Certificate Connector pro Microsoft Intune

Pokud chcete Microsoft Intune podporovat použití certifikátů k ověřování a podepisování a šifrování e-mailů pomocí S/MIME, můžete pro Microsoft Intune použít Certificate Connector. Konektor certifikátu je software, který instalujete na místní server, který pomáhá dodávat a spravovat certifikáty pro zařízení spravovaná Intune.

Tento článek představuje Certificate Connector pro Microsoft Intune, jeho životní cyklus a postup, jak ho udržovat v aktualizovaném stavu.

Tip

Od 29. července 2021 nahrazuje Certificate Connector pro Microsoft Intune použití konektoru PFX Certificate Connector pro Microsoft Intune a Microsoft Intune Connector. Nový konektor obsahuje funkce obou předchozích konektorů. Ve verzi 6.2109.51.0 Certificate Connectoru pro Microsoft se už předchozí konektory nepodporují.

Přehled konektoru

Pokud chcete použít konektor certifikátu, napřed stáhnete software z centra pro správu Microsoft Endpoint Manager, které pak nainstalujete na Windows Server.

Během instalace můžete nainstalovat jednu nebo více funkcí konektoru, včetně podpory pro:

  • Certifikáty PKCS (Private And Public Key Pair)
  • Importované certifikáty PKCS
  • Simple Certificate Enrollment Protocol (SCEP)
  • Odvolání certifikátu

Ke spuštění konektoru také přiřadíte účet služby. Tento účet se používá pro všechny interakce s certifikační autoritou a pro vystavování, odvolání a prodlužování platnosti certifikátu. Mezi podporované možnosti pro účet služby patří účet SYSTEM pro servery konektorů nebo účet domény.

Po instalaci konektoru můžete kdykoli znovu spustit konfiguraci konektoru a aktualizovat ho nebo změnit funkce, které jste nainstalovali. Po instalaci a konfiguraci může konektor automaticky nainstalovat budoucí aktualizace, aby vaše konektory zůstaly aktuální až do nejnovější verze.

Intune podporuje instalaci více instancí konektoru v tenantovi a každá instance může podporovat různé funkce. Pokud používáte více konektorů, které podporují různé funkce, žádosti o certifikát se vždy směrují do příslušného konektoru. Pokud například nainstalujete dva konektory, které podporují PKCS, a nainstalujete další dva konektory, které podporují PKCS i SCEP, úlohy certifikátů pro PKCS můžou být spravované některým ze čtyř konektorů, ale úlohy pro SCEP se směrují jenom na dva konektory, které podporují SCEP.

Každá instance konektoru certifikátu má stejné požadavky na síť jako zařízení spravovaná Intune. Další informace najdete v tématu Koncové body sítě pro Microsoft Intune a Intune požadavky na konfiguraci sítě a šířku pásma.

Možnosti konektoru certifikátu

Certificate Connector pro Microsoft Intune podporuje:

  • Žádosti o certifikát PKCS č. 12

  • Importované certifikáty PKCS (soubor PFX) pro šifrování e-mailů S/MIME pro konkrétního uživatele.

  • Vystavování certifikátů Simple Certificate Enrollment Protocol (SCEP). Pokud používáte certifikační autoritu (CA) služby Active Directory Certificate Services, označovanou také jako certifikační autorita Microsoftu, musíte také nakonfigurovat službu zápisu síťových zařízení (NDES) na serveru, který je hostitelem konektoru.

    Použití SCEP s certifikační autoritou třetí strany nevyžaduje použití Certificate Connectoru pro Microsoft Intune.

  • Odvolání certifikátu.

  • Automatické aktualizace nových verzí Když servery, které hostují konektor certifikátu, mají přístup k internetu, automaticky nainstalují nové aktualizace, aby zůstaly aktuální. Pokud se konektoru nepodaří automaticky aktualizovat, můžete konektor aktualizovat ručně.

  • Instalace až 100 instancí konektoru na Intune tenanta s každou instancí na samostatném Windows Serveru. Pokud používáte více konektorů:

    • Každá instance konektoru musí mít přístup k privátnímu klíči použitému k šifrování hesel každého nahraného souboru PFX.

    • Každá instance konektoru by měla mít stejnou verzi. Vzhledem k tomu, že konektor podporuje automatické aktualizace nejnovější verze, můžete aktualizace spravovat za vás Intune.

    • Vaše infrastruktura podporuje redundanci a vyrovnávání zatížení, protože všechny dostupné instance konektoru, které podporují stejné funkce konektoru, můžou zpracovávat žádosti o certifikáty.

    • Proxy server můžete nakonfigurovat tak, aby konektoru umožňoval komunikovat s Intune.

      Poznámka

      K načtení čekajících požadavků PKCS z fronty služby Intune Service, zpracování importovaných certifikátů a zpracování žádostí o odvolání je možné použít libovolnou instanci konektoru, která podporuje PKCS. Není možné definovat, který konektor zpracovává jednotlivé požadavky.

      Proto musí mít každý konektor, který podporuje PKCS, stejná oprávnění a být schopen se připojit ke všem certifikačním autoritům definovaným dále v profilech PKCS.

Životní cyklus

Pravidelně se vydávají aktualizace konektoru certifikátů. Oznámení o nových aktualizacích konektoru, včetně verze a data vydání každé aktualizace, se zobrazí v části Co je nového pro Certificate Connector v tomto článku.

Každá nová verze konektoru:

  • Podporuje se šest měsíců po datu vydání. Během tohoto období můžou automatické aktualizace nainstalovat novější verzi konektoru. Aktualizované verze konektoru můžou zahrnovat opravy chyb, vylepšení výkonu a funkcí, ale neomezují se na ně.

  • Pokud konektor pro nedostatek podpory selže, budete muset aktualizovat na nejnovější podporovanou verzi.

  • Pokud zablokujete automatickou aktualizaci konektoru, naplánujte ruční aktualizaci konektoru do šesti měsíců, než skončí podpora nainstalované verze. Po ukončení podpory budete muset konektor aktualizovat na verzi, která zůstává v podpoře, abyste získali podporu pro problémy s konektorem.

  • Konektory, které nejsou podporované, budou nadále fungovat až 18 měsíců po datu vydání. Po 18 měsících může funkce konektorů selhat kvůli vylepšením, aktualizacím nebo řešením běžných ohrožení zabezpečení, která by se mohla v budoucnu zobrazovat.

Například konektor verze 6.2203.12.0, který byl vydán 4. května 2022, přestane podporovat 4. listopadu 2022. Stejný konektor by měl dál fungovat (i když není podporovaný) až do listopadu 2023. Po listopadu 2023 může konektor přestat komunikovat s Intune.

Automatická aktualizace

Intune může konektor krátce po vydání verze konektoru automaticky aktualizovat na nejnovější verzi.

Aby se server, který je hostitelem konektoru, aktualizoval automaticky, musí přistupovat ke službě Azure Update Service:

  • Port: 443
  • Koncový bod: autoupdate.msappproxy.net

Pokud brány firewall, infrastruktura nebo konfigurace sítě omezují přístup pro automatickou aktualizaci, vyřešte blokující problémy nebo ručně aktualizujte konektor na novou verzi.

Ruční aktualizace

Postup ruční aktualizace konektoru certifikátu je stejný pro přeinstalaci konektoru.

Konektor certifikátu můžete aktualizovat ručně, i když podporuje automatické aktualizace. Konektor můžete například aktualizovat ručně, když konfigurace sítě blokuje automatickou aktualizaci.

Přeinstalace konektoru certifikátu

  1. Na Windows Serveru, který je hostitelem konektoru, spusťte instalační program konektoru a odinstalujte konektor.

  2. Pokud chcete nainstalovat novou verzi, pomocí postupu nainstalujte novou verzi konektoru. Při instalaci novější verze konektoru nezapomeňte zkontrolovat všechny nové nebo aktualizované požadavky .

Stav konektoru

V Centru pro správu Microsoft Endpoint Manager můžete vybrat konektor certifikátu a zobrazit informace o jeho stavu:

  1. Přihlaste se do centra pro správu Microsoft Endpoint Manager.

  2. Přejděte na konektory Tenant administrationConnectors > a tokensCertificate > .

  3. Výběrem konektoru zobrazíte jeho stav.

Při zobrazení stavu konektoru:

  • Zastaralé konektory zobrazují upozornění. Po uplynutí šestiměsíční lhůty se upozornění změní na Chybu.
  • Konektory, které jsou mimo období odkladu, zobrazují chybu. Tyto konektory už nejsou podporované a můžou kdykoli přestat fungovat.

Protokolování

Protokoly konektoru Certificate Connector pro Microsoft Intune jsou k dispozici jako protokoly událostí na serveru, na kterém je konektor nainstalovaný:

  • Prohlížeč událostí Použití a protokoly > služeb Konektory Microsoft > Intune > Certificate

Následující protokoly jsou k dispozici a mají výchozí velikost 50 MB a mají povolenou automatickou archivaci:

  • Protokol správce – tento protokol obsahuje jednu událost protokolu na požadavek konektoru. Mezi události patří úspěch s informacemi o požadavku nebo chyba s informacemi o požadavku a chybě.
  • Provozní protokol – Tento protokol zobrazuje další informace, které se nacházejí v protokolu správce, a může být použit při ladění problémů. Tento protokol také zobrazuje probíhající operace místo jednotlivých událostí.

Kromě výchozí úrovně protokolu můžete povolit protokolování ladění pro každý protokol a získat tak další podrobnosti.

ID událostí

Všechny události mají jedno z následujících ID:

  • 0001-0999 – Nepřidružuje se k žádnému konkrétnímu scénáři
  • 1000-1999 - PKCS
  • 2000–2999 – Import PKCS
  • 3000-3999 - Odvolat
  • 4000-4999 - SCEP

Kategorie úkolů

Všechny události jsou označené kategorií úkolů, která pomáhá s filtrováním. Kategorie úkolů obsahují, ale nejsou omezeny na následující seznam:

PKCS

  • Správce

    • ID události: 1000 - PkcsRequestSuccess
      Požadavek PKCS byl úspěšně odeslán do Intune.

    • ID události: 1001 - PkcsRequestFailure
      Požadavek PKCS se nepovedlo splnit nebo odeslat do Intune.

    • ID události: 1200 - PkcsRecryptRequestSuccess
      Požadavek PKCS reencrypt byl úspěšně zpracován.

    • ID události: 1201 - PkcsRecryptRequestFailure
      Zpracování požadavku PKCS Reencrypt se nezdařilo.

  • Operační

    • ID události: 1002 - PkcsDownloadSuccess
      Z Intune byly úspěšně staženy požadavky PKCS.

    • ID události: 1003 - PkcsDownloadFailure
      Nepodařilo se stáhnout požadavky PKCS z Intune.

    • ID události: 1020 - PkcsDownloadedRequest
      Žádost PKCS byla úspěšně stažena z Intune

    • ID události: 1032 - PkcsDigiCertRequest
      Z Intune se úspěšně stáhl požadavek PKCS pro certifikační autoritu DigiCert.

    • ID události: 1050 - PkcsIssuedSuccess
      Certifikát PKCS byl úspěšně vydán.

    • ID události: 1051 - PkcsIssuedFailedAttempt
      Nepodařilo se vydat certifikát PKCS, pokusí se to znovu.

    • ID události: 1052 - PkcsIssuedFailure
      Nepodařilo se vydat certifikát PKCS.

    • ID události: 1100 - PkcsUploadSuccess
      Úspěšně se nahrály výsledky požadavků PKCS do Intune.

    • ID události: 1101 - PkcsUploadFailure
      Nepodařilo se nahrát výsledky požadavků PKCS do Intune.

    • ID události: 1102 - PkcsUploadedRequest
      Požadavek PKCS byl úspěšně odeslán do Intune.

    • ID události: 1202 - PkcsRecryptDownloadSuccess
      Úspěšně se stáhly požadavky PKCS Reencrypt.

    • ID události: 1203 - PkcsRecryptDownloadFailure
      Stažení požadavků PKCS reencrypt se nezdařilo.

    • ID události: 1220 - PkcsRecryptDownloadedRequest
      Úspěšně se stáhl požadavek PKCS Reencrypt.

    • ID události: 1250 - PkcsRecryptReencryptSuccess
      Datová část certifikátu PKCS byla úspěšně znovu zašifrována.

    • ID události: 1251 - PkcsRecryptDecryptSuccess
      Datová část certifikátu PKCS byla úspěšně dešifrována.

    • ID události: 1252 - PkcsRecryptDecryptFailure
      Nepodařilo se dešifrovat datovou část certifikátu PKCS.

    • ID události: 1253 - PkcsRecryptReencryptFailure
      Opětovné šifrování datové části certifikátu PKCS se nezdařilo.

    • ID události: 1300 - PkcsRecryptUploadSuccess
      Úspěšně se nahrály výsledky požadavků PKCS Reencrypt do Intune.

    • ID události: 1301 - PkcsRecryptUploadFailure
      Nepodařilo se nahrát výsledky požadavků PKCS Reencrypt do Intune.

    • ID události: 1302 - PkcsRecryptUploadedRequest
      Úspěšně nahrál požadavek PKCS Reencrypt na Intune.

PKCS Import

  • Správce

    • ID události: 2000 - PkcsImportRequestSuccess
      Z Intune byly úspěšně staženy požadavky na import PKCS.

    • ID události: 2001 - PkcsImportRequestFailure
      Zpracování žádosti o import pkcs z Intune se nezdařilo.

  • Operační

    • ID události: 2202 - PkcsImportDownloadSuccess
      Z Intune byly úspěšně staženy požadavky na import PKCS.

    • ID události: 2203 - PkcsImportDownloadFailure
      Nepodařilo se stáhnout požadavky na import PKCS z Intune.

    • ID události: 2020 - PkcsImportDownloadedRequest
      Z Intune se úspěšně stáhl požadavek na import PKCS.

    • ID události: 2050 - PkcsImportReencryptSuccess
      Certifikát importu PKCS byl úspěšně znovu zašifrován.

    • ID události: 2051 - PkcsImportReencryptFailedAttempt
      Nepodařilo se znovu zašifrovat certifikát importu PKCS, pokusí se to znovu.

    • ID události: 2052 - PkcsImportReencryptFailure
      Opětovné šifrování importovaného certifikátu se nezdařilo.

    • ID události: 2100 - PkcsImportUploadSuccess
      Úspěšně se nahrály výsledky žádosti o import PKCS do Intune.

    • ID události: 2101 - PkcsImportUploadFailure
      Nepodařilo se nahrát výsledky požadavků PKCS do Intune.

    • ID události: 2102 - PkcsImportUploadedRequest
      Úspěšně nahrál požadavek na import PKCS do Intune.

Odvolání

  • Správce

    • ID události: 3000 - RevokeRequestSuccess
      Žádosti o odvolání z Intune byly úspěšně staženy.

    • ID události: 3001 - RevokeRequestFailure
      Při stahování žádostí o odvolání z Intune došlo k chybě.

  • Operační

    • ID události: 3002 - RevokeDownloadSuccess
      Žádosti o odvolání z Intune byly úspěšně staženy.

    • ID události: 3003 - RevokeDownloadFailure
      Při stahování žádostí o odvolání z Intune došlo k chybě.

    • ID události: 3020 - RevokeDownloadedRequest
      Podrobnosti o jedné stažené žádosti od Intune

    • ID události: 3032 - RevokeDigicertRequest
      Od Intune byla přijata žádost o odvolání a žádost o předání společnosti Digicert za účelem splnění žádosti.

    • ID události: 3050 - RevokeSuccess
      Certifikát byl úspěšně odvolán.

    • ID události: 3051 - RevokeFailure
      Při odvolávání certifikátu došlo k chybě.

    • ID události: 3052 - RevokeFailedAttempt
      Odvolání certifikátu se nezdařilo, pokusí se to znovu.

    • ID události: 3100 - RevokeUploadSuccess
      Výsledky žádosti o odvolání se úspěšně nahrály do Intune.

    • ID události: 3101 - RevokeUploadFailure
      Nepodařilo se nahrát výsledky žádosti o odvolání do Intune.

    • ID události: 3102 - RevokeUploadedRequest
      Žádost o odvolání byla úspěšně odeslána do Intune.

SCEP

  • Správce

    • ID události: 4000 - ScrepRequestSuccess
      Úspěšně zpracoval požadavek SCEP a oznámil Intune.

    • ID události: 4001 - ScepRequestIssuedFailure
      Zpracování žádosti SCEP a oznámení Intune se nezdařilo.

    • ID události: 4002 - ScepRequestUploadFailure
      Požadavek SCEP se úspěšně zpracoval, ale Intune se nepodařilo upozornit.

  • Operační

    • ID události: 4003 - ScepRequestReceived
      Ze zařízení se úspěšně přijal požadavek SCEP.

    • ID události: 4004 - ScepVerifySuccess
      Úspěšně se ověřil požadavek SCEP s Intune.

    • ID události: 4005 - ScepVerifyFailure
      Nepodařilo se ověřit požadavek SCEP s Intune.

    • ID události: 4006 - ScepIssuedSuccess
      Certifikát pro požadavek SCEP byl úspěšně vydán.

    • ID události: 4007 - ScepIssuedFailure
      Nepodařilo se vydat certifikát pro požadavek SCEP.

    • ID události: 4008 - ScepNotifySuccess
      Intune výsledku žádosti SCEP bylo úspěšně oznámeno.

    • ID události: 4009 - ScepNotifyAttemptFailed
      Nepodařilo se upozornit Intune na výsledek požadavku SCEP, pokusí se to znovu.

    • ID události: 4010 - ScepNotifySaveToDiskFailed
      Nepodařilo se zapsat oznámení na disk a nelze Intune upozornit na stav požadavku.

Co je nového pro Certificate Connector

Aktualizace konektoru Certificate Connector pro Microsoft Intune se pravidelně vydávají a pak se podporují po dobu šesti měsíců. Když konektor aktualizujeme, můžete si o změnách přečíst tady.

Dostupnost nových aktualizací konektoru pro každého tenanta může trvat týden nebo déle.

Důležité

Od dubna 2022 budou konektory certifikátů starší než verze 6.2101.13.0 zastaralé a zobrazí se stav Chyba. Tento stav nemá vliv na funkčnost. Od června 2022 nebudou tyto konektory moct vydávat certifikáty. To zahrnuje konektor PFX Certificate Connector pro Microsoft Intune i konektor Microsoft Intune Connector, který 29. července 2021 nahradil Certificate Connector pro Microsoft Intune (jak je podrobně popsáno v tomto článku).

4. května 2022

Verze 6.2203.12.0 – změny v této verzi:

  • Podpora zprostředkovatelů CNG pro certifikáty ověřování klientů
  • Vylepšená podpora automatického obnovení certifikátů ověřování klientů

10. března 2022

Verze 6.2202.38.0. Tato aktualizace zahrnuje:

  • Změny pro podporu protokolu TLS 1.2 pro automatickou aktualizaci

18. února 2022

Verze 6.2201.7.0. Tato aktualizace zahrnuje:

  • Změny podpory pro přesuny účtů
  • Explicitní zakázání pro starší verze protokolu TLS

6. ledna 2022

Verze 6.2112.1.0. Tato aktualizace zahrnuje:

  • Nové protokolování konfigurace při spouštění služeb
  • Nové protokolování změn konfigurace během zpracování služby
  • Oprava konfiguračního nástroje pro správné vymazání informací o odebrání proxy serveru
  • Oprava chyb ovlivňující opětovné připojení k Intune ve scénářích, kde se používají proxy servery

11. října 2021

Verze 6.2110.201.0. Tato aktualizace zahrnuje:

  • Oprava chyby při čtení fondu aplikací SCEP během konfigurace

23. září 2021

Verze 6.2109.51.0. – Po vydání této aktualizace končí podpora dvou předchozích konektorů certifikátů PFX Certificate Connector pro Microsoft Intune a Microsoft Intune Connector.

Tato aktualizace zahrnuje:

  • Další protokolování pro požadavky PKCS Digicert
  • Vylepšení kryptografických operací prováděných při zpracování požadavků PKCS

16. srpna 2021

Verze 6.2108.18.0. Tato aktualizace zahrnuje:

  • Oprava pro správné zobrazení aktuálního stavu konektoru v centru pro správu Microsoft Endpoint Manager.
  • Oprava, která správně hlásí selhání při doručování certifikátů SCEP.

29. července 2021

Verze 6.2107.45.0 – Vydaná verze Certificate Connectoru pro Microsoft Intune.

Tento konektor je sjednocený konektor, který zahrnuje možnosti konektoru certifikátu PFX pro Microsoft Intune i konektor Microsoft Intune Connector, který nahrazuje. V této verzi zůstanou předchozí konektory podporované, ale už nejsou vyvinuté ani dostupné ke stažení. Naplánujte nahrazení stávajících instalací jednotlivce instalacemi tohoto nového sjednoceného konektoru.

Další kroky

Projděte si požadavky pro Certificate Connector pro Microsoft Intune