Соединитель сертификатов для Microsoft Intune

  • Статья

Для поддержки использования сертификатов для проверки подлинности и подписывания и шифрования электронной почты с помощью S/MIME в Microsoft Intune требуется использовать соединитель сертификатов для Microsoft Intune. Соединитель сертификатов — это программное обеспечение, устанавливаемое на локальном сервере в целях упрощения предоставления сертификатов и управления ими для устройств под управлением Intune.

В этой статье приводятся общие сведения о соединителе сертификатов для Microsoft Intune, его жизненном цикле и способах его обновления.

Совет

С 29 июля 2021 г. соединитель сертификатов для Microsoft Intune заменяет использование соединителя сертификатов PFX для Microsoft Intune и соединителя Microsoft Intune. В новом соединителе объединены функциональные возможности обоих предыдущих соединителей. С выпуском соединителя сертификатов для Microsoft версии 6.2109.51.0 предыдущие соединители больше не поддерживаются.

Обзор соединителя

Чтобы использовать соединитель сертификатов, сначала скачайте программное обеспечение из центра администрирования Microsoft Intune, которое затем установите на Windows Server.

Во время установки можно установить один компонент соединителя или несколько, включая поддержку для следующих возможностей.

  • Сертификаты с парой закрытого и открытого ключей (PKCS)
  • Импортированные сертификаты PKCS
  • Протокол SCEP
  • Отзыв сертификата

Для запуска соединителя нужно также назначить учетную запись службы. Эта учетная запись используется для всех взаимодействий с центром сертификации, а также для выдачи, отзыва и продления сертификатов. Поддерживаются следующие варианты учетной записи службы: учетная запись SYSTEM серверов соединителей или учетная запись домена.

После установки соединителя можно в любое время повторно запустить конфигурацию соединителя, чтобы обновить сам соединитель или изменить установленные компоненты. После установки и настройки соединитель может автоматически устанавливать будущие обновления, чтобы использовать самые последние выпуски соединителей.

Intune поддерживает установку нескольких экземпляров соединителя в клиенте, и каждый экземпляр может поддерживать различные функции и компоненты. При использовании нескольких соединителей, поддерживающих различные функции и компоненты, запросы сертификатов всегда направляются в соответствующий соединитель. Например, при установке двух соединителей, поддерживающих PKCS, и установке двух других соединителей, поддерживающих PKCS и SCEP, задачи сертификатов для PKCS могут управляться любым из четырех соединителей, но задачи для SCEP направляются только на два соединителя, поддерживающие SCEP.

Каждый экземпляр соединителя сертификатов предъявляет те же требования к сети, что и устройства под управлением Intune. Дополнительные сведения см. в статьях Конечные точки сети для Microsoft Intune и Требования к конфигурации сети Intune и ее пропускная способность.

Возможности соединителя сертификатов

Соединитель сертификатов для Microsoft Intune поддерживает следующие возможности и компоненты.

  • Запросы сертификатов PKCS #12.

  • Импортированные сертификаты PKCS (PFX-файл) для шифрования электронной почты S/MIME для определенного пользователя.

  • Выдача сертификатов SCEP. При использовании центра сертификации (ЦС) служб Active Directory, также называемого ЦС Майкрософт, необходимо настроить службу регистрации сертификатов для сетевых устройств (NDES) на сервере, на котором размещен соединитель.

    Для использования SCEP со сторонним центром сертификации не требуется соединитель сертификатов для Microsoft Intune.

  • Отзыв сертификатов.

  • Автоматические обновления до новых версий. Если серверы, на которых размещается соединитель сертификатов, имеют доступ к Интернету, они автоматически устанавливают новые обновления. Если соединитель не удается обновить автоматически, его можно обновить вручную.

  • Установка до 100 экземпляров соединителя для каждого клиента Intune, при этом каждый экземпляр находится на отдельном сервере Windows Server. При использовании нескольких соединителей:

    • Каждый экземпляр соединителя должен иметь доступ к закрытому ключу, используемому для шифрования паролей отправленных PFX-файлов.

    • Каждый экземпляр соединителя должен иметь одну и ту же версию. Так как соединитель поддерживает автоматическое обновление до последней версии, управление обновлениями осуществляет Intune.

    • Инфраструктура поддерживает избыточность и балансировку нагрузки, так как любой доступный экземпляр соединителя, который поддерживает те же возможности соединителя, может обрабатывать запросы сертификатов.

    • Можно настроить прокси-сервер, чтобы разрешить соединителю обмениваться данными с Intune.

    • Соединитель сертификатов не должен устанавливаться на том же сервере, что и соединитель Intune для Active Directory.

      Примечание.

      Любой экземпляр соединителя, поддерживающий PKCS, можно использовать для получения ожидающих запросов PKCS из очереди службы Intune, обработки импортированных сертификатов и обработки запросов отзыва. Невозможно определить, какой конкретно соединитель обрабатывает каждый запрос.

      Таким образом, каждый соединитель, поддерживающий PKCS, должен иметь одинаковые разрешения и иметь возможность подключения ко всем центрам сертификации, определенным далее в профилях PKCS.

Срок

Периодически выпускаются обновления соединителя сертификатов. Объявления о новых обновлениях соединителя, включая номера версий и даты выпуска каждого обновления, отображаются в этой статье в разделе Новые возможности соединителя сертификатов.

Каждый выпуск нового соединителя:

  • Поддерживается в течение шести месяцев после выпуска новой версии. В течение этого времени автоматические обновления могут устанавливать обновленные версии соединителя. В обновленных версиях соединителя могут быть исправлены ошибки, повышена производительность, улучшена функциональность и т. д.

  • В случае сбоя соединителя, который уже не поддерживается, необходимо обновить его до последней поддерживаемой версии.

  • Если вы заблокировали автоматическое обновление соединителя, запланируйте обновление этого соединителя вручную в течение шести месяцев, до прекращения поддержки установленной версии. После прекращения поддержки потребуется обновить соединитель до поддерживаемой версии, чтобы иметь возможность пользоваться поддержкой при возникновении проблем в работе соединителя.

  • Соединители, которые не поддерживаются, будут работать до 18 месяцев после выпуска новой версии. Через 18 месяцев функциональность соединителя может отказать из-за улучшений уровня обслуживания, обновлений или решения распространенных уязвимостей безопасности, которые могут быть обнаружены в будущем.

Например, если соединитель версии 6.2203.12.0, выпущенный 4 мая 2022 г., то поддержка соединителя предыдущей версии 6.2202.38.0 отпадает 4 ноября 2022 г. Предыдущая версия соединителя должна продолжать функционировать (но не поддерживаться) до ноября 2023 г. После ноября 2023 г. соединитель предыдущей версии может перестать взаимодействовать с Intune.

Автоматическое обновление

Intune может автоматически обновить соединитель до последней версии вскоре после выпуска этой версии соединителя.

Для автоматического обновления сервер, на котором размещен соединитель, должен получить доступ к службе обновления Azure:

  • Порт: 443
  • Конечная точка: autoupdate.msappproxy.net

Если брандмауэры, инфраструктура или конфигурации сети ограничивают доступ для автоматического обновления, устраните блокирующие проблемы или вручную обновите соединитель до новой версии.

Обновление вручную

Процесс обновления соединителя сертификатов вручную аналогичен процессу переустановки соединителя.

Соединитель сертификатов можно обновить вручную, даже если он поддерживает автоматические обновления. Например, можно вручную обновить соединитель, если конфигурация сети блокирует автоматическое обновление.

Повторная установка соединителя сертификатов

  1. На сервере Windows Server, на котором размещен соединитель, запустите программу установки соединителя, чтобы удалить соединитель.

  2. Чтобы установить новую версию, используйте процедуру установки новой версии соединителя. При установке новой версии соединителя обязательно проверьте наличие новых или обновленных предварительных условий.

Состояние соединителя

В Центре администрирования Microsoft Intune можно выбрать соединитель сертификатов, чтобы просмотреть сведения о его состоянии:

  1. Вход в Центр администрирования Microsoft Intune

  2. Выберите Администрирование клиента>Соединители и токены>Соединители сертификатов.

  3. Выберите соединитель, чтобы просмотреть его состояние.

При просмотре состояния соединителя:

  • Устаревшие соединители отображаются с предупреждениями. По истечении 6-месячного периода отсрочки предупреждение изменится на ошибку.
  • Для соединителей, для которых истек период отсрочки, отображается ошибка. Эти соединители больше не поддерживаются и могут перестать работать в любое время.

Ведение журнала

Журналы для соединителя сертификатов для Microsoft Intune доступны в виде журналов событий на сервере, где установлен соединитель.

  • Просмотр событий>Журналы приложений и служб>Microsoft>Intune>Соединители сертификатов

Доступны следующие журналы (размер по умолчанию 50 МБ, автоматическое архивирование включено).

  • Журнал администратора — этот журнал содержит по одному событию журнала на запрос к соединителю. События включают либо success с информацией о запросе, либо error с информацией о запросе и ошибке.
  • Операционный журнал — этот журнал отображает дополнительные сведения, помимо тех, которые присутствуют в журнале администратора, и может использоваться при отладке. В этом журнале также отображаются текущие операции, а не отдельные события.

Дополнительно к уровню ведения журнала по умолчанию можно включить ведение журнала отладки для каждого журнала, чтобы получить дополнительные сведения.

ИД событий

Все события имеют один из следующих идентификаторов:

  • 0001-0999 — событие не связано ни с одним конкретным сценарием
  • 1000-1999 — PKCS
  • 2000-2999 — импорт PKCS
  • 3000–3999 — отмена
  • 4000–4999 — SCEP
  • 5000–5999 — работоспособность соединителя

Категории задач

Все события помечаются категорией задач для удобства фильтрования. В приведенном ниже списке указаны некоторые категории задач.

Стандарты шифрования с открытым ключом

  • Admin

    • ИД события: 1000 - PkcsRequestSuccess
      Запрос PKCS отправлен в Intune.

    • ИД события: 1001 - PkcsRequestFailure
      Не удалось выполнить или отправить запрос PKCS в Intune.

    • ИД события: 1200 - PkcsRecryptRequestSuccess
      Запрос повторного шифрования PKCS обработан.

    • ИД события: 1201 - PkcsRecryptRequestFailure
      Не удалось обработать запрос повторного шифрования PKCS.

  • Операционные

    • ИД события: 1002 - PkcsDownloadSuccess
      Запросы PKCS загружены из Intune.

    • ИД события: 1003 - PkcsDownloadFailure
      Не удалось скачать запросы PKCS из Intune.

    • ИД события: 1020 - PkcsDownloadedRequest
      Запрос PKCS скачан из Intune

    • ИД события: 1032 - PkcsDigiCertRequest
      Запрос PKCS для DigiCert CA загружен из Intune.

    • ИД события: 1050 - PkcsIssuedSuccess
      Сертификат PKCS выдан.

    • ИД события: 1051 - PkcsIssuedFailedAttempt
      Не удалось выдать сертификат PKCS, будет выполнена повторная попытка.

    • ИД события: 1052 - PkcsIssuedFailure
      Не удалось выдать сертификат PKCS.

    • ИД события: 1100 - PkcsUploadSuccess
      Результаты запроса PKCS отправлены в Intune.

    • ИД события: 1101 - PkcsUploadFailure
      Не удалось отправить результаты запроса PKCS в Intune.

    • ИД события: 1102 - PkcsUploadedRequest
      Запрос PKCS отправлен в Intune.

    • ИД события: 1202 - PkcsRecryptDownloadSuccess
      Запросы повторного шифрования PKCS скачаны.

    • ИД события: 1203 - PkcsRecryptDownloadFailure
      Не удалось скачать запросы повторного шифрования PKCS.

    • ИД события: 1220 - PkcsRecryptDownloadedRequest
      Запрос повторного шифрования PKCS скачан.

