Az Microsoft Intune tanúsítvány-összekötőjének előfeltételei
Mielőtt telepítené és konfigurálja a tanúsítvány-összekötőt a Microsoft Intune, tekintse át az előfeltételeket és az infrastruktúra követelményeit, amelyek az összekötőpéldányok által támogatni kívánt funkcióktól függően változhatnak.
Általános előfeltételek
Azon számítógép követelményei, amelyen az összekötőszoftvert telepíti:
R2 vagy újabb Windows Server 2012.
Megjegyzés:
A kiszolgáló telepítésének tartalmaznia kell az asztali felületet, és támogatnia kell a böngésző használatát. További információ: Kiszolgáló telepítése asztali felülettel a Windows Server 2016 dokumentációjában.
.NET 4.7.2
Transport Layer Security (TLS) 1.2. További információ: A TLS 1.2 támogatásának engedélyezése a környezetben a Microsoft Entra dokumentációjában.
A kiszolgálónak ugyanazokat a hálózati követelményeket kell teljesítenie, mint a felügyelt eszközöknek. Lásd: Hálózati végpontok a Microsoft Intune ésaz Intune hálózati konfigurációs követelményei és sávszélessége
Az összekötő szoftver automatikus frissítéseinek támogatásához a kiszolgálónak hozzáféréssel kell rendelkeznie az Azure frissítési szolgáltatásához:
- Port: 443
- Végpont: autoupdate.msappproxy.net
A fokozott biztonsági konfigurációt inaktiválni kell.
PKCS
A PKCS-tanúsítványsablonokra vonatkozó követelmények:
- A PKCS-kérelmekhez használt tanúsítványsablonokat olyan engedélyekkel kell konfigurálni, amelyek lehetővé teszik, hogy a tanúsítvány-összekötő szolgáltatásfiókja regisztrálja a tanúsítványt.
- A tanúsítványsablonokat hozzá kell adni a hitelesítésszolgáltatóhoz (CA).
Megjegyzés:
A PKCS-t támogató összekötő bármely példányával lekérhetők a függőben lévő PKCS-kérelmek az Intune szolgáltatás üzenetsorából, feldolgozhatók az importált tanúsítványok, és kezelhetők a visszavonási kérelmek. Nem lehet meghatározni, hogy melyik összekötő kezeli az egyes kéréseket. Ezért minden olyan összekötőnek, amely támogatja a PKCS-t, ugyanazokkal az engedélyekkel kell rendelkeznie, és képesnek kell lennie csatlakozni a PKCS-profilokban később meghatározott összes hitelesítésszolgáltatóhoz.
PKCS importált tanúsítványok
Az importált PKCS-tanúsítványok támogatásához az összekötőt üzemeltető kiszolgálónak további konfigurációkra van szüksége, például kulcstároló-szolgáltatói hozzáférés konfigurálására, hogy az összekötő szolgáltatás felhasználója lekérhesse a kulcsokat.
További információ az importált PKCS-tanúsítványok támogatásáról: Importált PKCS-tanúsítványok konfigurálása és használata az Intune-nal
Visszavonási előfeltételek
- A hitelesítésszolgáltatót úgy kell konfigurálni, hogy az összekötő szolgáltatásfiókja visszavonhassa a tanúsítványokat.
SCEP
Az összekötőt futtató Windows Servernek az általános előfeltételek mellett a következő előfeltételeknek is meg kell felelnie:
- IIS 7 vagy újabb
- Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES), amely az Active Directory tanúsítványszolgáltatás szerepkör része. Az összekötő nem támogatott ugyanazon a kiszolgálón, mint a kiállító hitelesítésszolgáltató. További információ: Infrastruktúra konfigurálása az SCEP intune-nal való támogatásához
A Windows Serveren konfigurálja a következő kiszolgálói szerepkörök és szolgáltatások kiválasztását:
Kiszolgálói szerepkörök:
- Active Directory tanúsítványszolgáltatások
- Webkiszolgáló (IIS)
Szolgáltatások:
- .NET-keretrendszer 4.7 funkciói
- .NET-keretrendszer 4,7
- ASP.NET 4,7
- WCF-szolgáltatások
- HTTP-aktiválás
- .NET-keretrendszer 4.7 funkciói
AD CS > Szerepkör-szolgáltatások:
- Hálózati eszközök tanúsítványigénylési szolgáltatása – A Microsoft hitelesítésszolgáltató használatakor az SCEP összekötő esetében telepítse és konfigurálja a Hálózati eszközök tanúsítványigénylési szolgáltatása (NDES) kiszolgálói szerepkört. Az NDES konfigurálásakor hozzá kell rendelnie egy felhasználói fiókot az NDES-alkalmazáskészlet számára. Az NDES saját követelményekkel is rendelkezik.
Webkiszolgálói szerepkör (IIS) > Szerepkör-szolgáltatások:
- Biztonság
- Kérelemszűrés
- Alkalmazásfejlesztés
- .NET-bővíthetőség 4.7
- ASP.NET 4,7
- Felügyeleti eszközök
- IIS felügyeleti konzol
- IIS 6 felügyeleti kompatibilitás
- IIS 6 metabázis-kompatibilitás
- IIS 6 WMI-kompatibilitás
Emellett az NDES-nek szüksége van a following.NET Framework 3.5 funkcióira:
- .NET-keretrendszer 3,5
- HTTP-aktiválás
- Biztonság
Az SCEP-tanúsítványsablonokra vonatkozó követelmények:
- Az SCEP-kérelmekhez használt tanúsítványsablonokat olyan engedélyekkel kell konfigurálni, amelyek lehetővé teszik, hogy a Tanúsítvány-összekötő szolgáltatásfiókja automatikusan regisztrálja a tanúsítványt.
- A tanúsítványsablonokat hozzá kell adni a hitelesítésszolgáltatóhoz.
Fiókok
A tanúsítvány-összekötő szoftver telepítése előtt készítse elő a következő fiókokat.
Telepítési fiók
Az összekötő szoftver telepítéséhez bármely olyan felhasználói fiókot használhat, amely helyi rendszergazdai engedélyekkel rendelkezik a Windows Serveren. Ugyanezzel a fiókkal konfigurálhatja a Windows Servert az NDES Windows-kiszolgálói szerepkörrel, ha az SCEP-t és a Microsoft hitelesítésszolgáltatót használja.
Tanúsítvány-összekötő szolgáltatásfiókja
A tanúsítvány-összekötőhöz szolgáltatásfiókként kell használni egy fiókot. Az összekötő ezt a fiókot használja a Windows Server eléréséhez, az Intune-nal való kommunikációhoz és a hitelesítésszolgáltatóhoz való hozzáféréshez a PKI-kérések kiszolgálásához.
Az összekötő szolgáltatásfiókjának a következő engedélyekkel kell rendelkeznie:
- Bejelentkezés szolgáltatásként
- Tanúsítványengedélyek kiállítása és kezelése a hitelesítésszolgáltatónál (csak visszavonási forgatókönyvekhez szükséges).
- Olvassa el és regisztrálja az engedélyeket minden olyan tanúsítványsablonon, amelyet a tanúsítványok kiállításához fog használni.
- A PFX-importálás által használt kulcstároló-szolgáltató (KSP) engedélyei. Lásd: PFX-tanúsítványok importálása az Intune-ba.
A tanúsítvány-összekötő szolgáltatásfiókjaként a következő lehetőségek támogatottak:
- RENDSZER
- Tartományi felhasználó – Bármely olyan tartományi felhasználói fiókot használjon, amely rendszergazda a Windows Serveren.
További információ: Az Microsoft Intune tanúsítvány-összekötőjének telepítése.
NDES-alkalmazáskészlet felhasználója
Ha az SCEP-t microsoftos hitelesítésszolgáltatóval szeretné használni, az összekötő telepítése előtt hozzá kell adnia az NDES-t az összekötőt üzemeltető kiszolgálóhoz. Az NDES konfigurálásakor meg kell adnia egy fiókot az alkalmazáskészlet felhasználójaként való használatra, amelyet NDES-szolgáltatásfióknak is nevezhetünk. Ez a fiók lehet helyi vagy tartományi felhasználói fiók, és a következő engedélyekkel kell rendelkeznie:
- Olvassa el és regisztrálja az engedélyeket minden olyan SCEP-tanúsítványsablonon, amelyet a tanúsítványok kiállításához fog használni.
- A IIS_IUSRS csoport tagja.
A Microsoft Intune tanúsítvány-összekötő NDES-kiszolgálói szerepkörének konfigurálásával kapcsolatos útmutatásért lásd: Az NDES beállítása az Infrastruktúra konfigurálása az SCEP intune-nal való támogatásához.
Microsoft Entra felhasználó
Az összekötő konfigurálásakor olyan felhasználói fiókot kell használnia, amely globális Rendszergazda vagy Intune-Rendszergazda, és amelyhez Intune-licenc van hozzárendelve.
Következő lépések
Visszajelzés
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ: https://aka.ms/ContentUserFeedback.
Visszajelzés küldése és megtekintése a következőhöz: