Pré-requisitos do Certificate Connector para Microsoft Intune
Reveja os pré-requisitos e os requisitos de infraestrutura do Certificate Connector para Microsoft Intune. Alguns pré-requisitos e requisitos de infraestrutura podem variar consoante as funcionalidades que configurar uma instância de conector para suportar.
Pré-requisitos gerais
Requisitos do computador em que o software do conector será instalado:
Windows Server 2012 R2 ou versões posteriores.
Observação
A instalação do servidor deve incluir a Experiência Desktop e dar suporte ao uso de um navegador. Para obter mais informações, confira Instalar o Servidor com a Experiência Desktop na documentação do Windows Server 2016.
.NET 4.7.2
TLS (protocolo TLS) 1.2. Para obter mais informações, veja Ativar o suporte para o TLS 1.2 no seu ambiente na documentação do Microsoft Entra.
O conector precisa atender aos mesmos requisitos de rede dos dispositivos gerenciados. Veja Pontos finais de rede para Microsoft Intune e Intune requisitos de configuração de rede e largura de banda.
Para dar suporte a atualizações automáticas do software do conector, o servidor precisa ter acesso ao serviço de atualização do Azure:
- Porta: 443
- Ponto de extremidade: autoupdate.msappproxy.net
A Configuração de Segurança Avançada deve ser desativada.
PKCS
Requisitos para modelos de certificado de pares de chaves privadas e públicas (PKCS):
- Os modelos de certificado que utiliza para pedidos PKCS têm de ser configurados com permissões que permitam à conta de serviço do certificate connector inscrever o certificado.
- Os modelos de certificado precisam ser adicionados à AC (autoridade de certificação).
Observação
Qualquer instância do conector que dê suporte ao PKCS pode ser usada para recuperar as solicitações PKCS pendentes da fila de serviço do Intune, processar os certificados importados e processar as solicitações de revogação. Não é possível definir qual conector processará cada solicitação.
Por conseguinte, cada conector que suporte PKCS tem de ter as mesmas permissões e conseguir ligar-se a todas as autoridades de certificação definidas posteriormente nos perfis PKCS.
Certificados PKCS importados
Para dar suporte a certificados PKCS importados, o servidor que hospeda o conector exige configurações adicionais, como a configuração do acesso de um provedor de armazenamento de chaves para permitir que o usuário do serviço de conector recupere as chaves.
Para obter informações sobre o suporte para certificados PKCS importados, veja Configurar e utilizar certificados PKCS importados com Intune.
Pré-requisitos de revogação
- A autoridade de certificação precisa ser configurada para permitir que a conta de serviço do conector revogue certificados.
SCEP
Para suportar certificados SCEP (Simple Certificate Enrollment Protocol), o Windows Server que aloja o conector tem de cumprir os seguintes pré-requisitos, para além dos pré-requisitos gerais:
- IIS 7 ou versão superior
- Serviço NDES (Serviço de Registro de Dispositivo de Rede), que faz parte da função dos Serviços de Certificação do Active Directory. O conector não é compatível com o mesmo servidor da AC (autoridade de certificação) emissora. Para obter mais informações, veja Configurar a infraestrutura para suportar o SCEP com Intune.
No Windows Server, selecione para adicionar as seguintes Funções de Servidor e Funcionalidades:
Funções de servidor:
- Serviços de Certificados do Active Directory
- Web Server (IIS)
Recursos:
- Recursos do .NET Framework 4.7
- .NET Framework 4.7
- ASP.NET 4.7
- Serviços do WCF
- Ativação HTTP
- Recursos do .NET Framework 4.7
AD CS > Serviços de Função:
- Serviço de Inscrição de Dispositivos de Rede – para o SCEP do conector quando utiliza uma AC da Microsoft , instale e configure a função de servidor serviço de inscrição de dispositivos de rede (NDES). Quando configura o NDES, tem de atribuir uma conta de utilizador para utilização pelo conjunto aplicacional do NDES. O NDES também tem requisitos próprios.
Função de Servidor Web (IIS) > Serviços de Função:
- Segurança
- Filtragem de Solicitações
- Desenvolvimento de aplicativo
- Extensibilidade 4.7 do .NET
- ASP.NET 4.7
- Ferramentas de gerenciamento
- Console de gerenciamento do IIS
- Compatibilidade de gerenciamento do IIS 6
- Compatibilidade de metabase do IIS 6
- Compatibilidade com WMI do IIS 6
Além disso, o NDES exige os seguintes recursos do .NET Framework 3.5:
- .NET Framework 3.5
- Ativação HTTP
- Segurança
Requisitos dos modelos de certificado SCEP:
- Os modelos de certificado que utiliza para pedidos SCEP têm de ser configurados com permissões que permitam à conta de serviço do Certificate Connector inscrever automaticamente o certificado.
- Os modelos de certificado precisam ser adicionados à AC.
Contas
Prepare as contas a seguir antes de instalar o software do conector de certificado.
Conta de instalação
Você pode usar qualquer conta de usuário que tenha permissões administrativas locais no Windows Server para instalar o software do conector. Use essa mesma conta para configurar o Windows Server com a função de servidor NDES Windows caso use o SCEP e uma AC da Microsoft.
Conta de serviço do conector de certificado
O conector de certificado exige uma conta para uso como uma conta de serviço. Essa conta é usada pelo conector para acessar o Windows Server, comunicar-se com o Intune e acessar a autoridade de certificação para atender às solicitações de PKI.
A conta de serviço do conector precisa ter as seguintes permissões:
- Fazer Logon como Serviço
- Permissões Emitir e Gerenciar Certificados na autoridade de certificação (necessário apenas para os cenários de revogação).
- Permissões de Leitura e Inscrição em qualquer modelo de certificado que utilize para emitir certificados.
- Permissões no KSP (Provedor de Armazenamento de Chaves) usado pela Importação de PFX. Confira Importar Certificados PFX para o Intune.
Há suporte para as seguintes opções para uso como a conta de serviço do conector de certificado:
- SISTEMA
- Usuário de domínio – Use qualquer conta de usuário de domínio que seja um administrador no Windows Server.
Para obter mais informações, confira Instalar o Certificate Connector para Microsoft Intune.
Usuário do pool de aplicativos NDES
Para utilizar o SCEP com uma AC da Microsoft, tem de adicionar o NDES ao servidor que aloja o conector antes de instalar o conector. Ao configurar o NDES, tem de especificar uma conta para utilização como utilizador do conjunto aplicacional, que também pode ser referida como a conta de serviço do NDES. Essa conta pode ser uma conta de usuário local ou de domínio e precisa ter as seguintes permissões:
- Permissões de Leitura e Inscrição em cada modelo de certificado SCEP que utiliza para emitir certificados.
- Membro do grupo IIS_IUSRS.
Para obter diretrizes sobre como configurar a função de servidor NDES para o Certificate Connector para Microsoft Intune, confira Configurar o NDES em Configurar a infraestrutura para dar suporte ao SCEP com o Intune.
Microsoft Entra utilizador
Ao configurar o conector, tem de utilizar uma conta de utilizador que: é um Administração Global ou Intune Administração e tem uma licença de Intune atribuída.