Požadavky na Certificate Connector pro Microsoft Intune

  • Článek

Projděte si požadavky a požadavky na infrastrukturu pro Certificate Connector pro Microsoft Intune. Některé požadavky a požadavky na infrastrukturu se můžou lišit v závislosti na funkcích, které nakonfigurujete pro podporu instance konektoru.

Obecné požadavky

Požadavky na počítač, na který instalujete software konektoru:

PKCS

Požadavky na šablony certifikátů PKCS (Private a Public Key Pair):

  • Šablony certifikátů, které používáte pro požadavky PKCS, musí být nakonfigurované s oprávněními, která umožňují účtu služby Certificate Connector zaregistrovat certifikát.
  • Šablony certifikátů musí být přidány do certifikační autority (CA).

Poznámka

Libovolnou instanci konektoru, která podporuje pkcs, je možné použít k načtení čekajících požadavků PKCS z fronty služby Intune Service, zpracování importovaných certifikátů a zpracování žádostí o odvolání. Není možné definovat, který konektor zpracovává jednotlivé požadavky.

Proto každý konektor, který podporuje pkcs, musí mít stejná oprávnění a musí být schopný se připojit ke všem certifikačním autoritami definovaným později v profilech PKCS.

Importované certifikáty PKCS

Kvůli podpoře importovaných certifikátů PKCS vyžaduje server, který je hostitelem konektoru, další konfigurace, například konfiguraci přístupu poskytovatele úložiště klíčů, aby uživatel služby konektoru mohl načítat klíče.

Informace o podpoře importovaných certifikátů PKCS najdete v tématu Konfigurace a použití importovaných certifikátů PKCS s Intune.

Požadavky na odvolání

SCEP

Pokud chcete podporovat certifikáty protokolu SCEP (Simple Certificate Enrollment Protocol), musí Windows Server, který je hostitelem konektoru, kromě obecných požadavků splňovat následující požadavky:

  • IIS 7 nebo novější
  • Služba NDES (Network Device Enrollment Service), která je součástí role služby Active Directory Certification Services. Konektor není podporovaný na stejném serveru jako vaše vydávající certifikační autorita (CA). Další informace najdete v tématu Konfigurace infrastruktury pro podporu SCEP s Intune.

Na Windows Serveru vyberte a přidejte následující role a funkce serveru:

  • Role serveru:

    • Active Directory Certificate Services
    • Webový server (IIS)

  • Funkce:

    • Funkce rozhraní .NET Framework 4.7
      • .NET Framework 4.7
      • ASP.NET 4,7
      • Služby WCF
        • Aktivace protokolem HTTP

  • AD CS > Služby rolí:

    • Služba zápisu síťových zařízení – Pro konektor SCEP při použití certifikační autority Microsoftu nainstalujte a nakonfigurujte roli serveru NDES ( Network Device Enrollment Service ). Při konfiguraci NDES je potřeba přiřadit uživatelský účet, který bude používat fond aplikací NDES. NDES má také své vlastní požadavky.

  • Role webového serveru (IIS) > Služby rolí:

    • Zabezpečení
      • Filtrování požadavků
    • Vývoj aplikací
      • Rozšiřitelnost .NET 4.7
      • ASP.NET 4,7
    • Nástroje pro správu
      • Konzola pro správu služby IIS
      • Kompatibilita správy služby IIS 6
        • Kompatibilita metabáze služby IIS 6
        • Kompatibilita rozhraní WMI služby IIS 6

    Kromě toho NDES vyžaduje funkce following.NET Framework 3.5:

    • .NET Framework 3.5
    • Aktivace protokolem HTTP

Požadavky na šablony certifikátů SCEP:

  • Šablony certifikátů, které používáte pro požadavky SCEP, musí být nakonfigurované s oprávněními, která umožňují účtu služby Certificate Connector automaticky zaregistrovat certifikát.
  • Šablony certifikátů musí být přidány do certifikační autority.

Účty

Před instalací softwaru certificate connectoru připravte následující účty.

Instalační účet

K instalaci softwaru konektoru můžete použít libovolný uživatelský účet, který má na Windows Serveru oprávnění místního správce. Stejný účet můžete použít ke konfiguraci Windows Serveru s rolí serveru NDES systému Windows, pokud použijete SCEP a certifikační autoritu Microsoftu.

Účet služby Certificate Connector

Certificate Connector vyžaduje účet, který se má použít jako účet služby. Tento účet používá konektor pro přístup k Windows Serveru, komunikaci s Intune a přístup k certifikační autoritě pro obsluhu požadavků PKI.

Účet služby konektoru musí mít následující oprávnění:

  • Přihlásit se jako služba
  • Vydávání a správa oprávnění certifikátů u certifikační autority (vyžadováno pouze pro scénáře odvolání).
  • Oprávnění ke čtení a zápisu u jakékoli šablony certifikátu, kterou používáte k vydávání certifikátů.
  • Oprávnění k poskytovateli úložiště klíčů (KSP), který se používá při importu PFX. Viz Import certifikátů PFX do Intune.

Jako účet služby Certificate Connector se podporují následující možnosti:

  • SYSTÉM
  • Uživatel domény – Použijte libovolný účet uživatele domény, který je správcem windows serveru.

Další informace najdete v tématu Instalace Certificate Connectoru pro Microsoft Intune.

Uživatel fondu aplikací NDES

Pokud chcete používat SCEP s certifikační autoritou Microsoftu, musíte před instalací konektoru přidat NDES na server, který je hostitelem konektoru. Když konfigurujete NDES, musíte zadat účet pro použití jako uživatel fondu aplikací, který může být také označován jako účet služby NDES. Tento účet může být místní nebo doménový uživatelský účet a musí mít následující oprávnění:

  • Oprávnění ke čtení a zápisu u každé šablony certifikátu SCEP, kterou používáte k vydávání certifikátů.
  • Člen skupiny IIS_IUSRS .

Pokyny ke konfiguraci role serveru NDES pro Certificate Connector pro Microsoft Intune najdete v tématu Nastavení NDES v tématu Konfigurace infrastruktury pro podporu SCEP s Intune.

Microsoft Entra uživatel

Při konfiguraci konektoru musíte použít uživatelský účet, který je globální Správa nebo Intune Správa a má přiřazenou Intune licenci.

Další kroky

Instalace Certificate Connectoru pro Microsoft Intune