    • ИД события: 1250 - PkcsRecryptReencryptSuccess
      Полезные данные сертификата PKCS зашифрованы повторно.

    • ИД события: 1251 - PkcsRecryptDecryptSuccess
      Полезные данные сертификата PKCS расшифрованы.

    • ИД события: 1252 - PkcsRecryptDecryptFailure
      Не удалось расшифровать полезные данные сертификата PKCS.

    • ИД события: 1253 - PkcsRecryptReencryptFailure
      Не удалось повторно зашифровать полезные данные сертификата PKCS.

    • ИД события: 1300 - PkcsRecryptUploadSuccess
      Результаты запроса повторного шифрования PKCS отправлены в Intune.

    • ИД события: 1301 - PkcsRecryptUploadFailure
      Не удалось отправить результаты запроса повторного шифрования PKCS в Intune.

    • ИД события: 1302 - PkcsRecryptUploadedRequest
      Запрос PKCS Reencrypt отправлен в Intune.

Импорт PKCS

  • Admin

    • ИД события: 2000 - PkcsImportRequestSuccess
      Запросы импорта PKCS скачаны из Intune.

    • ИД события: 2001 - PkcsImportRequestFailure
      Не удалось обработать запрос на импорт PKCS из Intune.

  • Операционные

    • ИД события: 2202 - PkcsImportDownloadSuccess
      Запросы импорта PKCS скачаны из Intune.

    • ИД события: 2203 - PkcsImportDownloadFailure
      Не удалось скачать запросы импорта PKCS из Intune.

    • ИД события: 2020 - PkcsImportDownloadedRequest
      Запрос импорта PKCS скачан из Intune.

    • ИД события: 2050 - PkcsImportReencryptSuccess
      Сертификат импорта PKCS зашифрован повторно.

    • ИД события: 2051 - PkcsImportReencryptFailedAttempt
      Не удалось повторно зашифровать сертификат импорта PKCS, будет выполнена повторная попытка.

    • ИД события: 2052 - PkcsImportReencryptFailure
      Не удалось повторно зашифровать импортированный сертификат.

    • ИД события: 2100 - PkcsImportUploadSuccess
      Результаты запроса импорта PKCS отправлены в Intune.

    • ИД события: 2101 - PkcsImportUploadFailure
      Не удалось отправить результаты запроса PKCS в Intune.

    • ИД события: 2102 - PkcsImportUploadedRequest
      Запрос импорта PKCS отправлен в Intune.

Отзыв

  • Admin

    • ИД события: 3000 - RevokeRequestSuccess
      Запросы отзыва из Intune скачаны.

    • ИД события: 3001 - RevokeRequestFailure
      Ошибка при скачивании запросов отзыва из Intune.

  • Операционные

    • ИД события: 3002 - RevokeDownloadSuccess
      Запросы отзыва из Intune скачаны.

    • ИД события: 3003 - RevokeDownloadFailure
      Ошибка при скачивании запросов отзыва из Intune.

    • ИД события: 3020 - RevokeDownloadedRequest
      Сведения об одном скачанном запросе из Intune

    • Идентификатор события: 3032 - RevokeDigicertRequest
      Получен запрос на отзыв из Intune и запрос на перенаправление запроса в Digicert для выполнения запроса.

    • ИД события: 3050 - RevokeSuccess
      Сертификат отозван.

    • ИД события: 3051 - RevokeFailure
      Ошибка при отзыве сертификата.

    • ИД события: 3052 - RevokeFailedAttempt
      Не удалось отозвать сертификат, будет выполнена повторная попытка.

    • ИД события: 3100 - RevokeUploadSuccess
      Результаты запроса отзыва отправлены в Intune.

    • ИД события: 3101 - RevokeUploadFailure
      Не удалось отправить результаты запроса отзыва в Intune.

    • ИД события: 3102 - RevokeUploadedRequest
      Запрос отзыва отправлен в Intune.

SCEP

  • Admin

    • ИД события: 4000 - ScrepRequestSuccess
      Запрос SCEP обработан, Intune уведомлен.

