Microsoft Intune için Sertifika Bağlayıcısı

  • Makale

Microsoft Intune'un kimlik doğrulaması için sertifikaların kullanımını ve S/MIME kullanarak e-posta imzalama ve şifrelemeyi desteklemesi için, Microsoft Intune için Sertifika Bağlayıcısı'nı kullanabilirsiniz. Sertifika bağlayıcısı, Intune tarafından yönetilen cihazlarınız için sertifikaları teslim etmeye ve yönetmeye yardımcı olmak üzere şirket içi bir sunucuya yüklediğiniz yazılımdır.

Bu makalede Microsoft Intune için Sertifika Bağlayıcısı, yaşam döngüsü ve nasıl güncel tutulacakları açıklanmaktadır.

İpucu

29 Temmuz 2021'de, Microsoft Intune için Sertifika Bağlayıcısı, Microsoft Intune ve Microsoft Intune Bağlayıcısı için PFX Sertifika Bağlayıcısı'nın kullanımının yerini alır. Yeni bağlayıcı, önceki her iki bağlayıcının da işlevselliğini içerir. Microsoft için Sertifika Bağlayıcısı'nın 6.2109.51.0 sürümünün yayımlanmasıyla birlikte, önceki bağlayıcılar artık desteklenmiyor.

Bağlayıcıya genel bakış

Sertifika bağlayıcısını kullanmak için, önce Microsoft Intune yönetim merkezinden yazılım indireceksiniz ve ardından bir Windows Server'a yükleyeceksiniz.

Yükleme sırasında, aşağıdakiler için destek de dahil olmak üzere bir veya daha fazla bağlayıcı özelliği yükleyebilirsiniz:

  • Özel ve ortak anahtar çifti (PKCS) sertifikaları
  • PKCS içeri aktarılan sertifikaları
  • Basit Sertifika Kayıt Protokolü (SCEP)
  • Sertifika iptali

Bağlayıcıyı çalıştırmak için bir hizmet hesabı da atayacaksınız. Bu hesap Sertifika Yetkilinizle tüm etkileşimler ve sertifika verme, iptal ve yenileme için kullanılır. Hizmet hesabı için desteklenen seçenekler bağlayıcı sunucuları SYSTEM hesabını veya bir Etki alanı hesabını içerir.

Bağlayıcı yüklendikten sonra, bağlayıcıyı güncelleştirmek veya yüklediğiniz özellikleri değiştirmek için bağlayıcının yapılandırmasını istediğiniz zaman yeniden çalıştırabilirsiniz. Bağlayıcı, yüklendikten ve yapılandırıldıktan sonra bağlayıcılarınızı en son sürüme güncel tutmak için gelecekteki güncelleştirmeleri otomatik olarak yükleyebilir.

Intune, bağlayıcının birden çok örneğinin bir kiracıya yüklenmesini destekler ve her örnek farklı özellikleri destekleyebilir. Farklı özellikleri destekleyen birden çok bağlayıcı kullanıyorsanız, sertifika istekleri her zaman ilgili bağlayıcıya yönlendirilir. Örneğin, PKCS'yi destekleyen iki bağlayıcı yüklerseniz ve hem PKCS hem de SCEP'yi destekleyen iki bağlayıcı daha yüklerseniz, PKCS sertifika görevleri dört bağlayıcıdan herhangi biri tarafından yönetilebilir, ancak SCEP için görevler yalnızca SCEP'i destekleyen iki bağlayıcıya yönlendirilir.

Sertifika bağlayıcısının her örneği, Intune tarafından yönetilen cihazlarla aynı ağ gereksinimlerine sahiptir. Daha fazla bilgi için bkz. Microsoft Intune için ağ uç noktaları ve Intune ağ yapılandırma gereksinimleri ve bant genişliği.

Sertifika bağlayıcısının özellikleri

Microsoft Intune için Sertifika Bağlayıcısı aşağıdakileri destekler:

  • PKCS #12 sertifika istekleri.

  • Belirli bir kullanıcı için S/MIME e-posta şifrelemesi için PKCS içeri aktarılan sertifikalar (PFX dosyası).

  • Basit Sertifika Kayıt Protokolü (SCEP) sertifikaları verme. Microsoft CA olarak da adlandırılan bir Active Directory Sertifika Hizmetleri Sertifika Yetkilisi (CA) kullandığınızda, bağlayıcıyı barındıran sunucuda Ağ Cihazı Kayıt Hizmeti'ni (NDES) de yapılandırmanız gerekir.

    ScEP'in üçüncü taraf Bir Sertifika Yetkilisi ile kullanılması, Microsoft Intune için Sertifika Bağlayıcısı'nın kullanılmasını gerektirmez.

  • Sertifika iptali.

  • Yeni sürümlere otomatik güncelleştirmeler . Sertifika bağlayıcısını barındıran sunucular İnternet'e erişebildiğinde, güncel kalmak için yeni güncelleştirmeleri otomatik olarak yükler. Bağlayıcı otomatik olarak güncelleştirilemediğinde bağlayıcıyı el ile güncelleştirebilirsiniz.

  • Her örnek ayrı bir Windows Server'da olmak üzere Intune kiracısı başına bağlayıcının en fazla 100 örneğinin yüklenmesi. Birden çok bağlayıcı kullandığınızda:

    • Bağlayıcının her örneğinin, karşıya yüklenen her PFX dosyasının parolalarını şifrelemek için kullanılan özel anahtara erişimi olmalıdır.

    • Bağlayıcının her örneği aynı sürümde olmalıdır. Bağlayıcı en yeni sürüme yönelik otomatik güncelleştirmeleri desteklediğinden, güncelleştirmeler Sizin için Intune tarafından yönetilebilir.

    • Altyapınız yedekliliği ve yük dengelemeyi destekler, aynı bağlayıcı özelliklerini destekleyen tüm kullanılabilir bağlayıcı örnekleri sertifika isteklerinizi işleyebilir.

    • Bağlayıcının Intune ile iletişim kurmasına izin vermek için bir ara sunucu yapılandırabilirsiniz.

    • Sertifika Bağlayıcısı, Active Directory için Intune Bağlayıcısı ile aynı sunucuya yüklenmemelidir.

      Not

      PKCS'yi destekleyen bağlayıcının herhangi bir örneği Intune Hizmeti kuyruğundan bekleyen PKCS isteklerini almak, İçeri aktarılan sertifikaları işlemek ve iptal isteklerini işlemek için kullanılabilir. Her isteği hangi bağlayıcının işlediğini tanımlamak mümkün değildir.

      Bu nedenle, PKCS'yi destekleyen her bağlayıcının aynı izinlere sahip olması ve PKCS profillerinde daha sonra tanımlanan tüm sertifika yetkilileriyle bağlantı kurabilmesi gerekir.

Yaşam döngüsü

Düzenli aralıklarla sertifika bağlayıcısı güncelleştirmeleri yayımlar. Her güncelleştirmenin sürümü ve yayın tarihi de dahil olmak üzere yeni bağlayıcı güncelleştirmeleri için duyurular, bu makalenin Sertifika Bağlayıcısı için yenilikler bölümünde görünür.

Her yeni bağlayıcı sürümü:

  • Yeni bir sürümün yayımlanmasından sonraki altı ay boyunca desteklenir. Bu süre boyunca, otomatik güncelleştirmeler daha yeni bir bağlayıcı sürümü yükleyebilir. Güncelleştirilmiş bağlayıcı sürümleri hata düzeltmeleri, performans ve özellik geliştirmeleri içerebilir ancak bunlarla sınırlı değildir.

  • Destek dışı bağlayıcı başarısız olursa desteklenen en son sürüme güncelleştirmeniz gerekir.

  • Bağlayıcının otomatik güncelleştirmesini engellerseniz, yüklü sürüm desteği sona ermeden önce bağlayıcıyı altı ay içinde el ile güncelleştirmeyi planlayın. Destek sona erdikten sonra bağlayıcıyla ilgili sorunlar için destek almak için bağlayıcıyı destekte kalan bir sürüme güncelleştirmeniz gerekir.

  • Destek dışı olan bağlayıcılar, yeni bir sürümün yayımlanmasından sonra 18 aya kadar çalışmaya devam eder. 18 ay sonra, hizmet düzeyi iyileştirmeleri, güncelleştirmeler veya gelecekte ortaya çıkabilir ortak güvenlik açıklarını giderme konusunda bağlayıcı işlevselliği başarısız olabilir.

