Megosztás a következőn keresztül:

Tanúsítvány-összekötő Microsoft Intune

  • Cikk

Ha Microsoft Intune szeretne tanúsítványokat használni a hitelesítéshez, valamint az e-mailek S/MIME-vel történő aláírásához és titkosításához, használhatja a tanúsítvány-összekötőt a Microsoft Intune. A tanúsítvány-összekötő egy helyszíni kiszolgálóra telepített szoftver, amely segít a Intune által felügyelt eszközök tanúsítványainak kézbesítésében és kezelésében.

Ez a cikk bemutatja az Microsoft Intune tanúsítvány-összekötőjét, életciklusát és naprakészen tartását.

Tipp

2021. július 29-től a Microsoft Intune tanúsítvány-összekötője felváltja a PFX tanúsítvány-összekötő használatát Microsoft Intune és Microsoft Intune-összekötőhöz. Az új összekötő mindkét korábbi összekötő funkcióit tartalmazza. A Microsoft tanúsítvány-összekötőjének 6.2109.51.0-s verziójával a korábbi összekötők már nem támogatottak.

Összekötő áttekintése

A tanúsítvány-összekötő használatához először le kell töltenie a szoftvert a Microsoft Intune Felügyeleti központból, amelyet aztán telepíteni fog egy Windows Serverre.

A telepítés során egy vagy több összekötő-funkciót is telepíthet, beleértve a következőket:

  • Privát és nyilvános kulcspár (PKCS) tanúsítványai
  • PKCS importált tanúsítványok
  • Simple Certificate Enrollment Protocol (SCEP)
  • Tanúsítvány visszavonása

Egy szolgáltatásfiókot is hozzárendel az összekötő futtatásához. Ez a fiók a hitelesítésszolgáltatóval folytatott összes interakcióhoz, valamint a tanúsítványok kiállításához, visszavonásához és megújításához használatos. A szolgáltatásfiók támogatott lehetőségei közé tartozik az összekötő-kiszolgálók SYSTEM-fiókja vagy egy tartományi fiók.

Az összekötő telepítése után bármikor újra futtathatja az összekötő konfigurációját a frissítéséhez vagy a telepített funkciók módosításához. A telepítés és a konfigurálás után az összekötő automatikusan telepítheti a jövőbeli frissítéseket, hogy az összekötők naprakészek maradjanak a legújabb kiadásig.

Intune támogatja az összekötő több példányának telepítését egy bérlőben, és mindegyik példány különböző funkciókat támogat. Ha több összekötőt használ, amelyek különböző funkciókat támogatnak, a tanúsítványkérelmek mindig egy megfelelő összekötőhöz lesznek irányítva. Ha például két olyan összekötőt telepít, amelyek támogatják a PKCS-t, és további két olyan összekötőt telepít, amelyek támogatják a PKCS-t és az SCEP-t is, a PKCS tanúsítványfeladatait a négy összekötő bármelyike felügyelheti, az SCEP-feladatok azonban csak az SCEP-t támogató két összekötőre lesznek irányítva.

A tanúsítvány-összekötő minden példánya ugyanazokat a hálózati követelményeket támasztja, mint a Intune által felügyelt eszközök. További információ: Hálózati végpontok Microsoft Intune, valamint Intune hálózati konfigurációs követelmények és sávszélesség.

A tanúsítvány-összekötő képességei

Az Microsoft Intune tanúsítvány-összekötője a következőket támogatja:

  • PKCS #12 tanúsítványkérelmek.

  • PKCS importált tanúsítványok (PFX-fájl) egy adott felhasználó S/MIME e-mail titkosításához.

  • SCEP-tanúsítványok kiállítása. Ha Active Directory tanúsítványszolgáltatás-hitelesítésszolgáltatót (CA) használ, más néven Microsoft hitelesítésszolgáltatót, konfigurálnia kell a Hálózati eszközök tanúsítványigénylési szolgáltatását (NDES) is az összekötőt üzemeltető kiszolgálón.

    Az SCEP külső hitelesítésszolgáltatóval való használata nem igényli a tanúsítvány-összekötő használatát a Microsoft Intune.

  • Tanúsítvány visszavonása.

  • Automatikus frissítések az új verziókhoz. Amikor a tanúsítvány-összekötőt futtató kiszolgálók hozzáférhetnek az internethez, automatikusan új frissítéseket telepítenek, hogy naprakészek maradjanak. Ha egy összekötő nem frissül automatikusan, manuálisan frissítheti az összekötőt.

  • Az összekötő legfeljebb 100 példányának telepítése Intune bérlőnként, mindegyik példány külön Windows Serveren. Ha több összekötőt használ:

    • Az összekötő minden példányának hozzáféréssel kell rendelkeznie az egyes feltöltött PFX-fájlok jelszavának titkosításához használt titkos kulcshoz.

    • Az összekötő minden példányának azonos verziójúnak kell lennie. Mivel az összekötő támogatja a legújabb verzió automatikus frissítéseit, a frissítéseket a Intune kezelheti.

    • Az infrastruktúra támogatja a redundanciát és a terheléselosztást, mivel minden olyan elérhető összekötőpéldány, amely ugyanazokat az összekötő-funkciókat támogatja, feldolgozhatja a tanúsítványkérelmeket.

    • Konfigurálhat proxyt, hogy az összekötő kommunikálhasson Intune.

      Megjegyzés:

      A PKCS-t támogató összekötő bármely példánya használható a függőben lévő PKCS-kérések lekérésére a Intune szolgáltatás várólistájáról, az importált tanúsítványok feldolgozására és a visszavonási kérelmek kezelésére. Nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket.

      Ezért minden olyan összekötőnek, amely támogatja a PKCS-t, ugyanazokkal az engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.

Életciklus

A rendszer rendszeresen frissíti a tanúsítvány-összekötőt. Az új összekötő-frissítésekről szóló közlemények, beleértve az egyes frissítések verzióját és kiadási dátumát, a jelen cikk Újdonságok a tanúsítvány-összekötőhöz című szakaszában jelennek meg.

Minden új összekötő kiadása:

  • Az új verzió megjelenése után hat hónapig támogatott. Ebben az időszakban az automatikus frissítések újabb összekötőverziót telepíthetnek. Az összekötők frissített verziói tartalmazhatnak hibajavításokat, valamint teljesítmény- és funkciófejlesztéseket, de nem korlátozódnak rá.

  • Ha egy nem támogatott összekötő meghibásodik, frissítenie kell a legújabb támogatott verzióra.

  • Ha letiltja az összekötő automatikus frissítését, tervezze meg az összekötő manuális frissítését hat hónapon belül, mielőtt véget ér a telepített verzió támogatása. A támogatás megszűnése után frissítenie kell az összekötőt egy olyan verzióra, amely továbbra is támogatott az összekötővel kapcsolatos problémák támogatásához.

  • A támogatáson kívüli összekötők az új verzió megjelenése után akár 18 hónapig is működni fognak. 18 hónap elteltével előfordulhat, hogy az összekötők működése szolgáltatásszint-fejlesztések, frissítések vagy a jövőbeli gyakori biztonsági rések kezelése miatt hiúsul meg.

Ha például az összekötő 6.2203.12.0-s verziója 2022. május 4-én jelent meg, az összekötő korábbi, 6.2202.38.0-s verziója 2022. november 4-én megszűnik a támogatásból. Az összekötő előző verziójának továbbra is működnie kell (bár nem támogatott) 2023 novemberéig. 2023 novembere után előfordulhat, hogy az összekötő előző verziója nem kommunikál Intune.

Automatikus frissítés

Intune röviddel az összekötő verziójának kiadása után automatikusan frissítheti az összekötőt a legújabb verzióra.

