Zertifikatconnectors für Microsoft Intune

  • Artikel

Wichtig

Ab dem 29. Juli 2021 ersetzt der Zertifikatsconnector für Microsoft Intune den PFX-Zertifikatsconnector für Microsoft Intune und den Microsoft Intune-Connector. Der neue Connector umfasst die Funktionen beider früheren Connectors. Der Support für die vorherigen Connectors, die in diesem Artikel beschrieben werden, endete am 22.9.2021 mit der Veröffentlichung von Version 6.2109.51.0 des Zertifikatconnectors für Microsoft.

Wenn Sie einen neuen Zertifikatconnector installieren oder einen Connector erneut installieren müssen, installieren Sie den neueren Microsoft Intune Certificate Connector. Weitere Informationen finden Sie unter Microsoft Intune Certificate Connector.

Zum Unterstützen der Verwendung von Zertifikaten für die Authentifizierung und die Signierung und Verschlüsselung von E-Mails mithilfe von S/MIME erfordert Intune einen Zertifikatconnector. Ein Zertifikatconnector ist eine Software, die Sie auf einem lokalen Server installieren können. Der Connector ermöglicht über die Cloud verwalteten Geräten die Bereitstellung von Zertifikaten über eine lokale Infrastruktur, ähnlich wie eine ausstellende Zertifizierungsstelle.

Verfügbare Connectors

Für Intune stehen zwei Zertifikatconnectors zur Verfügung. Für jeden bestehen eigene Anwendungsfälle und Anforderungen.

PFX Certificate Connector für Microsoft Intune

Der PFX-Zertifikatconnector unterstützt die Zertifikatbereitstellung für PKCS#12-Zertifikatanforderungen und verarbeitet Anforderungen für PFX-Dateien, die für die S/MIME-E-Mail-Verschlüsselung für einen bestimmten Benutzer in Intune importiert werden.

Tipp

Vor dem Update vom August für diesen Connector (Version 6.2008.60.607) wurden PKCS #12-Zertifikatanforderungen vom Intune-Zertifikatconnector verarbeitet. Mit dem Update vom August wurde die Funktionalität für alle PKCS-Zertifikatanforderungen im PFX-Zertifikatconnector konsolidiert, der automatische Updates des Connectors auf neue Versionen unterstützt und die Verwendung der Version 4.7.2 von .NET Framework erfordert.

Dieser Connector unterstützt auch die folgenden drei Plattformen, die nicht durch den Microsoft Intune-Connector unterstützt werden:

  • Android Enterprise: vollständig verwaltet
  • Android Enterprise: dediziert
  • Android Enterprise: unternehmenseigenes Arbeitsprofil

Die Funktionalität des Microsoft Intune-Connectors ist nicht veraltet und kann weiterhin mit PKCS-Zertifikatprofilen für einige Plattformen verwendet werden. Wenn Sie jedoch nicht SCEP verwenden oder die Verwendung von NDES anderweitig benötigen, können Sie zum PFX-Zertifikatconnector wechseln und NDES von Ihren Servern entfernen.

Der PFX-Zertifikatconnector:

  • unterstützt mehrere Instanzen dieses Connectors für jeden Intune-Mandanten. Jede Instanz dieses Connectors muss auf einer Windows Server-Instanz installiert werden und über Zugriff auf den privaten Schlüssel verfügen, der zum Verschlüsseln der Kennwörter für die hochgeladenen PFX-Dateien verwendet wurde.

    Hinweis

    Alle Connectors müssen über die gleichen Berechtigungen verfügen und in der Lage sein, eine Verbindung mit allen Zertifizierungsstellen herzustellen, die später in den PKCS-Profilen definiert werden.

    Jede Instanz dieses Connectors kann ausstehende PKCS-Anforderungen aus der Intune-Dienstwarteschlange abrufen. Es ist daher nicht möglich, zu definieren, welcher Connector die einzelnen Anforderungen verarbeitet.

    Das Gleiche gilt für die Sperrung von Zertifikaten.

  • Kann auf demselben Server installiert werden, der eine Instanz des Microsoft Intune-Connectors hostet.

  • Unterstützt bis zu 100 Instanzen dieses Connectors pro Mandant, wobei sich jede Instanz auf einem separaten Windows-Server befindet. Wenn Sie mehrere Connectors verwenden:

    • müssen alle Instanzen des PFX-Zertifikatconnectors in Ihrer Umgebung dieselbe Version aufweisen.
    • Ihre Infrastruktur unterstützt Redundanz und Lastenausgleiche, da jede verfügbare Connectorinstanz Ihre Zertifikatanforderungen verarbeiten kann.

  • Unterstützt automatische Updates auf neue Versionen. Zum automatischen Installieren neuer Version muss der Computer, der den Connector hostet, autoupdate.msappproxy.net über Port 443 kontaktieren. Wenn das automatische Update des Connectors fehlschlägt, können Sie das Update manuell durchführen.

  • unterstützt die Zertifikatsperrung (erfordert die Ausführung von Version 6.2008.60.607 oder höher).

  • weist dieselben Netzwerkanforderungen wie verwaltete Geräte auf.

    Weitere Informationen finden Sie unter Netzwerkendpunkte für Microsoft Intune und Anforderungen an die Intune-Netzwerkkonfiguration und Bandbreite.

Der Windows-Server, auf dem der Connector installiert wird, muss:

  • Windows Server 2012 R2 oder höher ausführen.
  • .NET Framework 4.7.2 ausführen.

So installieren Sie den PFX-Zertifikatconnector:

Weitere Informationen zur Installation dieses Connectors finden Sie unter Herunterladen, Installieren und Konfigurieren des PFX-Zertifikatconnectors.

Microsoft Intune-Connector

Der Microsoft Intune-Connector wird manchmal Microsoft Intune Certificate Connector genannt. Dieser Connector unterstützt die Zertifikatbereitstellung, wenn Sie SCEP (Simple Certificate Enrollment-Protokoll) verwenden und über eine Zertifizierungsstelle der Active Directory-Zertifikatdienste verfügen. Diese Art von Zertifizierungsstelle wird auch Microsoft-Zertifizierungsstelle genannt.

Wenn Sie SCEP mit einer Microsoft-Zertifizierungsstelle verwenden, müssen Sie auch NDES (Network Device Enrollment Service) konfigurieren. Aus diesem Grund wird dieser Connector häufig als NDES-Zertifikatconnector bezeichnet.

Wenn Sie eine Drittanbieterzertifizierungsstelle verwenden, müssen Sie diesen Connector nicht verwenden, und NDES ist nicht erforderlich.

Der Microsoft Intune-Connector:

  • Unterstützt das Ausstellen von SCEP-Zertifikaten

  • Kann verwendet werden, um PKCS-Zertifikate für die meisten Geräteplattformen auszustellen, jedoch nicht für alle. Dieser Connector unterstützt nicht das Ausstellen von PKCS-Zertifikaten für Folgendes:

    • Android Enterprise: vollständig verwaltet
    • Android Enterprise: dediziert
    • Android Enterprise: unternehmenseigenes Arbeitsprofil

    Um diese Plattformen zu unterstützen, verwenden Sie den PFX-Zertifikatconnector, der das Ausstellen von PKCS-Zertifikaten für alle Geräteplattformen unterstützt. Wenn Sie SCEP nicht verwenden, können Sie diesen Connector deinstallieren und nur den PFX-Zertifikatconnector verwenden.

    Hinweis

    Bei PKCS müssen alle Connectors über die gleichen Berechtigungen verfügen und in der Lage sein, eine Verbindung mit allen Zertifizierungsstellen herzustellen, die später in den PKCS-Profilen definiert werden.

    Jede Instanz dieses Connectors kann ausstehende PKCS-Anforderungen aus der Intune-Dienstwarteschlange abrufen. Es ist daher nicht möglich, zu definieren, welcher Connector die einzelnen Anforderungen verarbeitet.

    Das Gleiche gilt für die Sperrung von Zertifikaten.

  • Wird auf einem Windows-Server installiert, der auch eine Instanz des PFX-Zertifikatconnectors hosten kann.

  • unterstützt bis zu 100 Instanzen dieses Connectors pro Mandant, wobei sich jede Instanz auf einem separaten Windows-Server befindet. Wenn Sie mehrere Connectors verwenden:

    • sollten alle Instanzen des Microsoft Intune-Connectors in Ihrer Umgebung dieselbe Version aufweisen.
    • unterstützt Ihre Infrastruktur Redundanz und Lastenausgleiche, da jede verfügbare Connectorinstanz Ihre Zertifikatanforderungen verarbeiten kann.

  • erfordert ein manuelles Update zum Installieren der neuen Version des Connectors. Für ein manuelles Update müssen Sie den aktuellen Connector deinstallieren und dann die neue Version des Connectors installieren. Es sollten keine weiteren Aktionen erforderlich sein.

  • unterstützt den FIPS-Modus (Federal Information Processing Standard). FIPS ist nicht erforderlich. Wenn FIPS aktiviert ist, können Sie Zertifikate ausstellen und widerrufen.

  • weist dieselben Netzwerkanforderungen wie verwaltete Geräte auf.

    Weitere Informationen finden Sie unter Netzwerkendpunkte für Microsoft Intune und Anforderungen an die Intune-Netzwerkkonfiguration und Bandbreite.

Der Windows-Server, auf dem der Connector installiert wird, muss:

  • Windows Server 2012 R2 oder höher ausführen.
  • .NET Framework 4.5 ausführen. Wenn dieser Connector auf demselben Server wie der PFX-Zertifikatconnector installiert wird, müssen Sie .NET Framework 4.7.2 verwenden, da dies für den PFX-Connector erforderlich ist.
  • ein anderer Server als der sein, der Ihre ausstellende Zertifizierungsstelle hostet.
  • über Zugriff auf einen Server verfügen, auf dem NDES ausgeführt wird, wenn er für SCEP mit einer Microsoft-Zertifizierungsstelle verwendet wird. NDES wird auf einem Windows-Server ausgeführt. Dabei kann es sich um denselben Server handeln, auf dem dieser Connector ausgeführt wird.

Wenn NDES erforderlich ist:

So installieren Sie den Microsoft Intune-Connector:

Anweisungen zur Installation dieses Connectors finden Sie unter Konfigurieren der Infrastruktur zur Unterstützung von SCEP mit Intune.

Connector-Lebenszyklus

Wichtig

Ab dem 29. Juli 2021 ersetzt der Zertifikatconnector für Microsoft Intune die Verwendung von PFX Certificate Connector für Microsoft Intune und Microsoft Intune Connector. Der neue Connector umfasst die Funktionen beider früheren Connectors.

Es werden regelmäßig aktualisierte Versionen der Zertifikatconnectors veröffentlicht. Ankündigungen für neue Connectorreleases finden Sie im Artikel Neuerungen in Microsoft Intune sowie im Abschnitt Neuerungen für Connectors gegen Ende dieses Artikels.

Wenn eine neue Version veröffentlicht wird, wird die Unterstützung für die vorherige Version mit einer begrenzten Übergangsfrist für die fortgesetzte Verwendung eingestellt. Nach Ablauf der Übergangsfrist endet die Unterstützung für die veraltete Version. Dann kann sie jederzeit nicht mehr funktionieren. Die Übergangsfrist beträgt sechs Monate.

Sie sollten so bald wie möglich ein Update auf die neueste Version Ihres Connectors planen. Jeder Connector weist einen anderen Updatepfad auf:

  • PFX-Zertifikatconnector für Microsoft Intune: unterstützt automatische Updates.
  • Microsoft Intune-Connector: erfordert ein manuelles Update.

Automatische Aktualisierung

Wenn es vom Connectortyp und Ihrer Umgebung unterstützt wird, kann Intune ein automatisches Update auf die neueste Version des Connectors durchführen, kurz nachdem diese Connectorversion veröffentlicht wurde.

Damit automatische Updates durchgeführt werden können, muss der Server, auf dem der Connector gehostet wird, auf den Azure-Updatedienst zugreifen:

  • Port: 443
  • Endpunkt: autoupdate.msappproxy.net

Wenn der Zugriff für automatische Updates durch Firewalls, die Infrastruktur oder Netzwerkkonfigurationen eingeschränkt wird, müssen Sie diese Blockierprobleme beheben oder den Connector manuell auf die neueste Version aktualisieren.

Manuelles Update

Die Vorgehensweise zum Durchführen eines manuellen Updates für einen Zertifikatconnector ist identisch mit der Neuinstallation eines Connectors.

Sie können ein manuelles Update für einen Zertifikatconnector durchführen, selbst wenn dieser automatische Updates unterstützt. Beispielsweise können Sie ein manuelles Update für den Connector durchführen, wenn ein automatisches Update durch Ihre Netzwerkkonfiguration blockiert wird.

Neuinstallation eines Zertifikatconnectors

  1. Verwenden Sie Windows-Apps und -Features zum Deinstallieren des Connectors auf dem Windows-Server, der den Connector hostet.

  2. Verwenden Sie anschließend die Vorgehensweise zum Installieren einer neuen Version des Connectors. Stellen Sie sicher, dass Sie beim Installieren einer neueren Version eines Connectors nach neuen oder aktualisierten Voraussetzungen prüfen:

Connector-status

Im Microsoft Intune Admin Center können Sie einen Zertifikatconnector auswählen, um Informationen zu dessen status anzuzeigen:

  1. Melden Sie sich beim Microsoft Intune Admin Center an.

  2. Navigieren Sie zu Mandantenverwaltung>Connectors und Tokens>Zertifikatconnectors.

  3. Wählen Sie den Connector aus, dessen Status Sie anzeigen möchten.

Beim Anzeigen des Connectorstatus:

  • werden veraltete Connectors mit einer Warnung angezeigt. Die Warnung wird nach der sechs Monate langen Übergangsfrist in einen Fehler geändert.
  • wird für Connectors nach Überschreitung der Übergangsfrist ein Fehler angezeigt. Diese Connectors werden nicht mehr unterstützt und können jederzeit ihre Funktionsfähigkeit verlieren.

Protokollierung

Die folgenden Protokollierungsdetails sind ab Connectorversion 6.2101.13.0 verfügbar.

Protokolle für den PFX-Zertifikatconnector sind als Ereignisprotokolle auf Servern verfügbar, auf denen der Connector installiert ist:

  • Ereignisanzeige>Anwendungs- und Dienstprotokolle>Microsoft>Intune>Zertifikatconnectors

Die folgenden Protokolle sind verfügbar und weisen standardmäßig 50 MB auf. Die automatische Archivierung ist aktiviert:

  • Administratorprotokoll: Dieses Protokoll enthält ein Protokollereignis pro Connectoranforderung. Als Ereignis wird entweder über einen Erfolg zusammen mit Informationen zur Anforderung informiert, oder über einen Fehler mit Informationen zur Anforderung und zum Fehler.
  • Betriebsprotokoll: Dieses Protokoll zeigt zusätzliche Informationen, die im Administratorprotokoll vorhanden sind. Es kann für Debugprobleme verwendet werden. Dieses Protokoll zeigt außerdem aktive Vorgänge für den PFX-Zertifikatconnector anstelle von einzelnen Ereignissen an.

Ereignis-IDs

Alle Ereignisse weisen eine der folgenden IDs auf:

  • 0001-0999: Diese ID ist keinem bestimmten Szenario zugeordnet.
  • 1.000–1.999: PKCS
  • 2.000–2.999: PKCS-Import
  • 3.000–3.999: Sperren

Aufgabenkategorien

Allen Ereignissen wird eine Taskkategorie als Tag zugewiesen, um die Filterung zu erleichtern. Die folgende nicht vollständige Liste enthält Beispiele für Taskkategorien:

PKCS

  • Admin
    • PkcsRequestSuccess: Eine PKCS-Anforderung wurde erfolgreich ausgeführt und in Intune hochgeladen.
    • PkcsRequestFailure: Beim Hochladen einer PKCS-Anforderung zu Intune ist ein Fehler aufgetreten.
  • Betrieblich
    • PkcsDownloadSuccess: Die PKCS-Anforderungen wurden erfolgreich von Intune heruntergeladen.
    • PkcsDownloadFailure: Beim Herunterladen der PKCS-Anforderungen aus Intune ist ein Fehler aufgetreten.
    • PkcsDownloadedRequest: In dieser Kategorie finden Sie Details zu einer einzelnen heruntergeladenen Anforderung aus Intune.
    • PkcsIssuedSuccess: Ein Zertifikat für eine Anforderung wurde ausgestellt.
    • PkcsIssuedFailedAttempt: Beim Ausstellen eines Zertifikats für eine Anforderung ist ein Fehler aufgetreten.
    • PkcsIssuedFailure: Beim Ausstellen eines Zertifikats für eine Anforderung ist ein Fehler aufgetreten.
    • PkcsUploadSuccess: In dieser Kategorie finden Sie Details zu einer erfolgreichen Anforderung, die zu Intune hochgeladen wurde.
    • PkcsUploadFailure : Fehler beim Hochladen von Anforderungen an Intune
    • PkcsUploadedRequest: In dieser Kategorie finden Sie Details zu einer hochgeladenen Anforderung in Intune.

PKCS-Import

  • Admin
    • PkcsImportRequestSuccess: PKCS-Importanforderungen wurden erfolgreich aus Intune heruntergeladen.
    • PkcsImportRequestFailure: Beim Herunterladen von PKCS-Importanforderungen aus Intune ist ein Fehler aufgetreten.
  • Betrieblich
    • PkcsImportDownloadSuccess: PKCS-Importanforderungen wurden erfolgreich aus Intune heruntergeladen.
    • PkcsImportDownloadFailure: Beim Herunterladen der PKCS-Importanforderungen aus Intune ist ein Fehler aufgetreten.
    • PkcsImportDownloadedRequest: In dieser Kategorie finden Sie Details zu einer einzelnen heruntergeladenen Anforderung aus Intune.
    • PkcsImportReencryptSuccess: Ein importiertes Zertifikat wurde noch mal verschlüsselt.
    • PkcsImportReencryptFailedAttempt: Beim erneuten Verschlüsseln eines importierten Zertifikats ist ein Fehler aufgetreten.
    • PkcsImportReencryptFailure: Bei der erneuten Verschlüsselung eines importierten Zertifikats ist ein Fehler aufgetreten.
    • PkcsImportUploadFailure: Beim Hochladen der Anforderungen in Intune ist ein Fehler aufgetreten.
    • PkcsImportUploadedRequest: In dieser Kategorie finden Sie Details zu einer hochgeladenen Anforderung in Intune.

Widerruf

  • Admin
    • RevokeRequestSuccess: Sperrungsanforderungen wurden erfolgreich aus Intune heruntergeladen.
    • RevokeRequestFailure: Beim Herunterladen von Sperrungsanforderungen aus Intune ist ein Fehler aufgetreten.
  • Betrieblich
    • RevokeDownloadSuccess: Sperrungsanforderungen wurden erfolgreich aus Intune heruntergeladen.
    • RevokeDownloadFailure: Beim Herunterladen von Sperrungsanforderungen aus Intune ist ein Fehler aufgetreten.
    • RevokeDownloadedRequest: In dieser Kategorie finden Sie Details zu einer einzelnen heruntergeladenen Anforderung aus Intune.
    • RevokeSuccess: Ein Zertifikat wurde erfolgreich gesperrt.
    • RevokeFailure: Beim Sperren eines Zertifikats ist ein Fehler aufgetreten.
    • RevokeFailedAttempt: Beim Sperren eines Zertifikats ist ein Fehler aufgetreten.
    • RevokeUploadSuccess: In dieser Kategorie finden Sie Details zu einer erfolgreichen Anforderung, die in Intune hochgeladen wurde.
    • RevokeUploadFailure: Beim Hochladen von Anforderungen in Intune ist ein Fehler aufgetreten.
    • RevokeUploadedRequest: In dieser Kategorie finden Sie Details zu einer in Intune hochgeladenen Anforderung.

Neuerungen für Connectors

Es werden regelmäßig Updates für die beiden Certificate Connectors veröffentlicht. Sobald wir ein Update für einen Connector veröffentlichen, werden Sie hier darüber informiert.

Wichtig

Ab April 2022 sind Zertifikatconnectors älter als Version 6.2101.13.0 veraltet und zeigen den Status Fehler an. Dieser Status wirkt sich nicht auf die Funktionalität aus. Ab Juni 2022 können solche Connectors keine Zertifikate mehr ausstellen. Ausführliche Informationen zum Wechsel zum neuen Zertifikatconnector für Microsoft finden Sie im Hinweis am Anfang dieses Artikels.

Releaseverlauf des PFX-Zertifikatconnectors

Der PFX Certificate Connector für Microsoft Intuneunterstützt automatische Updates.

10. März 2021

Version 6.2101.16.0. – Änderungen in diesem Release:

  • Verbesserungen am PFX-Erstellungsflow zur Vermeidung von doppelten Zertifikatanforderungsdateien auf lokalen Servern, die den Connector hosten.

24. Februar 2021

Version 6.2101.13.0 Mit dieser neuen Connectorversion gehen Protokollierungsverbesserungen für den PFX-Connector einher:

  • Ereignisprotokolle werden an einem neuen Speicherort gespeichert. Protokolle werden in die Kategorien „Administratorprotokolle“, „Betriebsprotokolle“ und „Debugprotokolle“ unterteilt.
  • Administrator- und Betriebsprotokolle weisen standardmäßig 50 MB auf. Die automatische Archivierung ist aktiviert.
  • Ereignis-IDs für PKCS-Importe, PKCS-Erstellvorgänge und -Sperrungsvorgänge

26. Januar 2021

Version 6.2009.2.0 – Änderungen in diesem Release:

  • Verbessert das Upgrade des Connectors, um Konten beizubehalten, die Connectordienste ausführen.

15. Januar 2021

Version 6.2009.1.9 – Änderungen in diesem Release:

  • Verbesserungen bei der Verlängerung des Connectorzertifikats.

2. Oktober 2020

Version 6.2008.60.612 – Änderungen in diesem Release:

  • Es wurde ein Problem mit der Übermittlung des PKCS-Zertifikats an vollständig verwaltete Android Enterprise-Geräte behoben. Das Problem wurde dadurch verursacht, dass der Schlüsselspeicheranbieter (Key Storage Provider, KSP) für die Kryptografie ein Legacyanbieter sein musste. Jetzt können Sie auch einen Kryptografieschlüsselspeicher-Anbieter der nächsten Generation (Cryptographic Next Generation, CNG) verwenden.
  • Ändert sich zu Registerkarte ZS-Konto des PFX-Zertifikatconnectors: Der von Ihnen angegebene Benutzername und das Kennwort (Anmeldeinformationen) werden jetzt zum Ausstellen von Zertifikaten und zum Widerrufen von Zertifikaten verwendet. Zuvor wurden diese Anmeldeinformationen nur für die Zertifikatsperrung verwendet.

Releaseverlauf des Microsoft Intune-Connectors

2. April 2019

Version 6.1904.1.0: Änderungen in diesem Release:

  • Es wurde ein Problem behoben, bei dem die Möglichkeit bestand, dass sich der Connector nach der Anmeldung mit dem globalen Administratorkonto nicht bei Intune registrieren konnte.
  • Umfasst Fehlerbehebungen in Bezug auf die Zuverlässigkeit bei Zertifikatsperrungen
  • Umfasst Fehlerbehebungen in Bezug auf die Leistung, um die Verarbeitung von Anforderungen von PKCS-Zertifikaten zu beschleunigen.

Nächste Schritte

Erstellen Sie SCEP-, PKCS- oder über PKCS importierte Zertifikatprofile für jede Plattform, die Sie verwenden möchten. Weitere Informationen zum Fortfahren finden Sie in den folgenden Artikeln: