Connettori di certificati per Microsoft Intune

Importante

A partire dal 29 luglio 2021, il connettore di certificati per Microsoft Intune sostituisce l'uso di Connettore di certificati PFX per Microsoft Intune e Microsoft Intune Connector. Il nuovo connettore include la funzionalità di entrambi i connettori precedenti. Il supporto per i connettori precedenti descritti in questo articolo è terminato il 22/9/2021 con la versione 6.2109.51.0 del connettore di certificati per Microsoft.

Se è necessario installare un nuovo connettore di certificati o reinstallare un connettore, installare il connettore di certificati più nuovo per Microsoft Intune. Per altre informazioni, vedere Connettore di certificati per Microsoft Intune.

Per supportare l'uso di certificati per l'autenticazione e la firma e la crittografia della posta elettronica tramite S/MIME, Intune richiede l'uso di un connettore di certificati. Un connettore di certificati è il software installato in un server locale. Il connettore consente ai dispositivi gestiti dal cloud di effettuare il provisioning dei certificati dall'infrastruttura locale, ad esempio un'autorità di certificazione emittente.

Connettori disponibili

Sono disponibili due connettori di certificati per Intune. Ognuno ha i propri usi e requisiti.

Connettore di certificati PFX per Microsoft Intune

Il connettore di certificati PFX supporta la distribuzione di certificati per le richieste di certificato PKCS #12 e gestisce le richieste per i file PFX importati in Intune per la crittografia della posta elettronica S/MIME per un utente specifico.

Consiglio

Prima dell'aggiornamento di agosto per questo connettore (versione 6.2008.60.607), le richieste di certificato PKCS #12 erano gestite dal connettore di certificati Intune. Con l'aggiornamento di agosto, la funzionalità per tutte le richieste di certificati PKCS è stata consolidata nel connettore di certificati PFX, che supporta l'aggiornamento automatico del connettore a nuove versioni e richiede l'uso di .NET Framework versione 4.7.2.

Questo connettore supporta anche le tre piattaforme seguenti, che non sono supportate tramite il connettore Microsoft Intune:

  • Android Enterprise - Completamente gestito
  • Android Enterprise - Dedicato
  • Android Enterprise - profilo di lavoro Corporate-Owned

La funzionalità del connettore Microsoft Intune non è deprecata ed è possibile continuare a usarla con i profili certificato PKCS per alcune piattaforme. Tuttavia, se non si usa SCEP o in altro modo si richiede l'uso di NDES, è possibile passare al connettore di certificati PFX e rimuovere NDES dai server.

Connettore di certificati PFX:

  • Supporta più istanze di questo connettore per ogni tenant Intune. Ogni istanza del connettore deve essere installata in un windows server e avere accesso alla chiave privata usata per crittografare le password dei file PFX caricati.

    Nota

    Tutti i connettori devono avere le stesse autorizzazioni ed essere in grado di connettersi a tutte le autorità di certificazione definite più avanti nei profili PKCS.

    Qualsiasi istanza di questo connettore può recuperare le richieste PKCS in sospeso dalla coda del servizio Intune, pertanto non è possibile definire quale connettore gestisce ogni richiesta.

    Lo stesso vale per la revoca del certificato.

  • Può essere installato nello stesso server che ospita un'istanza del connettore Microsoft Intune.

  • Supporta fino a 100 istanze di questo connettore per tenant, con ogni istanza in un server Windows separato. Quando si usano più connettori:

    • Tutte le istanze del connettore di certificati PFX nell'ambiente devono avere la stessa versione.
    • L'infrastruttura supporta la ridondanza e il bilanciamento del carico, in quanto qualsiasi istanza del connettore disponibile può elaborare le richieste di certificato.
  • Supporta gli aggiornamenti automatici alle nuove versioni. Per installare automaticamente nuove versioni, il computer che ospita il connettore deve contattare autoupdate.msappproxy.net sulla porta 443. Se l'aggiornamento automatico del connettore non riesce, è possibile aggiornare manualmente il connettore.

  • Supporta la revoca del certificato (richiede l'esecuzione del connettore versione 6.2008.60.607 o successiva)

  • Ha gli stessi requisiti di rete dei dispositivi gestiti

    Per altre informazioni, vedere Endpoint di rete per Microsoft Intune e Intune requisiti di configurazione di rete e larghezza di banda.

Il server Windows in cui viene installato il connettore:

  • Deve essere eseguito Windows Server 2012 R2 o versione successiva.
  • Eseguire .NET 4.7.2 Framework.

Per installare il connettore di certificati PFX:

Per indicazioni sull'installazione di questo connettore, vedere Scaricare, installare e configurare il connettore di certificati PFX.

