Certificate Connector for Microsoft Intune の前提条件

証明書コネクタ for Microsoft Intuneの前提条件とインフラストラクチャ要件を確認します。 一部の前提条件とインフラストラクチャ要件は、サポートするようにコネクタ インスタンスを構成する機能によって異なる場合があります。

一般的な前提条件

コネクタ ソフトウェアをインストールするコンピューターの要件:

• Windows Server 2012 R2 以降。

  注:

  サーバーのインストールにはデスクトップ エクスペリエンスが含まれ、ブラウザーの使用がサポートされている必要があります。 詳細については、Windows Server 2016 ドキュメントの「デスクトップ エクスペリエンス搭載サーバーのインストール」を参照してください。

• .NET 4.7.2

• トランスポート層セキュリティ (TLS) 1.2。 詳細については、Microsoft Entraドキュメントの「環境での TLS 1.2 のサポートを有効にする」を参照してください。

• サーバーは、マネージド デバイスと同じネットワーク要件を満たす必要があります。 Microsoft Intuneとネットワーク構成の要件と帯域幅のIntuneについては、「ネットワーク エンドポイント」を参照してください。

• コネクタ ソフトウェアの自動更新をサポートするには、サーバーで Azure 更新サービスにアクセスできる必要があります。

  • ポート: 443
  • エンドポイント: autoupdate.msappproxy.net

• 拡張セキュリティ構成 を非アクティブ化する必要があります。

PKCS

秘密キーと公開キーのペア (PKCS) 証明書テンプレートの要件:

• PKCS 要求に使用する証明書テンプレートは、証明書コネクタ サービス アカウントが証明書を登録できるようにするアクセス許可で構成する必要があります。
• 証明書テンプレートを証明機関 (CA) に追加する必要があります。

PKCS インポートされた証明書

PKCS のインポートされた証明書をサポートするには、コネクタをサポートするサーバーには追加の構成が必要です。たとえば、コネクタ サービスのユーザーがキーを取得できるようにキー記憶域プロバイダーのアクセスを構成することなどがあります。

PKCS インポートされた証明書のサポートについては、「Intuneでインポートされた PKCS 証明書を構成して使用する」を参照してください。

失効の前提条件

• コネクタ サービス アカウントが証明書を失効できるように、証明機関を構成する必要があります。

SCEP

簡易証明書登録プロトコル (SCEP) 証明書をサポートするには、コネクタをホストする Windows Server が 、一般的な前提条件に加えて、次の前提条件を満たす必要があります。

• IIS 7 以降
• ネットワーク デバイス登録サービス (NDES)。これは、Active Directory Domain Services ロールの一部です。 発行元の証明機関 (CA) と同じサーバーではこのコネクタはサポートされていません。 詳細については、「Intuneで SCEP をサポートするようにインフラストラクチャを構成する」を参照してください。

Windows Server で、 を選択して、次のサーバーの役割と機能を追加します。

• サーバー ロール:

  • Active Directory 証明書サービス
  • Web サーバー (IIS)

• 機能:

  • .NET Framework 4.7 の機能
    • .NET Framework 4.7
    • ASP.NET 4.7
    • WCF サービス
      • HTTP アクティブ化

• AD CS > 役割サービス:

  • ネットワーク デバイス登録サービス - Microsoft CA を使用する場合のコネクタ SCEP の場合は、ネットワーク デバイス登録サービス (NDES) サーバーロールをインストールして構成します。 NDES を構成するときは、 NDES アプリケーション プールで使用するユーザー アカウントを割り当てる必要があります。 NDES には、独自の要件もあります。

• Web サーバー ロール (IIS) > 役割サービス:

  • セキュリティ
    • 要求のフィルタリング
  • アプリケーション開発
    • .NET 拡張機能 4.7
    • ASP.NET 4.7
  • 管理ツール
    • IIS 管理コンソール
    • IIS 6 管理互換
      • IIS 6 メタベース互換
      • IIS 6 WMI 互換

  さらに、NDES では、次の .NET Framework 3.5 機能が必要です。

  • .NET Framework 3.5
  • HTTP アクティブ化

SCEP 証明書テンプレートの要件:

• SCEP 要求に使用する証明書テンプレートは、Certificate Connector サービス アカウントが証明書を自動登録できるようにするアクセス許可で構成する必要があります。
• 証明書テンプレートを CA に追加する必要があります。

アカウント

証明書コネクタ ソフトウェアをインストールする前に、次のアカウントを準備します。

インストール アカウント

コネクタ ソフトウェアをインストールするには、Windows Server でローカル管理アクセス許可を持つ任意のユーザー アカウントを使用します。 SCEP と Microsoft CA を使用する場合は、この同じアカウントを使用して、NDES Windows サーバー ロールで Windows Server を構成できます。

証明書コネクタ サービス アカウント

証明書コネクタには、サービス アカウントとして使用するアカウントが必要です。 このアカウントは、Windows Server へのアクセス、Intune との通信、PKI 要求を処理するための証明機関へのアクセスを行うためにコネクタによって使用されます。

コネクタ サービス アカウントには、次のアクセス許可が必要です。

• サービスとしてログオン
• 証明機関に対する証明書の発行と管理のアクセス許可 (失効シナリオにのみ必要)。
• 証明書の発行に使用するすべての証明書テンプレートに対する読み取りと登録のアクセス許可。
• PFX インポートで使用されるキー記憶域プロバイダー (KSP) へのアクセス許可。 Intune への PFX 証明書のインポートに関するページを参照してください。

次のオプションは、証明書コネクタ サービス アカウントとしての使用がサポートされています。

• SYSTEM
• ドメイン ユーザー - Windows Server の管理者である任意のドメイン ユーザー アカウントを使用します。

詳細については、「Certificate Connector for Microsoft Intune をインストールする」を参照してください。

NDES アプリケーション プールのユーザー

Microsoft CA で SCEP を使用するには、コネクタをインストールする前に、コネクタをホストするサーバーに NDES を追加する必要があります。 NDES を構成するときは、アプリケーション プール ユーザーとして使用するアカウントを指定する必要があります。これは、NDES サービス アカウントとも呼ばれます。 このアカウントは、ローカルまたはドメイン ユーザー アカウントにすることができ、次のアクセス許可が必要です。

• 証明書の発行に使用する各 SCEP 証明書テンプレートに対する読み取りと登録のアクセス許可。
• IIS_IUSRS グループのメンバー。

Certificate Connector for Microsoft Intune の NDES サーバー ロールの構成に関するガイダンスについては、「Intune を使用して SCEP をサポートするようにインフラストラクチャを構成する」の「NDES を設定する」を参照してください。

Microsoft Entra ユーザー

コネクタを構成するときは、グローバル 管理またはIntune 管理で、Intune ライセンスが割り当てられているユーザー アカウントを使用する必要があります。

次の手順

Certificate Connector for Microsoft Intune をインストールする