Connettore di certificati per Microsoft Intune

  • Articolo

Per Microsoft Intune supportare l'uso dei certificati per l'autenticazione e la firma e la crittografia della posta elettronica tramite S/MIME, è possibile usare connettore di certificati per Microsoft Intune. Il connettore di certificati è un software installato in un server locale che consente di distribuire e gestire i certificati per i dispositivi gestiti Intune.

Questo articolo presenta il connettore di certificati per Microsoft Intune, il relativo ciclo di vita e come mantenerlo aggiornato.

Consiglio

A partire dal 29 luglio 2021, il connettore di certificati per Microsoft Intune sostituisce l'uso di Connettore di certificati PFX per Microsoft Intune e Microsoft Intune Connector. Il nuovo connettore include la funzionalità di entrambi i connettori precedenti. Con la versione 6.2109.51.0 del connettore di certificati per Microsoft, i connettori precedenti non sono più supportati.

Panoramica del connettore

Per usare il connettore di certificati, si scaricherà prima di tutto il software dall'interfaccia di amministrazione Microsoft Intune, che verrà quindi installato in windows server.

Durante l'installazione, è possibile installare una o più funzionalità del connettore, incluso il supporto per:

  • Certificati PKCS (Private and Public Key Pair)
  • Certificati PKCS importati
  • Simple Certificate Enrollment Protocol (SCEP)
  • Revoca del certificato

Si assegnerà anche un account del servizio per eseguire il connettore. Questo account viene usato per tutte le interazioni con l'Autorità di certificazione e per il rilascio, la revoca e il rinnovo del certificato. Le opzioni supportate per l'account del servizio includono l'account SYSTEM dei server del connettore o un account di dominio.

Dopo l'installazione del connettore, è possibile eseguire di nuovo la configurazione del connettore in qualsiasi momento per aggiornarlo o modificare le funzionalità installate. Dopo l'installazione e la configurazione, il connettore può installare automaticamente gli aggiornamenti futuri per mantenere i connettori aggiornati alla versione più recente.

Intune supporta l'installazione di più istanze del connettore in un tenant e ogni istanza può supportare funzionalità diverse. Se si usano più connettori che supportano funzionalità diverse, le richieste di certificato vengono sempre indirizzate a un connettore pertinente. Ad esempio, se si installano due connettori che supportano PKCS e altri due che supportano sia PKCS che SCEP, le attività di certificato per PKCS possono essere gestite da uno qualsiasi dei quattro connettori, ma le attività per SCEP vengono indirizzate solo ai due connettori che supportano SCEP.

Ogni istanza del connettore di certificati ha gli stessi requisiti di rete dei dispositivi gestiti da Intune. Per altre informazioni, vedere Endpoint di rete per Microsoft Intune e Intune requisiti di configurazione di rete e larghezza di banda.

Funzionalità del connettore di certificati

Connettore di certificati per Microsoft Intune supporta:

  • Richieste di certificato PKCS #12.

  • Certificati importati PKCS (file PFX) per la crittografia della posta elettronica S/MIME per un utente specifico.

  • Emissione di certificati SCEP (Simple Certificate Enrollment Protocol). Quando si usa un'autorità di certificazione di Servizi certificati Active Directory, denominata anche CA Microsoft, è necessario configurare anche il servizio Registrazione dispositivi di rete (NDES) nel server che ospita il connettore.

    L'uso di SCEP con un'autorità di certificazione di terze parti non richiede l'uso del connettore di certificati per Microsoft Intune.

  • Revoca del certificato.

  • Aggiornamenti automatici alle nuove versioni. Quando i server che ospitano il connettore di certificati possono accedere a Internet, installano automaticamente nuovi aggiornamenti per rimanere aggiornati. Quando un connettore non viene aggiornato automaticamente, è possibile aggiornare manualmente il connettore.

  • Installazione di un massimo di 100 istanze del connettore per ogni tenant Intune, con ogni istanza in un Windows Server separato. Quando si usano più connettori:

    • Ogni istanza del connettore deve avere accesso alla chiave privata usata per crittografare le password di ogni file PFX caricato.

    • Ogni istanza del connettore deve essere nella stessa versione. Poiché il connettore supporta gli aggiornamenti automatici alla versione più recente, gli aggiornamenti possono essere gestiti automaticamente da Intune.

    • L'infrastruttura supporta la ridondanza e il bilanciamento del carico, in quanto qualsiasi istanza del connettore disponibile che supporta le stesse funzionalità del connettore può elaborare le richieste di certificato.

    • È possibile configurare un proxy per consentire al connettore di comunicare con Intune.

      Nota

      Qualsiasi istanza del connettore che supporta PKCS può essere usata per recuperare le richieste PKCS in sospeso dalla coda del servizio Intune, elaborare certificati importati e gestire le richieste di revoca. Non è possibile definire quale connettore gestisce ogni richiesta.

      Pertanto, ogni connettore che supporta PKCS deve avere le stesse autorizzazioni ed essere in grado di connettersi a tutte le autorità di certificazione definite più avanti nei profili PKCS.

Ciclo di vita

Periodicamente, vengono rilasciati gli aggiornamenti al connettore di certificati. Gli annunci per i nuovi aggiornamenti del connettore, inclusa la versione e la data di rilascio per ogni aggiornamento, vengono visualizzati nella sezione Novità per il connettore di certificati in questo articolo.

Ogni nuova versione del connettore:

  • È supportato per sei mesi dopo il rilascio di una nuova versione. Durante questo periodo, gli aggiornamenti automatici possono installare una versione più recente del connettore. Le versioni aggiornate del connettore possono includere, a titolo esemplificabile, correzioni di bug e miglioramenti delle prestazioni e delle funzionalità.

  • Se un connettore fuori supporto non riesce, sarà necessario eseguire l'aggiornamento alla versione supportata più recente.

  • Se si blocca l'aggiornamento automatico del connettore, pianificare l'aggiornamento manuale del connettore entro sei mesi, prima del termine del supporto per la versione installata. Al termine del supporto, sarà necessario aggiornare il connettore a una versione che rimane in supporto per ricevere il supporto per i problemi con il connettore.

  • I connettori che non sono supportati continueranno a funzionare fino a 18 mesi dopo il rilascio di una nuova versione. Dopo 18 mesi, una funzionalità dei connettori potrebbe non riuscire a causa di miglioramenti del livello di servizio, aggiornamenti o nell'affrontare le vulnerabilità di sicurezza comuni che potrebbero verificarsi in futuro.

Ad esempio, quando il connettore versione 6.2203.12.0 rilasciata il 4 maggio 2022, la versione precedente del connettore 6.2202.38.0 verrà eliminata dal supporto il 4 novembre 2022. La versione precedente del connettore deve continuare a funzionare (anche se non è supportata) fino a novembre 2023. Dopo novembre 2023 la versione precedente del connettore potrebbe smettere di comunicare con Intune.

Aggiornamento automatico

Intune può aggiornare automaticamente il connettore alla versione più recente poco dopo il rilascio della versione del connettore.

Per eseguire l'aggiornamento automatico, il server che ospita il connettore deve accedere al servizio di aggiornamento di Azure:

  • Porta: 443
  • Endpoint: autoupdate.msappproxy.net

Quando firewall, infrastrutture o configurazioni di rete limitano l'accesso per l'aggiornamento automatico, risolvere i problemi di blocco o aggiornare manualmente il connettore alla nuova versione.

Aggiornamento manuale

Il processo di aggiornamento manuale di un connettore di certificati è lo stesso per la reinstallazione di un connettore.

È possibile aggiornare manualmente un connettore di certificati anche quando supporta gli aggiornamenti automatici. Ad esempio, è possibile aggiornare manualmente il connettore quando la configurazione di rete blocca un aggiornamento automatico.

Reinstallare un connettore di certificati

  1. In Windows Server che ospita il connettore eseguire il programma di installazione del connettore per disinstallare il connettore.

  2. Per installare la nuova versione, usare la procedura per installare una nuova versione del connettore. Assicurarsi di verificare la presenza di eventuali prerequisiti nuovi o aggiornati durante l'installazione di una versione più recente di un connettore.

Stato del connettore

Nell'interfaccia di amministrazione Microsoft Intune è possibile selezionare un connettore di certificati per visualizzare le informazioni sullo stato:

  1. Accedere all'interfaccia di amministrazione Microsoft Intune

  2. Passare ad Amministrazione> tenantConnettori e token Connettori di>certificati.

  3. Selezionare un connettore per visualizzarne lo stato.

Quando si visualizza lo stato del connettore:

  • I connettori deprecati mostrano un avviso. Dopo il periodo di tolleranza di sei mesi, l'avviso viene modificato in Errore.
  • I connettori che superano il periodo di tolleranza mostrano un errore. Questi connettori non sono più supportati e possono smettere di funzionare in qualsiasi momento.

Registrazione

I log del connettore di certificati per Microsoft Intune sono disponibili come registri eventi nel server in cui è installato il connettore:

  • > Visualizzatore eventi Registri applicazioni e servizi>Microsoft>Intune>Connettori di certificati

I log seguenti sono disponibili e per impostazione predefinita sono 50 MB e l'archiviazione automatica è abilitata:

  • Amministrazione Log: questo log contiene un evento di log per ogni richiesta al connettore. Gli eventi includono un esito positivo con informazioni sulla richiesta o un errore con informazioni sulla richiesta e l'errore.
  • Log operativo: questo log visualizza informazioni aggiuntive su che si trovano nel log Amministrazione e può essere usato per il debug di problemi. Questo log visualizza anche le operazioni in corso anziché i singoli eventi.

Oltre al livello di log predefinito, è possibile abilitare la registrazione di debug per ogni log per ottenere altri dettagli.

ID evento

Tutti gli eventi hanno uno degli ID seguenti:

  • 0001-0999 - Non associato a uno scenario specifico
  • 1000-1999 - PKCS
  • 2000-2999 - Importazione PKCS
  • 3000-3999 - Revoca
  • 4000-4999 - SCEP
  • 5000-5999 - Integrità del connettore

Categorie di attività

Tutti gli eventi vengono contrassegnati con una categoria di attività per facilitare il filtro. Le categorie di attività contengono, ma non sono limitate all'elenco seguente:

PKCS

  • Admin

    • ID evento: 1000 - PkcsRequestSuccess
      Caricamento di una richiesta PKCS in Intune completata.

    • ID evento: 1001 - PkcsRequestFailure
      Impossibile soddisfare o caricare una richiesta PKCS in Intune.

    • ID evento: 1200 - PkcsRecryptRequestSuccess
      Richiesta PKCS Reencrypt elaborata correttamente.

    • ID evento: 1201 - PkcsRecryptRequestFailure
      Impossibile elaborare la richiesta PKCS Reencrypt.

  • Operativo

    • ID evento: 1002 - PkcsDownloadSuccess
      Le richieste PKCS sono state scaricate correttamente da Intune.

    • ID evento: 1003 - PkcsDownloadFailure
      Impossibile scaricare le richieste PKCS da Intune.

    • ID evento: 1020 - PkcsDownloadedRequest
      Richiesta PKCS scaricata correttamente da Intune

    • ID evento: 1032 - PkcsDigiCertRequest
      È stata scaricata correttamente una richiesta PKCS per La CA DigiCert da Intune.

    • ID evento: 1050 - PkcsIssuedSuccess
      È stato emesso correttamente un certificato PKCS.

    • ID evento: 1051 - PkcsIssuedFailedAttempt
      Non è stato possibile rilasciare un certificato PKCS e riprovare.

    • ID evento: 1052 - PkcsIssuedFailure
      Impossibile emettere un certificato PKCS.

    • ID evento: 1100 - PkcsUploadSuccess
      Caricamento riuscito dei risultati della richiesta PKCS in Intune.

    • ID evento: 1101 - PkcsUploadFailure
      Impossibile caricare i risultati della richiesta PKCS in Intune.

    • ID evento: 1102 - PkcsUploadedRequest
      Richiesta PKCS caricata correttamente in Intune.

    • ID evento: 1202 - PkcsRecryptDownloadSuccess
      Richieste PKCS Reencrypt scaricate correttamente.

    • ID evento: 1203 - PkcsRecryptDownloadFailure
      Impossibile scaricare le richieste PKCS Reencrypt.

    • ID evento: 1220 - PkcsRecryptDownloadedRequest
      Download di una richiesta PKCS Reencrypt completata.

    • ID evento: 1250 - PkcsRecryptReencryptSuccess
      Payload del certificato PKCS crittografato correttamente.

    • ID evento: 1251 - PkcsRecryptDecryptSuccess
      Payload del certificato PKCS decrittografato correttamente.

    • ID evento: 1252 - PkcsRecryptDecryptFailure
      Impossibile decrittografare il payload del certificato PKCS.

    • ID evento: 1253 - PkcsRecryptReencryptFailure
      Impossibile crittografare nuovamente il payload del certificato PKCS.

    • ID evento: 1300 - PkcsRecryptUploadSuccess
      Caricamento riuscito dei risultati della richiesta PKCS Reencrypt in Intune.

    • ID evento: 1301 - PkcsRecryptUploadFailure
      Impossibile caricare i risultati della richiesta PKCS Reencrypt in Intune.

    • ID evento: 1302 - PkcsRecryptUploadedRequest
      Caricamento di una richiesta PKCS Reencrypt completata in Intune.

Importazione PKCS

  • Admin

    • ID evento: 2000 - PkcsImportRequestSuccess
      Le richieste di importazione PKCS sono state scaricate correttamente da Intune.

    • ID evento: 2001 - PkcsImportRequestFailure
      Impossibile elaborare una richiesta di importazione PKCS da Intune.

  • Operativo

    • ID evento: 2202 - PkcsImportDownloadSuccess
      Le richieste di importazione PKCS sono state scaricate correttamente da Intune.

    • ID evento: 2203 - PkcsImportDownloadFailure
      Impossibile scaricare le richieste di importazione PKCS da Intune.

    • ID evento: 2020 - PkcsImportDownloadedRequest
      È stata scaricata correttamente una richiesta di importazione PKCS da Intune.

    • ID evento: 2050 - PkcsImportReencryptSuccess
      Crittografato nuovamente un certificato di importazione PKCS.

    • ID evento: 2051 - PkcsImportReencryptFailedAttempt
      Impossibile crittografare nuovamente un certificato di importazione PKCS. Riprovare.

    • ID evento: 2052 - PkcsImportReencryptFailure
      Impossibile crittografare nuovamente un certificato importato.

    • ID evento: 2100 - PkcsImportUploadSuccess
      Caricamento riuscito dei risultati della richiesta di importazione PKCS in Intune.

    • ID evento: 2101 - PkcsImportUploadFailure
      Impossibile caricare i risultati della richiesta PKCS in Intune.

    • ID evento: 2102 - PkcsImportUploadedRequest
      Caricamento di una richiesta di importazione PKCS in Intune completata.

Revoca

  • Admin

    • ID evento: 3000 - RevokeRequestSuccess
      Le richieste di revoca sono state scaricate correttamente da Intune.

    • ID evento: 3001 - RevokeRequestFailure
      Si è verificato un errore durante il download delle richieste di revoca da Intune.

  • Operativo

    • ID evento: 3002 - RevokeDownloadSuccess
      Le richieste di revoca sono state scaricate correttamente da Intune.

    • ID evento: 3003 - RevokeDownloadFailure
      Si è verificato un errore durante il download delle richieste di revoca da Intune.

    • ID evento: 3020 - RevokeDownloadedRequest
      Dettagli di una singola richiesta scaricata da Intune

    • ID evento: 3032 - RevokeDigicertRequest
      Ricevuta richiesta di revoca da Intune e richiesta di inoltro a Digicert per l'evasione della richiesta.

    • ID evento: 3050 - RevokeSuccess
      Certificato revocato correttamente.

    • ID evento: 3051 - RevokeFailure
      Errore durante la revoca di un certificato.

    • ID evento: 3052 - RevokeFailedAttempt
      Impossibile revocare un certificato e riprovare.

    • ID evento: 3100 - RevokeUploadSuccess
      Caricamento riuscito dei risultati della richiesta di revoca in Intune.

    • ID evento: 3101 - RevokeUploadFailure
      Impossibile caricare i risultati della richiesta di revoca in Intune.

    • ID evento: 3102 - RevokeUploadedRequest
      Richiesta di revoca caricata correttamente in Intune.

SCEP

  • Admin

    • ID evento: 4000 - ScrepRequestSuccess
      È stata elaborata correttamente una richiesta SCEP e Intune di notifica.

    • ID evento: 4001 - ScepRequestIssuedFailure
      Impossibile elaborare una richiesta SCEP e notificare Intune.

    • ID evento: 4002 - ScepRequestUploadFailure
      La richiesta SCEP è stata elaborata correttamente ma non è stata inviata una notifica Intune.

  • Operativo

    • ID evento: 4003 - ScepRequestReceived
      Ha ricevuto correttamente una richiesta SCEP da un dispositivo.

    • ID evento: 4004 - ScepVerifySuccess
      È stata verificata correttamente una richiesta SCEP con Intune.

    • ID evento: 4005 - ScepVerifyFailure
      Impossibile verificare una richiesta SCEP con Intune.

    • ID evento: 4006 - ScepIssuedSuccess
      Certificato emesso correttamente per una richiesta SCEP.

    • ID evento: 4007 - ScepIssuedFailure
      Impossibile rilasciare il certificato per la richiesta SCEP.

    • ID evento: 4008 - ScepNotifySuccess
      Notificata correttamente Intune del risultato per una richiesta SCEP.

    • ID evento: 4009 - ScepNotifyAttemptFailed
      Non è stato possibile notificare Intune del risultato di una richiesta SCEP, riprovare.

    • ID evento: 4010 - ScepNotifySaveToDiskFailed
      Non è stato possibile scrivere una notifica su disco e non è possibile notificare Intune dello stato della richiesta.

Integrità del connettore

  • Operativo

    • ID evento: 5000 - HealthMessageUploadSuccess Caricamento corretto dei messaggi di integrità in Intune.

    • ID evento: 5001 - HealthMessageUploadFailedAttempt Impossibile caricare i messaggi di integrità in Intune, riprovare.

    • ID evento: 5002 - HealthMessageUploadFailure Impossibile caricare i messaggi di integrità in Intune.

Novità del connettore di certificati

Aggiornamenti per il connettore di certificati per Microsoft Intune vengono rilasciate periodicamente e quindi supportate per sei mesi. Quando si aggiorna il connettore, è possibile leggere le modifiche qui.

I nuovi aggiornamenti per il connettore possono richiedere una settimana o più per diventare disponibili per ogni tenant.

Importante

A partire da aprile 2022, i connettori di certificati precedenti alla versione 6.2101.13.0 verranno deprecati e visualizzeranno lo stato Errore. A partire da agosto 2022, queste versioni del connettore non potranno revocare i certificati. A partire da settembre 2022, queste versioni del connettore non saranno in grado di emettere certificati. Sono inclusi sia il connettore di certificati PFX per Microsoft Intune che Microsoft Intune Connector, che il 29 luglio 2021 è stato sostituito dal connettore di certificati per Microsoft Intune (come descritto in dettaglio in questo articolo).

15 febbraio 2023

Versione 6.2301.1.0 - Modifiche in questa versione:

  • Registrazione delle informazioni da correlare con i log del servizio Intune
  • Miglioramenti della registrazione nel flusso di rilascio del certificato PFX

21 settembre 2022

Versione 6.2206.122.0 - Modifiche in questa versione:

  • Telemetria migliorata oltre a correzioni di bug e miglioramenti delle prestazioni

giovedì 30 giugno 2022

Versione 6.2205.201.0 - Modifiche in questa versione:

  • Canale di telemetria aggiornato per Intune per consentire all'amministratore di Intune di raccogliere dati nel portale

4 maggio 2022

Versione 6.2203.12.0 - Modifiche in questa versione:

  • Supportare i provider CNG per i certificati di autenticazione client
  • Supporto migliorato per il rinnovo automatico dei certificati di autenticazione client

10 marzo 2022

Versione 6.2202.38.0. Questo aggiornamento include:

  • Modifiche per il supporto di TLS 1.2 per l'aggiornamento automatico

Passaggi successivi

Esaminare i prerequisiti per il connettore di certificati per Microsoft Intune