Az automatikus frissítéshez az összekötőt futtató kiszolgálónak hozzá kell férnie az Azure update szolgáltatáshoz:

  • Port: 443
  • Végpont: autoupdate.msappproxy.net

Ha a tűzfalak, az infrastruktúra vagy a hálózati konfigurációk korlátozzák az automatikus frissítéshez való hozzáférést, oldja meg a blokkolási problémákat, vagy frissítse manuálisan az összekötőt az új verzióra.

Manuális frissítés

A tanúsítvány-összekötő manuális frissítésének folyamata megegyezik az összekötő újratelepítésével.

A tanúsítvány-összekötők akkor is frissíthetők manuálisan, ha az támogatja az automatikus frissítéseket. Például manuálisan frissítheti az összekötőt, ha a hálózati konfiguráció letilt egy automatikus frissítést.

Tanúsítvány-összekötő újratelepítése

  1. Az összekötőt futtató Windows Serveren futtassa az összekötő telepítőprogramját az összekötő eltávolításához.

  2. Az új verzió telepítéséhez használja az eljárást az összekötő új verziójának telepítéséhez. Az összekötő újabb verziójának telepítésekor mindenképpen ellenőrizze, hogy vannak-e új vagy frissített előfeltételek .

Összekötő állapota

A Microsoft Intune Felügyeleti központban kiválaszthat egy tanúsítvány-összekötőt az állapotával kapcsolatos információk megtekintéséhez:

  1. Bejelentkezés a Microsoft Intune Felügyeleti központba

  2. Lépjen a Bérlőfelügyeleti>összekötők és jogkivonatok>Tanúsítvány-összekötők elemre.

  3. Válasszon ki egy összekötőt az állapotának megtekintéséhez.

Az összekötő állapotának megtekintésekor:

  • Az elavult összekötők figyelmeztetést jelennek meg. A hat hónapos türelmi időszak után a figyelmeztetés hibára változik.
  • A türelmi időszakon túli összekötők hibát jeleznek. Ezek az összekötők már nem támogatottak, és bármikor leállhatnak.

Naplózási

A Microsoft Intune tanúsítvány-összekötőjének naplói eseménynaplókként érhetők el azon a kiszolgálón, amelyen az összekötő telepítve van:

  • > Eseménynapló Alkalmazás- és szolgáltatásnaplók>Microsoft>Intune>Tanúsítvány-összekötők

Az alábbi naplók érhetők el, alapértelmezett értéke 50 MB, és engedélyezve van az automatikus archiválás:

  • Rendszergazda Napló – Ez a napló az összekötőnek küldött kérésenként egy naplóeseményt tartalmaz. Az események magukban foglalják a kéréssel kapcsolatos információk sikerességét , vagy a kéréssel és a hibával kapcsolatos információkat tartalmazó hibát .
  • Működési napló – Ez a napló a Rendszergazda naplóban található további információkat jeleníti meg, és hibakeresési problémákhoz használható. Ez a napló a folyamatban lévő műveleteket is megjeleníti egyetlen esemény helyett.

Az alapértelmezett naplózási szint mellett az egyes naplók hibakeresési naplózását is engedélyezheti, hogy további részletekhez jusson.

Eseményazonosítók

Minden esemény a következő azonosítók egyikével rendelkezik:

  • 0001-0999 – Nincs társítva egyetlen konkrét forgatókönyvhöz sem
  • 1000-1999 - PKCS
  • 2000–2999 – PKCS-importálás
  • 3000-3999 - Visszavonás
  • 4000-4999 - SCEP
  • 5000–5999 – Összekötő állapota

Tevékenységkategóriák

A rendszer minden eseményt tevékenységkategóriával címkéz, hogy segítse a szűrést. A tevékenységkategóriák tartalmazzák, de nem korlátozódnak a következő listára:

PKCS

  • Rendszergazda

    • Eseményazonosító: 1000 - PkcsRequestSuccess
      Sikeresen feltöltött egy PKCS-kérelmet a Intune.

    • Eseményazonosító: 1001 - PkcsRequestFailure
      Nem sikerült teljesíteni vagy feltölteni egy PKCS-kérést a Intune.

    • Eseményazonosító: 1200 - PkcsRecryptRequestSuccess
      A PKCS újrafejtési kérésének feldolgozása sikerült.

    • Eseményazonosító: 1201 - PkcsRecryptRequestFailure
      Nem sikerült feldolgozni a PKCS reencrypt kérését.

  • Működési

    • Eseményazonosító: 1002 - PkcsDownloadSuccess
      Sikerült letölteni a PKCS-kérelmeket a Intune.

    • Eseményazonosító: 1003 - PkcsDownloadFailure
      Nem sikerült letölteni a PKCS-kérelmeket Intune.

    • Eseményazonosító: 1020 - PkcsDownloadedRequest
      Sikerült letölteni a PKCS-kérést a Intune

    • Eseményazonosító: 1032 - PkcsDigiCertRequest
      Sikeresen letöltött egy PKCS-kérelmet a DigiCert hitelesítésszolgáltatóhoz a Intune.

    • Eseményazonosító: 1050 - PkcsIssuedSuccess
      Sikeresen kibocsátott egy PKCS-tanúsítványt.

    • Eseményazonosító: 1051 - PkcsIssuedFailedAttempt
      Nem sikerült kibocsátani egy PKCS-tanúsítványt. A program újrapróbálkozott.

    • Eseményazonosító: 1052 - PkcsIssuedFailure
      Nem sikerült kibocsátani egy PKCS-tanúsítványt.

    • Eseményazonosító: 1100 - PkcsUploadSuccess
      A PKCS-kérelmek eredményei sikeresen feltöltődtek a Intune.

    • Eseményazonosító: 1101 - PkcsUploadFailure
      Nem sikerült feltölteni a PKCS-kérelmek eredményeit a Intune.

    • Eseményazonosító: 1102 - PkcsUploadedRequest
      Sikerült feltölteni a PKCS-kérelmet a Intune.

    • Eseményazonosító: 1202 - PkcsRecryptDownloadSuccess
      Sikerült letölteni a PKCS-hez a visszafejtési kérelmeket.

    • Eseményazonosító: 1203 - PkcsRecryptDownloadFailure
      Nem sikerült letölteni a PKCS újratitkosítási kéréseit.

    • Eseményazonosító: 1220 - PkcsRecryptDownloadedRequest
      Sikeresen letöltött egy PKCS-visszafejtési kérést.

    • Eseményazonosító: 1250 - PkcsRecryptReencryptSuccess
      A PKCS-tanúsítvány hasznos adatainak újbóli titkosítása sikerült.

    • Eseményazonosító: 1251 - PkcsRecryptDecryptSuccess
      A PKCS-tanúsítvány hasznos adatainak visszafejtése sikerült.

    • Eseményazonosító: 1252 - PkcsRecryptDecryptFailure
      Nem sikerült visszafejteni a PKCS-tanúsítvány hasznos adatait.

    • Eseményazonosító: 1253 - PkcsRecryptReencryptFailure
      Nem sikerült újratitkosítani a PKCS-tanúsítvány hasznos adatait.

    • Eseményazonosító: 1300 - PkcsRecryptUploadSuccess
      A PKCS sikeresen feltöltötte a kérések eredményeinek újbóli titkosítását a Intune.

    • Eseményazonosító: 1301 - PkcsRecryptUploadFailure
      Nem sikerült feltölteni a PKCS reencrypt kérésének eredményeit a Intune.

    • Eseményazonosító: 1302 - PkcsRecryptUploadedRequest
      Sikeresen feltöltött egy PKCS-visszafejtési kérést a Intune.

PKCS-importálás

  • Rendszergazda

    • Eseményazonosító: 2000 - PkcsImportRequestSuccess
      A PKCS importálási kérelmei sikeresen letöltődnek Intune.

    • Eseményazonosító: 2001 - PkcsImportRequestFailure
      Nem sikerült feldolgozni a PKCS importálási kérését Intune.

  • Működési

    • Eseményazonosító: 2202 - PkcsImportDownloadSuccess
      A PKCS importálási kérelmei sikeresen letöltődnek Intune.

    • Eseményazonosító: 2203 - PkcsImportDownloadFailure
      Nem sikerült letölteni a PKCS importálási kéréseit Intune.

    • Eseményazonosító: 2020 - PkcsImportDownloadedRequest
      Sikerült letölteni a PKCS importálási kérését Intune.

    • Eseményazonosító: 2050 - PkcsImportReencryptSuccess
      A PKCS importálási tanúsítványának ismételt titkosítása sikerült.

    • Eseményazonosító: 2051 - PkcsImportReencryptFailedAttempt
      Nem sikerült újratitkosítani a PKCS importálási tanúsítványát. A program újrapróbálkozott.

    • Eseményazonosító: 2052 - PkcsImportReencryptFailure
      Nem sikerült újratitkosítani egy importált tanúsítványt.

    • Eseményazonosító: 2100 - PkcsImportUploadSuccess
      Sikerült feltölteni a PKCS importálási kérésének eredményeit a Intune.

    • Eseményazonosító: 2101 - PkcsImportUploadFailure
      Nem sikerült feltölteni a PKCS-kérelmek eredményeit a Intune.

    • Eseményazonosító: 2102 - PkcsImportUploadedRequest
      Sikerült feltölteni a PKCS importálási kérését a Intune.

Visszavonási

  • Rendszergazda

    • Eseményazonosító: 3000 - RevokeRequestSuccess
      Sikerült letölteni a visszavonási kérelmeket a Intune.

    • Eseményazonosító: 3001 - RevokeRequestFailure
      Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor.

  • Működési

    • Eseményazonosító: 3002 - RevokeDownloadSuccess
      Sikerült letölteni a visszavonási kérelmeket a Intune.

    • Eseményazonosító: 3003 - RevokeDownloadFailure
      Hiba történt a visszavonási kérelmek Intune-ból való letöltésekor.

    • Eseményazonosító: 3020 - RevokeDownloadedRequest
      A Intune egyetlen letöltött kérésének részletei

    • Eseményazonosító: 3032 - RevokeDigicertRequest
      A kérelem visszavonási kérése Intune és a Digicertnek való továbbítása a kérés teljesítése céljából.

    • Eseményazonosító: 3050 - RevokeSuccess
      A tanúsítvány visszavonása sikerült.

    • Eseményazonosító: 3051 - RevokeFailure
      Hiba történt egy tanúsítvány visszavonása közben.

    • Eseményazonosító: 3052 - RevokeFailedAttempt
      Nem sikerült visszavonni a tanúsítványt. A program újrapróbálkozott.

    • Eseményazonosító: 3100 - RevokeUploadSuccess
      Sikerült feltölteni a visszavonási kérelem eredményeit a Intune.

    • Eseményazonosító: 3101 - RevokeUploadFailure
      Nem sikerült feltölteni a visszavonási kérelem eredményeit a Intune.

    • Eseményazonosító: 3102 - RevokeUploadedRequest
      Sikerült feltölteni a visszavonási kérelmet a Intune.

SCEP

  • Rendszergazda

    • Eseményazonosító: 4000 - ScrepRequestSuccess
      Sikerült feldolgozni egy SCEP-kérést, és értesítettük Intune.

    • Eseményazonosító: 4001 - ScepRequestIssuedFailure
      Nem sikerült feldolgozni egy SCEP-kérést, és értesítettük Intune.

    • Eseményazonosító: 4002 - ScepRequestUploadFailure
      Sikerült feldolgozni az SCEP-kérést, de nem sikerült értesíteni Intune.

  • Működési

    • Eseményazonosító: 4003 - ScepRequestReceived
      Sikerült SCEP-kérést fogadni egy eszközről.

    • Eseményazonosító: 4004 - ScepVerifySuccess
      Sikerült ellenőrizni egy SCEP-kérést a Intune.

    • Eseményazonosító: 4005 - ScepVerifyFailure
      Nem sikerült ellenőrizni egy SCEP-kérést a Intune.

    • Eseményazonosító: 4006 - ScepIssuedSuccess
      Az SCEP-kéréshez sikeresen kibocsátott tanúsítvány.

    • Eseményazonosító: 4007 - ScepIssuedFailure
      Nem sikerült tanúsítványt kibocsátani az SCEP-kérelemhez.

    • Eseményazonosító: 4008 - ScepNotifySuccess
      Az SCEP-kérés eredményéről Intune sikerült értesíteni.

    • Eseményazonosító: 4009 - ScepNotifyAttemptFailed
      Nem sikerült értesíteni Intune az SCEP-kérés eredményéről, újrapróbálkozhat.

    • Eseményazonosító: 4010 - ScepNotifySaveToDiskFailed
      Nem sikerült az értesítés írása a lemezre, és nem tudja értesíteni Intune a kérés állapotáról.

Összekötő állapota

  • Működési

    • Eseményazonosító: 5000 - HealthMessageUploadSuccess Az állapotüzenetek sikeresen feltöltődtek a Intune.

    • Eseményazonosító: 5001 - HealthMessageUploadFailedAttempt Nem sikerült az állapotüzenetek feltöltése a Intune, újrapróbálkozhat.

    • Eseményazonosító: 5002 - HealthMessageUploadFailure Nem sikerült feltölteni az állapotüzeneteket a Intune.

A tanúsítvány-összekötő újdonságai

Frissítések Microsoft Intune tanúsítvány-összekötője rendszeres időközönként megjelenik, majd hat hónapig támogatott. Amikor frissítjük az összekötőt, itt olvashat a változásokról.

Az összekötő új frissítései egy vagy több hetet is igénybe vehetnek, hogy elérhetővé váljanak az egyes bérlők számára.

Fontos

2022 áprilisától a 6.2101.13.0-s verziónál korábbi tanúsítvány-összekötők elavultak lesznek, és Hiba állapotot fognak mutatni. 2022 augusztusától ezek az összekötőverziók nem fogják tudni visszavonni a tanúsítványokat. 2022 szeptemberétől ezek az összekötőverziók nem fognak tudni tanúsítványokat kiadni. Ez magában foglalja az Microsoft Intune PFX tanúsítvány-összekötőt és a Microsoft Intune-összekötőt is, amelyet 2021. július 29-én a Microsoft Intune tanúsítvány-összekötője váltott fel (a jelen cikkben leírtak szerint).

2023. február 15.

6.2301.1.0-s verzió – Változások ebben a kiadásban:

  • Naplózási információk a Intune Szolgáltatásnaplókkal való korrelációhoz
  • A PFX-tanúsítványok kiállítási folyamatának naplózási fejlesztései

2022. szeptember 21., kedd

6.2206.122.0-s verzió – Változások ebben a kiadásban:

  • Továbbfejlesztett telemetria a hibajavítások és a teljesítmény javítása mellett

2022. június 30., csütörtök

6.2205.201.0-s verzió – Változások ebben a kiadásban:

  • Frissítettük a telemetriai csatornát Intune, hogy Intune rendszergazda adatokat gyűjtsön a portálon

2022. május 4.

6.2203.12.0-s verzió – Változások ebben a kiadásban:

  • CNG-szolgáltatók támogatása ügyfél-hitelesítési tanúsítványokhoz
  • Továbbfejlesztett támogatás az ügyfél-hitelesítési tanúsítványok automatikus megújításához

2022. március 10.

6.2202.38.0-s verzió. Ez a frissítés a következőket tartalmazza:

  • A TLS 1.2 támogatásának változásai az automatikus frissítéshez

Következő lépések

Tekintse át az Microsoft Intune tanúsítvány-összekötőjének előfeltételeit