    • ИД события: 4001 - ScepRequestIssuedFailure
      Не удалось обработать запрос SCEP, Intune уведомлен.

    • ИД события: 4002 - ScepRequestUploadFailure
      Запрос SCEP обработан, но не удалось уведомить Intune.

  • Операционные

    • ИД события: 4003 - ScepRequestReceived
      Получен запрос SCEP от устройства.

    • ИД события: 4004 - ScepVerifySuccess
      Запрос SCEP успешно проверен в Intune.

    • ИД события: 4005 - ScepVerifyFailure
      Не удалось проверить запрос SCEP в Intune.

    • ИД события: 4006 - ScepIssuedSuccess
      Сертификат выдан для запроса SCEP.

    • ИД события: 4007 - ScepIssuedFailure
      Не удалось выдать сертификат для запроса SCEP.

    • ИД события: 4008 - ScepNotifySuccess
      Intune уведомлен о результате запроса SCEP.

    • ИД события: 4009 - ScepNotifyAttemptFailed
      Не удалось уведомить Intune о результате запроса SCEP, будет выполнена повторная попытка.

    • ИД события: 4010 - ScepNotifySaveToDiskFailed
      Не удалось записать уведомление на диск и уведомить Intune о состоянии запроса.

Работоспособность соединителя

  • Операционные

    • Идентификатор события: 5000 - HealthMessageUploadSuccess Сообщения о работоспособности успешно отправлены в Intune.

    • Идентификатор события: 5001 - HealthMessageUploadFailedAttempt Не удалось отправить сообщения о работоспособности в Intune, повторите попытку.

    • Идентификатор события: 5002 - HealthMessageUploadFailure Не удалось отправить сообщения о работоспособности в Intune.

Новые возможности соединителя сертификатов

Обновления для соединителя сертификатов для Microsoft Intune выпускаются на регулярной основе и поддерживаются в течение шести месяцев после выпуска. При обновлении соединителя вы можете ознакомиться с изменениями в этом разделе.

Новые обновления для соединителя могут стать доступными для каждого клиента через неделю или больше.

Важно!

Начиная с апреля 2022 г. соединители сертификатов, предшествующие версии 6.2101.13.0, станут нерекомендуемыми и будут отображать состояние ошибки. Начиная с августа 2022 г. эти версии соединителя не смогут отзывать сертификаты. Начиная с сентября 2022 г. эти версии соединителя не смогут выдавать сертификаты. Сюда входят соединитель сертификатов PFX для Microsoft Intune и соединитель Microsoft Intune, который 29 июля 2021 г. был заменен соединителем сертификатов для Microsoft Intune (как описано в этой статье).

19 сентября 2024 г.

Версия 6.2406.0.1001 — изменения в этом выпуске:

  • Изменения в требованиях к поддержке KB5014754
  • Улучшено ведение журнала импорта и конвейера PKCS
  • Исправления ошибок
  • Улучшения безопасности

15 февраля 2023 г.

Версия 6.2301.1.0 — изменения в этом выпуске:

  • Сведения о ведении журнала для сопоставления с журналами службы Intune
  • Улучшения ведения журнала в потоке выдачи сертификатов PFX

21 сентября 2022 г.

Версия 6.2206.122.0 — изменения в этом выпуске:

  • Улучшена телеметрия в дополнение к исправлению ошибок и повышению производительности

30 июня 2022 г.

Версия 6.2205.201.0 — изменения в этом выпуске:

  • Обновлен канал телеметрии в Intune, чтобы разрешить администратору Intune собирать данные на портале

4 мая 2022 г.

Версия 6.2203.12.0 — изменения в этом выпуске:

  • Поддержка поставщиков CNG для сертификатов проверки подлинности клиента
  • Улучшена поддержка автоматического продления сертификатов проверки подлинности клиента

10 марта 2022 г.

Версия 6.2202.38.0. Это обновление содержит следующее:

  • Изменения поддержки TLS 1.2 для автоматического обновления

Дальнейшие действия

Предварительные требования для соединителя сертификатов для Microsoft Intune