傳至 Intune。事件標識碼:1302 - PkcsRecryptUploadedRequest
已成功將 PKCS 重新加密要求上傳至 Intune。
PKCS 匯入
Admin
事件標識碼:2000 - PkcsImportRequestSuccess
已成功從 Intune 下載 PKCS 匯入要求。事件標識碼:2001 - PkcsImportRequestFailure
無法處理來自 Intune的 PKCS 匯入要求。
作業
事件標識碼:2202 - PkcsImportDownloadSuccess
已成功從 Intune 下載 PKCS 匯入要求。事件標識碼:2203 - PkcsImportDownloadFailure
無法從 Intune 下載 PKCS 匯入要求。事件標識碼:2020 - PkcsImportDownloadedRequest
已成功從 Intune 下載 PKCS 匯入要求。事件標識碼:2050 - PkcsImportReencryptSuccess
成功重新加密 PKCS 匯入憑證。事件標識碼:2051 - PkcsImportReencryptFailedAttempt
無法重新加密 PKCS 匯入憑證,請再試一次。事件標識碼:2052 - PkcsImportReencryptFailure
無法重新加密匯入的憑證。事件標識碼:2100 - PkcsImportUploadSuccess
已成功將 PKCS 匯入要求結果上傳至 Intune。事件標識碼:2101 - PkcsImportUploadFailure
無法將 PKCS 要求結果上傳至 Intune。事件標識碼:2102 - PkcsImportUploadedRequest
已成功將 PKCS 匯入要求上傳至 Intune。
撤銷
Admin
事件標識碼:3000 - RevokeRequestSuccess
已成功從 Intune 下載撤銷要求。事件標識碼:3001 - RevokeRequestFailure
從 Intune 下載撤銷要求時發生失敗。
作業
事件標識碼:3002 - RevokeDownloadSuccess
已成功從 Intune 下載撤銷要求。事件標識碼:3003 - RevokeDownloadFailure
從 Intune 下載撤銷要求時發生失敗。事件標識碼:3020 - RevokeDownloadedRequest
從 Intune 單一下載要求的詳細數據事件標識碼:3032 - RevokeDigicertRequest
收到來自 Intune 的撤銷要求,並將要求轉送至 Digicert 以履行要求。事件標識碼:3050 - RevokeSuccess
成功撤銷憑證。事件標識碼:3051 - RevokeFailure
撤銷憑證時發生失敗。事件標識碼:3052 - RevokeFailedAttempt
無法撤銷憑證, 會再試一次。事件標識碼:3100 - RevokeUploadSuccess
已成功將撤銷要求結果上傳至 Intune。事件標識碼:3101 - RevokeUploadFailure
無法將撤銷要求結果上傳至 Intune。事件標識碼:3102 - RevokeUploadedRequest
已成功將撤銷要求上傳至 Intune。
SCEP
Admin
事件標識碼:4000 - ScrepRequestSuccess
已成功處理 SCEP 要求並通知 Intune。事件標識碼:4001 - ScepRequestIssuedFailure
無法處理 SCEP 要求並通知 Intune。事件標識碼:4002 - ScepRequestUploadFailure
已成功處理 SCEP 要求,但無法通知 Intune。
作業
事件標識碼:4003 - ScepRequestReceived
已成功收到來自裝置的SCEP要求。事件標識碼:4004 - ScepVerifySuccess
已使用 Intune 成功驗證 SCEP 要求。事件標識碼:4005 - ScepVerifyFailure
無法使用 Intune 驗證 SCEP 要求。事件標識碼:4006 - ScepIssuedSuccess
已成功核發 SCEP 要求的憑證。事件標識碼:4007 - ScepIssuedFailure
無法發出 SCEP 要求的憑證。事件標識碼:4008 - ScepNotifySuccess
成功通知 Intune SCEP 要求的結果。事件標識碼:4009 - ScepNotifyAttemptFailed
無法通知 Intune SCEP 要求的結果, 會再試一次。事件標識碼:4010 - ScepNotifySaveToDiskFailed
無法將通知寫入磁碟,且無法通知 Intune 要求狀態。
連接器健康情況
作業
事件標識碼:5000 - HealthMessageUploadSuccess已成功將健康情況訊息上傳至 Intune。
事件標識碼:5001 - HealthMessageUploadFailedAttempt無法將健康情況訊息上傳至 Intune, 會再試一次。
事件標識碼:5002 - HealthMessageUploadFailure無法將健康情況訊息上傳至 Intune。
憑證連接器的新功能
Microsoft Intune 憑證連接器的 匯報 會定期發行,然後支援六個月。 當我們更新連接器時,您可以在這裡閱讀變更。
連接器的新更新可能需要一周或更多時間,才能供每個租使用者使用。
重要事項
從 2022 年 4 月開始, 6.2101.13.0 版之前的憑證連接器將會被取代,並顯示 [ 錯誤] 狀態。 從 2022 年 8 月開始,這些連接器版本將 無法 撤銷憑證。 從 2022 年 9 月開始,這些連接器版本將 無法 發行憑證。 這包括適用於 Microsoft Intune 和 Microsoft Intune 連接器的 PFX 憑證連接器,該連接器在 2021 年 7 月 29 日已由 Microsoft Intune 的憑證連接器取代 (,如本文) 所述。
2024年9月19日
版本 6.2406.0.1001 - 此版本中的變更:
- 支援KB5014754需求的變更
- 改善的 PKCS 匯入管線記錄
- Bug 修正
- 安全性改善
2023年2月15日
版本 6.2301.1.0 - 此版本中的變更:
- 記錄資訊以與 Intune 服務記錄相互關聯
- PFX 憑證發行流程中的記錄改善
2022 年 9 月 21 日
版本 6.2206.122.0 - 此版本中的變更:
- 除了錯誤修正和效能改善之外,還改善了遙測
2022 年 6 月 30 日
版本 6.2205.201.0 - 此版本中的變更:
- 已將遙測通道更新為 Intune,以允許 Intune 系統管理員在入口網站中收集數據
2022年5月4日
版本 6.2203.12.0 - 此版本中的變更:
- 支援客戶端驗證憑證的 CNG 提供者
- 已改善客戶端驗證憑證自動更新的支援
2022 年 3 月 10 日
版本 6.2202.38.0。 此更新包括:
- 支援 TLS 1.2 進行自動更新的變更