Örneğin, 4 Mayıs 2022'de yayımlanan bağlayıcı sürümü 6.2203.12.0 olduğunda bağlayıcının önceki 6.2202.38.0 sürümü 4 Kasım 2022'de destekten düşecektir. Bağlayıcının önceki sürümü Kasım 2023'e kadar çalışmaya devam etmelidir (ancak desteklenmemelidir). Kasım 2023'den sonra bağlayıcının önceki sürümü Intune ile iletişimi durdurabilir.

Otomatik güncelleştirme

Intune, bağlayıcı sürümü yayımlandıktan kısa süre sonra bağlayıcıyı otomatik olarak en son sürüme güncelleştirebilir.

Otomatik olarak güncelleştirmek için bağlayıcıyı barındıran sunucunun Azure güncelleştirme hizmetine erişmesi gerekir:

  • Bağlantı noktası: 443
  • Uç nokta: autoupdate.msappproxy.net

Güvenlik duvarları, altyapı veya ağ yapılandırmaları otomatik güncelleştirme için erişimi sınırladığında, engelleme sorunlarını çözün veya bağlayıcıyı yeni sürüme el ile güncelleştirin.

El ile güncelleştirme

Sertifika bağlayıcısını el ile güncelleştirme işlemi, bağlayıcıyı yeniden yüklemek için aynıdır.

Sertifika bağlayıcısı otomatik güncelleştirmeleri desteklese bile el ile güncelleştirebilirsiniz. Örneğin, ağ yapılandırmanız otomatik güncelleştirmeyi engellediğinde bağlayıcıyı el ile güncelleştirebilirsiniz.

Sertifika bağlayıcısı yeniden yükleme

  1. Bağlayıcıyı barındıran Windows Server'da bağlayıcıyı kaldırmak için bağlayıcı yükleme programını çalıştırın.

  2. Yeni sürümü yüklemek için yordamını kullanarak bağlayıcının yeni bir sürümünü yükleyin. Bağlayıcının daha yeni bir sürümünü yüklerken yeni veya güncelleştirilmiş önkoşulları denetlediğinizden emin olun.

Bağlayıcı durumu

Microsoft Intune yönetim merkezinde, durumuyla ilgili bilgileri görüntülemek için bir sertifika bağlayıcısı seçebilirsiniz:

  1. Microsoft Intune yönetim merkezinde oturum açın

  2. Kiracı yönetimi>Bağlayıcıları ve belirteçleriSertifika bağlayıcıları'na> gidin.

  3. Durumunu görüntülemek için bir bağlayıcı seçin.

Bağlayıcı durumunu görüntülerken:

  • Kullanım dışı bırakılmış bağlayıcılar bir Uyarı gösterir. Altı aylık yetkisiz kullanım süresinden sonra uyarı Hata olarak değişir.
  • Yetkisiz kullanım süresinin ötesindeki bağlayıcılar bir Hata gösterir. Bu bağlayıcılar artık desteklenmemektedir ve herhangi bir zamanda çalışmayı durdurabilir.

Günlüğe kaydetme

Microsoft Intune için Sertifika Bağlayıcısı günlükleri, bağlayıcının yüklü olduğu sunucuda Olay günlükleri olarak kullanılabilir:

  • Olay Görüntüleyicisi>Uygulama ve Hizmet Günlükleri>Microsoft>Intune>Sertifika Bağlayıcıları

Aşağıdaki günlükler kullanılabilir ve varsayılan olarak 50 MB'dır ve otomatik arşivleme etkindir:

  • Yönetici Günlüğü - Bu günlük, bağlayıcıya yapılan istek başına bir günlük olayı içerir. Olaylar, istekle ilgili bilgilerin başarılı olması veya istek ve hatayla ilgili bilgi içeren bir hata içerir.
  • İşlem Günlüğü - Bu günlük, Yönetici günlüğünde bulunan ek bilgileri görüntüler ve hata ayıklama sorunlarında kullanılabilir. Bu günlük ayrıca tek olaylar yerine devam eden işlemleri de görüntüler.

Varsayılan günlük düzeyine ek olarak, daha fazla ayrıntı elde etmek için her günlük için hata ayıklama günlüğünü etkinleştirebilirsiniz.

Olay Kimlikleri

Tüm olaylar aşağıdaki kimliklerden birine sahiptir:

  • 0001-0999 - Belirli bir senaryoyla ilişkilendirilmemiş
  • 1000-1999 - PKCS
  • 2000-2999 - PKCS İçeri Aktarma
  • 3000-3999 - İptal Et
  • 4000-4999 - SCEP
  • 5000-5999 - Bağlayıcı Durumu

Görev Kategorileri

Tüm olaylar, filtrelemeye yardımcı olmak için Görev Kategorisi ile etiketlenir. Görev kategorileri aşağıdaki listeyi içerir ancak bunlarla sınırlı değildir:

PKCS

  • Yönetici

    • Olay Kimliği: 1000 - PkcsRequestSuccess
      Bir PKCS İsteği Intune'a başarıyla yüklendi.

    • Olay Kimliği: 1001 - PkcsRequestFailure
      PkCS İsteği Intune'a karşılanamadı veya karşıya yüklenemedi.

    • Olay Kimliği: 1200 - PkcsRecryptRequestSuccess
      PKCS Yeniden Şifreleme isteği başarıyla işlendi.

    • Olay Kimliği: 1201 - PkcsRecryptRequestFailure
      PKCS Yeniden Şifreleme isteği işlenemedi.

  • Operasyonel

    • Olay Kimliği: 1002 - PkcsdownloadSuccess
      Intune'dan PKCS istekleri başarıyla indirildi.

    • Olay Kimliği: 1003 - PkcsDownloadFailure
      Intune'dan PKCS istekleri indirilemedi.

    • Olay Kimliği: 1020 - PkcsDownloadedRequest
      Intune'dan PKCS isteği başarıyla indirildi

    • Olay Kimliği: 1032 - PkcsDigiCertRequest
      Intune'dan DigiCert CA için bir PKCS isteği başarıyla indirildi.

    • Olay Kimliği: 1050 - PkcsIssuedSuccess
      Başarıyla bir PKCS sertifikası verildi.

    • Olay Kimliği: 1051 - PkcsIssuedFailedAttempt
      PKCS sertifikası düzenlenemedi, yeniden deneyecek.

    • Olay Kimliği: 1052 - PkcsIssuedFailure
      PKCS sertifikası düzenlenemedi.

    • Olay Kimliği: 1100 - PkcsUploadSuccess
      PKCS isteği sonuçları Intune'a başarıyla yüklendi.

    • Olay Kimliği: 1101 - PkcsUploadFailure
      PKCS isteği sonuçları Intune'a yüklenemedi.

    • Olay Kimliği: 1102 - PkcsUploadedRequest
      PKCS isteği Intune'a başarıyla yüklendi.

    • Olay Kimliği: 1202 - PkcsRecryptDownloadSuccess
      PKCS Yeniden Şifreleme istekleri başarıyla indirildi.

    • Olay Kimliği: 1203 - PkcsRecryptDownloadFailure
      PKCS Yeniden Şifreleme istekleri indirilemedi.

    • Olay Kimliği: 1220 - PkcsRecryptDownloadedRequest
      PKCS Yeniden Şifreleme isteği başarıyla indirildi.

    • Olay Kimliği: 1250 - PkcsRecryptReencryptSuccess
      PKCS sertifika yükü başarıyla yeniden şifrelenir.

    • Olay Kimliği: 1251 - PkcsRecryptDecryptSuccess
      PKCS sertifika yükünün şifresi başarıyla çözüldü.

    • Olay Kimliği: 1252 - PkcsRecryptDecryptFailure
      PKCS sertifika yükünün şifresi çözülemedi.

    • Olay Kimliği: 1253 - PkcsRecryptReencryptFailure
      PKCS sertifika yükü yeniden şifrelanamadı.

    • Olay Kimliği: 1300 - PkcsRecryptUploadSuccess
      PKCS Yeniden Şifreleme isteği sonuçları Intune'a başarıyla yüklendi.

    • Olay Kimliği: 1301 - PkcsRecryptUploadFailure
      PKCS Yeniden Şifreleme isteği sonuçları Intune'a yüklenemedi.

    • Olay Kimliği: 1302 - PkcsRecryptUploadedRequest
      Bir PKCS Yeniden Şifreleme isteği Intune'a başarıyla yüklendi.

PKCS İçeri Aktarma

  • Yönetici

    • Olay Kimliği: 2000 - PkcsImportRequestSuccess
      PKCS İçeri Aktarma istekleri Intune'dan başarıyla indirildi.

    • Olay Kimliği: 2001 - PkcsImportRequestFailure
      Intune'dan PKCS İçeri Aktarma isteği işlenemedi.

  • Operasyonel

    • Olay Kimliği: 2202 - PkcsImportDownloadSuccess
      PKCS İçeri Aktarma istekleri Intune'dan başarıyla indirildi.

    • Olay Kimliği: 2203 - PkcsImportDownloadFailure
      PKCS İçeri Aktarma istekleri Intune'dan indirilemedi.

    • Olay Kimliği: 2020 - PkcsImportDownloadedRequest
      Intune'dan pkcs içeri aktarma isteği başarıyla indirildi.

    • Olay Kimliği: 2050 - PkcsImportReencryptSuccess
      PKCS İçeri Aktarma sertifikası başarıyla yeniden şifrelenir.

    • Olay Kimliği: 2051 - PkcsImportReencryptFailedAttempt
      PKCS İçeri Aktarma sertifikası yeniden şifrelanamadı, yeniden denenecek.

    • Olay Kimliği: 2052 - PkcsImportReencryptFailure
      İçeri aktarılan bir sertifika yeniden şifrelenemedi.

    • Olay Kimliği: 2100 - PkcsImportUploadSuccess
      PKCS İçeri Aktarma isteği sonuçları Intune'a başarıyla yüklendi.

    • Olay Kimliği: 2101 - PkcsImportUploadFailure
      PKCS isteği sonuçları Intune'a yüklenemedi.

    • Olay Kimliği: 2102 - PkcsImportUploadedRequest
      PkCS İçeri Aktarma isteği Intune'a başarıyla yüklendi.

Iptal

  • Yönetici

    • Olay Kimliği: 3000 - RevokeRequestSuccess
      Intune'dan iptal istekleri başarıyla indirildi.

    • Olay Kimliği: 3001 - RevokeRequestFailure
      Intune'dan İptal istekleri indirilirken bir hata oluştu.

  • Operasyonel

    • Olay Kimliği: 3002 - RevokeDownloadSuccess
      Intune'dan iptal istekleri başarıyla indirildi.

    • Olay Kimliği: 3003 - RevokeDownloadFailure
      Intune'dan İptal istekleri indirilirken bir hata oluştu.

    • Olay Kimliği: 3020 - RevokeDownloadedRequest
      Intune'dan indirilen tek bir isteğin ayrıntıları

    • Olay Kimliği: 3032 - RevokeDigicertRequest
      Intune'dan iptal isteği alındı ve isteğin yerine getirilmesi için istek Digicert'e iletildi.

    • Olay Kimliği: 3050 - RevokeSuccess
      Sertifika başarıyla iptal edilmiş.

    • Olay Kimliği: 3051 - RevokeFailure
      Sertifika iptal ederken bir hata oluştu.

    • Olay Kimliği: 3052 - RevokeFailedAttempt
      Sertifika iptal edilemedi, yeniden deneyecek.

    • Olay Kimliği: 3100 - RevokeUploadSuccess
      İptal isteği sonuçları Intune'a başarıyla yüklendi.

    • Olay Kimliği: 3101 - RevokeUploadFailure
      İptal isteği sonuçları Intune'a yüklenemedi.

    • Olay Kimliği: 3102 - RevokeUploadedRequest
      İptal isteği Intune'a başarıyla yüklendi.

SCEP

  • Yönetici

    • Olay Kimliği: 4000 - ScrepRequestSuccess
      ScEP isteği başarıyla işlendi ve Intune'a bildirildi.

    • Olay Kimliği: 4001 - ScepRequestIssuedFailure
      ScEP isteği işlenemedi ve Intune'a bildirimde bulunulamadı.

    • Olay Kimliği: 4002 - ScepRequestUploadFailure
      SCEP isteği başarıyla işlendi ancak Intune'a bildiremedi.

  • Operasyonel

    • Olay Kimliği: 4003 - ScepRequestReceived
      Bir cihazdan başarıyla SCEP isteği alındı.

    • Olay Kimliği: 4004 - ScepVerifySuccess
      Intune ile bir SCEP isteği başarıyla doğrulandı.

    • Olay Kimliği: 4005 - ScepVerifyFailure
      Intune ile SCEP isteği doğrulanamadı.

    • Olay Kimliği: 4006 - ScepIssuedSuccess
      ScEP isteği için sertifika başarıyla verildi.

    • Olay Kimliği: 4007 - ScepIssuedFailure
      SCEP isteği için sertifika verilmedi.

    • Olay Kimliği: 4008 - ScepNotifySuccess
      Bir SCEP isteği için sonucu Intune'a başarıyla bildirdi.

    • Olay Kimliği: 4009 - ScepNotifyAttemptFailed
      Bir SCEP isteğinin sonucu Intune'a bildirilemedi, yeniden denenecek.

    • Olay Kimliği: 4010 - ScepNotifySaveToDiskFailed
      Diske bildirim yazılamadı ve intune'a istek durumunu bildiremiyor.

Bağlayıcı Durumu

  • Operasyonel

    • Olay Kimliği: 5000 - HealthMessageUploadSuccess Sistem durumu iletileri Intune'a başarıyla yüklendi.

    • Olay Kimliği: 5001 - HealthMessageUploadFailedAttempt Sistem durumu iletileri Intune'a yüklenemedi, yeniden deneyecek.

    • Olay Kimliği: 5002 - HealthMessageUploadFailure Sistem durumu iletileri Intune'a yüklenemedi.

Sertifika Bağlayıcısı'na yönelik yenilikler

Microsoft Intune için Sertifika Bağlayıcısı güncelleştirmeleri düzenli aralıklarla yayımlanıp altı ay boyunca desteklenir. Bağlayıcıyı güncelleştirdiğimizde değişiklikler hakkında buradan bilgi edinebilirsiniz.

Bağlayıcıya yönelik yeni güncelleştirmelerin her kiracı için kullanılabilir duruma gelmesi bir hafta veya daha fazla sürebilir.

Önemli

Nisan 2022'den itibaren, 6.2101.13.0 sürümünden önceki sertifika bağlayıcıları kullanım dışı bırakılacak ve Hata durumu gösterilecektir. Ağustos 2022'den itibaren bu bağlayıcı sürümleri sertifikaları iptal edemeyecek . Eylül 2022'den itibaren bu bağlayıcı sürümleri sertifika veremez. Buna hem Microsoft Intune için PFX Sertifika Bağlayıcısı hem de 29 Temmuz 2021'de Microsoft Intune için Sertifika Bağlayıcısı ile değiştirilen Microsoft Intune Bağlayıcısı dahildir (bu makalede açıklandığı gibi).

15 Şubat 2023, Saat 2023

Sürüm 6.2301.1.0 - Bu sürümdeki değişiklikler:

  • Intune Hizmet günlükleriyle bağıntı için günlük bilgileri
  • PFX Sertifikası verme akışında günlük iyileştirmeleri

21 Eylül 2022, Cumartesi

Sürüm 6.2206.122.0 - Bu sürümdeki değişiklikler:

  • Hata düzeltmelerine ve performans iyileştirmelerine ek olarak geliştirilmiş telemetri

30 Haziran 2022 Perşembe

Sürüm 6.2205.201.0 - Bu sürümdeki değişiklikler:

  • Intune Yöneticisinin portalda veri toplamasına izin vermek için telemetri kanalı Intune'a güncelleştirildi

4 Mayıs 2022, Mayıs 2022

Sürüm 6.2203.12.0 - Bu sürümdeki değişiklikler:

  • İstemci kimlik doğrulama sertifikaları için CNG sağlayıcılarını destekleme
  • İstemci kimlik doğrulama sertifikalarının otomatik olarak yenilenmesi için geliştirilmiş destek

10 Mart 2022, Saat 2022, İstanbul

Sürüm 6.2202.38.0. Bu güncelleştirme şunları içerir:

  • Otomatik güncelleştirme için TLS 1.2'yi destekleyen değişiklikler

Sonraki adımlar

Microsoft Intune için Sertifika Bağlayıcısı önkoşullarını gözden geçirin