Connettore Microsoft Intune

Il connettore Microsoft Intune viene talvolta definito connettore di certificati Microsoft Intune. Questo connettore supporta la distribuzione di certificati quando si usa Simple Certificate Enrollment Protocol (SCEP) e si dispone di un'autorità di certificazione (CA) di Servizi certificati Active Directory. Questo tipo di CA viene definito anche CA Microsoft.

Quando si usa SCEP con una CA Microsoft, è necessario configurare anche il servizio Registrazione dispositivi di rete ( NDES). Per questo motivo, questo connettore viene spesso definito connettore di certificati NDES.

Se si usa un'autorità di certificazione di terze parti, non è necessario usare questo connettore e NDES non è necessario.

Connettore Microsoft Intune:

  • Supporta l'emissione di certificati SCEP

  • Può essere usato per rilasciare certificati PKCS alla maggior parte delle piattaforme per dispositivi, ma non a tutte. Questo connettore non supporta il rilascio di certificati PKCS per:

    • Android Enterprise - Completamente gestito
    • Android Enterprise - Dedicato
    • Android Enterprise - profilo di lavoro Corporate-Owned

    Per supportare tali piattaforme, usare il connettore di certificati PFX, che supporta l'emissione di certificati PKCS a tutte le piattaforme del dispositivo. Se non si usa SCEP, è possibile disinstallare questo connettore e usare solo il connettore di certificati PFX.

    Nota

    Con PKCS, tutti i connettori devono avere le stesse autorizzazioni ed essere in grado di connettersi a tutte le autorità di certificazione definite più avanti nei profili PKCS.

    Qualsiasi istanza di questo connettore può recuperare le richieste PKCS in sospeso dalla coda del servizio Intune, pertanto non è possibile definire quale connettore gestisce ogni richiesta.

    Lo stesso vale per la revoca del certificato.

  • Viene installato in un server Windows, che può ospitare anche un'istanza del connettore di certificati PFX.

  • Supporta fino a 100 istanze di questo connettore per tenant, con ogni istanza in un server Windows separato. Quando si usano più connettori:

    • Tutte le istanze del connettore Microsoft Intune nell'ambiente devono essere nella stessa versione.
    • L'infrastruttura supporta la ridondanza e il bilanciamento del carico, in quanto qualsiasi istanza del connettore disponibile può elaborare le richieste di certificato.
  • È necessario un aggiornamento manuale per installare la nuova versione del connettore. L'aggiornamento manuale richiede la disinstallazione del connettore corrente e quindi l'installazione della nuova versione del connettore. Non devono essere necessarie azioni aggiuntive.

  • Supporta la modalità FIPS (Federal Information Processing Standard ). FIPS non è obbligatorio. Quando FIPS è abilitato, è possibile rilasciare e revocare i certificati.

  • Ha gli stessi requisiti di rete dei dispositivi gestiti.

    Per altre informazioni, vedere Endpoint di rete per Microsoft Intune e Intune requisiti di configurazione di rete e larghezza di banda.

Il server Windows in cui viene installato il connettore:

  • Deve essere eseguito Windows Server 2012 R2 o versione successiva.
  • Eseguire .NET 4.5 Framework. Quando questo connettore viene installato nello stesso server del connettore di certificati PFX, è necessario usare .NET 4.7.2 Framework, richiesto dal connettore PFX.
  • Non può essere lo stesso server che ospita l'autorità di certificazione emittente.
  • Se usato per SCEP con una CA Microsoft, richiede l'accesso a un server che esegue NDES. Il servizio Registrazione dispositivi di rete viene eseguito in un server Windows e può essere eseguito nello stesso server di questo connettore.

Quando è necessario NDES:

Per installare Microsoft Intune Connector:

Per indicazioni sull'installazione di questo connettore, vedere Configurare l'infrastruttura per supportare SCEP con Intune.

Ciclo di vita del connettore

Importante

A partire dal 29 luglio 2021, il connettore di certificati per Microsoft Intune sostituisce l'uso di Connettore di certificati PFX per Microsoft Intune e Microsoft Intune Connector. Il nuovo connettore include la funzionalità di entrambi i connettori precedenti.

Vengono rilasciate periodicamente versioni aggiornate dei connettori di certificati. Gli annunci per le nuove versioni del connettore vengono visualizzati nell'articolo Novità per Intune e nella sezione Novità per i connettori alla fine di questo articolo.

Quando viene rilasciata una nuova versione, il supporto per la versione precedente è deprecato con un periodo di tolleranza limitato per l'uso continuo. Dopo la scadenza del periodo di tolleranza, il supporto per tale versione deprecata termina e può smettere di funzionare in qualsiasi momento. Il periodo di tolleranza è di sei mesi.

Pianificare l'aggiornamento di un connettore alla versione più recente alla prima opportunità. Ogni connettore ha un percorso di aggiornamento diverso:

  • Connettore di certificati PFX per Microsoft Intune: supporta gli aggiornamenti automatici.
  • connettore Microsoft Intune: richiede l'aggiornamento manuale.

Aggiornamento automatico

Se supportato dal tipo di connettore e dall'ambiente in uso, Intune può aggiornare automaticamente il connettore alla versione più recente poco dopo il rilascio della versione del connettore.

Per eseguire l'aggiornamento automatico, il server che ospita il connettore deve accedere al servizio di aggiornamento di Azure:

  • Porta: 443
  • Endpoint: autoupdate.msappproxy.net

Quando firewall, infrastrutture o configurazioni di rete limitano l'accesso per l'aggiornamento automatico, risolvere i problemi di blocco o aggiornare manualmente il connettore alla nuova versione.

Aggiornamento manuale

Il processo di aggiornamento manuale di un connettore di certificati è lo stesso per la reinstallazione di un connettore.

È possibile aggiornare manualmente un connettore di certificati anche quando supporta gli aggiornamenti automatici. Ad esempio, è possibile aggiornare manualmente il connettore quando la configurazione di rete blocca un aggiornamento automatico.

Per reinstallare un connettore di certificati

  1. Nel server Windows che ospita il connettore usare App e funzionalità di Windows per disinstallare il connettore.

  2. Per installare la nuova versione, usare la procedura per installare una nuova versione del connettore. Assicurarsi di verificare la presenza di eventuali prerequisiti nuovi o aggiornati durante l'installazione di una versione più recente di un connettore:

Stato del connettore

Nell'interfaccia di amministrazione Microsoft Intune è possibile selezionare un connettore di certificati per visualizzare le informazioni sullo stato:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune

  2. Passare ad Amministrazione> tenantConnettori e token Connettori di>certificati.

  3. Selezionare un connettore per visualizzarne lo stato.

Quando si visualizza lo stato del connettore:

  • I connettori deprecati verranno visualizzati con un avviso. Dopo il periodo di tolleranza di sei mesi, l'avviso viene modificato in Errore.
  • I connettori che superano il periodo di tolleranza mostrano un errore. Questi connettori non sono più supportati e possono smettere di funzionare in qualsiasi momento.

Registrazione

I dettagli di registrazione seguenti sono disponibili a partire dalla versione del connettore 6.2101.13.0.

I log per il connettore di certificati PFX sono disponibili come registri eventi nel server in cui è installato il connettore:

  • > Visualizzatore eventi Registri applicazioni e servizi>Microsoft>Intune>Connettori di certificati

I log seguenti sono disponibili e per impostazione predefinita sono 50 MB, con l'archiviazione automatica abilitata:

  • Amministrazione Log: questo log contiene un evento di log per ogni richiesta al connettore. Gli eventi includono un esito positivo con informazioni sulla richiesta o un errore con informazioni sulla richiesta e l'errore.
  • Log operativo: questo log visualizza informazioni aggiuntive rispetto a quelle disponibili nel log Amministrazione e può essere usato per il debug dei problemi. Questo log visualizza anche le operazioni in corso per il connettore di certificati PFX anziché per i singoli eventi.

ID evento

Tutti gli eventi hanno uno degli ID seguenti:

  • 0001-0999 - Non associato a uno scenario specifico
  • 1000-1999 - PKCS
  • 2000-2999 - Importazione PKCS
  • 3000-3999 - Revoca

Categorie di attività

Tutti gli eventi vengono contrassegnati con una categoria di attività per facilitare il filtro. Le categorie di attività contengono, ma non sono limitate all'elenco seguente:

PKCS

  • Admin
    • PkcsRequestSuccess: è stata soddisfatta e caricata correttamente una richiesta PKCS per Intune.
    • PkcsRequestFailure: impossibile soddisfare o caricare una richiesta PKCS in Intune.
  • Operativo
    • PkcsDownloadSuccess - Download delle richieste PKCS da Intune
    • PkcsDownloadFailure - Si è verificato un errore durante il download delle richieste PKCS da Intune
    • PkcsDownloadedRequest - Dettagli di una singola richiesta scaricata da Intune
    • PkcsIssuedSuccess - Rilasciato un certificato per una richiesta
    • PkcsIssuedFailedAttempt - Errore durante l'emissione di un certificato per una richiesta
    • PkcsIssuedFailure - Impossibile rilasciare un certificato per una richiesta
    • PkcsUploadSuccess - Dettagli della richiesta completata caricata in Intune
    • PkcsUploadFailure - Errore durante il caricamento delle richieste in Intune
    • PkcsUploadedRequest - Dettagli di una richiesta caricata in Intune

Importazione PKCS

  • Admin
    • PkcsImportRequestSuccess - Download delle richieste di importazione PKCS da Intune
    • PkcsImportRequestFailure - Errore durante il download delle richieste di importazione PKCS da Intune
  • Operativo
    • PkcsImportDownloadSuccess - Download delle richieste di importazione PKCS da Intune
    • PkcsImportDownloadFailure - Errore durante il download delle richieste di importazione PKCS da Intune
    • PkcsImportDownloadedRequest - Dettagli di una singola richiesta scaricata da Intune
    • PkcsImportReencryptSuccess - Crittografato nuovamente un certificato importato
    • PkcsImportReencryptFailedAttempt - Errore durante la crittografia di un certificato importato
    • PkcsImportReencryptFailure - Impossibile crittografare nuovamente un certificato importato
    • PkcsImportUploadFailure - Errore durante il caricamento delle richieste in Intune
    • PkcsImportUploadedRequest - Dettagli di una richiesta caricata in Intune

Revoca

  • Admin
    • RevokeRequestSuccess - Richieste di revoca scaricate correttamente da Intune
    • RevokeRequestFailure - Si è verificato un errore durante il download delle richieste di revoca da Intune
  • Operativo
    • RevokeDownloadSuccess - Richieste di revoca scaricate correttamente da Intune
    • RevokeDownloadFailure - Si è verificato un errore durante il download delle richieste di revoca da Intune
    • RevokeDownloadedRequest - Dettagli di una singola richiesta scaricata da Intune
    • RevokeSuccess - Certificato revocato correttamente
    • RevokeFailure - Errore durante la revoca di un certificato
    • RevokeFailedAttempt - Impossibile revocare un certificato
    • RevokeUploadSuccess - Dettagli della richiesta completata caricata in Intune
    • RevokeUploadFailure : si è verificato un errore durante il caricamento delle richieste in Intune
    • RevokeUploadedRequest - Dettagli di una richiesta caricata in Intune

Novità dei connettori

Aggiornamenti per i due connettori di certificati vengono rilasciati periodicamente. Quando si aggiorna un connettore, è possibile leggere le modifiche qui.

Importante

A partire da aprile 2022, i connettori di certificati precedenti alla versione 6.2101.13.0 verranno deprecati e visualizzeranno lo stato Errore. Questo stato non influisce sulla funzionalità. A partire da giugno 2022, tali connettori non saranno in grado di emettere certificati. Per informazioni dettagliate sul passaggio al nuovo connettore di certificati per Microsoft, vedere la nota all'inizio di questo articolo.

Cronologia delle versioni del connettore di certificati PFX

Connettore di certificati PFX per Microsoft Intunesupporta gli aggiornamenti automatici.

10 marzo 2021

Versione 6.2101.16.0. - Modifiche in questa versione:

  • Miglioramenti al flusso di creazione PFX per evitare la duplicazione dei file di richiesta di certificato nei server locali che ospitano il connettore.

mercoledì 24 febbraio 2021

Versione 6.2101.13.0. Questa nuova versione del connettore aggiunge miglioramenti per la registrazione al connettore PFX:

  • Nuova posizione per i log eventi, con i log suddivisi in Amministrazione, Debug operativo &
  • Amministrazione & log operativi per impostazione predefinita è 50 MB, con archiviazione automatica abilitata.
  • Id evento per l'importazione PKCS, la creazione e la revoca PKCS.

26 gennaio 2021

Versione 6.2009.2.0 - Modifiche in questa versione:

  • Migliora l'aggiornamento del connettore per rendere persistenti gli account che eseguono Connector Services.

15 gennaio 2021

Versione 6.2009.1.9 - Modifiche in questa versione:

  • Miglioramenti al rinnovo del certificato del connettore.

2 ottobre 2020

Versione 6.2008.60.612 - Modifiche in questa versione:

  • È stato risolto un problema relativo al recapito di certificati PKCS ai dispositivi Android Enterprise completamente gestiti. Il problema richiedeva che il provider KSP (Cryptography Key Storage Provider) fosse un provider legacy. È ora possibile usare anche un provider di archiviazione chiavi CNG (Cryptographic Next Generation).
  • Modifiche alla scheda Account CA del connettore di certificati PFX: il nome utente e la password (credenziali) specificati vengono ora usati per rilasciare certificati e revocare i certificati. In precedenza queste credenziali venivano usate solo per la revoca del certificato.

cronologia delle versioni di Microsoft Intune Connector

2 aprile 2019

Versione 6.1904.1.0 - Modifiche in questa versione:

  • È stato risolto un problema a causa del quale il connettore potrebbe non riuscire a registrarsi in Intune dopo l'accesso al connettore con un account amministratore globale.
  • Include correzioni di affidabilità per la revoca del certificato.
  • Include correzioni delle prestazioni per aumentare la velocità di elaborazione delle richieste di certificati PKCS.

Passaggi successivi

Creare profili certificato importati da SCEP, PKCS o PKCS per ogni piattaforma che si vuole usare. Per continuare, vedere gli articoli seguenti: