Certificate Connector pro Microsoft Intune

  • Článek

Pokud chcete Microsoft Intune podporovat používání certifikátů k ověřování a podepisování a šifrování e-mailů pomocí S/MIME, můžete pro Microsoft Intune použít Certificate Connector. Certificate Connector je software, který nainstalujete na místní server, který pomáhá dodávat a spravovat certifikáty pro zařízení spravovaná Intune.

Tento článek představuje Certificate Connector pro Microsoft Intune, jeho životní cyklus a způsob, jak ho udržovat v aktualizovaném stavu.

Tip

Od 29. července 2021 certificate Connector pro Microsoft Intune nahrazuje používání konektoru CERTIFIKÁTU PFX pro Microsoft Intune a Microsoft Intune Connector. Nový konektor zahrnuje funkce obou předchozích konektorů. Ve verzi 6.2109.51.0 certificate connectoru pro Microsoft se předchozí konektory už nepodporují.

Přehled konektorů

Pokud chcete použít certificate connector, nejdřív stáhnete software z Centra pro správu Microsoft Intune, který pak nainstalujete na Windows Server.

Během instalace můžete nainstalovat jednu nebo více funkcí konektoru, včetně podpory pro:

  • Certifikáty PKCS (Private a Public Key Pair)
  • Importované certifikáty PKCS
  • SCEP (Simple Certificate Enrollment Protocol)
  • Odvolání certifikátu

Ke spuštění konektoru také přiřadíte účet služby. Tento účet se používá pro všechny interakce s certifikační autoritou a pro vystavování, odvolání a prodloužení platnosti certifikátu. Mezi podporované možnosti účtu služby patří účet SYSTEM pro servery konektoru nebo účet domény.

Po instalaci konektoru můžete kdykoli znovu spustit konfiguraci konektoru a aktualizovat ho nebo změnit funkce, které jste nainstalovali. Po instalaci a konfiguraci může konektor automaticky nainstalovat budoucí aktualizace, aby vaše konektory zůstaly aktuální až do nejnovější verze.

Intune podporuje instalaci více instancí konektoru v tenantovi a každá instance může podporovat různé funkce. Pokud používáte více konektorů, které podporují různé funkce, žádosti o certifikát se vždy směrují na příslušný konektor. Pokud například nainstalujete dva konektory, které podporují PKCS, a dva další konektory, které podporují PKCS i SCEP, úlohy certifikátu pro PKCS může spravovat kterýkoli ze čtyř konektorů, ale úlohy pro SCEP jsou směrovány pouze na dva konektory, které podporují SCEP.

Každá instance konektoru certificate má stejné požadavky na síť jako zařízení spravovaná službou Intune. Další informace najdete v tématech Koncové body sítě pro Microsoft Intune a Intune požadavky na konfiguraci sítě a šířku pásma.

Možnosti certificate connectoru

Certificate Connector pro Microsoft Intune podporuje:

  • Žádosti o certifikáty PKCS č. 12

  • Importované certifikáty PKCS (soubor PFX) pro šifrování e-mailů S/MIME pro konkrétního uživatele

  • Vydávání certifikátů protokolu SCEP (Simple Certificate Enrollment Protocol). Pokud používáte certifikační autoritu (CA) služby Ad CS (Active Directory Certificate Services), označovanou také jako ca Microsoft, musíte také nakonfigurovat službu zápisu síťových zařízení (NDES) na serveru, který je hostitelem konektoru.

    Použití SCEP s certifikační autoritou třetí strany nevyžaduje použití Certificate Connectoru pro Microsoft Intune.

  • Odvolání certifikátu.

  • Automatické aktualizace nových verzí Když mají servery, které hostují konektor certifikátu, přístup k internetu, automaticky nainstalují nové aktualizace, aby zůstaly aktuální. Pokud se konektoru nepodaří automaticky aktualizovat, můžete ho aktualizovat ručně.

  • Instalace až 100 instancí konektoru na Intune tenanta s každou instancí na samostatném Windows Serveru. Pokud používáte více konektorů:

    • Každá instance konektoru musí mít přístup k privátnímu klíči používanému k šifrování hesel každého nahraného souboru PFX.

    • Každá instance konektoru by měla mít stejnou verzi. Vzhledem k tomu, že konektor podporuje automatické aktualizace nejnovější verze, můžete aktualizace spravovat pomocí Intune.

    • Vaše infrastruktura podporuje redundanci a vyrovnávání zatížení, protože všechny dostupné instance konektoru, které podporují stejné funkce konektoru, mohou zpracovávat vaše žádosti o certifikáty.

    • Proxy server můžete nakonfigurovat tak, aby konektor mohl komunikovat s Intune.

      Poznámka

      Libovolnou instanci konektoru, která podporuje pkcs, je možné použít k načtení čekajících požadavků PKCS z fronty služby Intune Service, zpracování importovaných certifikátů a zpracování žádostí o odvolání. Není možné definovat, který konektor zpracovává jednotlivé požadavky.

      Proto každý konektor, který podporuje pkcs, musí mít stejná oprávnění a musí být schopný se připojit ke všem certifikačním autoritami definovaným později v profilech PKCS.

Životní cyklus

Pravidelně se vydávají aktualizace certificate connectoru. Oznámení o nových aktualizacích konektoru, včetně verze a data vydání jednotlivých aktualizací, se zobrazí v části Co je nového pro Certificate Connector v tomto článku.

Každá nová verze konektoru:

  • Podporuje se šest měsíců po vydání nové verze. Během této doby můžou automatické aktualizace nainstalovat novější verzi konektoru. Aktualizované verze konektorů můžou zahrnovat mimo jiné opravy chyb, výkon a vylepšení funkcí.

  • Pokud selže konektor, který nemá podporu, budete muset provést aktualizaci na nejnovější podporovanou verzi.

  • Pokud zablokujete automatickou aktualizaci konektoru, naplánujte ruční aktualizaci konektoru do šesti měsíců, než skončí podpora nainstalované verze. Po ukončení podpory budete muset konektor aktualizovat na verzi, která zůstává v podpoře, abyste získali podporu pro problémy s konektorem.

  • Konektory, které nejsou podporované, budou dál fungovat až 18 měsíců po vydání nové verze. Po 18 měsících může funkce konektorů selhat kvůli vylepšení úrovně služeb, aktualizacím nebo řešení běžných chyb zabezpečení, které se můžou v budoucnu zobrazit.

Pokud například konektor verze 6.2203.12.0 vydaný 4. května 2022, předchozí verze 6.2202.38.0 přestane být podporována 4. listopadu 2022. Předchozí verze konektoru by měla fungovat (i když se nepodporuje) až do listopadu 2023. Po listopadu 2023 může předchozí verze konektoru přestat komunikovat s Intune.

Automatická aktualizace

Intune může konektor automaticky aktualizovat na nejnovější verzi krátce po vydání této verze konektoru.

Aby se server, který je hostitelem konektoru, aktualizoval automaticky, měl přístup ke službě Azure Update Service:

  • Port: 443
  • Koncový bod: autoupdate.msappproxy.net

Pokud brány firewall, infrastruktura nebo konfigurace sítě omezují přístup k automatickým aktualizacím, vyřešte problémy s blokováním nebo ručně aktualizujte konektor na novou verzi.

Ruční aktualizace

Postup ruční aktualizace konektoru certifikátu je stejný jako při přeinstalaci konektoru.

Konektor certificate můžete ručně aktualizovat, i když podporuje automatické aktualizace. Konektor můžete například ručně aktualizovat, když konfigurace sítě blokuje automatickou aktualizaci.

Přeinstalace konektoru certifikátu

  1. Na Windows Serveru, který je hostitelem konektoru, spusťte instalační program konektoru a odinstalujte konektor.

  2. Pokud chcete nainstalovat novou verzi, použijte postup k instalaci nové verze konektoru. Při instalaci novější verze konektoru nezapomeňte zkontrolovat všechny nové nebo aktualizované požadavky .

Stav konektoru

V Centru pro správu Microsoft Intune můžete vybrat konektor certificate a zobrazit informace o jeho stavu:

  1. Přihlaste se do Centra pro správu Microsoft Intune.

  2. Přejděte nastránku Správa tenanta – Konektory a tokeny– Konektory> certifikátů.>

  3. Výběrem konektoru zobrazíte jeho stav.

Při zobrazení stavu konektoru:

  • U zastaralých konektorů se zobrazí upozornění. Po uplynutí šestiměsíční lhůty se upozornění změní na Chybu.
  • U konektorů, které jsou nad rámec odkladu, se zobrazí chyba. Tyto konektory už nejsou podporované a můžou kdykoli přestat fungovat.

Protokolování

Protokoly pro Certificate Connector pro Microsoft Intune jsou k dispozici jako protokoly událostí na serveru, na kterém je konektor nainstalovaný:

  • > Prohlížeč událostí Aplikace a protokoly> služebMicrosoft>Intune>Certificate Connectors

Následující protokoly jsou dostupné a ve výchozím nastavení jsou 50 MB a mají povolenou automatickou archivaci:

  • Správa protokol – Tento protokol obsahuje jednu událost protokolu na každý požadavek na konektor. Mezi události patří buď úspěch s informacemi o požadavku, nebo chyba s informacemi o požadavku a chybě.
  • Provozní protokol – tento protokol zobrazuje další informace, které se nacházejí v protokolu Správa, a můžou být využité při ladění problémů. Tento protokol také místo jednotlivých událostí zobrazuje probíhající operace.

Kromě výchozí úrovně protokolu můžete povolit protokolování ladění pro každý protokol, abyste získali další podrobnosti.

ID událostí

Všechny události mají jedno z následujících ID:

  • 0001-0999 – Nepřidružuje se k žádnému konkrétnímu scénáři.
  • 1000-1999 - PKCS
  • 2000-2999 - Import PKCS
  • 3000-3999 - Odvolání
  • 4000-4999 - SCEP
  • 5000-5999 - Stav konektoru

Kategorie úkolů

Všechny události jsou označeny kategorií úkolů, která pomáhá při filtrování. Kategorie úkolů obsahují mimo jiné následující seznam:

PKCS

  • Správce

    • ID události: 1000 - PkcsRequestSuccess
      Požadavek PKCS se úspěšně nahrál do Intune.

    • ID události: 1001 - PkcsRequestFailure
      Požadavek PKCS se nepodařilo splnit nebo nahrát do Intune.

    • ID události: 1200 - PkcsRecryptRequestSuccess
      Žádost o opětovné šifrování PKCS se úspěšně zpracovala.

    • ID události: 1201 - PkcsRecryptRequestFailure
      Nepovedlo se zpracovat požadavek na opětovné šifrování PKCS.

  • Operační

    • ID události: 1002 - PkcsDownloadSuccess
      Požadavky PKCS se z Intune úspěšně stáhly.

    • ID události: 1003 - PkcsDownloadFailure
      Stažení požadavků PKCS z Intune se nezdařilo.

    • ID události: 1020 - PkcsDownloadedRequest
      Žádost PKCS se úspěšně stáhla z Intune

    • ID události: 1032 - PkcsDigiCertRequest
      Žádost PKCS o certifikační autoritu DigiCert se úspěšně stáhla z Intune.

    • ID události: 1050 - PkcsIssuedSuedSuccess
      Certifikát PKCS se úspěšně vystavil.

    • ID události: 1051 - PkcsIssuedFailedAttempt
      Nepodařilo se vydat certifikát PKCS, zkuste to znovu.

    • ID události: 1052 - PkcsIssuedFailure
      Certifikát PKCS se nepovedlo vydat.

    • ID události: 1100 - PkcsUploadSuccess
      Výsledky žádosti PKCS se úspěšně nahrály do Intune.

    • ID události: 1101 - PkcsUploadFailure
      Nepovedlo se nahrát výsledky požadavků PKCS do Intune.

    • ID události: 1102 - PkcsUploadedRequest
      Požadavek PKCS se úspěšně nahrál do Intune.

    • ID události: 1202 - PkcsRecryptDownloadSuccess
      Žádosti o opětovné šifrování PKCS se úspěšně stáhly.

    • ID události: 1203 - PkcsRecryptDownloadFailure
      Nepovedlo se stáhnout žádosti o opětovné šifrování PKCS.

    • ID události: 1220 - PkcsRecryptDownloadedRequest
      Žádost o opětovné šifrování PKCS se úspěšně stáhla.

    • ID události: 1250 - PkcsRecryptReencryptSuccess
      Datová část certifikátu PKCS se úspěšně znovu zašifrovala.

    • ID události: 1251 - PkcsRecryptDecryptSuccess
      Datová část certifikátu PKCS se úspěšně dešifrovala.

    • ID události: 1252 - PkcsRecryptDecryptFailure
      Dešifrování datové části certifikátu PKCS se nezdařilo.

    • ID události: 1253 - PkcsRecryptReencryptFailure
      Nepodařilo se znovu zašifrovat datovou část certifikátu PKCS.

    • ID události: 1300 - PkcsRecryptUploadSuccess
      Výsledky žádosti PKCS Reencrypt se úspěšně nahrály do Intune.

    • ID události: 1301 - PkcsRecryptUploadFailure
      Nepovedlo se nahrát výsledky žádosti PKCS Reencrypt do Intune.

    • ID události: 1302 - PkcsRecryptUploadedRequest
      Žádost o opětovné šifrování PKCS se úspěšně nahrála do Intune.

PKCS Import

  • Správce

    • ID události: 2000 - PkcsImportRequestSuccess
      Žádosti o import PKCS se z Intune úspěšně stáhly.

    • ID události: 2001 - PkcsImportRequestFailure
      Nepodařilo se zpracovat žádost o import PKCS z Intune.

  • Operační

    • ID události: 2202 - PkcsImportDownloadSuccess
      Žádosti o import PKCS se z Intune úspěšně stáhly.

    • ID události: 2203 - PkcsImportDownloadFailure
      Stažení žádostí o import PKCS z Intune se nezdařilo.

    • ID události: 2020 - PkcsImportDownloadedRequest
      Žádost o import PKCS se úspěšně stáhla z Intune.

    • ID události: 2050 - PkcsImportReencryptSuccess
      Úspěšně se znovu zašifroval certifikát PKCS Import.

    • ID události: 2051 - PkcsImportReencryptFailedAttempt
      Nepodařilo se znovu zašifrovat certifikát PKCS Import, zkuste to znovu.

    • ID události: 2052 - PkcsImportReencryptFailure
      Nepodařilo se znovu zašifrovat importovaný certifikát.

    • ID události: 2100 - PkcsImportUploadSuccess
      Výsledky žádosti o import pkcs se úspěšně nahrály do Intune.

    • ID události: 2101 - PkcsImportUploadFailure
      Nepovedlo se nahrát výsledky požadavků PKCS do Intune.

    • ID události: 2102 - PkcsImportUploadedRequest
      Žádost o import PKCS se úspěšně nahrála do Intune.

Odvolání

  • Správce

    • ID události: 3000 - RevokeRequestSuccess
      Žádosti o odvolání se z Intune úspěšně stáhly.

    • ID události: 3001 - RevokeRequestFailure
      Při stahování žádostí o odvolání z Intune došlo k chybě.

  • Operační

    • ID události: 3002 - RevokeDownloadSuccess
      Žádosti o odvolání se z Intune úspěšně stáhly.

    • ID události: 3003 - RevokeDownloadFailure
      Při stahování žádostí o odvolání z Intune došlo k chybě.

    • ID události: 3020 - RevokeDownloadedRequest
      Podrobnosti o jedné stažené žádosti z Intune

    • ID události: 3032 - RevokeDigicertRequest
      Obdrželi jsme žádost o odvolání od Intune a předání žádosti společnosti Digicert za účelem splnění žádosti.

    • ID události: 3050 - RevokeSuccess
      Certifikát se úspěšně odvolal.

    • ID události: 3051 - RevokeFailure
      Při odvolávání certifikátu došlo k chybě.

    • ID události: 3052 - RevokeFailedAttempt
      Certifikát se nepodařilo odvolat, zkuste to znovu.

    • ID události: 3100 - RevokeUploadSuccess
      Výsledky žádosti o odvolání se úspěšně nahrály do Intune.

    • ID události: 3101 - RevokeUploadFailure
      Nepovedlo se nahrát výsledky žádosti o odvolání do Intune.

    • ID události: 3102 - RevokeUploadedRequest
      Žádost o odvolání byla úspěšně odeslána do Intune.

SCEP

  • Správce

    • ID události: 4000 - ScrepRequestSuccess
      Žádost SCEP se úspěšně zpracovala a oznamovala Intune.

    • ID události: 4001 - ScepRequestIssuedFailure
      Zpracování žádosti SCEP a oznámení Intune se nezdařilo.

    • ID události: 4002 - ScepRequestUploadFailure
      Požadavek SCEP se úspěšně zpracoval, ale nepodařilo se mu oznámit Intune.

  • Operační

    • ID události: 4003 - ScepRequestReceived
      Ze zařízení se úspěšně přijal požadavek SCEP.

    • ID události: 4004 - ScepVerifySuccess
      Žádost SCEP se úspěšně ověřila pomocí Intune.

    • ID události: 4005 - ScepVerifyFailure
      Ověření požadavku SCEP s Intune se nezdařilo.

    • ID události: 4006 - ScepIssuedSuedSuccess
      Certifikát pro žádost SCEP byl úspěšně vydán.

    • ID události: 4007 - ScepIssuedFailure
      Vystavení certifikátu pro požadavek SCEP se nezdařilo.

    • ID události: 4008 - ScepNotifySuccess
      Intune o výsledku žádosti SCEP byla úspěšně oznámena.

    • ID události: 4009 - ScepNotifyAttemptFailed
      Nepodařilo se oznámit Intune o výsledku žádosti SCEP, zkuste to znovu.

    • ID události: 4010 - ScepNotifySaveToDiskFailed
      Zápis oznámení na disk se nezdařil a nemůže Intune informovat o stavu žádosti.

Stav konektoru

  • Operační

    • ID události: 5000 - HealthMessageUploadSuccess Zprávy o stavu se úspěšně nahrály do Intune.

    • ID události: 5001 - HealthMessageUploadFailedAttempt Nepovedlo se nahrát zprávy o stavu do Intune, zkuste to znovu.

    • ID události: 5002 - HealthMessageUploadFailure Nepovedlo se nahrát zprávy o stavu do Intune.

Co je nového pro Certificate Connector

Aktualizace pro Certificate Connector pro Microsoft Intune se vydávají pravidelně a pak se podporují po dobu šesti měsíců. Když konektor aktualizujeme, můžete si o změnách přečíst tady.

Dostupnost nových aktualizací konektoru pro každého tenanta může trvat týden i déle.

Důležité

Od dubna 2022 budou konektory certifikátů starší než verze 6.2101.13.0 zastaralé a budou zobrazovat stav Chyba. Od srpna 2022 nebudou tyto verze konektoru moct odvolávat certifikáty. Od září 2022 nebudou tyto verze konektoru moct vystavovat certifikáty. To zahrnuje konektor certifikátu PFX pro Microsoft Intune i konektor Microsoft Intune, který byl 29. července 2021 nahrazen certificate connectorem pro Microsoft Intune (jak je podrobně popsáno v tomto článku).

středa 15. února 2023

Verze 6.2301.1.0 – změny v této verzi:

  • Protokolování informací pro korelaci s protokoly služby Intune Service
  • Vylepšení protokolování v toku vystavování certifikátů PFX

úterý 21. září 2022

Verze 6.2206.122.0 – změny v této verzi:

  • Vylepšená telemetrie kromě oprav chyb a vylepšení výkonu

čtvrtek 30. června 2022

Verze 6.2205.201.0 – změny v této verzi:

  • Aktualizace kanálu telemetrie na Intune, aby správce Intune mohl shromažďovat data na portálu

4. května 2022

Verze 6.2203.12.0 – změny v této verzi:

  • Podpora zprostředkovatelů CNG pro certifikáty ověřování klientů
  • Vylepšená podpora automatického prodlužování platnosti ověřovacích certifikátů klientů

úterý 10. března 2022

Verze 6.2202.38.0. Tato aktualizace zahrnuje:

  • Změny podpory protokolu TLS 1.2 pro automatické aktualizace

Další kroky

Projděte si požadavky na Certificate Connector pro Microsoft Intune