Предварительные требования для соединителя сертификатов для Microsoft Intune
Перед установкой и настройкой соединителя сертификатов для Microsoft Intune ознакомьтесь с предварительными требованиям и требованиями к инфраструктуре, которые могут различаться в зависимости от того, для поддержки каких функций и компонентов будет настроен экземпляр соединителя.
Общие предварительные требования
Требования к компьютеру, на котором устанавливается программное обеспечение соединителя
Windows Server 2012 R2 или более поздней версии.
Примечание.
Установка сервера должна включать возможности рабочего стола и поддерживать использование браузера. Дополнительные сведения см. в разделе Установка сервера с возможностями рабочего стола в документации по Windows Server 2016.
.NET 4.7.2
Протокол TLS 1.2. Дополнительные сведения см . в статье Включение поддержки TLS 1.2 в вашей среде в документации Microsoft Entra.
Сервер должен соответствовать тем же требованиям к сети, что и управляемые устройства. См. сведения о сетевых конечных точках для Microsoft Intune и требованиях к конфигурации и пропускной способности сети Intune.
Для поддержки автоматических обновлений программного обеспечения соединителя сервер должен иметь доступ к службе обновления Azure.
- Порт: 443
- Конечная точка: autoupdate.msappproxy.net
Конфигурация усиленной безопасности должна быть отключена.
Стандарты шифрования с открытым ключом
Требования к шаблонам сертификатов PKCS
- Шаблоны сертификатов, которые будут использоваться для запросов PKCS, должны быть настроены с разрешениями, которые позволяют учетной записи службы соединителя сертификатов регистрировать сертификат.
- Шаблоны сертификатов должны быть добавлены в центр сертификации (ЦС).
Примечание.
Любой экземпляр соединителя, поддерживающий PKCS, можно использовать для получения ожидающих запросов PKCS из очереди службы Intune, обработки импортированных сертификатов и обработки запросов отзыва. Невозможно определить, какой конкретно соединитель обрабатывает каждый запрос.
Таким образом, каждый соединитель, поддерживающий PKCS, должен иметь одинаковые разрешения и иметь возможность подключения ко всем центрам сертификации, определенным далее в профилях PKCS.
Импортированные сертификаты PKCS
Для поддержки импортированных сертификатов PKCS сервер, на котором размещен соединитель, требует дополнительных настроек, таких как настройка доступа поставщика хранилища ключей с предоставлением пользователю службы соединителя разрешения получать ключи.
Сведения о поддержке импортированных сертификатов PKCS см. в статье Настройка и использование импортированных сертификатов PKCS в Intune.
Предварительные требования к отзыву
- Центр сертификации должен быть настроен для разрешения учетной записи службы соединителя выполнять отзыв сертификатов.
SCEP
Сервер Windows Server, на котором размещен соединитель, помимо общих предварительных требований, должен отвечать следующим предварительным требованиям.
- IIS 7 или более поздней версии
- Служба регистрации сертификатов для сетевых устройств (NDES), которая является частью роли служб сертификации Active Directory. Соединитель не поддерживается на том же сервере, где находится выдающий центр сертификации (ЦС). Дополнительные сведения см. в статье Настройка инфраструктуры для поддержки SCEP с помощью Intune.
На сервере Windows Server настройте и выберите следующие роли и компоненты сервера.
Роли сервера
- Службы сертификатов Active Directory
- Веб-сервер (IIS)
Компоненты:
- Компоненты .NET Framework 4.7
- .NET Framework 4.7
- ASP.NET 4.7
- службы WCF
- Активация по протоколам HTTP
- Компоненты .NET Framework 4.7
AD CS > Службы ролей:
- Служба регистрации сертификатов для сетевых устройств — для соединителя SCEP при использовании ЦС Майкрософт установите и настройте роль сервера службы регистрации сертификатов для сетевых устройств (NDES). При настройке NDES необходимо назначить учетную запись пользователя для использования пулом приложений NDES. NDES также имеет собственные требования.
Роль веб-сервера (IIS) > Службы ролей:
- Безопасность
- Фильтрация запросов
- Разработка приложений
- Расширяемость .NET 4.7
- ASP.NET 4.7
- Средства управления
- Консоль управления IIS
- Совместимость управления IIS 6
- Совместимость метабазы IIS 6
- Совместимость WMI в IIS 6
Кроме того, для NDES требуются следующие возможности .NET Framework 3.5.
- .NET Framework 3.5
- Активация по протоколам HTTP
- Безопасность
Требования к шаблонам сертификатов SCEP
- Шаблоны сертификатов, которые будут использоваться для запросов SCEP, должны быть настроены с разрешениями, которые позволяют учетной записи службы соединителя сертификатов автоматически регистрировать сертификат.
- Шаблоны сертификатов должны быть добавлены в центр сертификации (ЦС).
Учетные записи
Перед установкой программного обеспечения соединителя сертификатов подготовьте следующие учетные записи.
Учетная запись для установки
Для установки программного обеспечения соединителя можно использовать любую учетную запись пользователя с правами локального администратора на сервере Windows Server. Эту же учетную запись можно использовать для настройки сервера Windows Server с ролью сервера Windows NDES, если используются SCEP и ЦС Майкрософт.
Учетная запись службы соединителя сертификатов
Для соединителя сертификатов требуется учетная запись для использования в качестве учетной записи службы. С помощью этой учетной записи соединитель получает доступ к серверу Windows Server, взаимодействует с Intune и обращается к центру сертификации для обслуживания запросов PKI.
Учетная запись службы соединителя должна иметь следующие разрешения.
- Вход в качестве службы.
- Выдача сертификатов и управление ими в центре сертификации (требуется только для сценариев отзыва).
- Чтение и Регистрация для любого шаблона сертификата, который будет использоваться для выдачи сертификатов.
- Разрешения для поставщика хранилища ключей (KSP), который используется при импорте PFX. См. статью Импорт сертификатов PFX в Intune.
Для использования в качестве учетной записи службы соединителя сертификатов поддерживаются следующие варианты.
- SYSTEM
- Пользователь домена — используйте любую учетную запись пользователя домена, который является администратором на сервере Windows Server.
Дополнительные сведения см. в статье Установка соединителя сертификатов для Microsoft Intune.
Пользователь пула приложений NDES
Чтобы использовать SCEP с центром сертификации Майкрософт, необходимо добавить NDES на сервер, на котором размещен соединитель, перед установкой соединителя. При настройке NDES необходимо указать учетную запись для использования в качестве пользователя пула приложений, которую также можно называть учетной записью службы NDES. Эта учетная запись может быть локальной или учетной записью пользователя домена и должна иметь следующие разрешения.
- Чтение и Регистрация для любого шаблона сертификата SCEP, который будет использоваться для выдачи сертификатов.
- Член группы IIS_IUSRS.
Инструкции по настройке роли сервера NDES для соединителя сертификатов для Microsoft Intune см. в разделе Настройка NDES статьи Настройка инфраструктуры для поддержки SCEP с помощью Intune.
Пользователь Microsoft Entra
При настройке соединителя необходимо использовать учетную запись пользователя, которая: является глобальным администратором или администратором Intune и имеет лицензию Intune.